Op 1 maart 2019 is de wet Computercriminaliteit III in werking getreden. De wet versterkt de mogelijkheden in de opsporing en vervolging van computercriminaliteit, door uitbreiding van bevoegdheden voor de politie en justitie én wijzigingen in het strafrecht. 

Wat is computercriminaliteit?

Computercriminaliteit, ook wel cybercrime, kent veel verschillende vormen. In de kern is het een vorm van criminaliteit gericht op ICT of op de informatie die een ICT-systeem verwerkt. Voorbeelden van cybercrime zijn DDoS-aanvallen, ransomware, phishing en internetoplichting. Uit cijfers van het CPB blijkt dat Nederlanders vaker slachtoffer zijn van een cyberdelict, dan van andere delictsvormen. In Computercriminaliteit III wordt met ‘computercriminaliteit’ bedoeld het plegen van strafbare feiten die gericht zijn op een geautomatiseerd werk, zoals computers, smartphones en routers, en strafbare feiten die met behulp van zo een geautomatiseerd werk worden gepleegd.

Hackbevoegdheid

Met de nieuwe wet heeft de politie een hackbevoegdheid gekregen. De politie mag op afstand geautomatiseerde werken, waaronder dus smartphones, routers en computers, binnendringen voor de opsporing van ernstige delicten. Hier is veel kritiek op geweest, onder andere vanuit privacyoverwegingen. Het is de politie nu namelijk toegestaan een apparaat te hacken dat bij de verdachte in gebruik is. Dit kan dus ook de computer of telefoon van een familielid of vriend zijn. Zo is er mogelijk niet alleen sprake van een inbreuk op de privacy van de verdachte, maar ook op die van anderen. Daarnaast vallen ook slimme apparaten, zoals slimme meters en andere ‘internet-of-things’-systemen, onder de definitie van een geautomatiseerd werk. De politie kan bij wijze van voorbeeld ook de slimme koelkast van een verdachte hacken.

Bij het inzetten van de hackbevoegdheid, is het heel aannemelijk dat de politie persoonsgegevens verwerkt. Denk bijvoorbeeld aan alle informatie op je telefoon waar de politie toegang toe kan krijgen. Hierbij dient opgemerkt te worden dat de Algemene Verordening Gegevensbescherming (AVG) niet van toepassing is. Op de verwerking van persoonsgegevens door politie en justitie is namelijk een ander wettelijk regime van toepassing. Of politie en justitie persoonsgegevens mogen verwerken ter uitvoering van hun taken, dient dan ook beoordeeld te worden aan de hand van deze wetten. (Zie ook de blog van collega Romy ter Beek over de Wpg).

De wet Computercriminaliteit III biedt verder zelf een aantal waarborgen om de privacyzorgen weg te nemen. Zo is de inzet van de hackbevoegdheid gebonden aan strikte voorwaarden. Er moet onder andere sprake zijn van een dringend onderzoeksbelang en er moet een machtiging zijn van de rechter-commissaris. Ook worden de handelingen van de betrokken onderzoekers gelogd, waardoor achteraf gecontroleerd kan worden of de onderzoekers zich aan de strikte voorwaarden hebben gehouden.

Strafbaarstelling overnemen en helen van niet-openbare gegevens

Met Computercriminaliteit III wordt het onrechtmatig overnemen van niet-openbare gegevens uit een geautomatiseerd werk strafbaar gesteld. Hierbij kun je denken aan het ongeoorloofd kopiëren van privéfoto’s, maar ook het stelen of overnemen van een klantenbestand van een bedrijf (zolang deze gegevens dus niet openbaar zijn). Let op dat hierbij ook sprake kan zijn van een datalek, wanneer persoonsgegevens bijvoorbeeld ongeoorloofd worden geopenbaard. Afhankelijk van de impact van dit datalek, moet een getroffen organisatie een melding doen bij de Autoriteit Persoonsgegevens en bij betrokkenen.

Verder wordt ook het ‘helen’ van niet-openbare gegevens strafbaar gesteld. Hiermee is dus niet alleen degene strafbaar die de gegevens heeft overgenomen. Ook degene die de gegevens downloadt, koopt of op een andere manier tot zijn beschikking krijgt en/of doorgeeft is strafbaar als hij wist of kon vermoeden dat de gegevens onrechtmatig zijn verkregen.

Met deze strafbaarstellingen is een aanvullende stap gezet in privacybescherming. Zo is vervolging nu mogelijk als er foto’s, bankrekeningnummers en allerlei andere niet-openbare gegevens worden overgenomen en op internet worden gezet.

Tot slot

Met de wet Computercriminaliteit III wordt het strafrecht dus verder gemoderniseerd en wordt de opsporing van cybercrime bevorderd. Hierbij zijn kritische noten geplaatst, met name met betrekking tot de bescherming van privacy bij het inzetten van de hackbevoegdheid door opsporingsdiensten. De strafbaarstelling van het overnemen en helen van niet-openbare gegevens is daarentegen een hele goede zaak in het kader van privacybescherming.

Wil je meer weten over Computercriminaliteit III, cybercrime en privacy, neem dan contact met ons op.