Hackende opsporingsambtenaren en internationaal recht

(1)

Faculteit der Rechtsgeleerdheid

Hackende opsporingsambtenaren

en internationaal recht

Roos Bleijendaal

Studentnummer 5754585

Juni 2014

Master Publiekrecht – Strafrecht

(2)

Inhoud

Inleiding 1

Hoofdstuk 1 6

Soevereiniteit en rechtsmacht

Hoofdstuk 2 13

Het recht op privacy

Hoofdstuk 3 24

Soevereiniteit en privacy

Conclusie 35

(3)

Inleiding

Ter bestrijding van cybercrime, achtte de minister van Veiligheid in Justitie het nodig om nieuwe bevoegdheden te scheppen. De bestaande bevoegdheden schieten tekort bij de opsporing van strafbare feiten, begaan door middel van

geautomatiseerde werken. Dit heeft geleid tot het wetsvoorstel computercriminaliteit III1, waarin onder andere de bevoegdheid wordt verleend aan opsporingsambtenaren om een geautomatiseerd werk van een verdachte heimelijk te hacken. Artikel

80sexies van het Wetboek van Strafrecht (hierna: WvSr) definieert een

geautomatiseerd werk als een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

Er staan opsporingsambtenaren verschillende manieren ter beschikking om

geautomatiseerde werken van verdachten binnen te dringen. Zo kan er via internet een elektronisch bericht aan de verdachte worden gezonden, waarbij er wordt getracht om de verdachte ertoe te brengen software te installeren die het geautomatiseerde werk opent voor de plaatsing van programma’s waarmee

gegevens kunnen worden vastgelegd, ook wel “bugs” of “keyloggers” genoemd. Ook kunnen opsporingsambtenaren het geautomatiseerde werk van verdachte

binnendringen met een gebruikersnaam en wachtwoord van de verdachte. Deze gegevens kunnen worden verkregen door het aftappen van communicatie of door “social engineering”, waarbij de gegevens worden verkregen door misleiding van de verstrekker.

Vervolgens kunnen er door middel van een technisch hulpmiddel, zoals voornoemde “bugs” of “keyloggers” of een softwareapplicatie, onderzoekhandelingen in het

geautomatiseerde werk worden verricht. Het bevel tot heimelijk hacken bevat, afhankelijk van het te bereiken doel, een omschrijving van welke functionaliteiten dienen te worden ingeschakeld in het technische hulpmiddel.2

1_{Op het moment van schrijven ligt het wetsvoorstel voor advies bij de Raad van State, zie}

http://www.rijksoverheid.nl/documenten-en-publicaties/wetsvoorstellen/2014/02/18/wetsvoorstel-bestrijding-cybercrime-computercriminaliteit-iii, (geraadpleegd op 15-06-2014).

(4)

De hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III mag worden ingezet bij verdenking van een misdrijf als omschreven in artikel 67 lid 1 van het Wetboek van Strafvordering (hierna: WvSv), zijnde een misdrijf waarvoor een bevel tot voorlopige hechtenis kan worden gegeven. Voorts moet het misdrijf

waarvan de verdachte wordt verdacht, gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven, een ernstige inbreuk op de rechtsorde

opleveren. Hierdoor is de bevoegdheid niet beperkt tot typische gevallen van

cybercrime, maar kan de bevoegdheid ook ten aanzien van andere (meer klassieke) misdrijven worden ingezet.

Het heimelijk hacken kan tot doel hebben het vaststellen van de aanwezigheid van gegevens of het bepalen van de identiteit of locatie van het geautomatiseerde werk of de gebruiker, het overnemen van gegevens (waarbij het niet enkel gaat om gegevens die zich reeds op het geautomatiseerde werk bevinden, maar ook om gegevens die gedurende de looptijd van het bevel tot heimelijk hacken worden verwerkt), het ontoegankelijk maken van gegevens, het aftappen en opnemen van communicatie, het opnemen van vertrouwelijke communicatie of het stelselmatig observeren.

Met dit wetsvoorstel tracht de minister het hoofd te bieden aan de zich snel

ontwikkelende technologische mogelijkheden en de ontwikkelingen op het gebied van computercriminaliteit die hiermee gepaard gaan. Er wordt hiermee dus voorzien in een leemte in de bestaande opsporingsbevoegdheden.

Zo vormt versleuteling van communicatie en gegevens een steeds groter probleem. Op internet worden speciale programma’s aangeboden voor het versleutelen van gegevens. Hierdoor vereist versleuteling steeds minder technische kennis, waardoor er door een groter aantal mensen gebruik van kan worden gemaakt. Ook zijn

programma’s steeds vaker standaard ingesteld op het versleutelen van

communicatie. Daar deze standaardinstellingen bijna nooit worden gewijzigd door de gebruiker, vindt communicatie steeds vaker versleuteld plaats. Voorts is het ook steeds eenvoudiger om communicatie via internet te versleutelen. Door de sterke toename van versleuteling van gegevens en communicatie, wordt het opnemen en aftappen van communicatie steeds minder effectief. Wanneer communicatie is versleuteld, levert het aftappen hiervan enkel gegevens op, waarvan de inhoud niet

(5)

kan worden gelezen. Dit omdat de communicatie ‘onderweg’ wordt onderschept, op het moment dat het is versleuteld. De aanbieder van de dienst via welke versleuteld wordt gecommuniceerd is gehouden om mee te werken aan de ontsleuteling van de communicatie. Maar vaak is ook dit ineffectief, omdat de aanbieder zelf niet altijd in staat is om de versleuteling ongedaan te maken. Ook kan de beveiliging van de communicatie in handen zijn van verschillende dienstenaanbieders, waardoor opsporingsambtenaren al deze verschillende dienstenaanbieders om ontsleuteling moeten verzoeken. Door middel van de hackbevoegdheid, kunnen

opsporingsambtenaren binnendringen in het geautomatiseerde werk en kan er

toegang worden verkregen tot de communicatie, voordat deze in versleuteld of nadat deze is ontsleuteld.

Ook het feit dat internetgebruikers steeds vaker gebruik maken van verschillende netwerken, maakt dat de communicatie steeds moeilijker aftapbaar is. Met de huidige opsporingsbevoegdheden geldt een tapbevel enkel voor de netwerkaanbieder

waarvoor de tapbevel is afgegeven. Er mag dus enkel wordt afgetapt van het netwerk waarvoor een tapbevel beschikbaar is. Wanneer een verdachte gebruik maakt van verschillende netwerken, dient er voor ieder netwerk een apart tapbevel te worden afgegeven, waarvan de verdachte gebruik maakt. Dit maakt het aftappen van de volledige communicatie van de verdachte vrijwel onmogelijk.

Er wordt tegenwoordig ook steeds meer gebruik gemaakt van

cloudcomputingdiensten. Hierbij worden gegevens niet meer opgeslagen op het geautomatiseerde werk zelf, maar op servers die zich elders bevinden. De aanbieders van deze cloudcomputingdiensten bepalen op welke servers de

gegevens worden opgeslagen. Hier heeft de gebruiker geen zeggenschap over. De servers waarop de gegevens worden opgeslagen, kunnen zich overal ter wereld bevinden. Soms is het zelfs voor de aanbieder van deze cloudcomputingsdiensten niet te achterhalen op welke servers gegevens staan opgeslagen of waar deze zich bevinden. Bovendien worden gegevens steeds vaker gefragmenteerd over

verschillende servers opgeslagen. Bestaande opsporingsbevoegdheden kunnen hier niet het hoofd aan bieden. Met de hackbevoegdheid wordt er toegang verkregen tot deze gegevens, via het geautomatiseerde werk van de verdachte. Hierdoor is het

(6)

niet nodig om van deze gegevens de locatie van de servers te achterhalen waarop zij zijn opgeslagen en kan er sneller en effectief worden opgespoord.

Doordat de hackbevoegdheid heimelijk kan worden ingezet, wordt er voorkomen dat de verdachte ervan op de hoogte raakt dat er opsporingshandelingen ten aanzien van hem worden verricht.3 Hiermee wordt voorkomen dat de verdachte, in de wetenschap dat hij door opsporingsambtenaren in de gaten wordt gehouden, bewijsmateriaal kan wissen. Digitale gegevens dragen tegenwoordig namelijk een sterk vluchtig karakter. Zij worden steeds vaker opgeslagen op servers van

dienstenaanbieders. Hierdoor kan er door middel van verschillende

geautomatiseerde werken toegang tot deze gegevens worden verkregen en met deze gegevens worden gewerkt.4 Dit brengt mee dat een verdachte, wanneer hij ervan op de hoogte raakt dat hij door opsporingsambtenaren in de gaten worden gehouden, als het ware met één druk op de knop bewijsmateriaal kan wissen. Dit kan hij niet alleen vanaf het gehackte geautomatiseerde werk doen, maar ook vanaf andere geautomatiseerde werken. Het heimelijke karakter van de hackbevoegdheid moet er voor zorgen dat de verdachte er niet van op de hoogte raakt dat zijn

automatische werk is gehackt, zodat eventueel bewijsmateriaal beschikbaar blijft voor de opsporingsambtenaren.

Door bovenstaande ontwikkelingen is het niet uitgesloten dat opsporingsambtenaren door middel van de hackbevoegdheid toegang verkrijgen tot gegevens die in het buitenland staan opgeslagen. De opslag van gegevens geschiedt immers steeds vaker via dienstenaanbieders, die in het buiteland gevestigd zijn en waarvan de servers waarop de gegevens zijn opgeslagen zich overal ter wereld kunnen

bevinden. Vooral met de toename van voornoemde cloudcomputingdiensten is de opslag van gegevens op servers elders in de wereld sterk toegenomen.5 Dit roept de vraag op in hoeverre opsporingsambtenaren, wanneer zij bij de inzet van de

hackbevoegdheid toegang verkrijgen tot gegevens die in het buitenland zijn opgeslagen, binnen de soevereiniteitssfeer van andere staten handelen en in hoeverre dit is toegestaan.

3_{Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p. 3-16.}

4_{C. Conings, De lokalisatie van opsporing in een virtuele omgeving, Wie zoekt waar in cyberspace?,}

KU Leuven: Nullum crimen 2014, p. 6.

(7)

Voorts kan de vraag worden gesteld in hoeverre de hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III verenigbaar is met het recht op privacy. Geautomatiseerde werken zoals computers, telefoons, laptops en tablets bevatten tegenwoordig steeds meer privacygevoelige informatie. Hierbij moet worden gedacht aan foto’s, video’s, agenda’s, financiële gegevens6, maar ook historische gegevens van websites die de gebruiker van het geautomatiseerde werk heeft bezocht. Daarnaast vindt communicatie veelvuldig plaats door middel van

geautomatiseerde werken.7 Staten hebben echter niet alleen de plicht om zich van inbreuken op het recht op privacy te onthouden. Zij dienen dit recht ook te

beschermen en verzekeren.8 Dit roept de vraag op of, indien er door middel van de hackbevoegdheid toegang wordt verkregen tot gegevens die zich op het grondgebied van een andere staat bevinden, die staat ten aanzien van deze gegevens het recht privacy dient te beschermen en hoe zij dit kan doen.

Bovenstaande vragen ten aanzien van deze internationaalrechtelijke beginselen worden verenigd in de vraag in hoeverre de bevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III verenigbaar is met het internationaal recht. Op deze vraag zal hier een antwoord worden gezocht. Hiertoe zullen eerst twee

verschillende aspecten van de hackbevoegdheid worden belicht.

In het eerste hoofdstuk, dat het aspect van de soevereiniteit zal belichten, wordt de vraag beantwoord of de hackbevoegdheid het internationaalrechtelijke beginsel van soevereiniteit van staten schendt.

In het tweede hoofdstuk zal het aspect van de privacy worden belicht, door de vraag te beantwoorden of de inzet van de hackbevoegdheid in strijd is met het recht op privacy van artikel 8 EVRM.

Vervolgens zullen deze twee aspecten in het derde hoofdstuk tezamen worden behandeld. In dit hoofdstuk zal er antwoord worden gegeven op de vraag hoe er invulling moet worden gegeven aan de positieve verplichting om het recht op privacy te beschermen, wanneer door middel van de hackbevoegdheid de soevereiniteit van staten wordt geschonden.

6_{C. Conings en J.J. Oerlemans, Van een netwerkzoeking naar online doorzoeking: grenzeloos of}

grensverleggend?, Computerrecht 2013, nr. 1, p. 25.

7_{B. Jacobs, Policeware, Nederlands Juristenblad 09-11-2012, Afl. 39, p. 2762.}

8_{A.W. Hins en A.J. Nieuwenhuis, Hoofdstukken grondrechten, Nijmegen: Ars Aequi Libri 2010, p.}

(8)

Hoofdstuk 1

Soevereiniteit en rechtsmacht

Artikel 125ja van het wetsvoorstel computercriminaliteit III geeft de bevoegdheid om een geautomatiseerd werk of daarmee in verbinding staande gegevensdrager binnen te dringen, die bij een verdachte in gebruik is. Blijkens de Memorie van Toelichting bij het wetsvoorstel wordt er vanuit gegaan dat deze bevoegdheid kan worden ingezet indien Nederland krachtens de artikelen 2 tot en met 8 WvSr rechtsmacht heeft. 9_In

tegenstelling tot andere strafvorderlijke bevoegdheden kunnen

opsporingsambtenaren zich met deze bevoegdheid toegang verschaffen tot

gegevens die buiten Nederland zijn opgeslagen. Door technologische ontwikkelingen kunnen gegevens die door middel van geautomatiseerde werken worden gebruikt zich overal ter wereld bevinden, omdat zij overal ter wereld kunnen zijn opgeslagen. Het gaat hier bijvoorbeeld om gegevens die zijn opgeslagen in de cloud (Dropbox) of internet accounts (Facebook), maar ook om conversaties en andere handelingen in cyberspace.10 Dit roept de vraag op of de opsporingsambtenaren, die van deze bevoegdheid gebruik maken en op die manier toegang kunnen krijgen tot gegevens welke zich feitelijk in het buitenland bevinden, niet binnen de soevereiniteitssfeer van andere staten handelen. In dit hoofdstuk zal dan ook de vraag worden beantwoord of de bevoegdheid tot heimelijk hacken, zoals neergelegd in artikel 125ja van het

wetsvoorstel computercriminaliteit II, de soevereiniteit van andere staten schendt. De soevereiniteit van staten vindt haar grondslag in twee soorten erkenning: interne en externe erkenning. Interne erkenning behelst de erkenning van de

staatssoevereiniteit door de onderdanen van die staat. Deze erkenning is gebaseerd op de idee van het sociale contract.11 Dit is de idee dat individuen, in een

oorspronkelijke natuurtoestand van allen tegen allen, waarin het recht van de sterkste geldt, een politieke gemeenschap instellen; de overheid. Deze

gemeenschap wordt ingesteld ter bescherming van de rechten van individuen. Deze bescherming kan namelijk beter worden gewaarborgd door een overheid dan door de

KU Leuven: Nullum crimen 2014, p. 6-7.

(9)

individuen zelf. Een overheid kan regels stellen, deze uitvoeren en handhaven en geschillen beslechten. Dit moet een betere garantie bieden tegen inbreuken op rechten van individuen, dan wanneer het recht van de sterkste geldt.12

Externe erkenning behelst de onderlinge erkenning door staten. Deze erkenning wordt mogelijk gemaakt door het territorialiteitsbeginsel, ingevolge welk beginsel de macht van de staat is beperkt tot zijn grondgebied. De externe erkenning brengt mee dat staten bevoegd zijn om handelen van andere staten binnen hun

soevereiniteitssfeer uit te sluiten. Op deze manier kunnen staten bescherming bieden tegen handelingen van andere staten die inbreuk maken op de rechten van de

onderdanen. Hiermee wordt tevens invulling gegeven aan de idee van het sociale contract, waarop de erkenning van haar onderdanen is gebaseerd.13

De voornaamste manier waarop een staat invulling kan geven aan zijn soevereiniteit, is door middel van rechtsmacht. Rechtsmacht is de bevoegdheid van een staat om regels te stellen en te handhaven. Er wordt onderscheid gemaakt tussen drie verschillende wijzen van uitoefening van rechtsmacht: wetgeving (wetgevende rechtsmacht), rechtspraak (rechtsprekende rechtsmacht) en handhaving

(handhavende rechtsmacht). Het internationale recht bepaalt de grenzen van de rechtsmacht van staten.

De bevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III is een opsporingsbevoegdheid.14 Deze bevoegdheid valt hiermee binnen het kader van handhavende rechtsmacht. Het internationale recht begrenst de handhavende rechtsmacht van staten tot hun grondgebied.15

Wanneer een staat rechtsmacht uitoefent buiten zijn grondgebied, is er sprake van extraterritoriale rechtsmacht. Extraterritoriale handhavende rechtsmacht is blijkens algemeen internationaal recht in beginsel onrechtmatig. Dit in tegenstelling tot bijvoorbeeld extraterritoriale wetgevende rechtsmacht. Het verschil tussen de

rechtmatigheid van deze twee uitoefeningen van rechtsmacht kan worden verklaard door het verschil in inbreuk die dit op de soevereiniteit van een andere staat maakt.

25-26.

KU Leuven: Nullum crimen 2014, p. 1-2.

14_{Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p. 3.}

15_{A. Nollkaemper, Kern van het internationaal publiekrecht, Den Haag: Boom Juridische uitgevers}

(10)

Het enkel van toepassing verklaren van wetgeving op onderdanen van een andere staat wordt beschouwd als minder inbreuk makend op de soevereiniteit dan het handhaven van de wet in die andere staat.16 Een en ander is door het Permanente Hof van Internationale Justitie bevestigd in de Lotus-zaak. In deze zaak werd

overwogen dat een staat zijn macht niet mag uitoefenen, in welke vorm dan ook, op het grondgebied van een andere staat, tenzij een gewoonterechtelijke internationale regel of een verdragsrechtelijke regel dit toestaat.17 Deze overweging heeft

betrekking op de handhavende rechtsmacht van staten. Een staat heeft dus steeds toestemming nodig van de staat op wiens grondgebied hij opsporingshandelingen wilt verrichten, tenzij een gewoonterechtelijke regel extraterritoriale handhaving toelaat of de betreffende staat vooraf, door middel van een verdrag, toestemming hiertoe heeft verleend.18

Ten aanzien van computercriminaliteit is er door de lidstaten van de Europese Unie, Japan en de Verenigde Staten een verdrag gesloten: het verdrag van Boedapest van 23 november 2011 inzake de bestrijding van strafbare feiten verbonden met

elektronische netwerken (hierna: Cybercrimeverdrag). Dit verdrag verleent staten in twee gevallen de bevoegdheid om zich zonder rechtshulpverzoek toegang te

verschaffen tot gegevens die zich op het grondgebied van een andere staat bevinden. Artikel 32 sub a van het Cybercrimeverdrag bepaalt dat staten toegang hebben tot openbare gegevens, ongeacht de locatie ervan. Artikel 32 sub b van het Cybercrimeverdrag bepaalt dat staten zich toegang kunnen verschaffen tot gegevens die zich in een andere staat bevinden, indien de rechthebbende van deze gegevens hierin toestemt.19 In een dergelijk geval is vereist dat het computersysteem via welke toegang wordt verschaft tot de gegevens zich op het grondgebied van de

verzoekende staat bevindt.20

Bij de totstandkoming van het Cycbercrimeverdrag konden de betrokken staten niet tot overeenstemming komen over de grensoverschrijdende netwerk zoeking en de mogelijke soevereiniteitsschending die hiermee gepaard zou kunnen gaan. Volgens

2007, p. 81.

17_{PHIJ 7 september 1927, SS Lotus (Frankrijk/Turkije), Serie A, Nr. 10, ro. 45.}

2007, p. 81-82.

19_{http://wetten.overheid.nl/BWBV0001839/geldigheidsdatum_30-06-2010}_{, geraadpleegd op 30-04-14.} 20_{Zie MvT bij het ontwerp wetsvoorstel computercriminaliteit III, p. 35.}

(11)

de betrokken staten zijn specifieke afspraken hieromtrent nodig, daar het

internationale publiekrecht weinig ruimte laat voor grensoverschrijdende zoekingen.21 In het Explanatory Report bij het Cybercrimeverdrag wordt echter uitdrukkelijk

gesteld dat het verdrag staten niet verplicht dan wel uitnodigt om verdergaande maatregelen te nemen dan waartoe het verdrag verplicht, maar dat het verdrag dit ook niet uitsluit.22 Voorts verwijst het Cybercrimeverdrag uitdrukkelijk naar de

internationale regels omtrent soevereiniteit, territorialiteit en wederzijdse rechtshulp in strafzaken. Derhalve blijft de mogelijkheid voor staten om zich ruimere

bevoegdheden toe te kennen open, mits deze bevoegdheden in overeenstemming zijn met het internationale recht.23 Op grond van het voorgaande, mogen staten ruimere bevoegdheden scheppen dan welke het Cybercrimeverdrag geeft, zolang het geen extraterritoriale handhaving zonder toestemming van de betrokken staat betreft. Zoals hierboven beschreven verleent het Cybercrimeverdrag enkel

rechtsmacht aan staten om zich toegang te verlenen tot gegevens die zijn

opgeslagen in andere verdragsstaten, indien het openbare gegevens betreft of de rechthebbende er mee instemt. Enkel in deze twee gevallen mag er extraterritoriaal worden gehandhaafd en zou de hackbevoegdheid mogen worden ingezet om

toegang te krijgen tot gegevens die zijn opgeslagen in het buitenland. Hierbij moet in het oog worden gehouden dat dit verdrag alleen rechtsmacht verleent ten aanzien van gegevens die zijn opgeslagen in de verdragsstaten.24

Het nationale recht van staten verleent aan staten hun rechtsmacht. Het Wetboek van Strafrecht verklaart de Nederlandse strafwet in de navolgende gevallen van toepassing.

Allereerst is de Nederlandse strafwet ingevolge artikel 2 WvSr van toepassing indien er een strafbaar feit is begaan op Nederlands grondgebied. In een dergelijk geval is de Nederlandse strafwet van toepassing op grond van het territorialiteitsbeginsel. Voorts is de Nederlandse strafwet van toepassing op grond van het

beschermingsbeginsel, namelijk wanneer er sprake is van een misdrijf tegen de

22_{Explanatory report bij het Cybercrimeverdrag, section 2, par. 131,}

http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (geraadpleegd op 30-04-14).

24_{Zie voor de staten, welke zich bij het Cybercrimeverdrag hebben aangesloten}

(12)

veiligheid van de Nederlandse staat. Met name sub 1 en 2 van artikel 4 WvSr zijn relevant voor computercriminaliteit. Ook is de Nederlandse strafwet in bepaalde gevallen van toepassing op grond van het (actief) nationaliteitsbeginsel. Sub 4 van artikel 5 WvSr somt een aantal misdrijven op, in welk geval de Nederlandse strafwet van toepassing is op een Nederlander die zich buiten Nederland bevindt en zich schuldig maakt aan een van de opgesomde misdrijven, voor zover deze misdrijven vallen onder de omschrijving van de artikelen 2 tot en met 10 van het

Cybercrimeverdrag.

Strafvordering beoogt de realisatie van het materiële strafrecht. Hieruit wordt

geconcludeerd dat indien het Wetboek van Strafrecht van toepassing is, het Wetboek van Strafvordering eveneens van toepassing is. Bijgevolg kunnen de

opsporingsbevoegdheden, waaronder de hackbevoegdheid, worden toegepast indien het Wetboek van Strafrecht rechtsmacht verleent. Indien rechtsmacht ontbreekt, kunnen er geen strafvorderlijke bevoegdheden worden uitgeoefend. Het gevolg van de samenhang tussen het legaliteitsbeginsel van artikel 1 WvSv en artikel 539a WvSv, is dat strafvordering niet is beperkt tot Nederlands grondgebied. Wanneer er sprake is van een wettelijke grondslag, hetgeen het legaliteitsbeginsel vereist, kunnen opsporingsbevoegdheden ook buiten Nederland wordt ingezet.25_{Lid 3 van}

artikel 539a WvSv bepaalt voorts dat een en ander in overeenstemming met het volkenrecht en het internationale recht dient te zijn.26

Een en ander levert ogenschijnlijk een contradictie op. Ingevolge het Nederlandse strafrecht mogen opsporingsbevoegdheden worden ingezet, wanneer er op grond van de artikelen 2 tot en met 8 WvSr rechtsmacht is. Dit brengt mee dat het

Nederlandse strafrecht in beginsel rechtsmacht verleent om opsporingshandelingen buiten het Nederlandse grondgebied te verrichten. Echter, het

internationaalrechtelijke verbod op extraterritoriale handhaving werkt via artikel 539 a lid 3 WvSv door in het Nederlandse strafrecht. Derhalve beperkt het verbod op

25_{A.H. Klip, Algemene beschouwingen, in: A.L. Melai & M.S. Groenhuijsen e.a., Het wetboek van}

strafvordering, Internationale en interregionale samenwerking in strafzaken (Klip/Swart/Van der Wilt), Deventer (losbladig), IISS – III.1.1 – 1/III.1.1 – 68-72 (Suppl. 161 juni 2007), p. IISS – III.1.1 – 14-18 – IISS – III.1.1 – 20-24.

(13)

extraterritoriale handhaving, via artikel 539a lid 3 WvSv, de inzet van opsporingsbevoegdheden tot het Nederlandse grondgebied.

Problematisch ten aanzien van de hackbevoegdheid, zoals neergelegd in artikel 125ja van het wetsvoorstel computercriminaliteit III is echter, dat het bij de inzet van die bevoegdheid niet altijd duidelijk is of de handeling binnen of buiten het

Nederlandse territorium wordt verricht. Zoals reeds aan bod kwam, brengen technologische ontwikkelingen mee dat data overal ter wereld kunnen zijn

opgeslagen en niet altijd (gemakkelijk) vallen te lokaliseren. Het is goed denkbaar dat de computer die wordt gehackt zich in Nederland bevindt, maar de informatie

waartoe via deze computer toegang wordt verkregen zich in een andere staat bevindt. In dat geval wordt er extraterritoriaal gehandhaafd, hetgeen ingevolge het internationaal recht (in beginsel) verboden is. Blijkens de Memorie van Toelichting bij het wetsvoorstel computercriminaliteit III is er bij grensoverschrijdende inzet van de hackbevoegdheid namelijk geen toestemming van de betrokken staat vereist. In de eerste instantie bestaat er volgens de Memorie van Toelichting ruimte om

grensoverschrijdend te hacken, indien er redelijkerwijs niet kan worden achterhaald in welke staat de gezochte gegevens zijn opgeslagen. Maar ook wanneer de feitelijke locatie van de gezochte gegevens wel bekend is, bestaat er volgens de Memorie van Toelichting ruimte om grensoverschrijdend te hacken. In welke gevallen dit precies is toegestaan, zal sterk afhangen van de aard van de feitelijke handeling. Bovendien brengt ingevolge de Memorie van Toelichting de noodzaak om onverwijld op te treden mee dat er, zonder toestemming van de betrokken staat, grensoverschrijdend mag worden gehackt. Deze noodzaak heeft niet alleen tot gevolg dat er

grensoverschrijdend mag worden gehackt indien de locatie van de gezochte gegevens niet bekend is, maar ook wanneer opsporingsambtenaren wel op de hoogte zijn van de locatie van de gegevens kan de noodzaak om onverwijld op te treden meebrengen dat grensoverschrijdend hacken is geoorloofd.27

De conclusie van de Memorie van Toelichting bij het wetsvoorstel

computercriminaliteit III omtrent het inzetten van de hackbevoegdheid van artikel 125ja van het wetsvoorstel buiten het Nederlandse grondgebied, valt niet te rijmen met de nationale en internationale regels hieromtrent. In de Lotus-zaak is

uitdrukkelijk bepaald dat de inzet van opsporingsbevoegdheden in een andere staat

(14)

niet geoorloofd is zonder toestemming van de betreffende staat. Enkel wanneer internationaalrechtelijk gewoonterecht of een verdragsbepaling hiertoe bevoegdheid verleent, wordt er een uitzondering op deze regel gemaakt.28 Behoudens de gevallen van artikel 32 sub a en b van het Cybercrimeverdrag verleent het internationaal recht geen bevoegdheid om grensoverschrijdend te hacken. Wanneer de bevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III zodanig wordt ingezet, dat opsporingsambtenaren zich daarmee toegang verschaffen tot gegevens die zich buiten Nederland bevinden, maakt de bevoegdheid inbreuk op de soevereiniteit van de staat waar de gegevens zijn opgeslagen. Enkel wanneer het openbare gegevens betreft of de instemming van de rechthebbende is verkregen, is er geen sprake van inbreuk op de soevereiniteit van de staat waar de gegevens zich bevinden.

(15)

Hoofdstuk 2

Het recht op privacy

Geautomatiseerde werken zoals computers, tablets en telefoons, bevatten steeds vaker een grote hoeveelheid privégegevens. Naast foto’s, video’s, documenten en agenda’s bevatten geautomatiseerde werken ook betaalgegevens van de

gebruiker.29 Ook geschiedt communicatie steeds vaker via deze weg. Tegenwoordig verloopt niet enkel het telefoon- en e-mailverkeer via deze weg. Er bestaan steeds meer andere diensten via welke men met elkaar kan communiceren, zoals Skype, Facebook en Twitter.30

Met de hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III kan er, door geautomatiseerde werken te hacken, toegang worden verkregen tot dergelijke gegevens. Dit roept de vraag op of deze bevoegdheid het recht op privacy schendt van degenen ten aanzien van wie deze bevoegdheid wordt toegepast. In dit hoofdstuk zal deze vraag aan de orde komen in het kader van het recht op privacy, zoals neergelegd in artikel 8 van het Europees verdrag voor de Rechten van de Mens (hierna: EVRM). Dit omdat deze bepaling ingevolge de artikel 93 en 94 van de Grondwet rechtstreeks van toepassing is in de Nederlandse rechtsorde en voorrang heeft op strijdige nationale regelingen. Op grond van artikel 93 Grondwet hebben een ieder verbindende bepalingen van verdragen bindende kracht in de Nederlandse rechtsorde. Artikel 8 EVRM kan als een ieder verbindende bepaling in de zin van dit artikel worden aangemerkt. Artikel 94 Grondwet bepaalt voorts dat nationale

wetgeving die in strijd is met een dergelijke bepaling geen toepassing vindt. Dit geldt ten aanzien alle nationale wet- en regelgeving; de grondwet, de formele wet en lagere regelgeving.

Ingevolge artikel 8 EVRM heeft een ieder recht op eerbiediging van zijn privé-, familie- en gezinsleven, zijn woning en zijn correspondentie. Dit artikel duidt de sfeer van het privéleven aan als terrein waarbinnen de overheid zich dient te onthouden van handelingen, welke een inbreuk op dit recht kunnen maken. Met name ter handhaving van strafrechtelijke voorschriften, kan het noodzakelijk zijn dat aan opsporingsambtenaren bepaalde bevoegdheden worden toegekend, die inbreuk

29_{Advies NJCM bij het wetsvoorstel computercriminaliteit III, d.d. 28 juni 2013, pag. 2.} 30_{Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p. 14.}

(16)

maken op het recht op privacy. Hierin zal de staat een afweging maken tussen individuele en algemene belangen. Het recht op privacy is dan ook geen absoluut recht. Lid 2 van artikel 8 EVRM bepaalt dat, indien aan de in dat lid genoemde voorwaarden is voldaan, een inmenging in het recht op privacy gerechtvaardigd is. Of de hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III het recht op privacy schendt, valt bijgevolg uiteen in twee onderdelen. Allereerst dient de vraag te worden beantwoord of het recht op privacy van toepassing is op de hackbevoegdheid. Levert de hackbevoegdheid een inmenging op in het privéleven van de verdachte? Dit is de vraag naar de reikwijdte van artikel 8 EVRM. Vervolgens dient te worden bezien of de hackbevoegdheid voldoet aan de vereisten van lid 2 van artikel 8 EVRM. Dit is de vraag naar de beperkingsmogelijkheden.31

De tekst van artikel 8 EVRM bevat geen expliciete erkenning van het recht op privacy in het kader van computers (en andere geautomatiseerde werken).32 Het recht op privacy uit artikel 8 EVRM is in veel opzichten echter als een open norm

geformuleerd. Door bepaalde aspecten van het privéleven uitdrukkelijk te

benoemden, wordt er wel enigszins geconcretiseerd wat het recht op privéleven inhoudt, maar deze opsomming is niet uitputtend.33_{Het is maar de vraag of er}

überhaupt een uitputtende omschrijving van het recht op privacy kan worden

gegeven. Het Europees Hof voor de Rechten van de Mens (hierna: EHRM) heeft er dan ook altijd bewust van afgezien om een uitputtende omschrijving van de reikwijdte van het recht op privéleven te geven.34 Hierdoor heeft het EHRM ruimte gelaten om nader invulling te geven aan de reikwijdte van het recht op privacy, zodat er ook nieuwe toepassingen mogelijk zijn. Derhalve wordt er bij de vaststelling van de reikwijdte veel ruimte aan de rechter gelaten.35

Het EHRM heeft in haar jurisprudentie de computer (en andere geautomatiseerde werken) niet expliciet erkend als onderdeel van het recht op privacy.36 Er zal daarom aan de hand van bestaande jurisprudentie omtrent het recht op privacy moeten

31_{A.W. Hins en A.J. Nieuwenhuis, Hoofdstukken grondrechten,Nijmegen: Ars Aequi Libri, p. 61-83.} 32_{M.M. Groothuis en T. de Jong, Is een nieuw grondrecht op integriteit en vertrouwelijkheid van}

ICT-systemen wenselijk? Een verkenning, Privacy en Informatie 2010, afl. 6, p. 280.

85-87.

34_{Zie bijvoorbeeld EHRM 16 december 1992, 13710/88 (Niemietz v. Duitsland).}

35_{A.W. Hins en A.J. Nieuwenhuis, Hoofdstukken grondrechten, Nijmegen: Ars Aequi Libri 2010, p. 87.} 36_{M.M. Groothuis en T. de Jong, Is een nieuw grondrecht op integriteit en vertrouwelijkheid van}

(17)

worden onderzocht of geautomatiseerde werken binnen de bescherming van artikel 8 EVRM kunnen vallen.

De vraag naar de reikwijdte van het recht op privacy wordt in de rechtspraak afhankelijk gesteld van de redelijke verwachting van de betrokkene.37 Dit leerstuk staat bekend als de ‘reasonable expectation of privacy’ doctrine. Of het handelen van opsporingsambtenaren binnen de privésfeer van de verdachte valt, en dus een

inbreuk op het recht op privacy oplevert, is afhankelijk van of de verdachte in de gegeven omstandigheden mocht verwachten dat hij bescherming van dit recht genoot. Indien de verdachte er naar de omstandigheden van het geval op bedacht had moeten zijn dat er ten aanzien van hem opsporingsactiviteiten zouden worden verricht, had hij in redelijkheid niet meer kunnen verwachten dat hij bescherming van zijn privacy genoot. De opsporingshandelingen kunnen dan niet meer als een inbreuk op het recht op privacy worden beschouwd.

Het antwoord op de vraag of er sprake is van een ‘reasonable expectation of

privacy’, berust op een subjectief en een objectief criterium. Het subjectieve criterium is de vraag of de verdachte heeft getoond dat hij privacy wenst. Hierbij wordt er gekeken naar of de gedraging is verricht op een plaats waar men onbevangen zichzelf moet kunnen zijn en of uit het gedrag van de verdachte kan worden

opgemaakt dat hij privacy wenste. Het objectieve criterium is of de verwachting van de verdachte gerechtvaardigd, aldus redelijk, is. Dit wordt beoordeeld aan de hand van de vraag of de verdachte zich er van bewust was dat hij een strafbaar feit pleegde of zou gaan plegen.38

In de Lüdi-zaak laat het EHRM het recht op bescherming van de persoonlijke levenssfeer afhangen van het bewustzijn van de verdachte dat hij bezig is een strafbaar feit te plegen. Wanneer de verdachte zich er van bewust is dat zijn

handelen strafbaar is, zal hij geen bescherming genieten en inbreuken op zijn privacy moeten tolereren.39

In de Halford-zaak werd deze wijze van redeneren bevestigd. Het EHRM bepaalde dat het recht op privacy afhangt van de ‘reasonable expectation of privacy’ van de

37_{Zie bijvoorbeeld EHRM 25 juni 1997, 20605/92 (Halford v. The United Kingdom), par. 45-46, EHRM}

15 juni 1992, 12433/86 (Lüdi v. Switzerland), par. 40 en HR 18 mei 1999, NJ 2000, 104.

38_{T. Blom, Privacy, EVRM en (straf)rechtshandhaving, in: Legitieme strafvordering; rechten van de}

mensen als inspiratie in de 21ste_{eeuw, Groningen: 2001, p. 124-133.} 39_{EHRM 15 juni 1992, 12433/86 (Lüdi v. Switzerland), par. 40.}

(18)

verdachte.40 Het gaat hier het oordeel of deze persoon er in deze omstandigheden op mocht vertrouwen dat er geen opsporingshandelingen ten aanzien van hem zouden worden verricht.41

Valt een geautomatiseerd werk te kwalificeren als een plaats waar men onbevangen zichzelf moet kunnen zijn? In het kader van deze vraag kan worden opgemerkt dat geautomatiseerde werken, zoals computers, tablets en telefoons, steeds vaker een grote hoeveelheid persoonlijke gegevens bevatten. Bovendien speelt het leven van mensen zich steeds meer in de digitale wereld af.42 Met name de correspondentie tussen personen geschiedt steeds meer langs digitale weg en via geautomatiseerde werken.

Bovendien wordt er over het algemeen vanuit gegaan dat de integriteit van computersystemen gewaarborgd is en anderen geen toegang hebben tot de gegevens die in een computersysteem zijn opgeslagen.43 In Duitsland heeft het Bundesverfassungsgericht het recht op confidentialiteit en integriteit van eigen computersystemen reeds erkend.44

Volgt men bovenstaande zienswijze, dan kan worden geconcludeerd dat computers en andere geautomatiseerde werken kunnen worden aangemerkt als plaatsen waar men onbevangen zichzelf moet kunnen zijn. Dit geldt met name voor eigen

geautomatiseerde werken. Wanneer een persoon communiceert via, gegevens opslaat op, of informatie opzoekt via een geautomatiseerd werk, kan dit als een gedraging worden beschouwd waaruit blijkt dat deze persoon privacy wenst. Immers, men mag er op vertrouwen dat anderen hierbij niet kunnen ‘meekijken’.

Anderzijds kan cyberspace als een virtuele maatschappij worden beschouwd; een plaats op zich waar men informatie kan zoeken en verspreiden en met elkaar kan communiceren.45 Zo beschouwd zou cyberspace als een openbare ruimte kunnen worden gekwalificeerd. Deze openbare ruimte kan niet worden gekwalificeerd als

40_{EHRM 25 juni 1997, 20605/92 (Halford v. The United Kingdom), par. 45-46.}

41_{T. Blom, Privacy, EVRM en (straf)rechtshandhaving, in: Legitieme strafvordering; rechten van de}

mensen als inspiratie in de 21ste eeuw, Groningen: 2001, p. 127.

42_{B. Jacobs, Policeware, Nederlands Juristenblad 2012, afl. 39, p. 2762.}

43_{J.J. Oerlemans, Hacken als opsporingsbevoegdheid, Delikt en Delinkwent 2011. afl. 62, par, 6. }

evt. site erbij, want geen paginanummering.

44_{BVerfG 27 februari 2008, 1 BvR 370/07.}

KU Leuven: Nullum crimen 2014, p. 6. En N. Bussolati, Delocalizing the Revolution: Cyber Political

(19)

een plaats waar men onbevangen zichzelf moet kunnen zijn. Wanneer men zich dus in cyberspace begeeft, geeft men geen blijk van de wens op privacy.

Met de hackbevoegdheid kunnen opsporingsambtenaren zich echter niet alleen toegang verschaffen tot gegeven die zich in cyberspace bevinden, zoals bezochte websites en communicatie. Ook kan er toegang worden verkregen tot gegevens die zich op de harde schijf van het geautomatiseerde werk bevinden.46 Dit leidt tot de conclusie dat geautomatiseerde werken moeten worden aangemerkt als plaatsen waar men onbevangen zichzelf moet kunnen zijn en dat gebruikmaking van deze geautomatiseerde werken moet worden beschouwd als blijk dat men privacy wenst. De hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III maakt namelijk geen onderscheid tussen het verkrijgen van toegang tot op een harde schijf opgeslagen gegevens en gegevens welke zich in cyberspace bevinden. Dit is het gevolg van het feit dat in de praktijk de grens tussen opgeslagen en ‘stromende’ gegevens vervaagt.47 Hierdoor gaat het niet op om een dergelijk onderscheid te maken in het kader van het recht op privacy en bescherming van het recht op privacy af te laten hangen van de vraag of de gezochte gegevens zich al dan niet in

cyberspace bevinden.

Vervolgens wordt er ingevolge de ‘reasonable expectation of privacy’ doctrine

getoetst aan een objectief criterium. Wil er sprake zijn van een redelijke verwachting op privacy, dan moet de verdachte de redelijke verwachting hebben gehad dat er geen inbreuk op zijn recht op privacy zou worden gemaakt. In de rechtspraak van het EHRM wordt dit afhankelijk gesteld van de intenties van de verdachte. Indien de verdachte wist dat hij strafbaar handelde, had hij er ook bedacht op moeten zijn dat er opsporingshandelingen ten aanzien van hem zouden kunnen worden ingezet en er inbreuk op zijn privacy zou kunnen worden gemaakt. De vraag of hiervan sprake is kan niet in het algemeen worden beantwoord. Dit hangt af van de omstandigheden van het geval.

Brengt de ‘reasonable expectation of privacy’ doctrine met zich dat wanneer iemand weet dat hij strafbaar handelt, hij zijn recht op privacy verliest? Alhoewel het recht op privacy niet absoluut is, betreft het hier wel een grondrecht. Het al dan niet bezitten van dit recht kan niet zo maar afhankelijk worden gesteld van iemands intenties. Het

46_{Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p. 13-14.} 47_{Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p. 14.}

(20)

recht op privacy is immers een recht dat in beginsel onvoorwaardelijk aan een ieder toekomt.

Meer algemeen wordt er van uit gegaan dat er met het inzetten van de bevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III wel degelijk inmenging plaatsvindt in het privéleven van de verdachte. De inbreuk die de hackbevoegdheid op de privacy maakt, kan enigszins worden vergeleken met de inbreuk die wordt gemaakt met het tappen van telecommunicatie, het direct afluisteren en de doorzoeking ter vastlegging van gegevens.48 Volgens het Nederlands Juristen Comité voor de Mensenrechten is de potentiële inbreuk van de hackbevoegdheid op de privacy groter dan de inbreuk die met het tappen van telecommunicatie wordt gemaakt.49 Het EHRM heeft reeds bepaald dat telefoon-, fax- en e-mailverkeer bescherming genieten van artikel 8 EVRM.50 Met de inzet van de hackbevoegdheid kan er toegang worden verkregen tot e-mail en telefoonverkeer, maar ook tot andere communicatiegegevens, zoals bijvoorbeeld Skype-gegevens. Dit brengt mee dat de hackbevoegdheid kan worden gekwalificeerd als inbreuk makend op het privéleven, daar er met deze bevoegdheid toegang kan worden verkregen tot gegeven die volgens het EHRM onder de bescherming van artikel 8 EVRM vallen. Dit geldt te meer omdat de bevoegdheid, zoals neergelegd in het wetsvoorstel

computercriminaliteit III, in wezen een algemene opsporingsbevoegdheid is. Hierdoor heeft de bevoegdheid een ruim toepassingsbereik en is de bevoegdheid ook op dit vlak vergelijkbaar met voornoemde opsporingsbevoegdheden.51

Bovendien wordt ook in de Memorie van Toelichting bij het wetsvoorstel

computercriminaliteit III erkend dat de hackbevoegdheid een ernstige inbreuk maakt op het recht op privacy. Het betreft dan ook een vergaande bevoegdheid. Men mag immers vertrouwen op de integriteit van computersystemen en men behoeft niet te verwachten dat opsporingsambtenaren zonder toestemming hier toegang tot kunnen verkrijgen. Ook hier wordt de bevoegdheid vergeleken met de doorzoeking ter

48_{J.J. Oerlemans, Hacken als opsporingsbevoegdheid, Delikt en Delinkwent 2011. afl. 62, par, 6. }

evt. site erbij, want geen paginanummering.

49_{Advies NJCM bij het wetsvoorstel computercriminaliteit III, d.d. 28 juni 2013, pag. 2-3.}

50_{EHRM 1 juli 2008 (FINAL 01/10/08), 58243/00 (Liberty and others v. the United Kingdom), par. 56.} 51_{Advies NJCM bij het wetsvoorstel computercriminaliteit III, d.d. 28 juni 2013, pag. 2.}

(21)

vastlegging van gegevens, het aftappen van communicatie en het direct afluisteren, welke bescherming van artikel 8 EVRM genieten.52

Nu is vastgesteld dat de bevoegdheid van artikel 125ja van het wetsvoorstel

computercriminaliteit III inbreuk maakt op het recht op privacy, zoals neergelegd in artikel 8 EVRM, moet er worden bezien of deze inbreuk kan worden gerechtvaardigd. Een inbreuk op artikel 8 EVRM kan worden gerechtvaardigd, indien er is voldaan aan de drie vereisten van lid 2 van dat artikel. Allereerst dient de inbreuk bij wet voorzien te zijn. Voorts is vereist dat de inbreuk een van de in het tweede lid van artikel 8 EVRM genoemde doelen dient. Het derde vereiste is het vereiste van

noodzakelijkheid in een democratische samenleving. Deze drie vereisten zijn

cumulatief. Derhalve dient aan alle drie de voorwaarden te zijn voldaan, wil er sprake zijn van een gerechtvaardigde inbreuk op de privacy.

Het eerste vereiste van artikel 8 lid 2 EVRM, dat de beperking bij wet voorzien moet zijn, houdt in dat de inbreuk een grondslag in het recht dient te hebben. Deze

voorziening kan de formele wet zijn, maar ook lagere regelgeving voldoet aan het vereiste.

Bovendien kan de beperking ook uit ongeschreven recht of een bevoegd gegeven bevel voortvloeien. Volgens het EHRM dient de voorziening bij wet toegankelijk en voorzienbaar te zijn. De toegankelijkheid hangt af van de wijze van publicatie van de voorziening, welke dusdanig gepubliceerd dient te zijn, dat de burger er kennis van heeft kunnen nemen. De voorzienbaarheid ziet op de mogelijkheid voor de burger om van te voren met enige zekerheid te kunnen vaststellen wanneer zijn privacy zal worden beperkt. Doorgaans levert het vereiste van voorziening bij wet geen

problemen op.53 De bevoegdheid van artikel 125ja van het wetsvoorstel

computercriminaliteit zal, indien het wetsvoorstel door de Staten-Generaal wordt aangenomen, een plaats krijgen in het Wetboek van Strafvordering.54 Net zoals andere opsporingsbevoegdheden wordt de hackbevoegdheid in het Staatsblad

122-123.

(22)

gepubliceerd.55 Volgens het EHRM kan de wetgeving uit het Wetboek van

Strafvordering worden gekwalificeerd als voorzien bij wet.56 Voorts heeft het EHRM in het kader van het vereiste dat de beperking bij wet voorzien dient te zijn

overwogen dat een duidelijke en gedetailleerde regeling vereist is, wanneer het gaat om het onderscheppen en afluisteren van communicatie. Dit is vooral van belang nu de kans op willekeur bij de heimelijke inzet van deze bevoegdheden evident is en de technologie die hiervoor wordt gebruikt steeds geavanceerder wordt.57 Daar de Memorie van Toelichting bij het wetsvoorstel computercriminaliteit III uitgebreid ingaat op de vraag wanneer en met welk doel de bevoegdheid mag worden ingezet, lijkt de hackbevoegdheid ook te voldoen aan het vereiste van voorzienbaarheid.58 Derhalve voldoet de hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III aan de eis dat de bevoegdheid bij wet moet zijn voorzien. Voorst vereist lid 2 van artikel 8 EVRM dat de inbreuk makende bevoegdheid een legitiem doel dient. Lid 2 geeft een opsomming van de doeleinden, welke als legitiem kunnen worden beschouwd. Dit zijn de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en

strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen. Ook dit vereiste zal weinig problemen opleveren, daar het EHRM de door staten aangedragen doeleinden veelal accepteert. De doeleinden worden dan ook ruim uitgelegd.59 Blijkens de Memorie van Toelichting bij het wetsvoorstel computercriminaliteit III heeft de

hackbevoegdheid ten doel de opsporing van ernstige strafbare feiten. Lid 2 noemt onder andere als legitieme doeleinden de openbare veiligheid en het voorkomen van wanordelijkheden en strafbare feiten. De hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III kan gemakkelijk onder een van deze

doeleinden worden geschaard. Voorts kan de hackbevoegdheid onder

omstandigheden ook worden ingezet ten behoeve van de bescherming van de rechten en vrijheden van anderen, bijvoorbeeld in geval van kinderpornografie.

55_{http://www.rijksoverheid.nl/onderwerpen/wetgevingskalender/aangenomen-wetsvoorstellen}_,

geraadpleegd op 14-05-2014.

56_{EHRM 3 april 2012, 42857/05 (Van der Heijden v. Nederland), ro. 53.} 57_{EHRM 1 juli 2008, 58243/00 (Liberty v. Het Verenigd Koninkrijk), ro. 62.} 58_{Memorie van Toelichting bij het wetsvoorstel computercriminaliteit III, p. 12-30.}

(23)

Het derde vereiste, het vereiste van noodzakelijkheid in een democratische samenleving, wordt getoetst naar de concrete omstandigheden van het geval. Algemene criteria zijn hier echter ook van belang. Het vereiste van noodzakelijkheid houdt niet in dat de overheid verplicht moet zijn tot de beperking van het grondrecht. Het vereiste is echter ook niet zo ruim dat hier aan is voldaan indien de beperking toelaatbaar of wenselijk is. De eis dat de beperking noodzakelijk dient te zijn in een democratische samenleving spitst zich vooral toe op de vraag naar de

proportionaliteit van de beperking. De beperking dient, gezien haar ernst,

proportioneel te zijn ten aanzien van het doel van de beperking. Derhalve wordt de ernst van de beperking afgewogen tegen het doel dat er mee wordt gediend. Ook dient de beperking te voldoen aan het subsidiariteitsvereiste. Dit houdt in dat inbreuk makende maatregel geschikt dient te zijn om het te verwezenlijken doel te bereiken en er moet niet met een minder beperkend alternatief kunnen worden volstaan. Er dienen voorts relevante en voldoende redenen te zijn voor de inbreuk en er moet sprake zijn van een dringende maatschappelijke behoefte.60

De reden die de Memorie van Toelichting bij het wetsvoorstel computercriminaliteit III aandraagt voor het in het leven roepen van de hackbevoegdheid is het voorzien in de leemte in de bestaande opsporingsbevoegdheden op het gebied van

geautomatiseerde werken. Bestaande bevoegdheden schieten tekort bij de opsporing van ernstige strafbare feiten, waarbij er gebruik wordt gemaakt van geautomatiseerde werken. Dit is het gevolg van technologische ontwikkelingen, welke meebrengen dat opsporingsbevoegdheden ineffectief zijn (zoals in het geval van versleutelde communicatie) of een dusdanige vertraging opleveren, dat het bewijs kan zijn gewist voordat opsporingsambtenaren hiervan kennis hebben kunnen nemen (bijvoorbeeld indien er eerst toestemming aan de staat moet worden

gevraagd waar de gegevens zijn opgeslagen).61 De in de Memorie van Toelichting benoemde redenen voor het creëren van de hackbevoegdheid laten zien dat de bevoegdheid geschikt is voor de opsporing van strafbare feiten. Daar bestaande

122-131.

(24)

opsporingsbevoegdheden geen soelaas bieden, voldoet de hackbevoegdheid aan het vereiste van subsidiariteit.

De hackbevoegdheid maakt echter een ernstige inbreuk op de privacy van de verdachte. Zoals hierboven beschreven kan er door middel van de bevoegdheid toegang worden verkregen tot een groot aantal privégegevens. De potentiële inbreuk van de hackbevoegdheid is dan ook groter dan die van bijvoorbeeld de telefoontap.62 Er zou zelfs gesteld kunnen worden dat het hacken van een geautomatiseerd werk, waarop zich veel privacygevoelige informatie bevindt, in feite neerkomt op overname van de identiteit van de gebruiker. Bij thans bestaande opsporingsbevoegdheden ten aanzien van geautomatiseerde werken hebben opsporingsambtenaren een passieve rol. In het geval van bijvoorbeeld de telefoontap hebben zij geen invloed op de

inhoud van de communicatie. Bij het hacken van een geautomatiseerde werken gaat dit onderscheid verloren. Wanneer er wordt binnengedrongen in een

geautomatiseerd werk, kan er niet worden ‘gelezen’ zonder ook te ‘schrijven’. Alle activiteiten van opsporingsambtenaren in het geautomatiseerde werk worden in het geheugen van het geautomatiseerde werk opgeslagen. Er kan hierbij niet worden onderscheiden welke activiteiten door de opsporingsambtenaar zijn verricht en welke door de verdachte. Daar, zoals reeds beschreven, het sociale leven van mensen zich steeds meer via geautomatiseerde werken afspeelt, zou kunnen worden betoogd dat het hacken van een geautomatiseerd werk in feite neerkomt op het overnemen van de identiteit van de gebruiker van het geautomatiseerde werk.63 Dit is een zeer ernstige en wezenlijke inbreuk op de privacy van de gebruiker van het

geautomatiseerde werk. Deze ernstige inbreuk zal niet gemakkelijk kunnen worden gerechtvaardigd met voornoemde noodzaak van de bevoegdheid.

Bovendien kan met de hackbevoegdheid niet alleen toegang worden verkregen tot de gegevens van de verdachte. Wanneer een geautomatiseerd werk door meerdere personen wordt gebruikt, bijvoorbeeld een computer die door huisgenoten wordt gedeeld, krijgen opsporingsambtenaren met de hackbevoegdheid ook inzage in de gegevens van de andere personen die het geautomatiseerde werk gebruiken.64 Ook

62_{Advies NJCM bij het wetsvoorstel computercriminaliteit III, d.d. 28 juni 2003, p. 2-3.} 63_{B. Jacobs, Policeware, Nederlands Juristenblad 09-11-2012, Afl. 39, p. 2762.} 64_{Advies NJCM bij het wetsvoorstel computercriminaliteit III, d.d. 28 juni 2003, p. 3.}

(25)

deze omstandigheid brengt mee dat de hackbevoegdheid de proportionaliteitstoets niet gemakkelijk zal kunnen doorstaan.

Het hiervoor gestelde in overweging nemende, kan worden geconcludeerd dat de hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III het recht op privacy, zoals neergelegd in artikel 8 EVRM, schendt. Gezien het feit dat geautomatiseerde werken een steeds grotere hoeveelheid privacygevoelige informatie bevatten, maakt de hackbevoegdheid inbreuk op de privacy van de verdachte. Daar de hackbevoegdheid geen onderscheid maakt tussen het soort gegevens waartoe toegang kan worden verkregen, heeft de zij een ruim

toepassingsbereik. Dit vergroot de potentiële inbreuk die de hackbevoegdheid op de privacy maakt.

De noodzaak van de hackbevoegdheid kan deze inbreuk niet rechtvaardigen. Niet alleen wordt er met de hackbevoegdheid toegang verkregen tot privacygevoelige informatie, er kan ook geen onderscheid worden gemaakt tussen de handelingen van de verdachte (of andere gebruikers) en van de opsporingsambtenaar in het

geautomatiseerde werk. De hackbevoegdheid levert bij de gebruikmaking ervan dusdanig weinig onderscheid op tussen het handelen van de verdachte en de opsporingsambtenaren, dat de hackbevoegdheid, gezien de ernstige inbreuk die zij op de privacy maakt, disproportioneel moet worden geacht. Dit te meer nu ook de privacy van anderen dan de verdachte in het gedrang kan komen. De

hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III doorstaat de proportionaliteitstoets van artikel 8 lid 2 EVRM niet. De

hackbevoegdheid levert hierdoor een niet te rechtvaardigen schending van het recht op privacy op.

(26)

Hoofdstuk 3

Soevereiniteit en privacy

Ten aanzien van grondrechten hebben staten niet enkel de plicht om zich te onthouden van inbreuken. Staten dienen deze rechten ook te beschermen en te verzekeren. De verplichting tot bescherming van grondrechten ziet op bescherming tegen inbreuken van derden, dat wil zeggen particulieren of andere staten. De verplichting tot verzekering van grondrechten ziet op het in staat stellen van burgers om daadwerkelijk gebruik te maken van hun rechten. Naast de negatieve verplichting om zich te onthouden van inbreuken op grondrechten, hebben staten dus ook de positieve verplichting om deze rechten te beschermen en verzekeren.65_Deze

positieve verplichting is niet absoluut. Er dient een belangenafweging te worden gemaakt tussen individuele en algemene belangen.66 Bij deze belangenafweging heeft de staat een zekere mate van vrijheid om individuele dan wel algemene belangen te laten prevaleren.67

De positieve verplichting om grondrechten te beschermen vloeit voort uit de

soevereiniteit van staten.68 Staten ontlenen hun soevereiniteit, naast erkenning door andere staten, immers aan erkenning door hun onderdanen. Zoals in hoofdstuk een reeds is beschreven, verlenen onderdanen deze erkenning, omdat op deze manier hun rechten zo goed mogelijk kunnen worden beschermd en gewaarborgd. Deze rechten moeten niet alleen worden beschermd tegen inbreuken door andere onderdanen, maar ook tegen inbreuken door andere staten. Door de territoriale afbakening van de staatssoevereiniteit kunnen staten inbreuk makende handelingen van andere staten op hun grondgebied uitsluiten. Op deze manier kunnen staten (mede) invulling geven aan de positieve verplichting om de rechten van hun onderdanen te beschermen.69

Voor de rechten uit de eerste titel van het EVRM (waaronder het recht op privacy) zijn de positieve verplichtingen neergelegd in artikel 1 EVRM. Dit artikel bepaalt dat

158-159.

66_{EHRM 16 maart 2000, 23144/93 (Özgür Gündem v. Turkije), par. 43.}

164.

68_{M. Hildebrandt, Extraterritorial jurisdiction to enforce in cyberspace?: Bodin, Schmitt, Grotius in}

cyberspace, University of Toronto Law Journal 2013, afl. 63, 204-205.

(27)

staten o.a. het recht op privacy dienen te verzekeren voor een ieder die zich onder zijn rechtsmacht bevindt. Het EHRM heeft voor het recht op privacy van artikel 8 EVRM nog eens uitdrukkelijk bepaald dat uit dit recht positieve verplichtingen voor staten voortvloeien.70 Volgens het EHRM heeft een staat in beginsel rechtsmacht over zijn grondgebied. De staat dient op zijn grondgebied zijn verplichtingen van artikel 1 EVRM na te leven.71 Dit geldt niet alleen ten aanzien van personen die zich op haar grondgebied bevinden. Ook ten aanzien van geautomatiseerde werken en opgeslagen gegevens die zich op haar grondgebied bevinden, dient een staat het recht op privacy te beschermen en te waarborgen.72

Zoals in hoofdstuk twee is beschreven, schendt de hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III de privacy van de verdachte. Met name de identiteitsovername die met de inzet van de hackbevoegdheid gepaard gaat, kan als een zeer ernstige schending van de privacy worden aangemerkt. Daar de hackbevoegdheid, naast de privacy van andere gebruikers van het

geautomatiseerde werk, de privacy van de verdachte schendt, behoeft deze

bescherming van zijn privacy. Deze bescherming dient te worden geboden door de staat die rechtsmacht heeft. Zoals reeds is besproken, komt het steeds vaker voor dat de digitale gegevens van personen zich in een andere staat bevinden dan de personen zelf en kan er door middel van de hackbevoegdheid toegang tot deze gegevens worden verkregen. De privacy ten aanzien van deze gegevens dient dan te worden beschermd door de staat waarin deze gegevens zich bevinden. Dit is de staat waar zij zijn opgeslagen. Die staat heeft immers rechtsmacht over deze gegevens.73

Het lijkt voor staten echter onmogelijk om gegevens, die zich op hun grondgebied bevinden, te beschermen tegen inzet van de hackbevoegdheid. In het eerste

hoofdstuk is beschreven dat indien er door middel van de hackbevoegdheid toegang wordt verkregen tot gegevens die in een andere staat zijn opgeslagen, de

soevereiniteit van die staat wordt geschonden. Er is dan immers sprake van extraterritoriale handhaving.

70_{EHRM 21 juni 1988, 10126/82 (Platform “Artze für das Leben” v. Oostenrijk), par. 32.} 71_{EHRM 8 juli 2004, 48787/99 (Ilaşcu e.a. v. Moldavië en Rusland), par. 311-313.}

KU Leuven: Nullum crimen 2014, p. 2-3 en 18.

73_{Conings, De lokalisatie van opsporing in een virtuele omgeving, Wie zoekt waar in cyberspace?, KU}

(28)

Door de heimelijkheid van de hackbevoegdheid is het voor staten onmogelijk om aan hun positieve verplichting om het recht op privacy te beschermen te voldoen.

Allereerst kunnen staten door de heimelijke inzet van de hackbevoegdheid het hacken op hun grondgebied niet uitsluiten. De verdachte krijgt er (vooraf) geen kennis van dat opsporingsambtenaren in zijn geautomatiseerde werk zijn

binnengedrongen.74 Dit geldt ook voor de staat op wiens grondgebied de gegevens van de verdachte zich bevinden. Als de verdachte al niet kan bemerken dat

opsporingsambtenaren zijn geautomatiseerde werk zijn binnengedrongen en toegang hebben verkregen tot gegevens die in het buitenland zijn opgeslagen, kan de staat dit ook niet. Immers, hoe zou de staat hiervan op de hoogte kunnen zijn? Daarnaast hebben staten door de heimelijke inzet van de hackbevoegdheid, indien zij dit zouden willen toestaan in het kader van het algemene belang, geen toezicht dan wel zeggenschap over de voorwaarden waaronder dit gebeurt. Hierdoor kan de staat wiens soevereiniteit wordt geschonden zelf de afweging tussen algemene en individuele belangen niet meer maken. Wanneer een staat bij haar

belangenafweging de handhaving van strafrechtelijke voorschriften laat prevaleren en staten zou toestaan om opsporingshandelingen op haar grondgebied te

verrichten, zou zij door het stellen van voorwaarden invulling kunnen geven aan haar positieve verplichting om het recht op privacy te beschermen. De staat kan haar belangenafweging dan laten doorklinken in haar voorwaarden en via deze

voorwaarden het recht op privacy beschermen. De inbreuk op het recht op privacy wordt dan namelijk met waarborgen omkleed, waardoor deze niet onbegrensd is. De heimelijk inzet van de hackbevoegdheid maakt dit echter onmogelijk.

Bijgevolg is het voor de staat wiens soevereiniteit wordt geschonden, niet vast te stellen wanneer zij bescherming moet bieden tegen schending van de privacy ten aanzien van gegevens op haar grondgebied. Ook is zij niet in staat om voorwaarden aan de inzet van de bevoegdheid te stellen, om er voor te zorgen dat de privacy afdoende wordt gewaarborgd.

Derhalve staat de hackbevoegdheid er aan in de weg dat staten aan hun positieve verplichtingen ten aanzien van het recht op privacy kunnen voldoen.

(29)

Dit roept de vraag op hoe er in meer algemene zin invulling kan worden gegeven aan de soevereiniteit van staten. Hoe dient er te worden omgegaan met schending van de privacy van de verdachte, door middel van een bevoegdheid die tevens de soevereiniteit van staten schendt? Betekent het feit, dat de betrokken staat niet de mogelijkheid heeft om de privacy van zaken op zijn grondgebied te beschermen, dat de schending van zijn soevereiniteit zonder gevolgen moet blijven? Of dient er in algemene zin een consequentie te worden verbonden aan soevereiniteitsschending? In de Nederlandse rechtspraak en literatuur komt de vraag naar de rechtsgevolgen van soevereiniteitsschending met name aan de orde in het kader van onrechtmatig verkregen bewijsmateriaal. Het gaat dan om de vraag of er sancties moeten worden verbonden aan bewijs dat is verkregen door schending van de soevereiniteit van een andere staat (of staten).

Bewijs dat is verkregen door extraterritoriale opsporing, zonder toestemming van de staat waarin de opsporingshandelingen zijn verricht, zijnde bewijs dat door

soevereiniteitsschending is verkregen, wordt in de rechtspraak als onrechtmatig verkregen beschouwd. Onduidelijk is echter of hier een sanctie aan verbonden dient te worden. Het volkenrecht stelt in de relatie van het individu tot de staat geen

sancties aan het schenden van de soevereiniteit van een staat. Het al dan niet verbinden van een sanctie hieraan is dus een kwestie van nationaal recht.75 Wanneer bewijs onrechtmatig is verkregen kan de rechter, conform artikel 359a WvSv, hieraan gevolgen verbinden. De rechter is hiertoe echter niet verplicht.76 Sanctionering van bewijs dat is verkregen door middel van soevereiniteitsschending van een andere staat, stuit in de rechtspraak doorgaans af op het

relativiteitsvereiste.77 Dit vereiste, ook wel de Schutznorm, houdt in dat er een norm moet zijn overtreden welke het belang van de verdachte beoogt te beschermen en dat de verdachte ook daadwerkelijk in dit belang moet zijn geschaad.78

Het verbod op grensoverschrijdende opsporing, behoudens toestemming van de betrokken staat, heeft twee grondslagen: de soevereiniteit van staten en

75_{Conclusie Advocaat-Generaal Machielse bij HR 7 maart 2000, NJ 2000, 539.}

76_{Mr. G.J.M. Corstens, bewerkt door prof. mr. M.J. Borgers, Het Nederlands strafprocesrecht,}

Deventer: Kluwer 2011, p. 732.

77_{HR 5 oktober 2010, NJ 2011, 169, ro. 4.4.2.} 78_{Noot G. Knigge bij HR 25 mei 1993, NJ 1993, 784.}

(30)

bescherming van de burger. Hierbij is de bescherming van de burger ondergeschikt aan het belang van de staatssoevereiniteit. In de nationale rechtspraak worden vormverzuimen gerelativeerd met de Schutznorm. Enkel wanneer aan het Schutznormvereiste is voldaan, komen vormverzuimen in aanmerking voor sanctionering. Volgens de huidige opvattingen dient er voor deze relativering ook plaats te zijn, wanneer het gaat om schending van internationale regels. Bij

schending van nationale regels, welke wel direct zien op de belangen van individuen, is hiervoor immers ook plaats. Bijgevolg zou er bij schending van de

staatssoevereiniteit, waar het belang van de staat voorop staat, geen zwaardere norm moeten gelden dan in het nationale recht. Bewijs dat is verkregen door

soevereiniteitsschending, dient dan ook enkel te worden gesanctioneerd als er aan het Schutznormvereiste is voldaan.79 Daar de soevereiniteit primair het belang van de staat dient, doorstaat een beroep op soevereiniteitsschending het

Schutznormvereiste niet en wordt er doorgaans geen sanctie verbonden aan bewijs dat op een dergelijke wijze is verkregen.80

Alhoewel het verbod op extraterritoriale handhaving zonder toestemming van de betrokken staat primair de staatssoevereiniteit beoogt te beschermen, kan er niet zomaar voorbij worden gegaan aan het belang van bescherming van individuen. Zoals beschreven in hoofdstuk een ontleent de staat zijn soevereiniteit aan de bescherming van zijn onderdanen. Individuen erkennen het gezag van de staat, omdat hun rechten op deze manier het beste kunnen worden beschermd.81 Deze bescherming ziet niet alleen op inbreuken op deze rechten door andere burgers, maar ook door andere staten.82 Bijgevolg dient het belang van het verbod op

extraterritoriale handhaving zonder toestemming, naast de soevereiniteit van staten, ook het belang van individuen. De bescherming van individuen staat hierbij niet zozeer in de schaduw van het belang van staten, maar vloeit daar rechtsreeks uit voort. Immers, staten hebben soevereiniteit, om hun onderdanen te beschermen tegen inbreuken op hun rechten. Zou niet worden erkend dat het verbod op

79_{Conclusie Advocaat-Generaal Machielse bij HR 7 maart 2000, NJ 2000, 539.} 80_{HR 5 oktober 2010, NJ 2011, 169, ro. 4.4.2.}

25-26.

(31)

extraterritoriale handhaving ook de belangen van individuen dient, dan zou men de grondslag van het primaire belang, de staatssoevereiniteit, ondermijnen.

Een en ander leidt tot de conclusie dat bewijs dat door middel van soevereiniteitsschending is verkregen wel degelijk de toets aan het

Schutznormvereiste doorstaat. Er is immers sprake van schending van een norm, die het belang van de verdachte beoogt te beschermen, namelijk het verbod op

extraterritoriale opsporing. Dit verbod beschermt, via bescherming van de

soevereiniteit van staten, de privacy van de verdachte.83 Bovendien is in hoofdstuk twee beschreven dat grensoverschrijdend hacken de privacy van de verdachte daadwerkelijk schendt. Derhalve is, zoals de Schutznorm vereist, een norm overtreden welke het belang van de verdachte beoogt te beschermen en is de verdachte ook daadwerkelijk in dit belang geschaad.

Naast de Schutznorm gelden er nog andere vereisten voor het in aanmerking komen van een vormverzuim voor sanctionering. Er moet sprake zijn van nadeel voor de verdachte dat is veroorzaakt door het vormverzuim. Hierbij gaat het onder meer om de vraag in hoeverre de verdachte daadwerkelijk in zijn verdediging is geschaad. De Hoge Raad lijkt hiermee aan te knopen bij de belangen van het recht op een eerlijk proces. Zij laat echter ook ruimte om het vereiste van nadeel in te vullen met andere belangen.84 In haar arrest van 4 januari 2009 liet de Hoge Raad het oordeel van het Hof in stand dat er geen sprake was van een vergaande inbreuk op de privacy van de verdachte, waardoor er geen sprake was van nadeel voor de verdachte. 85

Hierdoor kan het nadeel dat is veroorzaakt door het vormverzuim ook gelegen zijn in de inbreuk die op de privacy van de verdachte wordt gemaakt. In bovengenoemde zaak leidde de inbreuk op de privacy van verdachte echter niet tot nadeel in de zin van artikel 359a WvSv.86 Voorts heeft de Hoge Raad in voornoemd arrest bepaald dat het ontdekken van zijn strafbaar handelen niet als een dergelijk nadeel kan worden beschouwd.87

In hoofdstuk twee is reeds beschreven dat de hackbevoegdheid zeer vergaande inbreuk op het recht op privacy maakt. Deze inbreuk is met name gelegen in het feit

83_{Zie ook noot T.M. Schalken bij HR 7 maart 2000, NJ 2000, 539.}

84_{R. ter Haar en G.H. Meijer, Vormverzuimen, Deventer: Kluwer 2011, p. 32-34.} 85_{HR 4 januari 2011, NJ 2012, 145.}

86_{R. ter Haar en G.H. Meijer, Vormverzuimen, Deventer: Kluwer 2011, p. 37-39.} 87_{HR 4 januari 2011, NJ 2012, 145, ro. 3.2.2.}