Tijdens het Kamerdebat over de op handen zijnde Wet Computercriminaliteit II vorige week had minister van Justitie Piet Hein Donner het voor zijn doen gemakkelijk. Hij kreeg zelfs enkele complimenten, ondanks dat Donner nog uitleg behoefde over een ddos-aaanval (distributed denial of service). De Kamerleden kwamen wel met een hele rij punten, maar het waren veelal slechts details, want bijna iedereen was het van tevoren al vrijwel eens met het voorliggende wetsvoorstel.
Wel werd er nog veel tijd besteed aan de definitie van 'hacken'. Want hoe zit het met computers die deel voor buitenstaanders toegankelijk zijn doordat de gebruiker daarvoor zelf toestemming heeft gegeven, zoals bijvoorbeeld bij het delen van muziekbestanden met p2p-programma's? En hoe zit het met die ddos-attacks, waarbij niet de crimineel zelf, maar duizenden onbeveiligde computers van onwetenden de aanval uitvoeren?
Dat alles hoeft wat Donner betreft niet bij wet geregeld te worden. "De rechter moet steeds vaststellen of het nu wel of niet duidelijk was of iemand op een computer binnen mocht komen," aldus de bewindsman. "Als ik op de straat loop en een voordeur open zie staan, betekent dat niet per definitie dat ik daar welkom ben, maar zie ik een winkeldeur openstaan, dan mag ik aannemen dat ik daar wel welkom ben. Dan ligt de bewijslast bij de winkelier, die dan moet aantonen dat ik wederrechtelijk de winkel binnengetreden ben. Kortom, dat zijn vragen die niet algemeen bij wetgeving beantwoord kunnen worden. Voor een deel zullen die door jurisprudentie in de rechtspraak gepreciseerd moeten worden."
Opsporing cybercrime
De Kamerleden twijfelden hardop of de capaciteit van de opsporing van cybercrime volstaat. Nee, weet ook Donner, maar hij beloofde beterschap: over een paar weken neemt hij, samen met minister Remkes van Binnenlandse Zaken, een besluit over een voorzetting of uitbreiding van het nog jonge National High Tech Crime Center. Donner: "Maar in het licht van de omvang van het probleem, zal dat waarschijnlijk nog tekortschieten."
Nog een pijnpunt: de naleving van de zogeheten notificatieplicht door Justitie. Personen van wie gegevens worden afgetapt of opgeslagen moeten wettelijk gezien daarvan op de hoogte worden gesteld. In de praktijk merkt daar nog niemand wat van. Dat komt volgens Donner doordat het OM nog bezig is met het opstellen van een 'plan van aanpak'. De politie vindt dit een belachelijk wetsartikel daar het slapende kwade honden wakker maakt.
Online fotomalheur
PvdA-kamerlid Martijn van Dam wil maatregelen tegen het ongevraagd publiceren van foto's van personen op internet. "Internet vergeet niks. Dat is een behoorlijk inbreuk op de privacy. Om nog maar te zwijgen van jonge meisjes die zich vrijwillig ontkleden voor de webcam en nog jaren later hun foto's op internet tegenkomen," zo betoogde Van Dam. "Ook in Nederland moet de discussie starten over de bescherming van de privacy tegen de alom aanwezige presentie van camera's."
Van Dam: "Ik denk dat het strafrecht als afschrikking zou kunnen werken waarmee je het in een aantal gevallen misschien wel zou kunnen voorkomen." Donner zag daar weinig in, omdat inbreuken op het portretrecht al strafbaar zijn gesteld in artikel 35 van de Auteurswet. Toch beschouwt ook de CDA-minister het wel degelijk als een groot probleem:
"Er zouden inderdaad bepaalde zaken moeten zijn waartegen men privaatrechtelijk zou kunnen optreden. Omdat niet duidelijk is wie men zou moeten aanpakken, verliest men zijn rechten. (...) Het verschijnsel is dat een beeltenis op internet wordt gezet die je er niet meer af krijgt; je weet ook niet wie je moet aanspreken om die eraf te krijgen."
Maar Donner is er nog niet uit: "Ik zie niet in hoe de overheid of een politieagent zou moeten weten wie zich wel of niet ergert om te bepalen of er moet worden opgetreden. (...) Via internet worden voortdurend foto's doorgestuurd. Hele vakantieverslagen komen er langs. Die beeltenissen blijven staan en dat kan niet strafbaar gesteld worden. Over het specifieke punt hoe je na verloop kunt optreden tegen foto's die ongewenst zijn, wil ik nog verder nadenken."
Intussen vergaten de politici in te gaan op een nieuwe bevoegdheid die Justitie door de behandelde wetswijzigingen krijgt: het opnemen van gesprekken in de openbare ruimte zolang aan de afgetapte maar duidelijk is gemaakt dat het gesprek wordt afgetapt. Hoe dat precies uitwerkt in de praktijk blijft daardoor nog onzeker.
Meldingsplicht hack
Klaarder was de motie die Van Dam met Arda Gerkens (SP) indienden voor een meldingsplicht bij een hack: "(...) overwegende, dat burgers en bedrijven het recht moeten hebben te weten dat hun gegevens in verkeerde handen terecht zijn gekomen of kunnen zijn gekomen; verzoekt de regering een voorstel uit te werken dat leidt tot de verplichting van bedrijven, overheden en andere organisaties om burgers en bedrijven te informeren dat hun gegevens ontvreemd zijn, of dat de systemen van de organisatie gehackt zijn en hiermee voor 1 juni 2006 naar de Kamer te komen".
Het idee komt uit de VS overgewaaid. In vijftien Amerikaanse staten, waaronder New York en Californië, gelden al wetten die dat verplicht stellen. Het Congres buigt zich ook nog over het federale wetsvoorstel 'Personal Data Privacy and Security Act of 2005'. Beheerders van databases moeten klanten op de hoogte stellen als er meer dan tienduizend mensen zijn getroffen. "In Amerika staan bedrijven meer onder druk om hacks naar buiten te brengen," aldus SP'er Arda Gerkens.
Aanleiding zijn de verontrustende cijfers die in Amerika de ronde doen over identiteitsdiefstal als gevolg van ongeoorloofde toegang tot persoonlijke gegevens. Volgens de Federal Trade Commission was het aantal bekende gevallen van identiteitsdiefstal in 2004 in Amerika 246.570. In 2002 was dat nog 161.896. In 2005 liep het de spuigaten uit. De schattingen van het aantal mensen dat het slachtoffer werd van een vorm van identiteitsdiefstal loopt zelfs in de miljoenen. Veel spywareprogramma's, zoals miljoenen. Veel spywareprogramma's, zoals CoolWebSearch, zijn er ook op gericht persoonsgegevens van internetters te stelen. Cijfers voor de Nederlandse situatie zijn niet voorhanden.
Martijn van Dam: "Dat [Amerikaanse] voorstel vind ik zeer interessant. Ten eerste hebben burgers en bedrijven er recht op te weten als hun gegevens in verkeerde handen terecht zijn gekomen. Ten tweede stimuleert een dergelijke verplichting bedrijven om hun beveiliging op orde te hebben."
Het wetsvoorstel legt meer verplichtingen op. Zo komt overtreding van het recht van een burger tot inzage en aanpassing van gegevens in de database van een bedrijf op duizend tot vijftienduizend dollar boete per dag te staan. Ook nalatigheid bij beveiliging kan tot vervolging leiden.
Deze wet in de staat Californië leidde al tot zestig openbaarmakingen door bedrijven die persoonsgegevens lekten, zoals van Lexis Nexis van Reed Elsevier In Nederland lekten recent bij een 'proefhack' 1,2 miljoen patiëntgegevens.
Onveilig gevoel
Gerkens: "Na een melding kan een klant adequaat handelen, bijvoorbeeld zijn creditcard blokkeren of automatische afschrijvingen beter in de gaten houden."
Ze wil het groeiende gevoel van onveiligheid bestrijden: "Ook ik heb ze gehad: de IB- en Postbank-phishingmails, evenals de gewonnen cruise op mijn antwoordapparaat. De toename van dit soort incidenten geeft aan dat wij achter de feiten aanlopen, maar draagt ook het risico in zich dat het vertrouwen in de digitale samenleving afneemt."
De ruime formulering berust volgens Van Dam niet op toeval. "Zo is er alleen sprake van het 'hacken van systemen' en niet dat er ook daadwerkelijk gegevens zijn ontvreemd, want dat zou nog te veel ruimte bieden om er onderuit te komen. Niet dat bedrijven bij elke hack dat moet vertellen, maar wel als het systemen betreft waarbij persoonsgegevens in het geding kunnen zijn," aldus Van Dam tegen Netkwesties. "Je kunt er vanuit gaan dat dit soort incidenten vaak voorkomt, maar we weten er in Nederland niks van af. Om welke gegevens het gaat weten we niet."
Zaak van concurrentie
Maar of de motie, waarover op 27 september wordt gestemd, het redt is twijfelachtig. Minister Donner keurde de motie van Gerkens en Van Dam tijdens het Kamerdebat in elk geval af. Zelfregulering acht hij voldoende en er is een praktisch probleem bij de strafbaarstelling: "Zolang ik niet weet dat gegevens via hacken in handen van een ander zijn gekomen, kan ik geen aangifte doen van het feit dat degene die mij had moeten waarschuwen, dat niet heeft gedaan. In alle gevallen bevinden wij ons in de sfeer van het privaatrecht. Deze kwestie wordt nu al in het economisch verkeer geregeld, namelijk via de gewone bescherming van de consument. (...) Ik denk dat dat zich geleidelijk aan ontwikkelt door zelfregulering, en op dit moment adequaat wordt gedekt."
Volgens Donner moeten bedrijven maar met elkaar concurreren op het punt van het informeren bij hacks. "Ik kan mij ook voorstellen dat bedrijven op dat punt onderling in de aanbieding van hun dienstverlening zullen concurreren."
"Dat doen bedrijven natuurlijk niet," reageert Gerkens tegen Netkwesties. "Bedrijven hebben er juist geen belang bij op dit punt met elkaar te gaan concurreren. Als de een het doet, doet de ander het ook, dat willen ze in dit geval juist niet."
Ook Van Dam is na het debat nog erg ontevreden over dit argument van Donner. "Dat de vrije markt dit wel regelt is natuurlijk onzin. Het is flauwekul te denken dat bedrijven elkaar op dit punt zullen beconcurreren."
CDA en VVD niet enthousiast
Wat vinden de andere partijen ervan? Regeringspartijen CDA en VVD lijken in eerste instantie niet voor een wettelijke meldingsplicht te zijn. CDA-kamerlid Wim van Fessem volgt de lijn van Donner: "Het niet informeren van klanten moet je niet strafbaar gaan stellen. We moeten hier wel iets voor regelen, want ik zie ook niet in dat bedrijven hier nu zo fanatiek op zullen concurreren, maar het hoort niet bij de overheid thuis. Misschien moet het in de contracten staan die bedrijven met klanten afsluiten."
Van Fessem wil dat het ministerie van Economische Zaken zich met de materie gaat bezighouden. "Het is op zich wel een sympathiek voorstel, maar het beste is dit niet bij Justitie te regelen."
Zijn CDA-collega Jos Hessels is afgemeten op de vraag van Netkwesties naar de noodzaak van een wet: "Het lijkt niet te passen in het streven van het CDA naar minder bureaucratie."
VVD'er Frans Weekers sluit zich daarbij aan: "Als liberaal wil ik zo weinig mogelijk verplichtingen voor het bedrijfsleven. Een algemene meldingsplicht vind ik wel erg ver gaan."
Weekers erkent wel het probleem: "Bedrijven kunnen de neiging hebben dit soort dingen onder de pet te houden om reputatieschade te voorkomen. En ik zou ook graag hebben dat er beter in kaart wordt gebracht wat de precieze risico's zijn. Voor ondernemers zijn er ook plussen en minnen aan zo'n verplichting. Waarom zetten we die eerst niet eens op een rij?"
De Consumentenbond juicht meer druk op het bedrijfsleven toe, maar de bond vindt een wet niet echt nodig. "Het is goed als het er komt, maar om dit nu meteen wettelijk vast te gaan leggen is misschien wat overdreven," zegt woordvoerster Pauline van den Brandhof. De bond volgt in feit het marktargument van Donner:
"Misschien moet het net zo werken als bij bedrijven die ondeugdelijke producten massaal uit de schappen laten halen. Als een bedrijf daar eerlijk mee omgaat, weet je als consument dat wat je aan dat bedrijf hebt. Je kan zelf kiezen of je met ze in zee gaat."
Van Dam beseft dat het zonder steun van de regeringspartijen lastig wordt. Hooguit zit er nog een 'notitie' in van minister Brinkhorst van Economische Zaken.
Gerkens (SP) heeft daar weinig verwachtingen van. Tijdens het debat zei ze: "De overheid verstrekt aan de burgers te weinig informatie over de manieren waarop zij zich kunnen weren tegen criminele activiteiten en het veilig maken van hun computer. Het is een tijdelijk gat dat wij moeten dichten..."