cr1me : sa men tegen cyber- MR. C.M. GERRITSMA -BREUR EN MR. M.A.M. VERVELD -SUIJKERBUIJK 1

Transcriptie

1

2 : sa men tegen cyber- cr1me MR. C.M. GERRITSMA -BREUR EN MR. M.A.M. VERVELD -SUIJKERBUIJK 1 Met een voortdurend groeiende afhankelijkheid van technologie neemt de kwetsbaarheid van de Nederlandse samenleving elke dag toe. Digitale spionage, overname van ICT via malware-infecties en manipulatie van informatie vormen op dit moment de grootste dreiging. 1 ICT-aanvallen nemen niet aileen toe, maar worden ook professioneler en geavanceerder. Voorbeelden zijn distributed denial-of-sevice (DDoS) aanvallen die sterker en langduriger worden en Advanced Persistent Threats, volhardende pogingen om een ICT-infrastructuur binnen te dringen om vervolgens heimelijk aanwezig te blijven. 2 De overheid investeert flink in de strafrechtelijke aanpak van cybercrime, in het bijzonder van High Tech Crime (HTC). HTC betreft bijzondere vormen van cybercrime waarbij ICT het doelwit is, relatief nieuwe, geavanceerde technieken en middelen worden gebruikt, het functioneren van de Nederlandse staat of samenleving in het geding is, of sprake is van 'high impact'. 3 Zo zal het Team High Tech Crime (THTC) van de Dienst Landelijke Recherche van de Nationale Politie in 2014 onder Ieiding van het Landelijk Parket twintig HTC-zaken kunnen draaien (tegenover zes zaken in 2012). 4 Hiervoor zal het THTC binnen drie jaar worden verviervoudigd. Het aantal incidenten dat jaarlijks als gevolg van cybercrime plaatsvindt, ligt vanzelfsprekend Nationaal Cyber Security Centrum, Cybersecuritybeeld Nederland (CSBN 3), Den Haag: CSBN 2013, p CSBN-3, p F. Bernaards LL.M, E. Monsma Msc., P. Zinn Msc., High Tech Crime. Crimina/iteitsbeeldanalyse 2012, Woerden: KLPD 2012, p. 12. High impact kan bestaan uit financieel-economische schade, inbreuk op de continu"iteit van bedrijfsvoering of inbreuk op het vertrouwen van burgers of consumenten. 4 Ministerie van Veiligheid en Justitie, De Nationale Cyber Security Strategie (NCSS). 5/agkracht door samenwerking, Den Haag 2011, p. 9. vee! hoger dan het politieke getal 'twintig'. Niet elk incident zal strafrechtelijk kunnen worden aangepakt. Bovendien is een strafrechtelijke aanpak geen garantie voor succes. De huidige technieken maken het vrij eenvoudig voor een verdachte om identiteit en herkomst te verhullen. En als een spoor kan worden gevonden, leidt dit dikwijls naar verdachten die in Ianden verblijven waarmee internationale strafrechtelijke samenwerking niet mogelijk is. Mede om die reden zoeken het Openbaar Ministerie (OM) en de politie in toenemende mate contact met andere overheidsinstanties en de private sector. Het contact tussen overheid en private sector ter bestrijding van cybercrime valt op dit moment uiteen in (i) samenwerkingsverbanden waarbinnen informatie wordt gedeeld en (ii ) wettelijke informatieplichten. Beide worden hierna besproken. De ervaringen binnen de samenwerkingsverbanden zijn positief, maar evenwel zien instellingen in de private sector zich door de wildgroei aan informatieplichten vaak tegen wil en dank als verlengstuk van de overheid; van hen wordt verwacht dat ze toezichthouder of OM over allerhande onderwerpen informeren. Een specifieke terugkoppeling van wat er met een melding is gedaan en van de inzichten die dankzij de melding zijn opgedaan, blijft doorgaans achterwege. Daardoor zijn de informatieplichten een last voor de private sector, terwijl het hen beperkt nieuwe inzichten oplevert. Verdergaande informatiedeling dan in dit artikel beschreven, wordt vaak gehinderd door een gebrek aan vertrouwen. 5 5 Zie bijvoorbeeld European Commission, Commission Staff Working document Impact Assessment bij Proposal for a Directive of the European Parliament and of the Council Concerning measures to ensure a high level of network and information security across the Union, SWD(2013) 16 SOU UITGEVERS I NUMMER 1, SEPTEMBER loll TIJDSCHRIFT ONDERNEMING & STRAFRECHT IN PRAKTIJK

3 1 + 1 = 3: SAMEN TEGEN CYBERCRIME De reele kans dat bedrijfsgevoelige informatie die eerder aan de overheid is verstrekt, op grond van de Wet openbaar bestuur bekend wordt gemaakt, leidt eveneens tot terughoudendheid bij informatiedeling. 6 Om cybercrime effectief te bestrijden, kunnen de private en publieke sectoren echter niet zonder elkaar. De private sector beschikt als beheerder van een groot deel van de Nederlandse ICT-infrastructuur over relevante informatie, bijvoorbeeld over incidenten en techniek. De publieke sector kan op zijn beurt de private sector voorzien van informatie over actuele dreigingen, waargenomen trends en modi operandi. Het delen van deze informatie kan leiden tot een betere beveiliging van de ICTinfrastructuur en opsporing en vervolging van cybercrime. kan worden gecontroleerd of de politie meldingen heeft ontvangen over een bepaalde (ver)koper op een handelssite of webshop. Ook kunnen slachtoffers melding en aangifte doen bij het LMI0. 11 Het LMIO stuurt een deel van de informatie uit de meldingen door naar Marktplaats zodat het waar mogelijk maatregelen kan treffen, waaronder het verwijderen van advertenties en het blokkeren van accounts. De gedeelde verantwoordelijkheid bij de bestrijding van computercriminaliteit wordt breed onderstreept De gedeelde verantwoordelijkheid bij de bestrijding van cybercrime wordt breed onderstreept' en ook de private sector erkent deze verantwoordelijkheid in toenemende mate. 8 Vanzelfsprekend kan ook private-private en publieke-publieke samenwerking bijdragen aan een effectieve bestrijding van cybercrime. In dit artikel bespreken wij mogelijkheden om samenwerking en informatiedeling ter bestrijding van cybercrime 9 te verbeteren. Daarbij richten we ons met name op de relatie tussen de private sector en het OM. Voorafgaand aan de bespreking van deze mogelijkheden bespreken we bestaande samenwerkingsverbanden en informatieplichten10 en het juridische kader waaraan OM en private sector zijn gebonden bij informatiedeling. Bestaande samenwerkingsverbanden De afgelopen jaren zijn diverse samenwerkingsverbanden opgericht om cybercrime integraal aan te pakken. Het Landelijk Meldpunt Internetoplichting (LMIO) is bijvoorbeeld een samenwerkingsverband tussen Marktplaats, het OM en de politie ter bescherming van het vertrouwen in de handel via internet door het treffen van preventieve maatregelen, adequate voorlichting en snelle gegevensuitwisseling in gevallen van fraude. Een van deze maatregelen is de introductie van een functie waarmee 32final. 6 Nationaal Adviescentrum Vitale lnfrastructuur (NAVI), Toe/ichting op de Leidraad uitwisseling van gevoelige informatie, Den Haag: NAVI 2009, p. 21 e.v. 7 Zie bijvoorbeeld European Commission, Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, Brussels JOIN(2013) 1 final, p. 4, Ministerie van Buitenlandse Zaken, Kamerbrief lnternationale Veiligheidsstrategie, 21 juni 2013 DVBND Het is de verwachting dat de noodzaak tot publiek-private samenwerking bij de aanpak van cybercrime zal worden benadrukt in de Nederlandse Cybersecurity Strategie 2013, die eind ditjaar verschijnt. 8 Zie bijvoorbeeld het Partnership for Cyber Resilience van het World Economic Forum waarbij organisaties als TNO, KPN, Alliander, Unilever en Schiphol Group zich aansloten. 9 Een aantal van de mogelijkheden kan ook worden ingezet ter bestrijding van andere vormen van criminaliteit. 1 0 Voor een goed beg rip van de positie van de private sector worden ook informatieplichten a an de toezichthouder besproken. De Electronic Crimes Taskforce (ECTF) is een samenwerkingsverband dat in 2011 is aangegaan door onder andere de drie grote banken van Nederland (ABN AMRO, ING, Rabobank), het OM en de politie. Begin dit jaar is ook SNS Bank aangesloten. De ECTF is opgericht om 'electronic crimes', met name digitale bancaire fraude veroorzaakt door phishing en banking rna/ware, effectiever te kunnen voorkomen en op te sporen. Binnen het samenwetkingsverband worden unieke en specifieke kennis, informatie en expertise gedeeld. Sinds mei 2012 is de ECTF betrokken bij meer dan twintig onderzoeken en zijn er meer dan honderd verdachten aangehouden. Het Landelijk Skimmingpoint (LSP) is een samenwerking tussen het OM, de politie en Equens, dat namens de Betaalvereniging Nederland deelneemt. Het LSP verzamelt alle gerapporteerde skimmingincidenten in Nederland en analyseert en combineert deze met de centraal opgeslagen bancaire informatie bij Equens. 12 Alle deelnemers profiteren van het verbeterde zicht op verschijningsvormen van skimming, criminele samenwerkingsverbanden, nieuwe trends en effecten van genomen maatregelen. Zo is zichtbaar geworden dat waar dankzij eerdere maatregelen het skimmen in winkels enorm is afgenomen, het fenomeen zich verplaatst naar onbemande betaal- en geldautomaten in de parkeersector en de onbemande benzinebranche. Deelnemers van het LSP kunnen zich hierop inspannen voor nieuwe, aanvullende maatregelen, zoals de Betaalvereniging dit heeft benoemd in de strategische prioriteiten voor Naast het verbeteren van de kennispositie van de private sector en de overheid, ondersteunt het LSP opsporingsonderzoeken van de politie en bereidt het opsporingsvoorstellen voor. 14 Vanuit de bredere invalshoek cyber security, dat de bestrijding van cybercrime raakt, speelt het Nationaal Cyber 11 Zie Opportuun, 2013 nr. 6, p M. Grapendaal, Skimmen, Verslag van een onderzoek voor het Nationaa/ dreigingsbeeld 2072, Zoetermeer: Dienst I POL, p. 17; Maatschappelijk Overleg Betalingsverkeer, Rapportage Maatschappe/ijk Overleg Betalingsverkeer 207 7, p Zie rollen-taken/strategi sche-prioriteiten-2013/. 14 Zie Opportuun, 2012 nr. 4, p. 6. TIJDSCHRIFT ONDERNEMING & STRAFRECHT IN PRAKTIJK SOU UITGEVERS I NUMMER 1, SEPTEMBER lo ll 17

4 Security Centrum (NCSC) een belangrijke rol. Het NCSC is in januari 2012 opgericht en heeft ten doe! gezamenlijk de weerbaarheid van de Nederlandse samenleving in het digitale domein te vergroten. Het NCSC valt onder de Nationaal Coordinator Terrorismebestrijding en Veiligheid van het ministerie van Veiligheid en Justitie en is gestoeld op publiek-private samenwerking. Het heeft geen toezichthoudende of opsporingsbevoegdheden. Diverse publieke partijen, waaronder het OM en de politie, zijn inmiddels aangesloten bij het NCSC en gaandeweg raken ook steeds meer private partijen betrokken. Zo zijn begin 2013 meerdere Information Sharing and Analysis Centers (ISACs ) aan het centrum gekoppeld: samenwerkingsverbanden waarbij deelnemers uit een bepaalde branche en bepaalde overheidspartijen een aantal keren per jaar bijeenkomen om in vertrouwen ervaringen en informatie uit te wisselen over cyber security. 15 Communicatie en vertrouwen vormen de basis van goede samenwerking. Daarvan is in de contacten tussen publieke en private sector nog niet altijd sprake Werkafspraken binnen samenwerkingsverbanden worden in het algemeen vastgelegd in de vorm van convenanten, reglementen of andere geheimhoudingsovereenkomsten. Deze afspraken zijn bindend tussen partijen, maar kunnen niet hoven de wet gaan. Bestaande informatieplichten private sector Naast de genoemde samenwerkingsverbanden geldt voor de private sector een aantal informatieplichten - dat in de nabije toekomst wordt uitgebreid - waardoor ogen en oren van de private sector kunnen worden ingezet voor de bestrijding van cybercrime en een adequate reactie op incidenten. a. Meldplichten vitale sectoren Voor een groot dee! van de sectoren die van essentieel belang zijn voor de Nederlandse infrastructuur gelden uiteenlopende meldplichten, zoals voor de financiele sector, de accountantssector, de elektriciteitssector, de gassector, de drinkwatersector, de sector waterkering, de sector beheersing van waterkwantiteit, de telecomsector, de luchtvaartsector, de havensector en de spoorsector. Zo geldt voor financiele ondernemingen, zoals banken, een verplichting incidenten die een ernstig gevaar vormen voor de integere bedrijfsvoering te melden aan de toezichthouder. 16 Een ander voorbeeld is de plicht die geldt voor netbeheerders binnen de elektriciteitssector om de veiligheid en betrouwbaarheid van het net te waarborgen. 17 De sectorale weten regelgeving kan veelal zowel strafrechtelijk als bestuursrechtelijk worden gehandhaafd. b. Aanglfteplicht Naast de meldplichten geldt in bepaalde situaties een aangifteplicht, bijvoorbeeld wanneer iemand kennis draagt van een door een ander veroorzaakte stoornis in een geautomatiseerd werk of enig werk voor telecommunicatie en daardoor levensgevaar is veroorzaakt (artikel 160 Wetboek van Strafvordering jo 161sexies lid 1 onder 3 Wetboek van Strafrecht). Ook wanneer een cyberincident een misdrijf tegen de veiligheid van de Staat oplevert, kan een aangifteplicht ontstaan. c. Toekomstige meldplichten Wetsvoorstellen die verband houden met cybercrime volgen elkaar in razend tempo op, zowel op nationaal als op Europees terrein. Op dit moment liggen voorstellen op tafel voor een meldplicht bij datalekken en bij ICTinbreuken. Meldplicht datalekken Het Nederlandse wetsvoorstel tot wijziging van de Wet bescherming persoonsgegevens (Wbp) bevat een meldplicht datalekken aan het College bescherming persoonsgegevens (CBP) in de situatie dat redelijkerwijs kan worden aangenomen dat een inbreuk op beveiligingsmaatregelen leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die worden verwerkt. De EU-conceptverordening bescherming persoonsgegevens bevat eveneens een meldplicht bij inbreuken in verband met persoonsgegevens. Deze laatste wijkt op diverse onderdelen af van het Nederlandse voorstel, onder meer wat betreft de termijn van melden en de situaties waarin moet worden gemeld. 1 s Meldplicht ICT-inbreuken Het conceptwetsvoorstel Wet melding inbreuken elektronische informatiesystemen verplicht vitale aanbieders van producten of diensten tot het melden aan het NCSC van daadwerkelijke inbreuken op de veiligheid of daadwerkelijk verlies van de integriteit van informatiesystemen waardoor de beschikbaarheid of betrouwbaarheid van het product of de dienst in belangrijke mate wordt of kan worden onderbroken. Het NCSC kan de verkregen informatie volgens het voorstel gebruiken om de door de inbreuk getroffen aanbieder bij te staan en informatie en advies te geven aan andere aanbieders, computercrisisteams of het publiek. Het NCSC kan volgens 15 Er zijn op dit moment elf 15ACs, waaronder een voor financiele instellingen, telecom, energie, zorg en multinationals. Zie / organisatie/samenwerkingspartners/isac/isacs.html. 16 Art. 12 lid 3 Besluit prudentiele regels Wet op het financieel toezicht en art. 19 lid 3, art. 2411d 3 en art. 291id 3 Besluit gedragstoezicht financiele ondernemingen Wet op het financieel toezicht. 17 Art. 16 Elektriciteitswet. 18 Zie voor een korte bespreking van de verschillen tussen de voorstellen M.A.M. Verveld-Suijkerbuijk, AJ.P. Tillema, 'Netwerk- en informatiebeveillging: ontwikkelingen in het regelgevende kader; Ondernemingsrecht 2013/ SDU UITGEVERS I HUMMER 1, SEPTEMBER 1013 T1JD5CHRIFT ONDERNEMING & STRAFRECHT IN PRAKTIJK

5 1 + 1 = 3: samen tegen cybercrime het voorstel geen sancties opleggen bij niet-naleving van de meldplicht. De meldplicht zal bestaan naast de meldplichten die binnen diverse vitale sectoren a! gelden (zie hiervoor). Op Europees terrein wordt op dit moment onderhandeld over de inhoud van een Europese conceptrichtlijn netwerk- en informatiebeveiliging. De conceptrichtlijn bevat eveneens een meldplicht bij inbreuken op informatiebeveiliging bij een 'bevoegde autoriteit' en staat de bevoegde autoriteit toe het publiek te informeren over een melding, of een meldingplichtige instellingen daartoe te verplichten. Het Nederlandse conceptwetsvoorstel en de conceptrichtlijn wijken van elkaar af, bijvoorbeeld wat betreft de bevoegdheden van de 'bevoegde autoriteit'/het NCSC en de instellingen die onder de meldplicht vallen. Voornoemde meldplichten zijn in elk geval in theorie een stap in de richting van publiek-private samenwerking. Juridisch kader informatiedeling a. Private sector De private sector client bij informatiedeling onder meer de Wbp, sectorspecifieke en/of beroepsmatige geheimhoudingsbepalingen en contractuele afspraken na te Ieven. Ook kunnen andere overwegingen een rol spelen bij het a! dan niet delen van informatie, zoals commerciele belangen of het gebrek van vertrouwen in de partij aan wie de informatie wordt verstrekt. Wbp De Wbp bepaalt dat een private partij slechts persoonsgegevens mag verwerken als daarvoor een wettelijke grondslag bestaat. Naast een wettelijke plicht kan ook de behartiging van het gerechtvaardigd belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt als wettelijke grondslag dienen, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. Persoonsgegevens mogen in elk geval slechts worden verwerkt voor zover ze accuraat, toereikend, ter zake dienend en niet bovenmatig zijn. Verwerking van bijzondere persoonsgegevens mag slechts plaatsvinden in de gevallen bij wet bepaald. Zo is uitgangspunt dat strafrechtelijke gegevens niet mogen worden verwerkt, maar is bijvoorbeeld sprake van een uitzondering op dit verbod voor vergunninghoudende particuliere beveiligingsorganisaties en recherchebureaus. 19 Private partijen mogen persoonsgegevens niet verwerken op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Bijvoorbeeld, een bank mag persoonsgegevens uit bankafschriften niet gebruiken voor commerciele doeleinden. Dit zogeheten 'beginsel van verenigbaar gebruik' kent een uitzondering in artikel 43 Wbp, dat bepaalt dat dit onder meer niet van toepassing 19 Art. 221id 4 sub a Wbp. is voor zover verwerking noodzakelijk is ter voorkoming, opsporing en vervolging van strafbare feiten, gewichtige economische en financiele belangen van de Staat en andere openbare lichamen, of de bescherming van de betrokkene of van de rechten en vrijheden van anderen. Van geval tot geval moet worden bekeken of artikel 43 Wbp van toepassing is; dit artikel mag niet worden gebruikt als grondslag voor permanente of anderszins structurele overdracht van gegevens.2o Gezocht zou moeten worden naar mogelijkheden om vaker en sneller kennis en inzichten met de private sector te delen Binnen een aantal sectoren is een door het CBP goedgekeurde gedragscode van toepassing die sectorspecifiek uitwerking geeft aan de Wbp. Sectoren waarbinnen een dergelijke gedragscode geldt, zijn de financiele sector en de sector voor particuliere recherchebureaus. In de Privacygedragscode Sector Particuliere Onderzoeksbureaus is bijvoorbeeld beschreven in welke situaties gebruik mag worden gemaakt van observatie of heimelijke observatie door camera's. Geheimhoudingsplicht Een wettelijke geheimhoudingsplicht kan de private sector weerhouden van het delen van informatie. Te denken valt aan een medisch beroepsgeheim en de geheimhoudingsplicht voor accountants, accountantsorganisaties, belastingadviseurs en notarissen. Wettelijke geheimhoudingsplichten kennen in sommige gevallen uitzonderingsmogelijkheden, zoals verkregen toestemming of het voldoen aan een wettelijke plicht. Een geheimhoudingsplicht kan tevens voortvloeien uit algemene voorwaarden of andere contractuele afspraken. In de praktijk is ook bij contractuele geheimhoudingsplichten vaak sprake van overeengekomen uitzonderingssituaties. b. Openbaar Ministerie In aanvulling op de literatuur over de mogelijkheden van het delen van informatie, 21 beschrijven we hierna kort waarom het OM bij het delen van gegevens met derden terughoudend is. De huidige wet- en regelgeving dwingen hier toe. OM en politie beschikken veelal over gevoelige en vaak nog 'zachte' informatie. Het delen van deze gegevens 20 M.E. Koning, 'Publiek private samenwerking in cyberspace - de gegevensvergaring: Computerrecht 2013/6, p Zie onder meer M.E. Koning, 'Publiek private samenwerking in cyberspace- de gegevensvergaring: Computerrecht 2013/ 6, p ; P J.DJ. Muijen, Politie, informatie en privacy: de Wet politiegegevens toegelicht, Zutphen: Paris 2012; D. van der Bel, A.M. van Hoorn & JJ.T.M. Pieters, lnformatie en opsporing: handboek informatieverwerving, -verwerking en -verstrekking ten behoeve van de opsporing, Zutphen: Studiecentrum rechtspleging TIJDsCHRIFT ONDERNEMING & STRAFRECHT IN PRAKTIJK SOU UITGEVERS I NUMMER 1, SEPTEMBER lo ll 19

6 kan een onevenredige inbreuk maken op de privacy van betrokkenen, waardoor de Wet politiegegevens (Wpg) en de Wet justitiele en strafvorderlijke gegevens (Wjsg) hiervoor strenge regels stellen. Persoonsgegevens die worden verwerkt in het kader van de uitoefening van de politietaak, kunnen op basis van de Wpg incidenteel, structured of structured voor samenwerkingsverbanden worden verstrekt aan derden. 22 Deze verstrekking moet noodzakelijk zijn met het oog op een zwaarwegend algemeen belang en bijdragen aan een van de volgende doeleinden: het voorkomen en opsporen van strafbare feiten, het handhaven van de openbare orde, het verlenen van hulp aan hen die deze behoeven of het uitoefenen van toezicht op naleving van regelgeving. Bovendien moet de officier van justitie hiervoor toestemming geven. Cybercrime is een risico voor de hele maatschappij; het zorgen voor netwerk- en informatiebeveiliging een verantwoordelijkheid van iedereen Op persoonsgegevens die zijn verkregen in het kader van een strafvorderlijk onderzoek, die het OM in een strafdossier of langs geautomatiseerde weg verwerkt, is de Wjsg van toepassing. Verstrekking voor buiten de strafrechtspleging gelegen doeleinden is op basis van de Wjsg mogelijk voor zover dit past binnen de taakuitoefening van de officier van justitie en voor zover dit noodzakelijk is met het oog op een zwaarwegend algemeen belang. De gegevens worden in beginsel aileen verstrekt indien er een vonnis is van de strafrechter of indien er spoedeisende belangen zijn en de zaak zelf a! wei strafvorderlijk is beoordeeld door het OM. Private organisaties die voor bepaalde doelen gegevens mogen ontvangen, zijn opgesomd in de Aanwijzing Wjsg. Voor organisaties die niet met naam zijn genoemd in de Aanwijzing Wjsg, geldt een andere procedure waarbij de betrokkene waar mogelijk wordt gehoord. Enige mate van terughoudendheid bij het delen van gegevens die geen persoonsgegevens zijn, zoals kennis over trends, ontwikkelingen en modi operandi, of inzichten die via meldplichten zijn verkregen, kan niet worden 'verweten' aan wetten of regels. Dit soort gegevens kan voor derden echter eveneens relevant zijn. Op het gebied van HTC gebeurt deling van deze informatie dan ook al. 23 Maar, omdat cybercrime zich in een razend tempo ontwikkelt, zijn deze gegevens tegen de tijd dat ze in een afgewogen rapport worden gedeeld vaak a! weer achterhaald. Gezocht zou moeten worden naar mogelijkheden om vaker en vooral ook sneller deze kennis en inzichten met de private sector te delen. Nieuwe mogelijkheden tot samenwerking en informatiedeling Cybercrime is een risico voor de hele maatschappij, het zorgen voor netwerk- en informatiebeveiliging een verantwoordelijkheid van iedereen. Het bundelen van krachten door de publieke sector en de private sector is voor dat laatste als gezegd essentieel. Hoewel hier en daar a! goed wordt samengewerkt, kan dit meer structureel en effectiever. Naar onze mening ligt aan de basis van deze samenwerking het vergroten van wederzijds vertrouwen. 24 Zolang dat vertrouwen er niet is, is het lastig, zo niet onmogelijk, om daadwerkelijk gezamenlijk cybercrime te bestrijden. Potentieel krachtige initiatieven zijn daardoor voor sommige partijen nog een brug te ver, ook vanuit juridisch oogpunt. Een voorbeeld hiervan is het werken met multidisciplinaire interventieteams, waar het Landelijk Parket graag ervaring mee zou opdoen. In zo'n team werken publieke en/of private partijen vanuit hun eigen rol en bevoegdheden samen aan een integrale strategie en aanpak van een bepaald fenomeen, waarbij de maatregelen strafrechtelijk, bestuursrechtelijk, civielrechtelijk of zelfs helemaal niet juridisch ingegeven zuflen zijn. De hierna genoemde initiatieven zijn naar onze mening echter een goede en realistische weg naar een verbetering van de samenwerking tussen OM en private sector ter bestrijding van cybercrime; ervaring hiermee zal bijdragen aan een groei van dat belangrijke, wederzijdse vertrouwen. a. Communicatie Een basis van goede samenwerking is communicatie. Daarvan is in de contacten tussen publieke en private sector nog niet altijd sprake. Een goed voorbeeld is de wijze waarop een private partij soms zonder aankondiging wordt geconfronteerd met een vorderingvanhet 0 M. Deze partij is zich nietaltij d bewustvan het feit dat een vordering wettelijk verplicht is, ook wanneer gegevenseerderzij n verstrekt;politieen 0 Mdienengegevenste vorderenenniettevragen.l.sdeconfrontatiemetzo'nvordering kan dan een verlammende werking hebben op de wens om op gelijke voet samen te werken. Een mondelinge aankondiging en toelichting van een vordering kan dit voorkomen. Dit voorbeeldstaatnietopzichengeldtnietalleen voordepublieke sector. Ook een private partij kan met bijvoorbeeld een aankondiging een aangifte of melding bij een toezichthouder of het OM beter terecht Iaten komen. Waar schriftelijke communicatie in contact tussen publieke en private sector nu nog de overhand heeft, zou meer ruimte moeten ontstaan voor fysieke ontmoetingen tussen partijen. Menselijk contact kan zo ook bijdragenaan de samenwerkingen ertoe leiden dat partijen beterweten vanelkaarwaarzemee bezigzijn,zodatze elkaarwaarnodigkunnenendurventevinden. 22 Art Wpg. 23 Voorbeelden hiervan zijn de Criminaliteltsbeeldanalyse en het Cybersecuritybeeld Nederland. 24 Zle bijvoorbeeld het rapport Cooperative Models far Effective Public Private Partnerships, Good Practice Guide (2011) van het European Network and Information Security Agency, 25 Zie ter toelichting de memorie van toelichting bij de Wet vorderen gegevens, Kamerstukken 2003/2004, , nr IOU UITGEVERI I NUMMER 1, SEPTEMBER loll TIJDSCHRIFT ONDERNEMING & STRAFRECHT IN PRAKTIJK

7 1 + 1 = 3: samen tegen cybercrlme b. Traffic Light Protocol Bij samenwerking wordt gevoelige informatie uitgewisseld. Aile partijen hebben er baat bij dat informatie die zij delen vertrouwelijk wordt behandeld. Het Traffic Light Protocol (TLP) kan daarbij naar internationaal voorbeeld 26 helpen. Gebruik van het TLP wordt geadviseerd bij multisectorale en publiek-private informatie-uitwisseling waarbij de vertrouwelijkheid van informatieverstrekking moet worden geborgdy Degene die informatie deelt, bepaalt of deze informatie het label rood, gee!, groen of wit draagt, waarmee de vertrouwelijkheid van informatie wordt geindiceerd. Dit systeem geeft partijen meer vertrouwen bij het delen van informatie. Het systeem kent echter ook beperkingen: het eerdergenoemde juridisch kader staat aan volledige informatiedeling in de weg. Voor private partijen geldt dat informatie die onder een geheimhoudingsplicht valt of op basis van de Wbp of een andere contractuele afspraak geheim client te worden gehouden, strikt genomen ook niet mag worden verstrekt met een rood label. De hiervoor besproken geheimhoudingsplichten kennen geen uitzondering voor dergelijke 'verspreiding in vertrouwelijkheid', voor zover die verspreiding niet te passen is in een bestaande uitzonderingsgrond. De overheid is voor bijvoorbeeld het delen van gerubriceerde informatie, zoals staatsgeheimen, gebonden aan specifieke regelgeving die niet door het TLP opzij kan worden gezet. 28 Door die informatie toch te verspreiden, ontstaat derhalve voor betrokken partijen een theoretische mogelijkheid op aansprakelijkheidstelling. Desondanks kan het TLP een zeer passend instrument bieden om in vertrouwen gevoelige gegevens met elkaar te kunnen delen, zoals concurrentiegevoelige informatie, informatie die de reputatie kan raken, of informatie over de beveiliging van IT-systemen. Wat partijen zich vaak niet realiseren, is dat het samenbrengen van puzzelstukken aile betrokken partijen een helderder zicht kan geven op een fenomeen of gebeurtenis. Voor zover de afspraken met betrekking tot het TLP zijn vastgelegd in een overeenkomst, kan naleving daarvan in beginsel worden afgedwongen. c. Non Disclosure Agreements Waar gevoelige informatie wordt gedeeld, kan gebruik worden gemaakt van Non Disclosure Agreements (NDA's): afspraken over de vertrouwelijke behandeling van te delen informatie. Binnen bestaande samenwerkingsverbanden wordt van vergelijkbare geheimhoudingsovereenkomsten gebruikgemaakt. Het gebruik van NDA's hoeft echter niet beperkt te blijven tot structurele samenwerkingsverbanden, maar kan ook in concrete situaties worden ingezet. Een goed voorbeeld hiervan is het volgende. 26 Het TLP wordt gehanteerd in onder meer de VS, Australie, Canada, Finland, Frankrijk, Duitsland, Hongarije, Ita lie, Japan, Nieuw-Zeeland, Noorwegen, Zwitserland en het Verenigd Koninkrijk. 27 Natlonaal Adviescentrum Vitale lnfrastructuur (NAVI), Toe/ichting op de Leidroad uitwisseling van gevoe/ige informatie, Den Haag: NAVI Zie Beveiligingsvoorschrift Rijk 2013, Voorschrift lnformatiebeveiliging rijksdienst 2007 en Voorschrift informatiebeveiliging rijksdienst- bijzondere informatie Cyberincidenten komen niet altijd ter ore van de politie of het OM. Zeker als aan het incident geen ruchtbaarheid is gegeven in de media of anderszins, kan een betrokken private partij er de voorkeur aan geven geen aangifte te doen - voor zover ook geen aangifteplicht geldt. Met het doen van aangifte riskeert zij immers dat het OM overgaat tot vervolging en dat haar betrokkenheid bij een incident op die wijze alsnog in de openbaarheid komt, met mogelijke reputatieschade. Het gegeven dat een eenmaal gedane aangifte niet meer kan worden ingetrokken, leidt tot meer terughoudendheid. Het Traffic Light Protocol is een zeer passend instrument om in vertrouwen gevoelige gegevens met elkaar te del en Hoewel begrijpelijk, is deze houding voor de overheid potentieel een gemiste kans om verdachten op te sporen en te vervolgen; een aangifte is niet noodzakelijk om tot opsporing of vervolging over te gaan, maar wei een zeer waardevolle en soms noodzakelijke informatiebron voor politie en justitie. Om een private partij te stimuleren aangifte te doen en haar bezwaren daartegen weg te nemen, kan het instrument van de NDA faciliteren dat een private partij, alvorens aangifte te doen, inzage biedt in beschikbare gegevens, opdat politie en OM een juiste afweging kunnen maken of een opsporingsonderzoek opportuun is. Van geval tot geval moet worden bekeken of de Wbp en andere eerdergenoemde geheirnhoudingsbepalingen aan deze informatiedeling door een private partij in de weg staan. Is er geen opsporingsbelang of besluit de private partij van aangifte af te zien, dan vernietigen politie en OM aile eventueel vastgelegde gegevens over de zaak. Daarbij leggen OM en politie zich vast om niet ambtshalve een opsporingsonderzoek te starten, tenzij de nationale veiligheid in het geding is of het slachtoffer eigenlijk verdachte blijkt te zijn. Het werken met een NDA is op deze wijze een win-winsituatie: de private partij kan een goede afweging maken over een aangifte en de daarbij horende mogelijke afbreukrisico's en uiteindelijk kan het voor OM en politie tot meer aangiften leiden. Juist op het terrein van cybercrime kan de NDA een passend instrument zijn, omdat slachtoffers zich, terecht of onterecht, verantwoordelijk voelen voor een incident en de angst voor reputatieschade reeel is. Ook vanwege het hoog technische karakter van incidenten op het gebied van cybercrime kan vertrouwelijk overleg wenselijk zijn. d. Kwantitatieve afspraken strafrechtelijke aanpak Uit Kamerstukken blijkt dat het OM in fraudezaken met de politie kwantitatieve afspraken maakt. 29 Deze afspraken tasten het opportuniteitsbeginsel niet aan, maar richten zich op een gerichte inzet van bestaande capaciteit. Ook 29 Kamerstukken //2012/2013, , nr. 7, p. 11. TIJOSCHRIFT ONOERNEMIN6 & STRAFRECHT IN PRAKTIJK SOU UIIGEVERI I NUMMER 1. SEPTEMBER 10 1l 21

8 de aanpak van cybercrime zou bij zulke afspraken zijn gebaat. Gecombineerd met een goede communicatiestrategie en daadwerkelijke resultaten kan dit bovendien de private sector stimuleren de overheid beter te voorzien van informatie, a! dan niet in het kader van een wettelijke meldplicht. De aanpak van cybercrime zou gebaat zijn bij kwantitatieve afspraken over de inzet van bestaande capaciteit e. Evaluaties Bij wijze van voorverkenning van eerdergenoemde multidisciplinaire interventieteams, maar ook ter lering met het oog op de toekomst, kan de overheid bij een reeds afgerond opsporingsonderzoek betrokken (rechts)personen uitnodigen het onderzoek kritisch en vrijelijk met de overheid te evalueren. Hoe is het onderzoek verricht, wat had anders kunnen worden aangepakt, en misschien nog belangrijker: hoe kan een herhaling van het cyberincident in kwestie worden voorkomen? En welke partijen hebben en nemen daarbij een rol? Hierbij kan een voorbeeld worden genomen aan de praktijk van toezichthouders, die dergelijke evaluaties na grotere toezichtonderzoeken plegen te verrichten. f. Oefening baart kunst Een laatste manier om de samenwerking te verbeteren, is door met grotere regelmaat dan thans gebeurt, cyberoefeningen te houden voor publieke en private partijen. Een bekende cyberoefening is Cyberstorm, georganiseerd door het International Watch and Warning Network, een samenwerkingsverband van 15 Ianden inclusief Nederland. De meest recente duurde 36 uur, waarbij een hackersgroep met politieke motieven wereldwijd aanvallen uitvoerde op websites van media en overheidsorganisaties. Getest werd hoe effectief de internationale (overheids)samenwerking in reactie op deze cyberaanvallen verliep binnen het samenwerkingsverband.30 Bij cyberoefeningen worden steeds vaker private partijen betrokken. Zo waren in Europa en de VS financiele instellingen nauw betrokken bij Cyber Europe 2012 en Quantum Dawn 2 in juli Juist omdat oefeningen betrekking hebben op fictieve situaties en fictieve gegevens, zijn er vanuit juridisch oogpunt m principe geen belemmeringen hieraan mee te werken. Afronding De publieke en private sector zijn niet aileen in toenemende mate afhankelijk van de techniek, maar ook van elkaar. De zes besproken mogelijkheden zijn in dat verband quick wins; juridisch haalbaar, passend in de bestaande structuren en met voordeel voor betrokken partijen. Laat ervaringen hiermee duidelijk maken dat publiek en privaat elkaar wederzijds kunnen aanvullen. Over de auteurs Mr. C.M. Gerritsma-Breur is Beleidsmedewerker High Tech Crime bij het Landelijk Parket en mr. M.A.M. Verveld-Suijkerbuijk is advocaat bij NautaDutilh in Amsterdam. Het Landelijk Parket is onderdeel van het Openbaar Ministerie en bestrijdt (inter)nationaal georganiseerde misdaad. 30 Zie cyberoefening-bevestigt-belang-internationale-samenwerking.html. 31 Zie and-ciip I cyber-crisis cooperation/cyber-europe/cyber-europe-2012/eni SA_2012_ _NL_ TRA.pdf; / business/banking/big banks girding-for elaborate-cyber-attack-drill-on thursday/article_a0a4c37e 2f25 512Q-a403 2b750fc72a04.html. 22 SOU UITGEVERS I HUMMER 1. SEPTEMBER loll TIJDSCHRlFT DNDERNEMING & STRAFRECHT IN PRAKTIJK