Hackende opsporingsambtenaren en internationaal recht

Transcriptie

1 Faculteit der Rechtsgeleerdheid Hackende opsporingsambtenaren en internationaal recht Roos Bleijendaal Studentnummer Juni 2014 Master Publiekrecht Strafrecht Begeleider: prof. mr. dr. H.G. van der Wilt

2 Inhoud Inleiding 1 Hoofdstuk 1 6 Soevereiniteit en rechtsmacht Hoofdstuk 2 13 Het recht op privacy Hoofdstuk 3 24 Soevereiniteit en privacy Conclusie 35 Literatuurlijst 39

3 Inleiding Ter bestrijding van cybercrime, achtte de minister van Veiligheid in Justitie het nodig om nieuwe bevoegdheden te scheppen. De bestaande bevoegdheden schieten tekort bij de opsporing van strafbare feiten, begaan door middel van geautomatiseerde werken. Dit heeft geleid tot het wetsvoorstel computercriminaliteit III 1, waarin onder andere de bevoegdheid wordt verleend aan opsporingsambtenaren om een geautomatiseerd werk van een verdachte heimelijk te hacken. Artikel 80sexies van het Wetboek van Strafrecht (hierna: WvSr) definieert een geautomatiseerd werk als een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. Er staan opsporingsambtenaren verschillende manieren ter beschikking om geautomatiseerde werken van verdachten binnen te dringen. Zo kan er via internet een elektronisch bericht aan de verdachte worden gezonden, waarbij er wordt getracht om de verdachte ertoe te brengen software te installeren die het geautomatiseerde werk opent voor de plaatsing van programma s waarmee gegevens kunnen worden vastgelegd, ook wel bugs of keyloggers genoemd. Ook kunnen opsporingsambtenaren het geautomatiseerde werk van verdachte binnendringen met een gebruikersnaam en wachtwoord van de verdachte. Deze gegevens kunnen worden verkregen door het aftappen van communicatie of door social engineering, waarbij de gegevens worden verkregen door misleiding van de verstrekker. Vervolgens kunnen er door middel van een technisch hulpmiddel, zoals voornoemde bugs of keyloggers of een softwareapplicatie, onderzoekhandelingen in het geautomatiseerde werk worden verricht. Het bevel tot heimelijk hacken bevat, afhankelijk van het te bereiken doel, een omschrijving van welke functionaliteiten dienen te worden ingeschakeld in het technische hulpmiddel. 2 1 Op het moment van schrijven ligt het wetsvoorstel voor advies bij de Raad van State, zie (geraadpleegd op ). 2 Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p

4 De hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III mag worden ingezet bij verdenking van een misdrijf als omschreven in artikel 67 lid 1 van het Wetboek van Strafvordering (hierna: WvSv), zijnde een misdrijf waarvoor een bevel tot voorlopige hechtenis kan worden gegeven. Voorts moet het misdrijf waarvan de verdachte wordt verdacht, gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven, een ernstige inbreuk op de rechtsorde opleveren. Hierdoor is de bevoegdheid niet beperkt tot typische gevallen van cybercrime, maar kan de bevoegdheid ook ten aanzien van andere (meer klassieke) misdrijven worden ingezet. Het heimelijk hacken kan tot doel hebben het vaststellen van de aanwezigheid van gegevens of het bepalen van de identiteit of locatie van het geautomatiseerde werk of de gebruiker, het overnemen van gegevens (waarbij het niet enkel gaat om gegevens die zich reeds op het geautomatiseerde werk bevinden, maar ook om gegevens die gedurende de looptijd van het bevel tot heimelijk hacken worden verwerkt), het ontoegankelijk maken van gegevens, het aftappen en opnemen van communicatie, het opnemen van vertrouwelijke communicatie of het stelselmatig observeren. Met dit wetsvoorstel tracht de minister het hoofd te bieden aan de zich snel ontwikkelende technologische mogelijkheden en de ontwikkelingen op het gebied van computercriminaliteit die hiermee gepaard gaan. Er wordt hiermee dus voorzien in een leemte in de bestaande opsporingsbevoegdheden. Zo vormt versleuteling van communicatie en gegevens een steeds groter probleem. Op internet worden speciale programma s aangeboden voor het versleutelen van gegevens. Hierdoor vereist versleuteling steeds minder technische kennis, waardoor er door een groter aantal mensen gebruik van kan worden gemaakt. Ook zijn programma s steeds vaker standaard ingesteld op het versleutelen van communicatie. Daar deze standaardinstellingen bijna nooit worden gewijzigd door de gebruiker, vindt communicatie steeds vaker versleuteld plaats. Voorts is het ook steeds eenvoudiger om communicatie via internet te versleutelen. Door de sterke toename van versleuteling van gegevens en communicatie, wordt het opnemen en aftappen van communicatie steeds minder effectief. Wanneer communicatie is versleuteld, levert het aftappen hiervan enkel gegevens op, waarvan de inhoud niet 2

5 kan worden gelezen. Dit omdat de communicatie onderweg wordt onderschept, op het moment dat het is versleuteld. De aanbieder van de dienst via welke versleuteld wordt gecommuniceerd is gehouden om mee te werken aan de ontsleuteling van de communicatie. Maar vaak is ook dit ineffectief, omdat de aanbieder zelf niet altijd in staat is om de versleuteling ongedaan te maken. Ook kan de beveiliging van de communicatie in handen zijn van verschillende dienstenaanbieders, waardoor opsporingsambtenaren al deze verschillende dienstenaanbieders om ontsleuteling moeten verzoeken. Door middel van de hackbevoegdheid, kunnen opsporingsambtenaren binnendringen in het geautomatiseerde werk en kan er toegang worden verkregen tot de communicatie, voordat deze in versleuteld of nadat deze is ontsleuteld. Ook het feit dat internetgebruikers steeds vaker gebruik maken van verschillende netwerken, maakt dat de communicatie steeds moeilijker aftapbaar is. Met de huidige opsporingsbevoegdheden geldt een tapbevel enkel voor de netwerkaanbieder waarvoor de tapbevel is afgegeven. Er mag dus enkel wordt afgetapt van het netwerk waarvoor een tapbevel beschikbaar is. Wanneer een verdachte gebruik maakt van verschillende netwerken, dient er voor ieder netwerk een apart tapbevel te worden afgegeven, waarvan de verdachte gebruik maakt. Dit maakt het aftappen van de volledige communicatie van de verdachte vrijwel onmogelijk. Er wordt tegenwoordig ook steeds meer gebruik gemaakt van cloudcomputingdiensten. Hierbij worden gegevens niet meer opgeslagen op het geautomatiseerde werk zelf, maar op servers die zich elders bevinden. De aanbieders van deze cloudcomputingdiensten bepalen op welke servers de gegevens worden opgeslagen. Hier heeft de gebruiker geen zeggenschap over. De servers waarop de gegevens worden opgeslagen, kunnen zich overal ter wereld bevinden. Soms is het zelfs voor de aanbieder van deze cloudcomputingsdiensten niet te achterhalen op welke servers gegevens staan opgeslagen of waar deze zich bevinden. Bovendien worden gegevens steeds vaker gefragmenteerd over verschillende servers opgeslagen. Bestaande opsporingsbevoegdheden kunnen hier niet het hoofd aan bieden. Met de hackbevoegdheid wordt er toegang verkregen tot deze gegevens, via het geautomatiseerde werk van de verdachte. Hierdoor is het 3

6 niet nodig om van deze gegevens de locatie van de servers te achterhalen waarop zij zijn opgeslagen en kan er sneller en effectief worden opgespoord. Doordat de hackbevoegdheid heimelijk kan worden ingezet, wordt er voorkomen dat de verdachte ervan op de hoogte raakt dat er opsporingshandelingen ten aanzien van hem worden verricht. 3 Hiermee wordt voorkomen dat de verdachte, in de wetenschap dat hij door opsporingsambtenaren in de gaten wordt gehouden, bewijsmateriaal kan wissen. Digitale gegevens dragen tegenwoordig namelijk een sterk vluchtig karakter. Zij worden steeds vaker opgeslagen op servers van dienstenaanbieders. Hierdoor kan er door middel van verschillende geautomatiseerde werken toegang tot deze gegevens worden verkregen en met deze gegevens worden gewerkt. 4 Dit brengt mee dat een verdachte, wanneer hij ervan op de hoogte raakt dat hij door opsporingsambtenaren in de gaten worden gehouden, als het ware met één druk op de knop bewijsmateriaal kan wissen. Dit kan hij niet alleen vanaf het gehackte geautomatiseerde werk doen, maar ook vanaf andere geautomatiseerde werken. Het heimelijke karakter van de hackbevoegdheid moet er voor zorgen dat de verdachte er niet van op de hoogte raakt dat zijn automatische werk is gehackt, zodat eventueel bewijsmateriaal beschikbaar blijft voor de opsporingsambtenaren. Door bovenstaande ontwikkelingen is het niet uitgesloten dat opsporingsambtenaren door middel van de hackbevoegdheid toegang verkrijgen tot gegevens die in het buitenland staan opgeslagen. De opslag van gegevens geschiedt immers steeds vaker via dienstenaanbieders, die in het buiteland gevestigd zijn en waarvan de servers waarop de gegevens zijn opgeslagen zich overal ter wereld kunnen bevinden. Vooral met de toename van voornoemde cloudcomputingdiensten is de opslag van gegevens op servers elders in de wereld sterk toegenomen. 5 Dit roept de vraag op in hoeverre opsporingsambtenaren, wanneer zij bij de inzet van de hackbevoegdheid toegang verkrijgen tot gegevens die in het buitenland zijn opgeslagen, binnen de soevereiniteitssfeer van andere staten handelen en in hoeverre dit is toegestaan. 3 Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p C. Conings, De lokalisatie van opsporing in een virtuele omgeving, Wie zoekt waar in cyberspace?, KU Leuven: Nullum crimen 2014, p Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p

7 Voorts kan de vraag worden gesteld in hoeverre de hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III verenigbaar is met het recht op privacy. Geautomatiseerde werken zoals computers, telefoons, laptops en tablets bevatten tegenwoordig steeds meer privacygevoelige informatie. Hierbij moet worden gedacht aan foto s, video s, agenda s, financiële gegevens 6, maar ook historische gegevens van websites die de gebruiker van het geautomatiseerde werk heeft bezocht. Daarnaast vindt communicatie veelvuldig plaats door middel van geautomatiseerde werken. 7 Staten hebben echter niet alleen de plicht om zich van inbreuken op het recht op privacy te onthouden. Zij dienen dit recht ook te beschermen en verzekeren. 8 Dit roept de vraag op of, indien er door middel van de hackbevoegdheid toegang wordt verkregen tot gegevens die zich op het grondgebied van een andere staat bevinden, die staat ten aanzien van deze gegevens het recht privacy dient te beschermen en hoe zij dit kan doen. Bovenstaande vragen ten aanzien van deze internationaalrechtelijke beginselen worden verenigd in de vraag in hoeverre de bevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III verenigbaar is met het internationaal recht. Op deze vraag zal hier een antwoord worden gezocht. Hiertoe zullen eerst twee verschillende aspecten van de hackbevoegdheid worden belicht. In het eerste hoofdstuk, dat het aspect van de soevereiniteit zal belichten, wordt de vraag beantwoord of de hackbevoegdheid het internationaalrechtelijke beginsel van soevereiniteit van staten schendt. In het tweede hoofdstuk zal het aspect van de privacy worden belicht, door de vraag te beantwoorden of de inzet van de hackbevoegdheid in strijd is met het recht op privacy van artikel 8 EVRM. Vervolgens zullen deze twee aspecten in het derde hoofdstuk tezamen worden behandeld. In dit hoofdstuk zal er antwoord worden gegeven op de vraag hoe er invulling moet worden gegeven aan de positieve verplichting om het recht op privacy te beschermen, wanneer door middel van de hackbevoegdheid de soevereiniteit van staten wordt geschonden. 6 C. Conings en J.J. Oerlemans, Van een netwerkzoeking naar online doorzoeking: grenzeloos of grensverleggend?, Computerrecht 2013, nr. 1, p B. Jacobs, Policeware, Nederlands Juristenblad , Afl. 39, p A.W. Hins en A.J. Nieuwenhuis, Hoofdstukken grondrechten, Nijmegen: Ars Aequi Libri 2010, p

8 Hoofdstuk 1 Soevereiniteit en rechtsmacht Artikel 125ja van het wetsvoorstel computercriminaliteit III geeft de bevoegdheid om een geautomatiseerd werk of daarmee in verbinding staande gegevensdrager binnen te dringen, die bij een verdachte in gebruik is. Blijkens de Memorie van Toelichting bij het wetsvoorstel wordt er vanuit gegaan dat deze bevoegdheid kan worden ingezet indien Nederland krachtens de artikelen 2 tot en met 8 WvSr rechtsmacht heeft. 9 In tegenstelling tot andere strafvorderlijke bevoegdheden kunnen opsporingsambtenaren zich met deze bevoegdheid toegang verschaffen tot gegevens die buiten Nederland zijn opgeslagen. Door technologische ontwikkelingen kunnen gegevens die door middel van geautomatiseerde werken worden gebruikt zich overal ter wereld bevinden, omdat zij overal ter wereld kunnen zijn opgeslagen. Het gaat hier bijvoorbeeld om gegevens die zijn opgeslagen in de cloud (Dropbox) of internet accounts (Facebook), maar ook om conversaties en andere handelingen in cyberspace. 10 Dit roept de vraag op of de opsporingsambtenaren, die van deze bevoegdheid gebruik maken en op die manier toegang kunnen krijgen tot gegevens welke zich feitelijk in het buitenland bevinden, niet binnen de soevereiniteitssfeer van andere staten handelen. In dit hoofdstuk zal dan ook de vraag worden beantwoord of de bevoegdheid tot heimelijk hacken, zoals neergelegd in artikel 125ja van het wetsvoorstel computercriminaliteit II, de soevereiniteit van andere staten schendt. De soevereiniteit van staten vindt haar grondslag in twee soorten erkenning: interne en externe erkenning. Interne erkenning behelst de erkenning van de staatssoevereiniteit door de onderdanen van die staat. Deze erkenning is gebaseerd op de idee van het sociale contract. 11 Dit is de idee dat individuen, in een oorspronkelijke natuurtoestand van allen tegen allen, waarin het recht van de sterkste geldt, een politieke gemeenschap instellen; de overheid. Deze gemeenschap wordt ingesteld ter bescherming van de rechten van individuen. Deze bescherming kan namelijk beter worden gewaarborgd door een overheid dan door de 9 Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p C. Conings, De lokalisatie van opsporing in een virtuele omgeving, Wie zoekt waar in cyberspace?, KU Leuven: Nullum crimen 2014, p C. Conings, De lokalisatie van opsporing in een virtuele omgeving, Wie zoekt waar in cyberspace?, KU Leuven: Nullum crimen 2014, p

9 individuen zelf. Een overheid kan regels stellen, deze uitvoeren en handhaven en geschillen beslechten. Dit moet een betere garantie bieden tegen inbreuken op rechten van individuen, dan wanneer het recht van de sterkste geldt. 12 Externe erkenning behelst de onderlinge erkenning door staten. Deze erkenning wordt mogelijk gemaakt door het territorialiteitsbeginsel, ingevolge welk beginsel de macht van de staat is beperkt tot zijn grondgebied. De externe erkenning brengt mee dat staten bevoegd zijn om handelen van andere staten binnen hun soevereiniteitssfeer uit te sluiten. Op deze manier kunnen staten bescherming bieden tegen handelingen van andere staten die inbreuk maken op de rechten van de onderdanen. Hiermee wordt tevens invulling gegeven aan de idee van het sociale contract, waarop de erkenning van haar onderdanen is gebaseerd. 13 De voornaamste manier waarop een staat invulling kan geven aan zijn soevereiniteit, is door middel van rechtsmacht. Rechtsmacht is de bevoegdheid van een staat om regels te stellen en te handhaven. Er wordt onderscheid gemaakt tussen drie verschillende wijzen van uitoefening van rechtsmacht: wetgeving (wetgevende rechtsmacht), rechtspraak (rechtsprekende rechtsmacht) en handhaving (handhavende rechtsmacht). Het internationale recht bepaalt de grenzen van de rechtsmacht van staten. De bevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III is een opsporingsbevoegdheid. 14 Deze bevoegdheid valt hiermee binnen het kader van handhavende rechtsmacht. Het internationale recht begrenst de handhavende rechtsmacht van staten tot hun grondgebied. 15 Wanneer een staat rechtsmacht uitoefent buiten zijn grondgebied, is er sprake van extraterritoriale rechtsmacht. Extraterritoriale handhavende rechtsmacht is blijkens algemeen internationaal recht in beginsel onrechtmatig. Dit in tegenstelling tot bijvoorbeeld extraterritoriale wetgevende rechtsmacht. Het verschil tussen de rechtmatigheid van deze twee uitoefeningen van rechtsmacht kan worden verklaard door het verschil in inbreuk die dit op de soevereiniteit van een andere staat maakt. 12 A.W. Hins en A.J. Nieuwenhuis, Hoofdstukken grondrechten, Nijmegen: Ars Aequi Libri 2010, p C. Conings, De lokalisatie van opsporing in een virtuele omgeving, Wie zoekt waar in cyberspace?, KU Leuven: Nullum crimen 2014, p Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p A. Nollkaemper, Kern van het internationaal publiekrecht, Den Haag: Boom Juridische uitgevers 2007, p

10 Het enkel van toepassing verklaren van wetgeving op onderdanen van een andere staat wordt beschouwd als minder inbreuk makend op de soevereiniteit dan het handhaven van de wet in die andere staat. 16 Een en ander is door het Permanente Hof van Internationale Justitie bevestigd in de Lotus-zaak. In deze zaak werd overwogen dat een staat zijn macht niet mag uitoefenen, in welke vorm dan ook, op het grondgebied van een andere staat, tenzij een gewoonterechtelijke internationale regel of een verdragsrechtelijke regel dit toestaat. 17 Deze overweging heeft betrekking op de handhavende rechtsmacht van staten. Een staat heeft dus steeds toestemming nodig van de staat op wiens grondgebied hij opsporingshandelingen wilt verrichten, tenzij een gewoonterechtelijke regel extraterritoriale handhaving toelaat of de betreffende staat vooraf, door middel van een verdrag, toestemming hiertoe heeft verleend. 18 Ten aanzien van computercriminaliteit is er door de lidstaten van de Europese Unie, Japan en de Verenigde Staten een verdrag gesloten: het verdrag van Boedapest van 23 november 2011 inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (hierna: Cybercrimeverdrag). Dit verdrag verleent staten in twee gevallen de bevoegdheid om zich zonder rechtshulpverzoek toegang te verschaffen tot gegevens die zich op het grondgebied van een andere staat bevinden. Artikel 32 sub a van het Cybercrimeverdrag bepaalt dat staten toegang hebben tot openbare gegevens, ongeacht de locatie ervan. Artikel 32 sub b van het Cybercrimeverdrag bepaalt dat staten zich toegang kunnen verschaffen tot gegevens die zich in een andere staat bevinden, indien de rechthebbende van deze gegevens hierin toestemt. 19 In een dergelijk geval is vereist dat het computersysteem via welke toegang wordt verschaft tot de gegevens zich op het grondgebied van de verzoekende staat bevindt. 20 Bij de totstandkoming van het Cycbercrimeverdrag konden de betrokken staten niet tot overeenstemming komen over de grensoverschrijdende netwerk zoeking en de mogelijke soevereiniteitsschending die hiermee gepaard zou kunnen gaan. Volgens 16 A. Nollkaemper, Kern van het internationaal publiekrecht, Den Haag: Boom Juridische uitgevers 2007, p PHIJ 7 september 1927, SS Lotus (Frankrijk/Turkije), Serie A, Nr. 10, ro A. Nollkaemper, Kern van het internationaal publiekrecht, Den Haag: Boom Juridische uitgevers 2007, p geraadpleegd op Zie MvT bij het ontwerp wetsvoorstel computercriminaliteit III, p

11 de betrokken staten zijn specifieke afspraken hieromtrent nodig, daar het internationale publiekrecht weinig ruimte laat voor grensoverschrijdende zoekingen. 21 In het Explanatory Report bij het Cybercrimeverdrag wordt echter uitdrukkelijk gesteld dat het verdrag staten niet verplicht dan wel uitnodigt om verdergaande maatregelen te nemen dan waartoe het verdrag verplicht, maar dat het verdrag dit ook niet uitsluit. 22 Voorts verwijst het Cybercrimeverdrag uitdrukkelijk naar de internationale regels omtrent soevereiniteit, territorialiteit en wederzijdse rechtshulp in strafzaken. Derhalve blijft de mogelijkheid voor staten om zich ruimere bevoegdheden toe te kennen open, mits deze bevoegdheden in overeenstemming zijn met het internationale recht. 23 Op grond van het voorgaande, mogen staten ruimere bevoegdheden scheppen dan welke het Cybercrimeverdrag geeft, zolang het geen extraterritoriale handhaving zonder toestemming van de betrokken staat betreft. Zoals hierboven beschreven verleent het Cybercrimeverdrag enkel rechtsmacht aan staten om zich toegang te verlenen tot gegevens die zijn opgeslagen in andere verdragsstaten, indien het openbare gegevens betreft of de rechthebbende er mee instemt. Enkel in deze twee gevallen mag er extraterritoriaal worden gehandhaafd en zou de hackbevoegdheid mogen worden ingezet om toegang te krijgen tot gegevens die zijn opgeslagen in het buitenland. Hierbij moet in het oog worden gehouden dat dit verdrag alleen rechtsmacht verleent ten aanzien van gegevens die zijn opgeslagen in de verdragsstaten. 24 Het nationale recht van staten verleent aan staten hun rechtsmacht. Het Wetboek van Strafrecht verklaart de Nederlandse strafwet in de navolgende gevallen van toepassing. Allereerst is de Nederlandse strafwet ingevolge artikel 2 WvSr van toepassing indien er een strafbaar feit is begaan op Nederlands grondgebied. In een dergelijk geval is de Nederlandse strafwet van toepassing op grond van het territorialiteitsbeginsel. Voorts is de Nederlandse strafwet van toepassing op grond van het beschermingsbeginsel, namelijk wanneer er sprake is van een misdrijf tegen de 21 C. Conings en J.J. Oerlemans, Van een netwerkzoeking naar online doorzoeking: grenzeloos of grensverleggend?, Computerrecht 2013, nr. 1, p Explanatory report bij het Cybercrimeverdrag, section 2, par. 131, (geraadpleegd op ). 23 C. Conings en J.J. Oerlemans, Van een netwerkzoeking naar online doorzoeking: grenzeloos of grensverleggend?, Computerrecht 2013, nr. 1, p Zie voor de staten, welke zich bij het Cybercrimeverdrag hebben aangesloten 9

12 veiligheid van de Nederlandse staat. Met name sub 1 en 2 van artikel 4 WvSr zijn relevant voor computercriminaliteit. Ook is de Nederlandse strafwet in bepaalde gevallen van toepassing op grond van het (actief) nationaliteitsbeginsel. Sub 4 van artikel 5 WvSr somt een aantal misdrijven op, in welk geval de Nederlandse strafwet van toepassing is op een Nederlander die zich buiten Nederland bevindt en zich schuldig maakt aan een van de opgesomde misdrijven, voor zover deze misdrijven vallen onder de omschrijving van de artikelen 2 tot en met 10 van het Cybercrimeverdrag. Strafvordering beoogt de realisatie van het materiële strafrecht. Hieruit wordt geconcludeerd dat indien het Wetboek van Strafrecht van toepassing is, het Wetboek van Strafvordering eveneens van toepassing is. Bijgevolg kunnen de opsporingsbevoegdheden, waaronder de hackbevoegdheid, worden toegepast indien het Wetboek van Strafrecht rechtsmacht verleent. Indien rechtsmacht ontbreekt, kunnen er geen strafvorderlijke bevoegdheden worden uitgeoefend. Het gevolg van de samenhang tussen het legaliteitsbeginsel van artikel 1 WvSv en artikel 539a WvSv, is dat strafvordering niet is beperkt tot Nederlands grondgebied. Wanneer er sprake is van een wettelijke grondslag, hetgeen het legaliteitsbeginsel vereist, kunnen opsporingsbevoegdheden ook buiten Nederland wordt ingezet. 25 Lid 3 van artikel 539a WvSv bepaalt voorts dat een en ander in overeenstemming met het volkenrecht en het internationale recht dient te zijn. 26 Een en ander levert ogenschijnlijk een contradictie op. Ingevolge het Nederlandse strafrecht mogen opsporingsbevoegdheden worden ingezet, wanneer er op grond van de artikelen 2 tot en met 8 WvSr rechtsmacht is. Dit brengt mee dat het Nederlandse strafrecht in beginsel rechtsmacht verleent om opsporingshandelingen buiten het Nederlandse grondgebied te verrichten. Echter, het internationaalrechtelijke verbod op extraterritoriale handhaving werkt via artikel 539 a lid 3 WvSv door in het Nederlandse strafrecht. Derhalve beperkt het verbod op 25 A.H. Klip, Algemene beschouwingen, in: A.L. Melai & M.S. Groenhuijsen e.a., Het wetboek van strafvordering, Internationale en interregionale samenwerking in strafzaken (Klip/Swart/Van der Wilt), Deventer (losbladig), IISS III.1.1 1/III (Suppl. 161 juni 2007), p. IISS III IISS III Zie ook Memorie van Toelichting bij het ontwerp wetsvoorstel Computercriminaliteit III, p

13 extraterritoriale handhaving, via artikel 539a lid 3 WvSv, de inzet van opsporingsbevoegdheden tot het Nederlandse grondgebied. Problematisch ten aanzien van de hackbevoegdheid, zoals neergelegd in artikel 125ja van het wetsvoorstel computercriminaliteit III is echter, dat het bij de inzet van die bevoegdheid niet altijd duidelijk is of de handeling binnen of buiten het Nederlandse territorium wordt verricht. Zoals reeds aan bod kwam, brengen technologische ontwikkelingen mee dat data overal ter wereld kunnen zijn opgeslagen en niet altijd (gemakkelijk) vallen te lokaliseren. Het is goed denkbaar dat de computer die wordt gehackt zich in Nederland bevindt, maar de informatie waartoe via deze computer toegang wordt verkregen zich in een andere staat bevindt. In dat geval wordt er extraterritoriaal gehandhaafd, hetgeen ingevolge het internationaal recht (in beginsel) verboden is. Blijkens de Memorie van Toelichting bij het wetsvoorstel computercriminaliteit III is er bij grensoverschrijdende inzet van de hackbevoegdheid namelijk geen toestemming van de betrokken staat vereist. In de eerste instantie bestaat er volgens de Memorie van Toelichting ruimte om grensoverschrijdend te hacken, indien er redelijkerwijs niet kan worden achterhaald in welke staat de gezochte gegevens zijn opgeslagen. Maar ook wanneer de feitelijke locatie van de gezochte gegevens wel bekend is, bestaat er volgens de Memorie van Toelichting ruimte om grensoverschrijdend te hacken. In welke gevallen dit precies is toegestaan, zal sterk afhangen van de aard van de feitelijke handeling. Bovendien brengt ingevolge de Memorie van Toelichting de noodzaak om onverwijld op te treden mee dat er, zonder toestemming van de betrokken staat, grensoverschrijdend mag worden gehackt. Deze noodzaak heeft niet alleen tot gevolg dat er grensoverschrijdend mag worden gehackt indien de locatie van de gezochte gegevens niet bekend is, maar ook wanneer opsporingsambtenaren wel op de hoogte zijn van de locatie van de gegevens kan de noodzaak om onverwijld op te treden meebrengen dat grensoverschrijdend hacken is geoorloofd. 27 De conclusie van de Memorie van Toelichting bij het wetsvoorstel computercriminaliteit III omtrent het inzetten van de hackbevoegdheid van artikel 125ja van het wetsvoorstel buiten het Nederlandse grondgebied, valt niet te rijmen met de nationale en internationale regels hieromtrent. In de Lotus-zaak is uitdrukkelijk bepaald dat de inzet van opsporingsbevoegdheden in een andere staat 27 Zie Memorie van Toelichting bij het ontwerp wetsvoorstel Computercriminaliteit III, p

14 niet geoorloofd is zonder toestemming van de betreffende staat. Enkel wanneer internationaalrechtelijk gewoonterecht of een verdragsbepaling hiertoe bevoegdheid verleent, wordt er een uitzondering op deze regel gemaakt. 28 Behoudens de gevallen van artikel 32 sub a en b van het Cybercrimeverdrag verleent het internationaal recht geen bevoegdheid om grensoverschrijdend te hacken. Wanneer de bevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III zodanig wordt ingezet, dat opsporingsambtenaren zich daarmee toegang verschaffen tot gegevens die zich buiten Nederland bevinden, maakt de bevoegdheid inbreuk op de soevereiniteit van de staat waar de gegevens zijn opgeslagen. Enkel wanneer het openbare gegevens betreft of de instemming van de rechthebbende is verkregen, is er geen sprake van inbreuk op de soevereiniteit van de staat waar de gegevens zich bevinden. 28 PHIJ 7 september 1927, SS Lotus (Frankrijk/Turkije), Serie A, Nr. 10, ro

15 Hoofdstuk 2 Het recht op privacy Geautomatiseerde werken zoals computers, tablets en telefoons, bevatten steeds vaker een grote hoeveelheid privégegevens. Naast foto s, video s, documenten en agenda s bevatten geautomatiseerde werken ook betaalgegevens van de gebruiker. 29 Ook geschiedt communicatie steeds vaker via deze weg. Tegenwoordig verloopt niet enkel het telefoon- en verkeer via deze weg. Er bestaan steeds meer andere diensten via welke men met elkaar kan communiceren, zoals Skype, Facebook en Twitter. 30 Met de hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III kan er, door geautomatiseerde werken te hacken, toegang worden verkregen tot dergelijke gegevens. Dit roept de vraag op of deze bevoegdheid het recht op privacy schendt van degenen ten aanzien van wie deze bevoegdheid wordt toegepast. In dit hoofdstuk zal deze vraag aan de orde komen in het kader van het recht op privacy, zoals neergelegd in artikel 8 van het Europees verdrag voor de Rechten van de Mens (hierna: EVRM). Dit omdat deze bepaling ingevolge de artikel 93 en 94 van de Grondwet rechtstreeks van toepassing is in de Nederlandse rechtsorde en voorrang heeft op strijdige nationale regelingen. Op grond van artikel 93 Grondwet hebben een ieder verbindende bepalingen van verdragen bindende kracht in de Nederlandse rechtsorde. Artikel 8 EVRM kan als een ieder verbindende bepaling in de zin van dit artikel worden aangemerkt. Artikel 94 Grondwet bepaalt voorts dat nationale wetgeving die in strijd is met een dergelijke bepaling geen toepassing vindt. Dit geldt ten aanzien alle nationale wet- en regelgeving; de grondwet, de formele wet en lagere regelgeving. Ingevolge artikel 8 EVRM heeft een ieder recht op eerbiediging van zijn privé-, familie- en gezinsleven, zijn woning en zijn correspondentie. Dit artikel duidt de sfeer van het privéleven aan als terrein waarbinnen de overheid zich dient te onthouden van handelingen, welke een inbreuk op dit recht kunnen maken. Met name ter handhaving van strafrechtelijke voorschriften, kan het noodzakelijk zijn dat aan opsporingsambtenaren bepaalde bevoegdheden worden toegekend, die inbreuk 29 Advies NJCM bij het wetsvoorstel computercriminaliteit III, d.d. 28 juni 2013, pag Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p

16 maken op het recht op privacy. Hierin zal de staat een afweging maken tussen individuele en algemene belangen. Het recht op privacy is dan ook geen absoluut recht. Lid 2 van artikel 8 EVRM bepaalt dat, indien aan de in dat lid genoemde voorwaarden is voldaan, een inmenging in het recht op privacy gerechtvaardigd is. Of de hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III het recht op privacy schendt, valt bijgevolg uiteen in twee onderdelen. Allereerst dient de vraag te worden beantwoord of het recht op privacy van toepassing is op de hackbevoegdheid. Levert de hackbevoegdheid een inmenging op in het privéleven van de verdachte? Dit is de vraag naar de reikwijdte van artikel 8 EVRM. Vervolgens dient te worden bezien of de hackbevoegdheid voldoet aan de vereisten van lid 2 van artikel 8 EVRM. Dit is de vraag naar de beperkingsmogelijkheden. 31 De tekst van artikel 8 EVRM bevat geen expliciete erkenning van het recht op privacy in het kader van computers (en andere geautomatiseerde werken). 32 Het recht op privacy uit artikel 8 EVRM is in veel opzichten echter als een open norm geformuleerd. Door bepaalde aspecten van het privéleven uitdrukkelijk te benoemden, wordt er wel enigszins geconcretiseerd wat het recht op privéleven inhoudt, maar deze opsomming is niet uitputtend. 33 Het is maar de vraag of er überhaupt een uitputtende omschrijving van het recht op privacy kan worden gegeven. Het Europees Hof voor de Rechten van de Mens (hierna: EHRM) heeft er dan ook altijd bewust van afgezien om een uitputtende omschrijving van de reikwijdte van het recht op privéleven te geven. 34 Hierdoor heeft het EHRM ruimte gelaten om nader invulling te geven aan de reikwijdte van het recht op privacy, zodat er ook nieuwe toepassingen mogelijk zijn. Derhalve wordt er bij de vaststelling van de reikwijdte veel ruimte aan de rechter gelaten. 35 Het EHRM heeft in haar jurisprudentie de computer (en andere geautomatiseerde werken) niet expliciet erkend als onderdeel van het recht op privacy. 36 Er zal daarom aan de hand van bestaande jurisprudentie omtrent het recht op privacy moeten 31 A.W. Hins en A.J. Nieuwenhuis, Hoofdstukken grondrechten,nijmegen: Ars Aequi Libri, p M.M. Groothuis en T. de Jong, Is een nieuw grondrecht op integriteit en vertrouwelijkheid van ICTsystemen wenselijk? Een verkenning, Privacy en Informatie 2010, afl. 6, p A.W. Hins en A.J. Nieuwenhuis, Hoofdstukken grondrechten, Nijmegen: Ars Aequi Libri 2010, p Zie bijvoorbeeld EHRM 16 december 1992, 13710/88 (Niemietz v. Duitsland). 35 A.W. Hins en A.J. Nieuwenhuis, Hoofdstukken grondrechten, Nijmegen: Ars Aequi Libri 2010, p M.M. Groothuis en T. de Jong, Is een nieuw grondrecht op integriteit en vertrouwelijkheid van ICTsystemen wenselijk? Een verkenning, Privacy en Informatie 2010, afl. 6, p

17 worden onderzocht of geautomatiseerde werken binnen de bescherming van artikel 8 EVRM kunnen vallen. De vraag naar de reikwijdte van het recht op privacy wordt in de rechtspraak afhankelijk gesteld van de redelijke verwachting van de betrokkene. 37 Dit leerstuk staat bekend als de reasonable expectation of privacy doctrine. Of het handelen van opsporingsambtenaren binnen de privésfeer van de verdachte valt, en dus een inbreuk op het recht op privacy oplevert, is afhankelijk van of de verdachte in de gegeven omstandigheden mocht verwachten dat hij bescherming van dit recht genoot. Indien de verdachte er naar de omstandigheden van het geval op bedacht had moeten zijn dat er ten aanzien van hem opsporingsactiviteiten zouden worden verricht, had hij in redelijkheid niet meer kunnen verwachten dat hij bescherming van zijn privacy genoot. De opsporingshandelingen kunnen dan niet meer als een inbreuk op het recht op privacy worden beschouwd. Het antwoord op de vraag of er sprake is van een reasonable expectation of privacy, berust op een subjectief en een objectief criterium. Het subjectieve criterium is de vraag of de verdachte heeft getoond dat hij privacy wenst. Hierbij wordt er gekeken naar of de gedraging is verricht op een plaats waar men onbevangen zichzelf moet kunnen zijn en of uit het gedrag van de verdachte kan worden opgemaakt dat hij privacy wenste. Het objectieve criterium is of de verwachting van de verdachte gerechtvaardigd, aldus redelijk, is. Dit wordt beoordeeld aan de hand van de vraag of de verdachte zich er van bewust was dat hij een strafbaar feit pleegde of zou gaan plegen. 38 In de Lüdi-zaak laat het EHRM het recht op bescherming van de persoonlijke levenssfeer afhangen van het bewustzijn van de verdachte dat hij bezig is een strafbaar feit te plegen. Wanneer de verdachte zich er van bewust is dat zijn handelen strafbaar is, zal hij geen bescherming genieten en inbreuken op zijn privacy moeten tolereren. 39 In de Halford-zaak werd deze wijze van redeneren bevestigd. Het EHRM bepaalde dat het recht op privacy afhangt van de reasonable expectation of privacy van de 37 Zie bijvoorbeeld EHRM 25 juni 1997, 20605/92 (Halford v. The United Kingdom), par , EHRM 15 juni 1992, 12433/86 (Lüdi v. Switzerland), par. 40 en HR 18 mei 1999, NJ 2000, T. Blom, Privacy, EVRM en (straf)rechtshandhaving, in: Legitieme strafvordering; rechten van de mensen als inspiratie in de 21 ste eeuw, Groningen: 2001, p EHRM 15 juni 1992, 12433/86 (Lüdi v. Switzerland), par

18 verdachte. 40 Het gaat hier het oordeel of deze persoon er in deze omstandigheden op mocht vertrouwen dat er geen opsporingshandelingen ten aanzien van hem zouden worden verricht. 41 Valt een geautomatiseerd werk te kwalificeren als een plaats waar men onbevangen zichzelf moet kunnen zijn? In het kader van deze vraag kan worden opgemerkt dat geautomatiseerde werken, zoals computers, tablets en telefoons, steeds vaker een grote hoeveelheid persoonlijke gegevens bevatten. Bovendien speelt het leven van mensen zich steeds meer in de digitale wereld af. 42 Met name de correspondentie tussen personen geschiedt steeds meer langs digitale weg en via geautomatiseerde werken. Bovendien wordt er over het algemeen vanuit gegaan dat de integriteit van computersystemen gewaarborgd is en anderen geen toegang hebben tot de gegevens die in een computersysteem zijn opgeslagen. 43 In Duitsland heeft het Bundesverfassungsgericht het recht op confidentialiteit en integriteit van eigen computersystemen reeds erkend. 44 Volgt men bovenstaande zienswijze, dan kan worden geconcludeerd dat computers en andere geautomatiseerde werken kunnen worden aangemerkt als plaatsen waar men onbevangen zichzelf moet kunnen zijn. Dit geldt met name voor eigen geautomatiseerde werken. Wanneer een persoon communiceert via, gegevens opslaat op, of informatie opzoekt via een geautomatiseerd werk, kan dit als een gedraging worden beschouwd waaruit blijkt dat deze persoon privacy wenst. Immers, men mag er op vertrouwen dat anderen hierbij niet kunnen meekijken. Anderzijds kan cyberspace als een virtuele maatschappij worden beschouwd; een plaats op zich waar men informatie kan zoeken en verspreiden en met elkaar kan communiceren. 45 Zo beschouwd zou cyberspace als een openbare ruimte kunnen worden gekwalificeerd. Deze openbare ruimte kan niet worden gekwalificeerd als 40 EHRM 25 juni 1997, 20605/92 (Halford v. The United Kingdom), par T. Blom, Privacy, EVRM en (straf)rechtshandhaving, in: Legitieme strafvordering; rechten van de mensen als inspiratie in de 21 ste eeuw, Groningen: 2001, p B. Jacobs, Policeware, Nederlands Juristenblad 2012, afl. 39, p J.J. Oerlemans, Hacken als opsporingsbevoegdheid, Delikt en Delinkwent afl. 62, par, 6. evt. site erbij, want geen paginanummering. 44 BVerfG 27 februari 2008, 1 BvR 370/ C. Conings, De lokalisatie van opsporing in een virtuele omgeving, Wie zoekt waar in cyberspace?, KU Leuven: Nullum crimen 2014, p. 6. En N. Bussolati, Delocalizing the Revolution: Cyber Political Hacktivism and Implications for Criminal Law, (DRAFT January 2014), p

19 een plaats waar men onbevangen zichzelf moet kunnen zijn. Wanneer men zich dus in cyberspace begeeft, geeft men geen blijk van de wens op privacy. Met de hackbevoegdheid kunnen opsporingsambtenaren zich echter niet alleen toegang verschaffen tot gegeven die zich in cyberspace bevinden, zoals bezochte websites en communicatie. Ook kan er toegang worden verkregen tot gegevens die zich op de harde schijf van het geautomatiseerde werk bevinden. 46 Dit leidt tot de conclusie dat geautomatiseerde werken moeten worden aangemerkt als plaatsen waar men onbevangen zichzelf moet kunnen zijn en dat gebruikmaking van deze geautomatiseerde werken moet worden beschouwd als blijk dat men privacy wenst. De hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III maakt namelijk geen onderscheid tussen het verkrijgen van toegang tot op een harde schijf opgeslagen gegevens en gegevens welke zich in cyberspace bevinden. Dit is het gevolg van het feit dat in de praktijk de grens tussen opgeslagen en stromende gegevens vervaagt. 47 Hierdoor gaat het niet op om een dergelijk onderscheid te maken in het kader van het recht op privacy en bescherming van het recht op privacy af te laten hangen van de vraag of de gezochte gegevens zich al dan niet in cyberspace bevinden. Vervolgens wordt er ingevolge de reasonable expectation of privacy doctrine getoetst aan een objectief criterium. Wil er sprake zijn van een redelijke verwachting op privacy, dan moet de verdachte de redelijke verwachting hebben gehad dat er geen inbreuk op zijn recht op privacy zou worden gemaakt. In de rechtspraak van het EHRM wordt dit afhankelijk gesteld van de intenties van de verdachte. Indien de verdachte wist dat hij strafbaar handelde, had hij er ook bedacht op moeten zijn dat er opsporingshandelingen ten aanzien van hem zouden kunnen worden ingezet en er inbreuk op zijn privacy zou kunnen worden gemaakt. De vraag of hiervan sprake is kan niet in het algemeen worden beantwoord. Dit hangt af van de omstandigheden van het geval. Brengt de reasonable expectation of privacy doctrine met zich dat wanneer iemand weet dat hij strafbaar handelt, hij zijn recht op privacy verliest? Alhoewel het recht op privacy niet absoluut is, betreft het hier wel een grondrecht. Het al dan niet bezitten van dit recht kan niet zo maar afhankelijk worden gesteld van iemands intenties. Het 46 Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p

20 recht op privacy is immers een recht dat in beginsel onvoorwaardelijk aan een ieder toekomt. Meer algemeen wordt er van uit gegaan dat er met het inzetten van de bevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III wel degelijk inmenging plaatsvindt in het privéleven van de verdachte. De inbreuk die de hackbevoegdheid op de privacy maakt, kan enigszins worden vergeleken met de inbreuk die wordt gemaakt met het tappen van telecommunicatie, het direct afluisteren en de doorzoeking ter vastlegging van gegevens. 48 Volgens het Nederlands Juristen Comité voor de Mensenrechten is de potentiële inbreuk van de hackbevoegdheid op de privacy groter dan de inbreuk die met het tappen van telecommunicatie wordt gemaakt. 49 Het EHRM heeft reeds bepaald dat telefoon-, fax- en verkeer bescherming genieten van artikel 8 EVRM. 50 Met de inzet van de hackbevoegdheid kan er toegang worden verkregen tot en telefoonverkeer, maar ook tot andere communicatiegegevens, zoals bijvoorbeeld Skype-gegevens. Dit brengt mee dat de hackbevoegdheid kan worden gekwalificeerd als inbreuk makend op het privéleven, daar er met deze bevoegdheid toegang kan worden verkregen tot gegeven die volgens het EHRM onder de bescherming van artikel 8 EVRM vallen. Dit geldt te meer omdat de bevoegdheid, zoals neergelegd in het wetsvoorstel computercriminaliteit III, in wezen een algemene opsporingsbevoegdheid is. Hierdoor heeft de bevoegdheid een ruim toepassingsbereik en is de bevoegdheid ook op dit vlak vergelijkbaar met voornoemde opsporingsbevoegdheden. 51 Bovendien wordt ook in de Memorie van Toelichting bij het wetsvoorstel computercriminaliteit III erkend dat de hackbevoegdheid een ernstige inbreuk maakt op het recht op privacy. Het betreft dan ook een vergaande bevoegdheid. Men mag immers vertrouwen op de integriteit van computersystemen en men behoeft niet te verwachten dat opsporingsambtenaren zonder toestemming hier toegang tot kunnen verkrijgen. Ook hier wordt de bevoegdheid vergeleken met de doorzoeking ter 48 J.J. Oerlemans, Hacken als opsporingsbevoegdheid, Delikt en Delinkwent afl. 62, par, 6. evt. site erbij, want geen paginanummering. 49 Advies NJCM bij het wetsvoorstel computercriminaliteit III, d.d. 28 juni 2013, pag EHRM 1 juli 2008 (FINAL 01/10/08), 58243/00 (Liberty and others v. the United Kingdom), par Advies NJCM bij het wetsvoorstel computercriminaliteit III, d.d. 28 juni 2013, pag

21 vastlegging van gegevens, het aftappen van communicatie en het direct afluisteren, welke bescherming van artikel 8 EVRM genieten. 52 Nu is vastgesteld dat de bevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III inbreuk maakt op het recht op privacy, zoals neergelegd in artikel 8 EVRM, moet er worden bezien of deze inbreuk kan worden gerechtvaardigd. Een inbreuk op artikel 8 EVRM kan worden gerechtvaardigd, indien er is voldaan aan de drie vereisten van lid 2 van dat artikel. Allereerst dient de inbreuk bij wet voorzien te zijn. Voorts is vereist dat de inbreuk een van de in het tweede lid van artikel 8 EVRM genoemde doelen dient. Het derde vereiste is het vereiste van noodzakelijkheid in een democratische samenleving. Deze drie vereisten zijn cumulatief. Derhalve dient aan alle drie de voorwaarden te zijn voldaan, wil er sprake zijn van een gerechtvaardigde inbreuk op de privacy. Het eerste vereiste van artikel 8 lid 2 EVRM, dat de beperking bij wet voorzien moet zijn, houdt in dat de inbreuk een grondslag in het recht dient te hebben. Deze voorziening kan de formele wet zijn, maar ook lagere regelgeving voldoet aan het vereiste. Bovendien kan de beperking ook uit ongeschreven recht of een bevoegd gegeven bevel voortvloeien. Volgens het EHRM dient de voorziening bij wet toegankelijk en voorzienbaar te zijn. De toegankelijkheid hangt af van de wijze van publicatie van de voorziening, welke dusdanig gepubliceerd dient te zijn, dat de burger er kennis van heeft kunnen nemen. De voorzienbaarheid ziet op de mogelijkheid voor de burger om van te voren met enige zekerheid te kunnen vaststellen wanneer zijn privacy zal worden beperkt. Doorgaans levert het vereiste van voorziening bij wet geen problemen op. 53 De bevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit zal, indien het wetsvoorstel door de Staten-Generaal wordt aangenomen, een plaats krijgen in het Wetboek van Strafvordering. 54 Net zoals andere opsporingsbevoegdheden wordt de hackbevoegdheid in het Staatsblad 52 Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p A.W. Hins en A.J. Nieuwenhuis, Hoofdstukken grondrechten, Nijmegen: Ars Aequi Libri 2010, p Memorie van Toelichting bij het wetsvoorstel computercriminaliteit III, p

22 gepubliceerd. 55 Volgens het EHRM kan de wetgeving uit het Wetboek van Strafvordering worden gekwalificeerd als voorzien bij wet. 56 Voorts heeft het EHRM in het kader van het vereiste dat de beperking bij wet voorzien dient te zijn overwogen dat een duidelijke en gedetailleerde regeling vereist is, wanneer het gaat om het onderscheppen en afluisteren van communicatie. Dit is vooral van belang nu de kans op willekeur bij de heimelijke inzet van deze bevoegdheden evident is en de technologie die hiervoor wordt gebruikt steeds geavanceerder wordt. 57 Daar de Memorie van Toelichting bij het wetsvoorstel computercriminaliteit III uitgebreid ingaat op de vraag wanneer en met welk doel de bevoegdheid mag worden ingezet, lijkt de hackbevoegdheid ook te voldoen aan het vereiste van voorzienbaarheid. 58 Derhalve voldoet de hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III aan de eis dat de bevoegdheid bij wet moet zijn voorzien. Voorst vereist lid 2 van artikel 8 EVRM dat de inbreuk makende bevoegdheid een legitiem doel dient. Lid 2 geeft een opsomming van de doeleinden, welke als legitiem kunnen worden beschouwd. Dit zijn de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen. Ook dit vereiste zal weinig problemen opleveren, daar het EHRM de door staten aangedragen doeleinden veelal accepteert. De doeleinden worden dan ook ruim uitgelegd. 59 Blijkens de Memorie van Toelichting bij het wetsvoorstel computercriminaliteit III heeft de hackbevoegdheid ten doel de opsporing van ernstige strafbare feiten. Lid 2 noemt onder andere als legitieme doeleinden de openbare veiligheid en het voorkomen van wanordelijkheden en strafbare feiten. De hackbevoegdheid van artikel 125ja van het wetsvoorstel computercriminaliteit III kan gemakkelijk onder een van deze doeleinden worden geschaard. Voorts kan de hackbevoegdheid onder omstandigheden ook worden ingezet ten behoeve van de bescherming van de rechten en vrijheden van anderen, bijvoorbeeld in geval van kinderpornografie geraadpleegd op EHRM 3 april 2012, 42857/05 (Van der Heijden v. Nederland), ro EHRM 1 juli 2008, 58243/00 (Liberty v. Het Verenigd Koninkrijk), ro Memorie van Toelichting bij het wetsvoorstel computercriminaliteit III, p A.W. Hins en A.J. Nieuwenhuis, Hoofdstukken grondrechten, Nijmegen: Ars Aequi Libri 2010, p

23 Het derde vereiste, het vereiste van noodzakelijkheid in een democratische samenleving, wordt getoetst naar de concrete omstandigheden van het geval. Algemene criteria zijn hier echter ook van belang. Het vereiste van noodzakelijkheid houdt niet in dat de overheid verplicht moet zijn tot de beperking van het grondrecht. Het vereiste is echter ook niet zo ruim dat hier aan is voldaan indien de beperking toelaatbaar of wenselijk is. De eis dat de beperking noodzakelijk dient te zijn in een democratische samenleving spitst zich vooral toe op de vraag naar de proportionaliteit van de beperking. De beperking dient, gezien haar ernst, proportioneel te zijn ten aanzien van het doel van de beperking. Derhalve wordt de ernst van de beperking afgewogen tegen het doel dat er mee wordt gediend. Ook dient de beperking te voldoen aan het subsidiariteitsvereiste. Dit houdt in dat inbreuk makende maatregel geschikt dient te zijn om het te verwezenlijken doel te bereiken en er moet niet met een minder beperkend alternatief kunnen worden volstaan. Er dienen voorts relevante en voldoende redenen te zijn voor de inbreuk en er moet sprake zijn van een dringende maatschappelijke behoefte. 60 De reden die de Memorie van Toelichting bij het wetsvoorstel computercriminaliteit III aandraagt voor het in het leven roepen van de hackbevoegdheid is het voorzien in de leemte in de bestaande opsporingsbevoegdheden op het gebied van geautomatiseerde werken. Bestaande bevoegdheden schieten tekort bij de opsporing van ernstige strafbare feiten, waarbij er gebruik wordt gemaakt van geautomatiseerde werken. Dit is het gevolg van technologische ontwikkelingen, welke meebrengen dat opsporingsbevoegdheden ineffectief zijn (zoals in het geval van versleutelde communicatie) of een dusdanige vertraging opleveren, dat het bewijs kan zijn gewist voordat opsporingsambtenaren hiervan kennis hebben kunnen nemen (bijvoorbeeld indien er eerst toestemming aan de staat moet worden gevraagd waar de gegevens zijn opgeslagen). 61 De in de Memorie van Toelichting benoemde redenen voor het creëren van de hackbevoegdheid laten zien dat de bevoegdheid geschikt is voor de opsporing van strafbare feiten. Daar bestaande 60 A.W. Hins en A.J. Nieuwenhuis, Hoofdstukken grondrechten, Nijmegen: Ars Aequi Libri 2010, p Memorie van Toelichting bij wetsvoorstel computercriminaliteit III, p