Mark Zoetekouw (1977) is jurist op het gebied van cybercrime & digitale technologie bij de Landelijke Eenheid van de politie, al staat dat niet op zijn LinkedIn-profiel. Het grootste euvel voor de politie bij bestrijding van cybercrime is het gebrek aan juridische mogelijkheden om effectief internationaal speurwerk te doen.

Dus logisch dat hij dit thema koos als wetenschappelijk terrein, naast zijn werk. Zoetekouw promoveerde in juni 2024 aan de Universiteit Utrecht met het proefschrift ‘Enforcement Jurisdiction on the Internet – Caught Between Clay and Cloud’ (‘Handhavingsjurisdictie op het internet - gevangen tussen klei en cloud’).

Samenvatting

Het behandelt de problemen van veelal nationale handhaving versus het grenzeloze karakter van internet. Immers, opsporing is aan fysieke gebieden en landsgrenzen gebonden. Dat is ook zo voor digitale opsporing terwijl het internet is ontworpen om fysieke locatie zo irrelevant mogelijk te maken. Dus ontstaan er problemen bij grensoverschrijdende opsporing.

Staten worden geconfronteerd met een toenemende straffeloosheid voor cybermisdrijven. Politie kan vaak slechts gebruik maken van rechtshulpverzoeken of ‘mutual legal assistance’ (MLA), wat de nodige beperkingen kent. Dus proberen ze internationale misdaad volgens Zoetekouw steeds vaker op eigen houtje over de eigen landsgrenzen heen aan te pakken. Dat mag niet, oftewel “onrechtmatig unilateralisme”.

Zijn proefschrift benadert dit probleem vanuit principes van internationaal recht – jurisdictie, soevereiniteit, en de concepten en technologie van internet. Hij zoekt naar oplossingen die én praktisch soelaas bieden én passen binnen de regels van het internationaal recht.

Heeft Zoetekouw een oplossing gevonden? Nee, stelt hij zelf, geen volledige in ieder geval. Dat kan domweg niet, want het gat is te groot tussen vaak nationale handhaving en de kenmerken van het internet. Ja, die oplossing meent Zoetekouw te bieden met een voorstel om de juridische impasse te doorbreken. Later meer hierover.

Ergens, maar waar?

De studie is geboren uit het dilemma van alsmaar groeiende digitale criminaliteit waarbij de politie wereldwijd meer en meer machteloosheid ervaart om deze aan te pakken omdat de boeven niet in duistere panden en stegen van het eigen land opereren maar vanuit zolderkamers weet-ik-veel waar ter wereld.

Zo kan een hacker vanuit Peru, gebruikmakend van malware van servers in Duitsland en India, mondiaal slachtoffers maken. Gestolen data slaat hij op een cloud service die in Ierland, Amerika en/of Zuid-Afrika. Vervolgens chanteert hij slachtoffers tot het betalen van geld dat via een bitcoin exchange in Japan wordt ‘gewassen’ tot de herkomst lastig te traceren wordt. En daar houdt de keten van criminele feiten nog niet op.

Het probleem voor opsporing is dat je dat allemaal niet weet terwijl je aan het opsporen bent, alleen achteraf. De kern van het probleem is de ‘loss-of-knowledge-of-location’: je weet bij God niet waar gegevens in de cloud zijn opgeslagen. En als je  daar al achter kunt komen, zie er dan maar eens beslag op te leggen, om tot bewijsvoering met persoonlijke aansprakelijkheid te komen. Dan stuit je juridische obstakels.

 Dat vormde reeds de kern in de gelijksoortige WODC-studie als van Zoetekouw, uit 2014: “Cyberspace, de cloud en grensoverschrijdend strafrechtelijk onderzoek - De grenzen en mogelijkheden van het internationaal recht”, van Bert-Jaap Koops en Morag Goodwin. Zoetekouw kon bouwen op deze en andere studies op dit gebied, maar hij vond geen uitvoerbare oplossingen. Hij nam 500 pagina’s de tijd om tot een eigen voorstel te komen.

Enorme groei

“Grensoverschrijdende cybercriminaliteit is hard op weg om een van de belangrijkste vormen van criminaliteit te worden, met slachtofferaantallen die inmiddels veel hoger liggen dan bij de meer traditionele misdrijven”, weet Zoetekouw. Dit staat ook in het Cybercrime Beeld Nederland 2024.

En paradoxaal: “Geld, tijd, moeite en kennis die nodig zijn om grensoverschrijdende cybermisdrijven te plegen, nemen snel af… De rechtshandhaving daarentegen heeft te maken met precies het tegenovergestelde. Zij blijft sterk beperkt door territoriaal bepaalde grenzen van jurisdicties. Het opsporen en terugvinden van 'onderdelen' van de zaak over de grenzen van staten heen, verhoogt de benodigde tijd, moeite, geld en kennis enorm.”

Grensoverschrijdend samenwerken verloopt veel te stroef, ondanks vele pogingen om de tekortkomingen van de rechtshulpverzoeken of MLA’s te verhelpen. Een belangrijke reden: Concurrerende en vaak beperkte verdragen en geopolitieke verschillen.

Zelfs wanneer zo’n MLA ogenschijnlijk een haalbare optie is, worden de kansen op een succesvolle toepassing belemmerd door langzame reacties uit andere landen.

Kortom: dreigende straffeloosheid van criminelen die dankbaar gebruikmaken van gebrekkige opsporing.

Stiekem de grens over

Deze traagheid laat onderzoeken stagneren, of de politie begint er niet eens aan. Speurders en officieren van justitie voelen zich gedwongen om dan maar de onofficiële weg te volgen en zelf buiten de landsgrenzen te onderzoeken. Steeds meer landen proberen iets te verzinnen om dat te legitimeren:

Ze zeggen dan bijvoorbeeld dat ze de plaats waarvandaan de onderzoeker opereert als uitgangspunt nemen. Ze menen dat het toch weinig uitmaakt en een ander land het niet eens merkt, laat staan er last van heeft, dat haar soevereiniteit met voeten wordt getreden. Ze stellen dat die landen zelf er niet slechter van worden als de digitale boeven worden opgespoord. Of andere redeneringen.

Zoetekouw vindt dit ongewenst, anders zou hij niet aan zijn proefschrift begonnen zijn. De politie kan immers niet tegelijkertijd het recht handhaven en dit overtreden. Bestrijding met unilaterale 'oplossingen' is problematisch voor individuen, staten en de internationale gemeenschap. “Ze zullen uiteindelijk niet schaalbaar zijn tot het niveau dat nodig is om het probleem van gebrekkige handhaving tegen grensoverschrijdende cybercriminaliteit aan te pakken.”

Te liberaal ontwerp van internet

Het vroege ontwerp van het internet was bedoeld om uitwisseling van informatie tussen bekende (en vertrouwde) partijen op bekende locaties te vergemakkelijken. En niet voor communicatie op grote schaal tussen 'vreemden'. Dit basisontwerp zit nog steeds diep ingebakken in het huidige internet.

In een later stadium werd het internet verder ontwikkeld tot een vermaasd netwerk, waarin elk knooppunt (node) in de communicatieketen zo vervangbaar en overbodig mogelijk was. Dit resulteerde in een belangrijk kenmerk van het hedendaagse internet: de locatie van zowel knooppunten als gebruikers is in de dagelijkse gang van zaken vaak volkomen irrelevant.

Bovendien is allerwegen de materiële realiteit minder belangrijk. Ongeveer alles is steeds meer virtueel, tot aan geld in bitcoins, en een fysieke ‘eigenaar’ moeizaam te traceren. Zelfs de localisering van fysieke hardware van de hosting is moeilijk. Deze ‘dematerialisatie’ speelt de cyberboef in de kaart, want die kan minimaal risico vele slachtoffers tegelijk maken. Hij weet zich beschermd door ‘anywhere’ te opereren. Snel virtueel verplaatsen en wissen van sporen, als die er al zijn, is een fluitje van een cent. Bij fysieke wetshandhaving kan justitie drugs, geld, wapens of zelfs gestolen informatie in beslag nemen, maar niet in cyberspace.

Stromingen

Zoetekouw maakt onderscheid tussen Territorialisten en Cybernauts. De eersten vinden cyberspace 'niet-uitzonderlijk', dat reguliere regels van toepassing kunnen en moeten zijn op handhaving en bestrijding van digitale grensoverschrijdende criminaliteit. Immers, alles in cyberspace vindt ergens ter wereld op fysieke hardware plaats.

De Cybernauts daarentegen beweren dat de cyberspace gemeenschappen vormt met elk hun eigen normen en gebruiken. Dit volgens hen een geheel nieuwe werkelijkheid  creërendie buiten de controle van staten zou moeten vallen, zelfregulerend zou moeten zijn.

Zoetekouw noemt een derde stroming, die van de Mare Cyberiumisten, die cyberspace bezien als een aparte ruimte, maar wel te reguleren, vergelijkbaar met de volle zee of misschien Antarctica. Zoetekouw: “Cyberspace zien als een niet-bezetbare ruimte lost uiteindelijk geen problemen op. Dit standpunt is schadelijk voor de rechtszekerheid wereldwijd en leidt tot zowel onder- als overhandhaving, niet noodzakelijkerwijs in een betrouwbaar patroon.”

Je kunt ook proberen om cyberspace in te delen langs dezelfde grenzen als de echte wereld, maar zo’n ‘territorialisering’ gaat gepaard met aanzienlijke economische, wetenschappelijke en sociale kosten. Die vindt een aantal landen wellicht acceptabel, maar vele niet

De discussie focust, vindt hij, vaak op het verbeteren van de werkbaarheid van territoriale jurisdictie, maar dit levert geen oplossingen. De structuur van het internet blijft immers haaks staan op de traditionele opvattingen plaatsen en grenzen die wetgeving bepalen. Bovendien loopt overleg hierover steeds vast.

Zoetekouw hangt dus geen van de drie stromingen aan.

Soevereniteit aangrijpen

Zoetekouw concludeert dat dit als een probleem van jurisdictie wordt behandeld, maar dat is het uiteindelijk niet. Het gaat eigenlijk over soevereiniteit, de ultieme laatste beslismacht van een staat binnen zijn eigen grondgebied. Staten zijn niet bereid tot het opgeven van die ultieme beslismacht, evenmin met opsporing.

Maar soevereiniteit, of de vorm daarvan, is niet in steen gebeiteld, maar kan zich aanpassen aan de maatschappelijke eisen van de tijd. Nu ligt de nadruk op specifieke rechten en privileges van staten zoals het recht op non-interventie. Echter, de plichten die soevereine staten hebben blijven soms onderbelicht.

Staten zijn bijvoorbeeld aan hun burgers bescherming verschuldigd, ook tegen grensoverschrijdende schade. Ze mogen daartoe zelfs soms unilaterale maatregelen nemen. (Het recht van Oekraïne om in Rusland aan te vallen is een uitstekend voorbeeld hiervan!).  

Daar kun je te ver in gaan. Soms zetten staten soevereiniteitsbezwaren opzij om de eigen burgers te beschermen. Ze overschrijden dan letterlijk en figuurlijk grenzen om (digitale) boeven op te sporen Amerikaanse diensten als FBI, NSA en CIA zijn daarvan goede voorbeelden. Maar dat is meestal illegaal.

De CCCOE produceerde de Tallinn Manual 1.0 en 2.0 en werkt aan 3.0 om de Nato-landen en partners handvatten en regels te bieden voor cyberoorlog en, sinds 2.0, bij het bestrijden van cybermisdaad. Deze experts hebben vastgesteld - als een kwestie van lex lata - dat cyberspace de soevereiniteit zoals wij die kennen niet terzijde schuift. Als gevolg daarvan mag een staat geen operaties in of door cyberspace uitvoeren die de soevereiniteit van een andere staat schenden.

Tegelijk moeten staten zorgdragen dat schadelijk gedrag vanuit hun grondgebied geen schade aanricht in andere staten. Zoetekouw parafraseert het Tallinn Manual 2.0: “Staten moeten de nodige zorgvuldigheid betrachten om niet toe te staan dat hun grondgebied of cyberinfrastructuur onder hun overheidscontrole wordt gebruikt voor cyberoperaties (waaronder criminele activiteiten vallen) die de rechten van andere staten aantasten en ernstige nadelige gevolgen voor hen hebben.”

Dit heet (internationaalrechtelijke) due diligence, een intrigerend principe, maar lastig in de praktijk te brengen. Want hoe bewijs je dat een territoriale staat zijn zorgvuldigheidsverplichtingen niet is nagekomen? Het begint immers al met het verlies van kennis van de locatie; welke staat handelt niet waar dat wel had gemoeten? En was de nalatigheid bewust?

Zoetekouw komt tenslotte met een voorstel: om beperkte eenzijdige grensoverschrijdende operaties mogelijk te maken, maar alleen om de verloren kennis van de locatie van sporen van een misdaad te herstellen. Daarvoor is het nodig dat landen de schending van soevereiniteit erkennen die ze plegen als ze die kennis proberen te herstellen. Als ze enkel de locatie willen traceren, kunnen ze een beroep doen op de nieuwe uitzondering die Zoetekouw voorstelt:  'lokalisatie te goeder trouw'.

Dat moet uiteraard zorgvuldig gebeuren. Essentieel is dat de schending van soevereiniteit door de opsporende staat tijdelijk is. Met de ‘knowledge of location’ hersteld moet de de territoriale staat  de beslissingsmacht terug krijgen. Deze besluit wat te doen met aangetroffen bewijs.

Zoetekouw noemt openheid als essentieel onderdeel van zijn voorstel. De momenteel al toegepaste unilaterale grensoverschrijdende operaties (bijvoorbeeld door de FBI) worden verborgen gehouden voor het publiek en voor andere staten. Logisch, want illegaal. Dus sta je lokalisering als uitzondering toe, dan moet dat niet stiekem plaatsvinden.

Is het voorstel van het proefschrift reëel? Wordt er internationaal overleg over gepleegd? Zoetekouw: “Het voorstel is in die zin reëel dat landen vroeger of later tot de conclusie zullen komen dat doorgaan zoals nu geen reëele optie meer is; dat dit voorstel misschien wel de minst slechte oplossing is die nog over is”