The aim of this report is to analyze (aspects of) the use of Information and Communication Technology (ICT) in the context of Dutch criminal procedure. The questionnaire underlying this report generally deals with cyber crime. ‘Cyber crime’ is understood to cover criminal conduct that affects interests associated with the use of ICT, such as the proper functioning of computer systems and the internet, the privacy and integrity of data stored or transferred in or through ICT, or the virtual identity of internet users. The common denominator and characteristic feature of all cyber crime offences and cyber crime investigation can be found in their relation to computer systems, computer networks and computer data on the one hand and to cyber systems, cyber networks and cyber data on the other hand. Cyber crime covers offences concerning traditional computers as well as cloud cyber space and cyber databases. Although the background of the questionnaire is related to cyber crime as a topic of substantive criminal law, it would not be expedient to narrow the focus of this report to the (legal) aspects of ICT in the context of criminal procedure insofar as it deals with specifically this type of crime. ICT (in the context of criminal procedure) is too broad a phenomenon to limit this report to cyber crime.

The use of ICT in criminal procedure in order to tackle criminal offences can take various forms. Investigation in criminals’ computers will be made possible but, for instance, the interception of telecommunication, the access to a DNA-database and the use of ANPRsystems can be brought under the broad description of ICT too. Anno 2013, one has to conclude that not many aspects of criminal procedure are imaginable which are not to some extent connected to ICT. From this point of view, writing a report about the use of ICT in criminal procedure might basically come down to writing a report about criminal procedure itself. Since this could not reasonably be the aim of a national report on this topic, the questionnaire was followed strictly, in which the use of ICT in criminal procedure is somewhat narrowed down.

Lees verder:

• ICT in the context of criminal procedure: The Netherlands door T. Kooijmans & P.A.M.. Mevis (Tilburg University)

De politie heeft in Maastricht een 18-jarige student aangehouden vanwege een reeks computermisdrijven. Hij wordt verdacht van betrokkenheid bij het verspreiden van kwaadaardige software. Onderzocht wordt of deze zogenoemde malware computers van bankklanten heeft besmet.

Door gebruik te maken van  creditcard gegevens van derden zou hij ook tientallen aankopen via  internet in ontvangst hebben genomen, die hij via Marktplaats weer verkocht. De omvang van de die aan- en verkopen  bedraagt mogelijk duizenden euro’s .

De politie kwam de verdachte op het spoor in een onderzoek naar ransomware. Dat is een kwaadaardig virus waarbij computers worden geblokkeerd. De getroffen gebruikers krijgen een bericht op hun scherm dat afkomstig lijkt te zijn van de politie. Ze worden beschuldigd van computercriminaliteit en gesommeerd een boete te betalen.

Bij een doorzoeking van de ouderlijke woning van de 18-jarige is beslag gelegd op een computer, een tablet, usb-sticks en andere gegevensdragers, gsm’s, bankpassen, foto- en videocamera’s en ruim 18.000 euro contant geld.

De verdachte is deze week door de politie verhoord. Hij is zaterdagavond in vrijheid gesteld in afwachting van het verder verloop van het onderzoek.

Bron: OM

Als opsporingsinstanties op zoek zijn naar een verdachte kunnen ze gegevens opvragen bij online aanbieders. Als uit bankgegevens blijkt dat een verdachte online schoenen heeft gekocht kan de politie de opgegeven adresgegevens vorderen bij de desbetreffende webwinkel. Als blijkt dat de verdachte met behulp van een specifieke server strafbare feiten heeft gepleegd kunnen opsporingsinstanties gegevens vorderen bij een hostingdienst. Dit kan voor vervelende situaties zorgen.

• Kunnen opsporingsinstanties een server offline halen voor onderzoek? ICTRECHT.nl

Met het wetsvoorstel Computercriminaliteit III beoogt het Kabinet het voornemen om de toenemende bedreigingen op het gebied van computercriminaliteit het hoofd te bieden – zoals verwoord in het regeerakkoord ‘Bruggen slaan’ van het Kabinet PvdA en VVD –te vertalen in een aantal (aanvullende) strafrechtelijke voorzieningen. Daartoe worden bepaalde cybercrime-gerelateerde strafbepalingen aangescherpt en bepaalde cybercrime-gerelateerde opsporingsbevoegdheden verruimd.

Lees verder:

• Wetsvoorstel Computercriminaliteit III (Decryptiebevel en andere voorstellen), Straf(proces)recht globaal in detail

Meer weten over de nieuwe Wet Computercriminaliteit III en cybercrime? Kom op donderdag 14 november naar de Studiedag Cybercrime in Den Haag.

Tijdens deze studiedag wordt de ontwikkeling van computercriminaliteit besproken en een overzicht gegeven van de meest voorkomende delicten en hoe zij worden gepleegd. Het juridisch kader wordt uiteen gezet met toepasselijk internationaal, Europees en nationaal recht. Hier zal ook uitgebreid aandacht worden besteed aan toekomstige ontwikkelingen, zoals het Wetsvoorstel versterking aanpak computer- criminaliteit. Welke (grensoverschrijdende) opsporingsmogelijkheden bestaan er in een geautomati- seerde omgeving? Welke praktische problemen spelen er met betrekking tot jurisdictie en hoe wordt daarmee omgegaan? Ook zal uitgebreid aandacht worden besteed aan e-evidence als nieuwe vorm van bewijs in strafzaken en onderzoek in cyberspace.

Klik hier voor meer informatie.

Deze notitie, geschreven in opdracht van SURFnet, geeft een globaal overzicht van de strafrechtelijke aspecten van anti-botnetacties door SURFnet en bij SURFnet aangesloten instellingen. Hierin wordt de vraag beantwoord of en onder welke omstandigheden welke typen van anti-botnetacties strafbaar zouden kunnen zijn. De meeste anti-botnetacties die verder gaan dan pure beveiliging van de eigen systemen, maken inbreuk op de vertrouwelijkheid, integriteit of beschikbaarheid van computers of computergegevens van anderen. Deze acties zijn daarom snel te kwalificeren als aftappen en opnemen van communicatie, computervredebreuk, gegevensaantasting, computersabotage en heling van gegevens – gedragingen die in het Wetboek van Strafrecht strafbaar zijn gesteld wanneer ze opzettelijk en wederrechtelijk worden uitgevoerd. De kernvraag daarbij is wanneer een actie wederrechtelijk is.

Er valt niet in het algemeen te zeggen wanneer een anti-botnetactie wederrechtelijk is. Dat hangt af van veel factoren, zoals de contracten en gedragscodes die binnen SURFnet gelden, de stand van de techniek, de (mogelijke) schade door het botnet en de kosten van ingrijpen, (on)mogelijkheden van diverse actoren om in te grijpen, en hoe de maatschappij aankijkt tegen ingrijpen door private actoren in het kader van misdaadbestrijding in een Internetomgeving. Leidende beginselen zijn subsidiariteit (een actie moet de minst ingrijpende maatregel kiezen die geschikt is om het beoogde doel te bereiken) en proportionaliteit (de maatregel moet in verhouding staan tot het doel). Voor elk type actie, en in elke context, moet worden bekeken of het nodig is dat SURFnet of een aangesloten instelling deze actie uitvoert (in plaats van het over te laten aan politie, antivirusaanbieders of eindgebruikers), en of de bedreiging – de mogelijke of aangerichte schade – van het botnet de mate van ingrijpen in computers en gegevensstromen van anderen rechtvaardigt.

Omdat de maatschappelijke normen voor de aanvaarbaarheid van anti-botnetacties (dat wil zeggen of deze rechtmatig of wederrechtelijk zijn) nog sterk in ontwikkeling zijn, verdient het aanbeveling dat SURFnet richtlijnen opstelt voor anti-botnetacties, bij voorkeur na overleg met andere belanghebbende actoren. In elk geval kan SURFnet als netwerkaanbieder in de contracten met instellingen, en als dienstaanbieder in het opstellen van model-gedragscodes en integriteitscodes, tot op zekere hoogte zelf bepalen welke anti-botnetacties onder welke omstandigheden uitgevoerd kunnen worden binnen het SURFnet-netwerk. Voor acties die effect hebben op computers en gegevensstromen buiten het SURFnet-netwerk kan SURFnet, liefst samen met vergelijkbare private partijen, een gedragscode opstellen voor anti-botnetacties, die weliswaar geen bindende werking heeft maar wel de beoordeling door de rechter van de rechtmatigheid van de acties kan inkleuren.

Het Nederlandse strafrecht stelt daarbij wel grenzen aan anti-botnetacties, maar die grenzen zijn contextafhankelijk. Zorgvuldig overdachte, proportionele acties ter bestrijding van botnets hoeven niet strafbaar te zijn, en voor zover ze dat op papier wel zijn zullen ze in de praktijk vermoedelijk niet snel worden vervolgd.

Lees verder:

• Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: strafrechtelijke aspecten | Een expert opinion door prof.dr. Bert-Jaap Koops