Bijlagen bij COM(2000)890 - Informatiemaatschappij veiliger maken door de informatie-infrastructuur beter te beveiligen en computercriminaliteit te bestrijden - eEurope 2002 - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2000)890 - Informatiemaatschappij veiliger maken door de informatie-infrastructuur beter te beveiligen en computercriminaliteit te ... |
|---|---|
| document | COM(2000)890   |
| datum | 26 januari 2001 |
Traditionele netwerkexploitanten, in het bijzonder degenen die spraakdiensten aanbieden, hebben in het verleden een bepaalde samenwerking ontwikkeld met rechtshandhavingsinstanties om het legaal aftappen van berichten mogelijk te maken. De liberalisatie van de telecommunicatiemarkt en de explosieve toename van het gebruik van internet hebben vele nieuwkomers naar de markt gelokt, voor wie de aftapvoorwaarden nieuw zijn. Vragen betreffende voorschriften, technische uitvoerbaarheid, verdeling van kosten en commerciële gevolgen moeten worden besproken in een dialoog tussen de overheid en het bedrijfsleven, waarbij ook alle andere partijen zijn betrokken, inclusief de instanties die toezicht houden op de gegevensbescherming.
De nieuwe technologie maakt het voor de lidstaten noodzakelijk om samen te werken om hun mogelijkheden voor het legaal aftappen van telecommunicatieverkeer te behouden. De Commissie is van mening dat nieuwe technische aftapeisen die door de lidstaten aan telecommunicatie-exploitanten en internet service providers worden gesteld, internationaal moeten worden gecoördineerd, om verstoring van de interne markt te voorkomen, om de kosten voor het bedrijfsleven zo laag mogelijk te houden en om ervoor te zorgen dat de voorschriften inzake privacy- en gegevensbescherming worden nageleefd. De standaarden moeten voor zover mogelijk open en doorzichtig zijn en mogen de communicatie-infrastructuur niet aantasten.
In het kader van de Overeenkomst betreffende wederzijdse rechtshulp in strafzaken tussen de lidstaten van de Europese Unie [41] zijn afspraken gemaakt om samenwerking op het gebied van het legaal aftappen te vergemakkelijken [42]. De overeenkomst bevat bepalingen over het aftappen van telefoonverkeer via de satelliet, [43] en over het aftappen van telecommunicatieverkeer van een persoon die zich op het grondgebied van een andere lidstaat bevindt. [44] De Commissie denkt dat de aftapregels die in de Overeenkomst betreffende de wederzijdse rechtshulp zijn vervat, het maximum is dat op dit moment haalbaar is. De tekst van de overeenkomst is technologisch neutraal; de praktijk moet uitwijzen hoe de overeenkomst werkt, voordat eventuele verbeteringen kunnen worden overwogen. De Commissie zal de tenuitvoerlegging van de overeenkomst evalueren met de lidstaten, het bedrijfsleven, de gebruikers en instanties die toezicht houden op de gegevensbescherming, om ervoor te zorgen dat initiatieven op dat gebied doeltreffend, transparant and evenwichtig zijn.
[41] PB C 197 van 12.7.2000 Deze overeenkomst werd goedgekeurd op 29 mei 2000. De bepalingen inzake het aftappen van telecommunicatie van deze overeenkomst gelden alleen voor de lidstaten van de Europese Unie, niet voor derde landen.
[42] In de Overeenkomst zijn minimumwaarborgen opgenomen voor de bescherming van de persoonlijke levenssfeer en van persoonsgegevens.
[43] Oorspronkelijk waren de onderhandelingen bedoeld om de mogelijkheid te scheppen telefoonverkeer af te tappen van personen die via de satelliet vanuit de aftappende lidstaat communiceren. Technisch gezien is het grondstation van de satelliet echter het punt waar dit verkeer moet worden afgetapt. Daarom zou technische bijstand moeten worden gevraagd van de lidstaat waar het grondstation is gevestigd. De overeenkomst biedt daartoe twee mogelijkheden: een versnelde procedure voor wederzijdse rechtshulp waarin de lidstaat van het grondstation voor elk geval afzonderlijk om bijstand moet worden verzocht, en een technische oplossing op basis van toegang op afstand van de aftappende lidstaat tot het grondstation, waarvoor geen afzonderlijke verzoeken nodig zijn.
[44] De overeenkomst vormt tevens een wettelijk kader voor verzoeken om telecommunicatieverkeer van iemand op het grondgebied van een andere lidstaat (de aangezochte lidstaat) af te tappen. In dat geval moet zowel de aftappende als de aangezochte lidstaat een aftapbevel volgens de nationale wetgeving aanvragen. Tenslotte bevat de overeenkomst regels voor situaties waarin de aftappende lidstaat de mogelijkheid heeft het telecommunicatieverkeer van een persoon op het grondgebied van een andere lidstaat af te tappen zonder technische bijstand te hoeven vragen van die lidstaat.
Oneigenlijk, onzorgvuldig gebruik van aftapfaciliteiten, zeker op internationaal niveau, zal leiden tot protesten vanuit het oogpunt van de mensenrechten en het vertrouwen van de burgers in de informatiemaatschappij ondermijnen. De Commissie is ernstig bezorgd over berichten betreffende het vermoeden van misbruik van aftapfaciliteiten. [45]
[45] In het Europees Parlement is een openbare hoorzitting gehouden over een lang en uitvoerig gedocumenteerd verslag van de heer Campbell over een aftaptienetwerk met de naam ECHELON (http://www.gn.apc.org/duncan/stoa_cover.htm). In het verslag wordt beweerd dat ECHELON werd ontwikkeld voor nationale veiligheidsdoeleinden, maar ook werd gebruikt voor industriële spionage. Het Europees Parlement heeft een tijdelijke commissie opgericht die zich over dit onderwerp zal buigen en binnen een jaar een verslag zal voorleggen aan de voltallige vergadering .
5.2. Het bewaren van verkeersgegevens
Bij het onderzoeken en vervolgen van strafbare feiten waarbij communicatienetwerken een rol spelen, met inbegrip van internet, maken rechtshandhavingsinstanties vaak gebruik van verkeersgegevens wanneer die, voornamelijk voor factureringsdoeleinden, zijn opgeslagen door service providers. Omdat de prijs van communicatie steeds minder afhankelijk wordt van afstand en bestemming en service providers opschuiven in de richting van uniforme tarieven, is het niet langer nodig verkeersgegevens te bewaren voor factureringsdoeleinden. Rechtshandhavingsinstanties vrezen dat daardoor gegevens die nuttig kunnen zijn voor strafrechtelijke onderzoeken verloren gaan, en pleiten ervoor service providers te verplichten gedurende een bepaalde minimumperiode verkeersgegevens te bewaren, zodat deze kunnen worden gebruikt voor rechtshandhavingsdoeleinden. [46]
[46] Daarbij gaat het ook om strafrechtelijke onderzoeken in gevallen die weliswaar geen verband houden met computers of communicatienetwerken, maar waarbij deze gegevens kunnen bijdragen aan de oplossing van het misdrijf.
Krachtens de EU richtlijnen betreffende de bescherming van persoonsgegevens, dat wil zeggen zowel krachtens de algemene beperkingen van Richtlijn 95/46/EG als volgens de meer specifieke bepalingen van Richtlijn 97/66/EG, moeten verkeersgegevens onmiddellijk na het verlenen van de telecommunicatiedienst worden gewist of anoniem gemaakt, tenzij ze noodzakelijk zijn voor de facturering. Voor telecommunicatiediensten die kosteloos of tegen uniform tarief toegankelijk zijn, mogen in beginsel geen verkeersgegevens worden bewaard.
Krachtens de EU-richtlijnen betreffende gegevensbescherming kunnen de lidstaten wettelijke maatregelen treffen ter beperking van de verplichting om verkeersgegevens te wissen indien dit noodzakelijk is voor, onder meer, het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het telecommunicatiestysteem. [47]
[47] Artikel 14 van Richtlijn 97/66/EG en artikel 13 van Richtlijn 95/46/EG.
Nationale wettelijke maatregelen waarin het bewaren van verkeersgegevens voor rechtshandhavingsdoeleinden is geregeld, moeten echter wel aan bepaalde voorwaarden voldoen: deze maatregelen moeten passend, noodzakelijk en evenredig zijn, zoals krachtens het Gemeenschapsrecht en het internationale recht is vereist, onder meer krachtens Richtlijn 97/66/EG, Richtlijn 95/46/EG, het Europees Verdrag tot bescherming van de rechten van de mens van 4 november 1950 en Het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens van 28 januari 1981. Dat is in het bijzonder van belang voor maatregelen die betrekking hebben op het routinematig bewaren van gegevens over een groot deel van de bevolking.
Sommige lidstaten nemen initiatieven op wetgevingsgebied om service providers te verplichten of toe te staan nadat de dienst is verleend, bepaalde categorieën verkeersgegevens te bewaren die niet nodig zijn voor de facturering, maar die nuttig kunnen zijn in strafrechtelijke onderzoeken.
Hoewel deze initiatieven qua werkingssfeer en vorm sterk uiteenlopen, zijn ze allemaal gebaseerd op de idee dat rechtshandhavingsinstanties over meer gegevens moeten kunnen beschikken dan het geval zou zijn indien service providers alleen gegevens zouden verwerken die strikt noodzakelijk zijn voor het verlenen van de dienst. De Commissie onderzoekt deze maatregelen in het licht van het bestaande gemeenschapsrecht.
Het Europees Parlement is gevoelig voor privacy-kwesties en heeft zich in het algemeen voorstander getoond van een strenge bescherming van persoonsgegevens. In discussies over de bestrijding van kinderpornografie op internet heeft het Europees Parlement echter positief geadviseerd over een algemene verplichting om verkeersgegevens gedurende drie maanden te bewaren. [48]
[48] Wetgevingsresolutie houdende advies van het Europees Parlement inzake het ontwerp van gemeenschappelijk optreden, door de Raad aangenomen op grond van artikel K.3 van het Verdrag betreffende de Europese Unie, ter bestrijding van kinderpornografie op Internet, amendement 17 (PB C 219 van 30.7.1999, blz. 68).
Dit geeft aan hoe belangrijk de context is waarin wordt gesproken over een onderwerp dat zo gevoelig ligt als het bewaren van verkeersgegevens en laat zien dat het voor beleidsmakers niet eenvoudig is het juiste evenwichtig te vinden.
De Commissie is van mening dat de ingewikkelde kwestie van het bewaren van verkeersgegevens om goed gefundeerde oplossingen vraagt, waarbij evenredigheid voorop moet staan en een billijk evenwicht moet worden gevonden tussen de verschillende behoeften en belangen van de betrokkenen. Alleen als overheid, bedrijfsleven, instanties die toezicht houden op gegevensbescherming en gebruikers hun deskundigheid en hun capaciteiten bundelen, kan een aanpak worden ontwikkeld waarin deze strijdige belangen met elkaar kunnen worden verzoend. Het is zeer wenselijk dat alle lidstaten dezelfde aanpak hanteren, zodat deze doeltreffend en evenredig werkt en zodat wordt voorkomen dat zowel de rechtshandhavingsinstanties als de internetgemeenschap te maken krijgen met een lappendeken van technische en wettelijke voorschriften.
Er moet met nogal uiteenlopende belangen rekening worden gehouden. Enerzijds stellen instanties voor het toezicht op gegevensbescherming zich op het standpunt dat de doeltreffendste manier om onaanvaardbare risico's voor de bescherming van de persoonlijke levenssfeer te beperken, terwijl wordt erkend dat een doeltreffende wetshandhaving noodzakelijk is, erin bestaat dat verkeersgegevens in beginsel niet uitsluitend voor wetshandhavingsdoeleinden mogen worden bewaard. [49] Anderzijds zijn rechtshandhavingsinstanties van oordeel dat het in het belang van strafrechtelijke onderzoeken noodzakelijk is een minimum aan verkeersgegevens gedurende een bepaalde minimumperiode te bewaren.
[49] "Grootschalig verkennend of algemeen toezicht moet verboden zijn ...de doeltreffendste manier om onaanvaardbare risico's voor de bescherming van de persoonlijke levenssfeer te beperken, terwijl wordt erkend dat een doeltreffende wetshandhaving noodzakelijk is, bestaat erin dat verkeersgegevens in beginsel niet uitsluitend voor wetshandhavingsdoeleinden mogen worden bewaard en dat nationale wetten telecommunicatie-exploitanten, telecommunicatiediensten- en Internet service providers er niet toe mogen verplichten om verkeersgegevens langer bij te houden dan voor het opstellen van rekeningen noodzakelijk is". Aanbeveling 3/99 van de werkgroep gegevensbescherming van 7 september 1999; http:/europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.
Het bedrijfsleven heeft er belang bij mee te werken aan de bestrijding van criminaliteit zoals hacken en computerfraude, maar moet geen maatregelen opgelegd krijgen die onredelijk veel geld kosten. Elke maatregel moet zorgvuldig worden beoordeeld op zijn economische gevolgen, die moeten worden afgewogen tegen het effect van de maatregel op de bestrijding van cybercriminaliteit, om te voorkomen dat het gebruik van internet duurder en daardoor minder toegankelijk wordt voor de gebruikers. Verkeersgegevens die worden bewaard, moeten goed worden beveiligd.
Het bedrijfsleven kan in ieder geval een belangrijke bijdrage leveren aan het veiliger maken van de informatiemaatschappij. Gebruikers moeten erop kunnen vertrouwen dat de informatiemaatschappij veilig is en zich beschermd voelen tegen criminaliteit en inbreuken op hun privacy.
De Commissie steunt en stimuleert een constructieve dialoog tussen rechtshandhavingsinstanties, bedrijfsleven, gegevensbeschermingsautoriteiten, consumentenorganisaties en andere betrokken partijen. In het kader van het voorgestelde EU-forum (zie punt 6.4 van deze mededeling) zal de Commissie er bij alle betrokken partijen op aandringen zich in de eerste plaats te buigen over de ingewikkelde problematiek van het bewaren van verkeersgegevens, om gezamenlijk passende, evenwichtige en evenredige oplossingen te vinden, waarbij de fundamentele rechten op bescherming van de persoonlijke levenssfeer en van persoonsgegevens in acht worden genomen. [50] Op basis van de resultaten van deze werkzaamheden kan de Commissie beoordelen in hoeverre er wettelijke of andere maatregelen op EU-niveau moeten worden getroffen.
[50] Zoals verankerd in het Europees Verdrag tot bescherming van de rechten van de mens (artikel 8, recht op eerbiediging van het privé-leven), het EU-handvest van de grondrechten, het EG-Verdrag en de richtlijnen inzake gegevensbescherming.
5.3. Anonieme toegang en anoniem gebruik
Rechtshandhavingsdeskundigen hebben de vrees geuit dat anonimiteit kan leiden tot niet-aansprakelijkheid en daarom het pakken van bepaalde criminelen ernstig kan bemoeilijken. In sommige landen (niet in alle) is anoniem gebruik van mobiele telefonie mogelijk door middel van vooruit betaalde kaarten. Sommige service en acces providers, waaronder remailers en internetcafés, bieden de mogelijkheid anoniem toegang te krijgen tot en gebruik te maken van internet. Een bepaalde mate van anonimiteit wordt ook geboden door het systeem van dynamische Internetadressering, waarbij adressen niet permanent aan gebruikers worden toegewezen, maar slechts voor de duur van een bepaalde sessie.
In hun gesprekken met de Commissie hebben sommige vertegenwoordigers van het bedrijfsleven verklaard geen voorstander te zijn van volledige anonimiteit, deels met het oog op de eigen veiligheid, fraudebestrijding en netwerkintegriteit. De London Internet Exchange heeft richtsnoeren inzake de beste praktijken uitgebracht die hun nut in het Verenigd Koninkrijk reeds hebben bewezen. [51] Andere vertegenwoordigers van het bedrijfsleven en privacydeskundigen hebben echter verklaard dat zonder anonimiteit de grondrechten niet kunnen worden gewaarborgd.
[51] http://www.linx.net/noncore/bcp.
De gegevensbeschermingsgroep van artikel 29 heeft een aanbeveling uitgegeven over het anoniem gebruiken van internet. [52] Volgens de Groep vormt anonimiteit op internet een dilemma voor overheden en internationale organisaties. Enerzijds is de mogelijkheid om anoniem te blijven essentieel voor het handhaven van het recht op privacy en de vrijheid van meningsuiting in cyberspace. Anderzijds staat de mogelijkheid om on line te zijn en te communiceren zonder je identiteit prijs te geven, haaks op de initiatieven die worden ontwikkeld ter ondersteuning van andere belangrijke beleidsterreinen, zoals de bestrijding van illegale en schadelijke inhoud, financiële fraude of inbreuken op het auteursrecht. Dergelijke tegenstrijdige doelstellingen in het overheidsbeleid zijn natuurlijk geen nieuw verschijnsel. Bij de traditionele communicatiemogelijkheden, zoals brieven en pakketten, telefoon, krant, of radio- en televisie-uitzendingen, is een evenwicht gevonden tussen deze doelstellingen. De beleidsmakers van nu staan voor de taak om dit evenwicht, waarin de basisrechten zijn gewaarborgd terwijl evenredige beperkingen van deze rechten zijn toegestaan in een beperkt aantal specifieke gevallen, te handhaven in de huidige cyberspace-context. Daarbij spelen de mate waarin mensen anoniem on line kunnen communiceren en de beperkingen die daarvoor gelden, een cruciale rol.
[52] Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens. Aanbeveling 3/97 Anonimiteit op internet. Goedgekeurd door de Groep op 3 december 1997. http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.
In de slotverklaring van de ministersconferentie over wereldwijde informatienetwerken die van 6 tot 8 juli 1997 in Bonn werd gehouden, werd tot uitgangspunt genomen dat wanneer de gebruiker er off line voor kan kiezen anoniem te blijven, hij die keuzemogelijkheid on line ook moet hebben. Men is het er dus duidelijk over eens dat bij activiteiten met betrekking tot netwerken van dezelfde juridische basisbeginselen moet worden uitgegaan als op andere terreinen. Internet is geen anarchistisch getto waar de regels van de samenleving niet gelden. Evenzeer geldt echter dat de mogelijkheid waarover regeringen en overheidsorganen beschikken om de rechten van individuen te beperken en toezicht op potentieel onwettig gedrag uit te oefenen, op openbare netwerken niet groter mag zijn dan daarbuiten, in de off line-wereld. De vereiste dat beperkingen van fundamentele rechten en vrijheden naar behoren moeten worden gerechtvaardigd, noodzakelijk moeten zijn en evenredig moeten zijn ten opzichte van andere doelstellingen van het overheidsbeleid, moet ook in cyberspace gelden.
In de aanbeveling van de artikel 29-Groep wordt uitvoerig beschreven hoe dat in bepaalde gevallen kan worden bereikt (bijvoorbeeld voor e-mail, nieuwsgroepen, enz). [53] De Commissie is het met de standpunten van de Groep eens.
[53] http://europa.eu/int/comm/dg15/en/media/dataprot/wpdocs/index.htm.
5.4. Praktische samenwerking op internationaal niveau
In het recente verleden is bij wereldwijde gezamenlijke rechtshandhavingsoperaties, zoals Starburst en Cathedral tegen pedofiele netwerken, gebleken hoe waardevol gecoördineerd internationaal optreden door rechtshandhavingsinstanties en de rechterlijke macht is, zowel voor de uitwisseling van informatie in de voorbereidende fase als om te voorkomen dat andere leden van het netwerk worden gewaarschuwd bij arrestaties en inbeslagnemingen. Internet is ook een nuttig instrument gebleken voor politie- en douaneonderzoeken naar met behulp van de computer gepleegde traditionele strafbare feiten zoals vervalsing en smokkel. Anderzijds hebben deze operaties ook duidelijk gemaakt wat de belangrijkste juridische en operationele problemen waren voor rechtshandhavingsinstanties en de rechterlijke macht, zoals het voorbereiden van grensoverschrijdend bewijsmateriaal of rogatoire commissie, de identificatie van slachtoffers, en de rol van intergouvernementele politie-organisaties (met name Interpol en Europol).
Internationale netwerken voor de uitwisseling van informatie worden voor politie en douane steeds belangrijker voor de praktische internationale samenwerking.
In de G8 is al een praktische vorm van internationale samenwerking tot stand gebracht: er is een 24-uurs/7-dagen-per-week informatienetwerk van rechtshandhavingscontactpunten opgericht, dat ook al operationeel is. Het netwerk is voornamelijk bedoeld om snel te kunnen reageren op dringende verzoeken om samenwerking bij zaken waarin het gaat om elektronisch bewijs. Er is in een aantal gevallen al met succes gebruik van gemaakt. De JBZ-Raad heeft op 19 maart 1998 zijn goedkeuring uitgesproken over de 10 beginselen van de G8 ter bestrijding van hightech-criminaliteit en heeft de niet-G8 lidstaten van de EU verzocht zich aan te sluiten bij het netwerk. [54] Deze contactpunten moeten rechtstreeks samenwerken en vormen een aanvulling op bestaande communicatiekanalen en instrumenten voor wederzijdse bijstand. [55]
[54] Naast de G8-leden hebben zich tot nu toe vijf EU-lidstaten aangesloten bij het 24/7-netwerk.
[55] Op de wereldconferentie tegen de commerciële seksuele uitbuiting van kinderen van 28 augustus 1996 in Stockholm werd voorgesteld INTERPOL bij deze netwerken te betrekken. Het besluit van de Raad van de EU ter bestrijding van kinderpornografie op internet gaat ook uit van samenwerking met Europol op dit gebied.
In het ontwerpverdrag van de Raad van Europa is ook in de oprichting van zo'n netwerk voorzien. En ook in het besluit van de Raad ter bestrijding van kinderpornografie op internet en in het Gemeenschappelijk standpunt over het verdrag inzake cybercriminaliteit is sprake van een 24-uurs netwerk van contactpunten, [56] evenals in het besluit van de Raad tot goedkeuring van het G8- actieplan, [57] maar er zijn nog geen concrete initiatieven op EU-niveau ontwikkeld.
[56] Artikel 1, lid 4 van het Gemeenschappelijk standpunt: "De lidstaten moeten hun steun verlenen aan de vaststelling van bepalingen die de internationale samenwerking vergemakkelijken, waaronder bepalingen betreffende wederzijdse rechtsbijstand op zo groot mogelijke schaal. Het verdrag inzake cybercriminaliteit moet de snelle samenwerking vergemakkelijken waar het gaat om misdrijven op het vlak van of met behulp van computers. Deze vorm van samenwerking kan inhouden dat permanent toegankelijke contactpunten voor wetshandhaving worden opgezet, die de bestaande structuren voor wederzijdse bijstand aanvullen."
[57] Zie http://www.usdoj.gov/criminal/cybercrime/action.htm, en ook http://www.usdoj.gov/criminal/cybercrime/principles.htm.
De Commissie is van mening dat gezien de behoefte aan deskundigheid en snelle actie op dit gebied, de bedoelingen van de Raad onmiddellijk in de praktijk moeten worden gebracht. Voor het welslagen van zo'n netwerk is echter juridisch en technisch geschoold personeel nodig. Er moeten dus voldoende opleidingsmogelijkheden worden geboden.
Ook bij de douaneautoriteiten bestaat behoefte aan intensievere samenwerking en meer gegevensuitwisseling. Bestaande samenwerkingsvormen moeten worden uitgebreid en er moeten nieuwe wegen worden gevonden om gezamenlijk op te treden en informatie uit te wisselen. Met inachtneming van de voorschriften inzake gegevensbescherming, zijn steeds meer douaneautoriteiten ervan overtuigd dat er internationale netwerken moeten worden gevormd om de uitwisseling van gegevens te vergemakkelijken. Er is ook behoefte aan meer middelen op dit gebied, zowel om computersystemen aan te passen als om personeel op te leiden, zodat de douaneautoriteiten hun taken doeltreffender kunnen vervullen.
5.5. Bevoegdheden op het gebied van het procesrecht
Op nationaal niveau moeten rechtshandhavingsinstanties, als aan de in de wet verankerde voorwaarden is voldaan, snel genoeg in computers opgeslagen gegevens kunnen opsporen en in beslag nemen om te voorkomen dat bewijsmateriaal wordt vernietigd. Rechtshandhavingsinstanties vinden dat zij over voldoende dwangmiddelen moeten beschikken om binnen het kader van hun bevoegdheden computersystemen te raadplegen en gegevens in beslag te nemen, personen te bevelen bepaalde computergegevens over te leggen, de snelle bewaring van specifieke gegevens overeenkomstig de normale wettelijke waarborgen en procedures te gelasten of te verkrijgen. Momenteel zijn de waarborgen en procedures echter niet op elkaar afgestemd.
Er kunnen zich problemen voordoen wanneer rechtshandhavingsinstanties, wanneer zij zich toegang verschaffen tot een computer, constateren dat meerdere computers en netwerken in het hele land bij de zaak betrokken zijn. Maar de zaak wordt veel ingewikkelder wanneer rechtshandhavingsinstanties bij het raadplegen van een computer, of gewoon in de loop van een onderzoek, zich toegang verschaffen of moeten verschaffen tot gegevens die zich in een of meer andere landen bevinden. Dan staan er uiteenlopende belangen op het gebied van soevereiniteit, mensenrechten en rechtshandhaving op het spel, die met elkaar in evenwicht moeten worden gebracht.
De bestaande instrumenten voor internationale samenwerking in strafzaken, d.w.z. wederzijdse rechtshulp, bieden niet de juiste of onvoldoende mogelijkheden, omdat het meestal verschillende dagen, weken of maanden kost om ze toe te passen. Er moet een mechanisme komen waarmee landen snel en doeltreffend strafbare feiten kunnen onderzoeken en bewijsmateriaal kunnen verkrijgen, of waarmee tenminste wordt voorkomen dat belangrijk bewijsmateriaal in grensoverschrijdende rechtshandhavingsprocedures verloren gaat. Daarbij moeten nationale soevereiniteitsbeginselen, grondwettelijke rechten en mensenrechten, met inbegrip van de privacybescherming, in acht worden genomen.
In nieuwe voorstellen die momenteel in de Raad van Europa worden behandeld in het kader van het verdrag inzake cybercriminaliteit, is sprake van bevelen tot bewaring van gegevens in het belang van bepaalde onderzoeken. Andere punten, zoals grensoverschrijdende opsporing en inbeslagneming, vormen echter moeilijke en tot op heden onopgeloste beleidskwesties. Het is duidelijk dat er meer discussie nodig is tussen alle betrokken partijen voordat er concrete initiatieven kunnen worden genomen.
De subgroep voor hightech-criminaliteit van de G8 heeft zich over de problematiek van de grensoverschrijdende opsporing en inbeslagneming gebogen en, vooruitlopend op een permanentere overeenkomst, overeenstemming bereikt over voorlopige uitgangspunten [58]. Men overweegt vergelijkbare bepalingen op te nemen in het verdrag inzake cybercriminaliteit van de Raad van Europa. Daarvoor moeten echter belangrijke kwesties worden opgelost, die vooral te maken hebben met de vraag in welke situaties kan worden overgegaan tot snelle opsporing en inbeslagneming voordat de staat waarin dit plaatsvindt, wordt ingelicht, en moeten de nodige waarborgen dat de grondrechten in acht worden genomen, worden ingebouwd. In het Gemeenschappelijk standpunt over het verdrag van de Raad van Europa inzake cybercriminaliteit hebben de ministers dit open gelaten. [59]
[58] Communiqué van de ministersconferentie van de G8-landen over de bestrijding van grensoverschrijdende georganiseerde criminaliteit. Moskou, 19-20 oktober 1999 (zie
[59] PB L 142/2: "Onder voorbehoud van constitutionele beginselen en specifieke garanties om op passende wijze de soevereiniteit, de veiligheid, de openbare orde en andere wezenlijke belangen van andere staten te eerbiedigen, kan in uitzonderlijke gevallen een grensoverschrijdende computeropsporing voor een onderzoek naar een nader in het verdrag inzake cybercriminaliteit te omschrijven ernstig misdrijf worden overwogen, en in het bijzonder wanneer er spoed vereiste is, bijvoorbeeld wanneer dit nodig is (...) om misdrijven te voorkomen die de dood of ernstig lichamelijk letsel van een persoon tot gevolg kunnen hebben."
Bij grensoverschrijdende zaken op het gebied van computercriminaliteit zijn ook duidelijke regels nodig over welk land bevoegd is voor vervolging. Met name moet worden voorkomen dat geen enkel land bevoegd is. De hoofdregel in het ontwerpverdrag van de Raad van Europa luidt dat een staat bevoegd is wanneer het strafbare feit op zijn grondgebied of door een van zijn onderdanen is gepleegd. Indien meerdere staten de bevoegdheid opeisen, moeten de betrokken staten overleg plegen om te bepalen waar de bevoegdheid moet liggen. Veel zal echter afhangen van bilateraal of multilateraal overleg. De Commissie zal zich hier nader over buigen om te zien of er op EU-niveau verdere maatregelen nodig zijn.
De Commissie heeft deelgenomen aan de discussies in de Raad van Europa en in de G8, en kent de complexiteit van de problematiek op het gebied van het procesrecht. Maar samenwerking binnen de EU om cybercriminaliteit te bestrijden is van wezenlijk belang voor een veiliger informatiemaatschappij en voor de totstandbrenging van een ruimte van vrijheid, veiligheid en rechtvaardigheid.
De Commissie is voornemens om het overleg met alle betrokken partijen de komende maanden voort te zetten en op de reeds verrichte werkzaamheden voort te bouwen. Over deze problematiek zal ook worden gesproken in verband met de werkzaamheden van de Commissie op het gebied van de tenuitvoerlegging van de conclusies van de Europese Raad van Tampere van oktober 1999. Deze heeft de Commissie met name verzocht vóór december 2000 een programma goed te keuren ter uitvoering van het beginsel van wederzijdse erkenning van rechterlijke beslissingen. De Commissie heeft al een mededeling over de wederzijdse erkenning van definitieve beslissingen in strafzaken gepubliceerd. [60] Als onderdeel van haar bijdrage aan de tenuitvoerlegging van het deel van het programma dat betrekking heeft op aan het proces voorafgaande gerechtelijke bevelen, zal de Commissie, met het oog op de indiening van een wetgevingsvoorstel in het kader van Titel VI van het VEU, de mogelijkheden onderzoeken voor wederzijdse erkenning van aan het proces voorafgaande gerechtelijke bevelen in onderzoeken naar cybercriminaliteit.
[60] COM(2000)495, Brussel, 26.7.2000.
5.6. Bewijskracht van computergegevens
Ook als rechtshandhavingsinstanties toegang hebben gekregen tot computergegevens die strafbare feiten lijken te bewijzen, moeten zij deze in handen kunnen krijgen en authentiek verklaren, voordat ze bij strafrechtelijke onderzoeken en vervolgingen kunnen worden gebruikt. Dat is niet eenvoudig, gezien de vluchtige aard van elektronische gegevens en het gemak waarmee deze gemanipuleerd, vervalst, technologisch beschermd of verwijderd kunnen worden. De forensische informatica houdt zich bezig met deze problematiek, en richt zich op de ontwikkeling en het gebruik van wetenschappelijke protocollen en procedures voor het opsporen van computergegevens en het analyseren en het handhaven van de authenticiteit van de verkregen gegevens.
Op verzoek van deskundigen van de G8 zal de Internationale organisatie inzake computerbewijs (IOCE) aanbevelingen voor standaarden opstellen, waarbij gemeenschappelijke definities en identificatiemethoden en -technieken worden ontwikkeld en een gemeenschappelijk formaat voor gerechtelijke verzoeken wordt opgesteld. De EU moet deelnemen aan deze werkzaamheden, zowel op het niveau van de in onderzoek naar computercriminaliteit gespecialiseerde instanties van de lidstaten als via O&O dat wordt gesteund door het 5e kaderprogramma (IST-programma).
6. Niet-wetgevende maatregelen
Toepasselijke wetgeving is nodig, zowel op nationaal als op internationaal niveau, maar op zichzelf niet voldoende om computercriminaliteit en misbruik van netwerken doeltreffend te bestrijden. Ter aanvulling van de wettelijke maatregelen moeten ook een aantal bijkomende, niet-wetgevende voorwaarden worden geschapen. De meeste daarvan worden vermeld in de aanbevelingen van de COMCRIME-studie, de G8 hebben ze voorgesteld in het 10-punten actieplan van de G8, en ze kregen brede steun van alle betrokkenen in het informele overleg dat aan deze mededeling is voorafgegaan. Het gaat om:
* de oprichting van speciale in computercriminaliteit gespecialiseerde politie-eenheden op nationaal niveau, waar die nog niet bestaan;
* verbetering van de samenwerking tussen de rechtshandhavingsinstanties, het bedrijfsleven, consumentenorganisaties en gegevensbeschermingsautoriteiten;
* bevordering van initiatieven vanuit het bedrijfsleven en vanuit de gemeenschap, bijvoorbeeld op het gebied van veiligheidsproducten.
In dit verband blijft encryptie waarschijnlijk een belangrijk punt. Encryptie is een essentieel instrument om het verstrekken en aannemen van nieuwe diensten, zoals elektronische handel, te vergemakkelijken en kan een wezenlijke bijdrage leveren aan criminaliteitspreventie op internet. De Commissie heeft haar beleid op het gebied van encryptie uiteengezet in haar mededeling over veiligheid van en vertrouwen in elektronische communicatie van 1997 [61], waarin zij verklaarde dat zij zou proberen alle beperkingen van het vrije verkeer van encryptieproducten binnen de Europese Gemeenschap op te heffen. In de mededeling verklaarde de Commissie tevens dat binnenlandse beperkingen van het vrije verkeer van encryptieproducten in overeenstemming moeten zijn met het Gemeenschapsrecht en dat zij zal nagaan of deze nationale restricties gerechtvaardigd en evenredig zijn in het licht van de verdragsbepalingen inzake vrij verkeer, de jurisprudentie van het Hof van Justitie en de voorwaarden van de richtlijnen inzake gegevensbescherming. Dat neemt niet weg dat de Commissie inziet dat encryptie rechtshandhavingsinstanties ook voor nieuwe en moeilijke problemen stelt.
[61] COM (97)503.
De Commissie is daarom blij met de onlangs goedgekeurde herziene verordening inzake goederen voor tweeërlei gebruik, die in belangrijke mate bijdraagt tot een grotere beschikbaarheid van encryptieproducten, waarbij zij tegelijkertijd erkent dat dit moet samengaan met een betere dialoog tussen gebruikers, bedrijfsleven en rechtshandhavingsinstanties. De Commissie probeert aan de verbetering van deze dialoog op EU-niveau bij te dragen door middel van het EU-Forum voor hightech-criminaliteit. Wanneer in de gehele EU beveiligingsproducten beschikbaar zijn, zoals goede encryptieproducten, waar nodig erkend op basis van daartoe overeengekomen criteria, bevordert dat zowel de mogelijkheden op het gebied van criminaliteitspreventie als het vertrouwen van de gebruikers in de processen die zich afspelen in de informatiemaatschappij.
6.1. Gespecialiseerde eenheden op nationaal niveau
Vanwege de technische en juridische complexiteit van bepaalde met de computer verband houdende strafbare feiten, is het van essentieel belang dat op nationaal niveau gespecialiseerde eenheden worden opgezet. Deze gespecialiseerde eenheden, met deskundig, multidisciplinair (rechtshandhaving en rechterlijke macht) personeel, moeten over voldoende technische faciliteiten beschikken en optreden als snelle contactpunten die:
* snel reageren op verzoeken om informatie over veronderstelde strafbare feiten. Er moet een gemeenschappelijk formaat worden ontwikkeld voor de uitwisseling van dergelijke informatie, hoewel uit discussies van deskundigen van de G8 is gebleken dat dat geen eenvoudige opgave is, gezien de verschillen in nationale juridische culturen;
* nationaal en internationaal functioneren als rechtshandhavings-contactpunt voor hotlines [62] die klachten van internetgebruikers ontvangen over illegale inhoud;
[62] Tot nu toe beschikt slechts een beperkt aantal landen over hotlines. Voorbeelden daarvan zijn Cybertipline in de VS en Internet Watch Foundation (IWF) in het VK, dat sinds dec. 1996 een telefonische- en een e-mailhotline voert, waarop het publiek kan melden dat zij materiaal op internet zijn tegengekomen dat zij illegaal achten. De IWF beoordeelt of dat inderdaad het geval is en licht vervolgens de internet service providers en de politie in. Ook in andere landen bestaan controleorganen, bijvoorbeeld in Noorwegen (Redd Barna), Nederland (Meldpunt), Duitsland (Newswatch, FSM en Jugendschutz), Oostenrijk (ISPAA) en Ierland (ISPAI). In het kader van het EU-Daphneprgrogramma, loopt bij Childnet International momenteel een project dat rechtstreeks verband houdt met deze problematiek ("International Hotline Providers in Europe Forum"). De deskundigen van de UNESCO die in januari 1999 in Parijs bijeenkwamen, toonden zich ook voorstander van nationale hotlines en van de oprichting van netwerken van hotlines of van een internationale "elektronische wachttoren".
* gespecialiseerde computeronderzoekstechnieken ontwikkelen en/of verbeteren gericht op het opsporen, onderzoeken en vervolgen van computercriminaliteit;
* dienst doen als kenniscentrum op het gebied van cybercriminaliteit, waar goede praktijken en ervaringen kunnen worden uitgewisseld.
Sommige EU-lidstaten hebben al dergelijke gespecialiseerde eenheden opgezet die zich specifiek bezighouden met computercriminaliteit. De Commissie vindt dat dit een taak van de lidstaten is en dringt er krachtig bij hen op aan stappen in die richting te zetten. De aanschaf van de nieuwste hard- en software voor deze eenheden en de opleiding van het personeel brengt aanzienlijke kosten met zich, waarover op het daartoe aangewezen regeringsniveau prioriteiten moeten worden gesteld en politieke besluiten moeten worden genomen. [63] De ervaring van reeds bestaande eenheden in de lidstaten kan bijzonder waardevol zijn. De Commissie zal de uitwisseling van dergelijke ervaringen sterk aanmoedigen.
[63] Voor de ervaring in de VS op dit gebied, zie Michael A. Sussmann "The Critical Challenges from International High-Tech and Computer-Related Crime at the Millennium", Duke Journal of Comparative and International Law, Deel 9, voorjaar 1999, blz. 464.
De Commissie is ook van mening dat Europol een bijdrage kan leveren op EU-niveau, in de vorm van coördinatie, analyse en andere bijstand aan de nationale gespecialiseerde eenheden. De Commissie zal daarom pleiten voor de uitbreiding van de opdracht van Europol, zodat cybercriminaliteit daar ook onder valt.
6.2. Gespecialiseerde opleiding
Er moeten grote inspanningen worden geleverd op het gebied van de continue, gespecialiseerde opleiding van de politiemensen en het gerechtelijk personeel. De technieken en mogelijkheden op het gebied van computercriminaliteit veranderen veel sneller dan die bij meer traditionele criminele activiteiten.
Sommige lidstaten hebben maatregelen getroffen om personeel van rechtshandhavingsinstanties te scholen op hightech gebied. Zij zouden de lidstaten die dat nog niet hebben gedaan, van advies kunnen dienen en kunnen begeleiden.
Met steun van door de Commissie beheerde programma's (met name STOP, FALCONE en GROTIUS) zijn al projecten opgezet om dat te bewerkstelligen, in de vorm van de uitwisseling van ervaringen en studiebijeenkomsten over gemeenschappelijke problemen waarmee de betrokken beroepsgroepen te maken krijgen. De Commissie zal voorstellen doen voor meer activiteiten op dit gebied, onder andere voor computer- en on line-opleidingen.
Europol heeft het initiatief genomen tot een opleidingsweek voor personeel van rechtshandhavingsinstanties in november 2000, waarin kinderpornografie centraal staat. Het thema van zo'n week zou kunnen worden uitgebreid tot computercriminaliteit in het algemeen. Ook Interpol is al een aantal jaren actief op dit gebied. De Interpol-activiteiten zouden kunnen worden uitgebreid zodat er meer cursisten kunnen deelnemen.
De G8 heeft initiatieven ontwikkeld voor het uitwisselen van ervaringen tussen rechtshandhavingsinstanties en het opzetten van gemeenschappelijke onderzoekstechnieken op basis van concrete gevallen. In de tweede helft van 2000 en het begin van 2001 wordt een nieuw opleidingsinitiatief verwacht. De EU-lidstaten die deel uitmaken van de G8 zouden de andere lidstaten deelgenoot kunnen maken van deze ervaringen.
Bij de bestrijding van kinderpornografie op internet zou het opsporen van slachtoffers en daders, het vaststellen van de aard van de strafbare feiten en het opleiden van gespecialiseerde politiemensen worden vergemakkelijkt als er een digitale centrale bibliotheek van kinderpornografische beelden op internationaal niveau zou worden opgezet en bijgehouden (die via internet toegankelijk moet zijn voor nationale ter zake gespecialiseerde rechtshandhavingseenheden, met inachtneming van de nodige regels en beperkingen op het gebied van toegang en privacybescherming). [64]
[64] Het "Excalibur"-project van de Zweedse nationale criminele inlichtingendienst, dat in het kader van het STOP-programma mede door de Europese Commissie werd gefinancierd, is een succesvol voorbeeld in dit verband. Dit project is opgezet in samenwerking met politiediensten in Duitsland, het VK, Nederland en België, en samen met Europol en Interpol uitgevoerd. Ook andere projecten, zoals die van het Duitse BKA ("Perkeo") en het Franse ministerie van Binnenlandse Zaken ("Surfimage", ook medegefinancierd in het kader van het STOP-programma) zijn goede voorbeelden.
6.3. Betere informatie en gemeenschappelijk regels voor het bijhouden van gegevens
Geharmoniseerde regels voor het bijhouden van gegevens door politie en justitie en goede instrumenten voor de statistische analyse van computercriminaliteit zouden het voor rechtshandhavingsinstanties en gerechtelijke autoriteiten gemakkelijker maken om de formele informatie over dit nog steeds veranderende gebied beter te bewaren, analyseren en beoordelen.
Uit het oogpunt van de particuliere sector gezien, zijn dergelijke statistieken nodig om de risico's goed te beoordelen en een kosten-batenanalyse te maken van het beheersen ervan. Dat is niet alleen belangrijk uit operationeel oogpunt (bijvoorbeeld om te besluiten welke beveiligingsmaatregelen nodig zijn), maar ook in verband met verzekeringen.
De database over de voorschriften op het gebied van computercriminaliteit, die deel uitmaakte van de COMCRIME-studie, wordt momenteel bijgewerkt en toegankelijk gemaakt voor de Commissie. De Commissie zal nagaan hoe de inhoud en de bruikbaarheid van deze database kunnen worden verbeterd (wetten, rechtszaken en literatuur opnemen).
6.4. Samenwerking tussen de verschillende betrokken partijen: het EU-Forum
Doeltreffende samenwerking tussen overheid en bedrijfsleven, binnen het wettelijk kader, wordt beschouwd als een essentieel aspect van elke vorm van overheidsbeleid ter bestrijding van computercriminaliteit. [65] Vertegenwoordigers van rechtshandhavingsinstanties geven toe dat zij niet altijd duidelijk genoeg hebben aangegeven wat zij verlangen van internet service providers. Vertegenwoordigers van het bedrijfsleven staan in het algemeen positief tegenover een betere coördinatie met rechtshandhavingsinstanties, waarbij zij benadrukken dat de bescherming van de fundamentele rechten en vrijheden van de burgers, met name het recht op privacy, [66] de noodzaak om criminaliteit te bestrijden en de economische lasten die de providers krijgen opgelegd, goed op elkaar moeten worden afgestemd.
[65] In het communiqué van 9/10 december 1997 over de beginselen en het 10-punten actieplan ter bestrijding van hightech-criminaliteit, verklaarden de ministers van Justitie en van Binnenlandse Zaken van de G8 dat het bedrijfsleven de wereldwijde netwerken ontwerpt, aanlegt en onderhoudt, en dus ook als eerste verantwoordelijk is voor het ontwikkelen van technische standaarden. En dus moet het bedrijfsleven volgens de G8 bijdragen aan de ontwikkeling en verspreiding van veiligheidssystemen waarmee het opsporen van computermisbruik, het bewaren van elektronisch bewijsmateriaal en het vaststellen van de verblijfplaats en identiteit van criminelen kunnen worden vergemakkelijkt. In het besluit van de EU ter bestrijding van kinderpornografie op internet wordt onderstreept dat de lidstaten een constructieve dialoog met het bedrijfsleden moeten voeren en moeten samenwerken door hun ervaringen uit te wisselen.
[66] Zoals beschreven in de EU-richtlijnen over gegevensbescherming, het mensenrechtenverdrag van de Raad van Europa en verdrag nr. 108 van de Raad van Europa voor de bescherming van personen in verband met de geautomatiseerde verwerking van persoonsgegevens, en nationale wetgeving op dit gebied.
Samen kunnen het bedrijfsleven en de rechtshandhavingsinstanties het publiek wijzen op de gevaren van criminelen op internet, de beste beveiligingspraktijken bevorderen en doeltreffende instrumenten en procedures voor de bestrijding van criminaliteit ontwikkelen. In een aantal lidstaten zijn al initiatieven op dit gebied ontwikkeld, waarvan het Internet Crime Forum in het VK waarschijnlijk het oudste en meestomvattende is. [67]
[67] Het Internet Crime Forum werd opgericht in 1997 en bestaat uit politieambtenaren, ambtenaren van Binnenlandse Zaken, gegevensbeschermingsambtenaren en vertegenwoordigers van de Internetsector; het Forum houdt 3-4 maal per jaar een plenaire vergadering en telt daarnaast een aantal permanente werkgroepen.
De Commissie juicht deze initiatieven toe en vindt dat ze in alle lidstaten moeten worden gestimuleerd. De Commissie is voornemens een EU-Forum op te richten waarin rechtshandhavingsinstanties, internet service providers, telecommunicatie-exploitanten, organisaties op het gebied van burgerlijke vrijheden, consumentenorganisaties, gegevensbeschermingsautoriteiten en andere belanghebbende partijen worden samengebracht om de samenwerking op EU-niveau zoveel mogelijk kracht bij te zetten. In eerste instantie gaat het daarbij om door de lidstaten aangewezen ambtenaren, technologiedeskundigen, privacy-deskundigen die door de Groep voor gegevensbescherming van artikel 29 worden aangewezen, en vertegenwoordigers van het bedrijfsleven en van de consumenten die in nauw overleg met bedrijfs- en consumentenorganisaties worden benoemd. In een later stadium zullen ook vertegenwoordigers van nationale initiatieven op dit gebied deel uitmaken van het Forum.
Het EU-Forum zal open en doorzichtig tewerk gaan, relevante documenten op een website toegankelijk maken en alle betrokken partijen om reacties vragen.
Het is de bedoeling dat het EU-Forum zich in het bijzonder gaat bezighouden met:
* het instellen, waar nodig, van 24-uurs contactpunten tussen overheid en bedrijfsleven;
* het ontwikkelen van een standaardformaat voor verzoeken om informatie van rechtshandhavingsinstanties aan het bedrijfsleven, waarbij rechtshandhavingsinstanties meer via internet moeten communiceren met internet service providers;
* het stimuleren van de ontwikkeling en/of de toepassing van gedragscodes en beste praktijken en het uitwisselen van dergelijke codes tussen het bedrijfsleven en de overheid [68]
[68] Voor zover het gaat om gedragscodes in de zin van artikel 27 van Richtlijn 95/46/EG (die bijvoorbeeld betrekking zouden kunnen hebben op onderwerpen die onder Richtlijn 97/66/EG vallen, zoals aftappen), zijn de Groep voor gegevensbescherming van artikel 29 en de nationale instanties die toezichthouden op gegevensbescherming, daarbij betrokken.
* het bevorderen van de uitwisseling van informatie over trends in hightech-criminaliteit tussen de verschillende partijen, met name tussen het bedrijfsleven en de rechtshandhavingsinstanties;
* de rechtshandhavingsaspecten bij de ontwikkeling van nieuwe technologie;
* het bevorderen van de verdere ontwikkeling van systemen voor vroegtijdige waarschuwing en crisisbeheersing, teneinde bedreigingen of ontwrichtende gebeurtenissen op informatie-infrastructuren te voorkomen, te achterhalen en op te lossen;
* het leveren, indien nodig, van extra deskundigheid bij lopende werkzaamheden in de Raad en andere internationale fora, zoals de Raad van Europa en de G8;
* het bevorderen van de samenwerking tussen de betrokken partijen, onder andere door gemeenschappelijk uitgangspunten van rechtshandhavingsinstanties, bedrijfsleven en gebruikers te formuleren (b.v. memoranda van overeenstemming, gedragscodes).
6.5. Maatregelen vanuit het bedrijfsleven
Bestrijding van computercriminaliteit is in het belang van de gemeenschap als geheel. Om consumenten vertrouwen te geven in de elektronische handel, moeten maatregelen om computercriminaliteit een vanzelfsprekend goed zakelijk gebruik zijn. Veel sectoren, zoals het bankwezen, de elektronische communicatiesector en de sector van creditcards en auteursrecht, alsmede hun klanten, zijn potentiële slachtoffers van computercriminaliteit. Ondernemingen beschermen vanzelfsprekend hun naam en handelsmerk, en hebben dan ook een taak op het gebied van fraudebestrijding. Bepaalde organisaties die de software- en audiosector vertegenwoordigen (zoals British Phonographic Industry - BPI) hebben teams die onderzoek doen naar piraterij (met inbegrip van internet-piraterij). In verschillende lidstaten hebben internet service providers telefoonlijnen opengesteld waar illegale en schadelijke inhoud op internet kan worden gemeld.
De Commissie steunt sommige van deze initiatieven door ze op te nemen in het O&O-kaderprogramma van de EU, het Internet-actieplan [69] en Programma's in het kader van titel VI, zoals STOP en DAPHNE.
[69] Meer informatie over het Internet-actieplan: Actieplan ter bevordering van een veiliger gebruik van Internet, beschikbaar op http://158.169.50.95:10080/iap/.
In het kader van het EU-Forum zullen goede praktijken op deze gebieden worden uitgewisseld.
6.6. Door de EU gesteunde OTO-projecten
In het OTO-Programma Technologieën van de informatiemaatschappij (IST), dat deel uitmaakt van het vijfde Kaderprogramma 1998 - 2002, ligt de nadruk op de ontwikkeling en het gebruik van vertrouwenwekkende technologie. Daaronder worden zowel informatie- als netwerkbeveiligingstechnieken verstaan, alsmede technische instrumenten en methoden om inbreuk op het fundamentele recht op bescherming van de persoonlijke levenssfeer en van persoonsgegevens en andere persoonlijke rechten tegen te gaan en computercriminaliteit te bestrijden.
Het IST-programma, en met name de werkzaamheden op het gebied van de informatie- en netwerkbeveiliging en andere technologieën ter versterking van het vertrouwen, in Kernactiviteit 2 - Nieuwe werkmethoden en elektronische handel, vormt het kader waarbinnen de vaardigheden en de technologie kunnen worden ontwikkeld om inzicht te krijgen in en oplossingen te vinden voor de problemen op het gebied van de preventie en de bestrijding van computercriminaliteit waarmee de nieuwe technologie gepaard gaat, en ervoor te zorgen dat op het niveau van de EU, op het niveau van virtuele gemeenschappen en op het niveau van het individu aan de beveiligings- en privacyeisen kan worden voldaan.
Eveneens in het kader van het IST-programma is een betrouwbaarheidsinitiatief ontwikkeld om problemen die verband houden met het vertrouwen in de informatiemaatschappij, zoals de preventie en bestrijding van computercriminaliteit, op te lossen. Dit initiatief moet vertrouwen kweken in de informatie-infrastructuur met zijn vele onderlinge verbindingen en in volkomen in netwerken ingebedde systemen, door mensen te wijzen op het belang van betrouwbaarheid en door het gebruik van betrouwbaarheidverhogende technologie te bevorderen. Internationale samenwerking is een belangrijk aspect van dit initiatief. In het kader van het IST-programma zijn contacten gelegd met het DARPA en de NSF en is, in samenwerking met het Amerikaanse ministerie van Buitenlandse Zaken, een gemeenschappelijke EG/VS task force voor de bescherming van essentiële infrastructuur opgericht, onder supervisie van de gemeenschappelijke adviesgroep van de overeenkomst tussen de EG en de VS inzake wetenschappelijke en technologische samenwerking. [70]
[70] Meer informatie over het IST-programma is te vinden op: http://www.cordis.lu/ist.
Het Gemeenschappelijk Centrum voor Onderzoek (GCO), dat het betrouwbaarheidsinitiatief van het IST-programma ondersteunt, zal zich, in overleg met andere betrokken partijen, inclusief Europol, vooral richten op de ontwikkeling van passende en geharmoniseerde maatregelen, indicatoren en statistieken. Dit om de illegale activiteiten, de geografische spreiding en de toename ervan en de doeltreffendheid van maatregelen ter bestrijding van deze activiteiten, in kaart te brengen en er meer inzicht in te verkrijgen. Waar nodig zal het GCO andere onderzoeksgroepen bij de werkzaamheden betrekken en voortbouwen op hun resultaten. Het Centrum zal een website opzetten en verslag uitbrengen aan het EU-Forum over de voortgang van de werkzaamheden.
7. Conclusies en voorstellen
Om computercriminaliteit te kunnen voorkomen en bestrijden moet aan een aantal voorwaarden worden voldaan:
* beschikbaarheid van preventieve technieken. Dit vereist een regelgevend klimaat waarin innovatie en onderzoek worden gestimuleerd. Soms is overheidsfinanciering nodig om de ontwikkeling en het gebruik van beveiligingstechnieken te steunen.
* bewustzijn van de potentiële veiligheidsrisico's en de manieren om die te beperken;
* passende materiële en procedurele wettelijke voorschriften, zowel voor binnenlandse als voor grensoverschrijdende criminele activiteiten. Nationaal materieel strafrecht moet breed en doeltreffend zijn, zodat ernstige met de computer verband houdende inbreuken strafbaar kunnen worden gesteld en sancties kunnen worden opgelegd, dubbele strafbaarheid kan worden voorkomen [71] en internationale samenwerking wordt vergemakkelijkt. Wanneer rechtshandhavingsinstanties om gegronde redenen binnen hun nationale bevoegdheden snel computergegevens moeten kunnen opsporen, in beslag nemen en kopiëren, om een bepaald geval van computercriminaliteit te kunnen onderzoeken, moet het procesrecht in deze mogelijkheid voorzien, met inachtneming van de beginselen en uitzonderingen van het Gemeenschapsrecht en het Europese Verdrag tot bescherming van de rechten van de mens. De Commissie denkt dat de afspraken over aftappen in het kader van de Overeenkomst betreffende de wederzijdse rechtshulp het maximum is dat op dit moment haalbaar is. De Commissie zal de tenuitvoerlegging van de overeenkomst voortdurend evalueren met de lidstaten, het bedrijfsleven en de gebruikers, om ervoor te zorgen dat initiatieven op dat gebied doeltreffend, transparant and evenwichtig zijn;
[71] Wanneer bij strafrechtelijke onderzoeken de bijstand van autoriteiten in een ander land is, zijn bepaalde vormen van wederzijdse rechtshulp en uitlevering vaak wettelijk gekoppeld aan de voorwaarde dat het gepleegde feit in beide landen strafbaar is.
* beschikbaarheid van voldoende goed opgeleid en goed uitgerust rechtshandhavingspersoneel. Nauwe samenwerking met internet service providers en telecommunicatie-exploitanten op opleidingsgebied zal verder worden aangemoedigd;
* betere samenwerking tussen alle betrokken partijen; gebruikers en consumenten, bedrijfsleven, rechtshandhavingsinstanties en instanties die toezicht houden op gegevensbescherming. Dit is van wezenlijk belang voor het onderzoeken van computercriminaliteit en het beschermen van de openbare veiligheid. Het bedrijfsleven moet met duidelijke regels en verplichtingen werken. De overheid moet erkennen dat de behoeften van de rechtshandhavingsinstanties lasten voor het bedrijfsleven met zich kunnen brengen en moet daarom in redelijkheid maatregelen treffen om deze lasten zoveel mogelijke te beperken. Tegelijkertijd moet het bedrijfsleven in de bedrijfsvoering rekening houden met de openbare veiligheid. Daarvoor zal in toenemende mate de actieve medewerking en steun van de individuele gebruiker en consument nodig zijn;
* voortdurende initiatieven vanuit het bedrijfsleven en vanuit de gemeenschap. Hotlines die al worden gebruikt voor het melden van illegale en schadelijke inhoud op internet, kunnen ook worden gebruikt voor andere soorten inbreuken. Zelfregulering van het bedrijfsleven en een multidisciplinair memorandum van overeenstemming moeten worden toegepast door zoveel mogelijk betrokken partijen en worden gebruikt om computercriminaliteit te helpen voorkomen en bestrijden en de alertheid en het vertrouwen te verhogen;
* de resultaten en de mogelijkheden van O&O moeten zoveel mogelijk worden benut. Het beleid zal erop gericht zijn de ontwikkelingen op het gebied van betaalbare en doeltreffende beveiligings- en andere vertrouwenwekkende technologie en de EU-beleidsinitiatieven op elkaar af te stemmen.
Wanneer maatregelen worden genomen op EU-niveau, moet daarbij echter rekening worden gehouden met het feit dat de kandidaat-landen geleidelijk moeten worden opgenomen in de samenwerkingsverbanden binnen en buiten de EU op dit gebied en dat moet worden voorkomen dat zij worden gebruikt als vrijhavens voor computercriminaliteit. Overwogen moet worden vertegenwoordigers van deze landen bij sommige of alle EU-vergaderingen hierover te betrekken.
De voorstellen van de Commissie kunnen als volgt worden onderverdeeld:
7.1. Wetgevingsvoorstellen
De Commissie zal op grond van Titel VI van het Verdrag betreffende de Europese Unie wetgevingsvoorstellen indienen:
* om de wetgevingen van de lidstaten op het gebied van kinderpornografie meer op elkaar af te stemmen. Dit initiatief zal deel uitmaken van een pakket voorstellen over seksuele uitbuiting van kinderen en mensenhandel, zoals de Commissie heeft aangekondigd in haar mededeling over mensenhandel van december 1998. Zo'n voorstel sluit goed aan bij de wens van het Europees Parlement om het Oostenrijkse initiatief voor een besluit van de Raad over kinderpornografie om te zetten in een kaderbesluit dat de onderlinge afstemming van wetgeving vereist. Dit is eveneens in overeenstemming met de conclusies van Tampere en met de EU-strategie voor het nieuwe millennium ter bestrijding van de georganiseerde criminaliteit. Dit maakt al deel uit van het scorebord voor de totstandbrenging van een ruimte van vrijheid, veiligheid en rechtvaardigheid.
* om het materiële strafrecht op het gebied van hightech-criminaliteit meer op één lijn te brengen. Daarbij gaat het onder meer om strafbare feiten die verband houden met hacking, denial of service attacks. Voorts zal de Commissie onderzoeken welke maatregelen mogelijk zijn tegen racisme en vreemdelingenhaat op internet, teneinde een voorstel te formuleren voor een kaderbesluit van de Raad in het kader van Titel VI van het VEU over zowel off line- als on line-activiteiten op het gebied van racisme en vreemdelingenhaat. Ook het probleem van de illegale drugshandel via internet zal worden onderzocht.
* om het wederzijdse erkenningsbeginsel toe te passen op aan het proces voorafgaande gerechtelijke bevelen in verband met onderzoeken naar cybercriminaliteit en om met de computer verband houdende strafrechtelijke onderzoeken waarbij meer dan één lidstaat is betrokken, gemakkelijker te maken, waarbij de nodige waarborgen ten aanzien van de grondrechten worden ingebouwd. Dit voorstel sluit aan bij het ontwerpprogramma voor wederzijdse erkenningsmaatregelen, waarin wordt gezegd dat moet worden nagedacht over voorstellen inzake het overleggen en bevriezen van bewijsmateriaal.
Of er maatregelen, met name van wetgevende aard, moeten worden genomen met betrekking tot het bewaren van verkeersgegevens, zal door de Commissie onder meer worden beoordeeld aan de hand van de resultaten van de werkzaamheden van het EU-Forum op dit gebied.
7.2. Niet-wetgevende voorstellen
De volgende maatregelen worden voorgesteld:
* de Commissie zal een EU-Forum opzetten en voorzitten waarin rechtshandhavingsinstanties, internet service providers, netwerk-exploitanten, consumentenorganisaties en gegevensbeschermingsautoriteiten worden samengebracht om de samenwerking op EU-niveau te verbeteren, door het publiek te wijzen op de gevaren van criminelen op internet, goede praktijken voor IT-beveiliging te bevorderen, doeltreffende instrumenten en procedures te ontwikkelen ter bestrijding van computercriminaliteit en de verdere ontwikkeling van mechanismen voor vroegtijdige waarschuwing en crisisbeheersing te stimuleren. Dit zou een EU-variant zijn van soortgelijke succesvolle fora in bepaalde lidstaten. De Commissie zal de lidstaten die nog niet zulke fora hebben, aanmoedigen die op te zetten. Het EU-Forum zou de samenwerking tussen deze verschillende fora bevorderen en vergemakkelijken.
* de Commissie zal veiligheid en vertrouwen blijven bevorderen in het kader van het the eEurope-initiatief, het Internet Actieplan, het IST-programma en het volgende OTO-kaderprogramma. Zij zal daarbij streven naar een grotere beschikbaarheid van producten en diensten die voldoende veiligheid bieden, en door middel van een dialoog met alle betrokken partijen het gebruik van encryptie op grotere schaal bevorderen.
* de Commissie zal in het kader van de bestaande programma's steun blijven verlenen voor projecten die zijn gericht op de scholing van rechtshandhavingspersoneel op het gebied van hightech-criminaliteit, en op onderzoek op het gebied van forensische informatica.
* de Commissie zal overwegen geld beschikbaar te stellen voor de verbetering van de inhoud en de bruikbaarheid van de database over de nationale wetgeving van de lidstaten die de COMCRIME-studie heeft opgeleverd, en zal een studie laten verrichten om een beter beeld te krijgen van de aard en de omvang van computercriminaliteit in de lidstaten.
7.3. Werkzaamheden in andere internationale fora
De Commissie zal blijven toezien op de coördinatie tussen de lidstaten in andere internationale fora waarin wordt gesproken over cybercriminaliteit, zoals de Raad van Europa en de G8. De Commissie zal er in het bijzonder naar streven de onderhandelingen in de Raad van Europa over het verdrag inzake cybercriminaliteit spoedig af te ronden. Bij haar initiatieven op EU-niveau zal de Commissie volop rekening houden met de werkzaamheden die in andere internationale fora zijn verricht, en daarbij streven naar onderlinge afstemming binnen de EU.
* * * * *
FINANCIEEL MEMORANDUM
1. BENAMING VAN DE MAATREGEL
De informatiemaatschappij veiliger maken door de informatie-infrastructuur beter te beveiligen en computercriminaliteit te bestrijden.
2. BEGROTINGSPLAATS(EN)
B5-302
B5-820
B6-1110, B6-2111, B6-1210
3. RECHTSGRONDSLAG
Artikelen 95, 154 en 155 van het EG-Verdrag en artikelen 29 en 34 van het Verdrag betreffende de Europese Unie
4. OMSCHRIJVING VAN DE MAATREGEL
4.1 Algemene doelstelling
De Commissie zal een EU-forum oprichten en voorzitten waarin rechtshandhavingsinstanties, internet service providers, telecommunicatie-exploitanten, organisaties op het gebied van burgerlijke vrijheden, consumentenorganisaties, gegevensbeschermingsinstanties en andere betrokken partijen samenkomen om het wederzijds begrip en de samenwerking op EU-niveau te verbeteren. Het forum zal het publiek wijzen op de gevaren van criminelen op internet, de beste beveiligingsmethoden bevorderen, zoeken naar doeltreffende instrumenten en procedures om computercriminaliteit te bestrijden, en de verdere ontwikkeling van systemen voor vroegtijdige waarschuwing en crisisbeheer bevorderen. Het EU-Forum zal relevante documenten op een website toegankelijk maken.
4.2 Looptijd en verlenging
2001-2002. In 2002 zal worden bekeken of het forum moet worden voortgezet.
5. INDELING VAN DE UITGAVEN/ONTVANGSTEN
5.1 Niet-verplichte uitgaven
5.2 Gesplitste kredieten
6. AARD VAN DE UITGAVEN/ONTVANGSTEN
>RUIMTE VOOR DE TABEL>
7. FINANCIËLE GEVOLGEN
Wijze van berekening van de totale kosten van de maatregel (verhouding individuele/totale kosten)
DG INFSO: vergoeding van reiskosten voor de deelnemers aan de vergaderingen. Er zullen naar schatting 2 vergaderingen in 2001 worden gehouden en 3 in 2002. Per vergadering worden de reiskosten van 15 deskundigen vergoed. De gemiddelde kosten per persoon worden geraamd op 900 euro.
De kosten (zowel de specifieke als de personeelskosten) voor infrastructuur en administratieve en technische ondersteuning worden toegewezen in verhouding tot het aantal personeelsleden dat bij de desbetreffende activiteiten is betrokken. Bij de berekening van het budget voor studies is uitgegaan van 2 studies per jaar van elk ongeveer één man/maand.
8. MAATREGELEN TER BESTRIJDING VAN FRAUDE
Routinecontroles. Er zijn geen extra fraudebestrijdingsmaatregelen voorzien.
9. GEGEVENS KOSTEN-BATENANALYSE
9.1 Specifieke en kwantificeerbare doelstellingen; doelgroep
Bevordering van wederzijds begrip en samenwerking op EU-niveau tussen verschillende belangengroepen. Doelgroepen: rechtshandhavingsinstanties, internet service providers, telecommunicatie-exploitanten, organisaties op het gebied van burgerlijke vrijheden, consumentenorganisaties, gegevensbeschermingsinstanties en andere betrokken partijen.
9.2 Motivering van de maatregel
Het forum wordt opgericht om het wederzijds begrip en de samenwerking op EU-niveau tussen verschillende belangengroepen te verbeteren. Het forum zal het publiek wijzen op de gevaren van criminelen op internet, de beste beveiligingsmethoden bevorderen, zoeken naar doeltreffende instrumenten en procedures om computercriminaliteit te bestrijden, en de verdere ontwikkeling van systemen voor vroegtijdige waarschuwing en crisisbeheer bevorderen.
9.3 Follow-up en evaluatie van de maatregel
De Commissie zal de bijeenkomsten van het forum organiseren en voorzitten, en tevens deelnemen aan de discussies. De Commissie zal de bijbehorende website beheren. In 2002 zal worden bekeken of het forum in 2003 en daarna moet worden voortgezet.
10. ADMINISTRATIEVE UITGAVEN
De personeelsbehoeften zullen worden gedekt door de inzet van huidig personeel.
10.1 Gevolgen voor het aantal posten
>RUIMTE VOOR DE TABEL>
10.2 Totale financiële weerslag van de inschakeling van personeel
>RUIMTE VOOR DE TABEL>