Werkaanbod cybercrime bij de politie Een verkennend onderzoek naar de omvang van het geregistreerde werkaanbod cybercrime

Transcriptie

1 Werkaanbod cybercrime bij de politie Een verkennend onderzoek naar de omvang van het geregistreerde werkaanbod cybercrime Lectoraat Cybersafety, Noordelijke Hogeschool Leeuwarden M.M.L. Domenie BSc E.R. Leukfeldt BSc Drs. M.H. Toutenhoofd-Visser Dr. W.Ph. Stol 23 maart 2009

2 Voorwoord Voor dit onderzoek kregen we de medewerking van veel mensen uit politiekorpsen. Wij willen hen op deze plaats bedanken voor de tijd die zij hebben vrijgemaakt. Onze bijzondere dank gaat uit naar Ron van der Nagel en Jan Rogier van regiopolitie Hollands Midden en Dirk Aangeenbrug van regiopolitie Zuid-Holland-Zuid die hun kennis, materiaal en werkplek met ons hebben willen delen. Miranda Domenie Rutger Leukfeldt Marika Toutenhoofd Wouter Stol i

3 Inhoudsopgave Samenvatting...iii 1. Inleiding Cybercrime en Programma Aanpak Cybercrime Onderwerp en doel van onderzoek Onderzoeksvragen Verantwoording onderzoeksmethoden Fase 1: bepalen zoekmethode Inleiding Theoretische mogelijkheden om cybercrime in BPS en HKS te registreren Registratie van cybercrime in BPS in de praktijk Blueview en BRAINS een keuze Fase 2: omvang werkaanbod Toelichting bij de werkwijze Resultaten werkaanbod Hollands Midden Resultaten werkaanbod Zuid-Holland-Zuid Werkaanbod Hollands Midden en Zuid-Holland-Zuid in Slachtofferschap Conclusies en aanbevelingen Conclusies inzake de omvang van het geregistreerde werkaanbod Conclusies inzake de methode Aanbevelingen Literatuur Lijst van afkortingen Bijlage 1: lijst van geïnterviewde personen Bijlage 2: gebruikte zoekslagen Bijlage 3: betrouwbaarheidsintervallen_ Bijlage 4: betrouwbaarheidsintervallen_ Bijlage 5: gebruikte incidentcodes voor cybercrime per regio Bijlage 6: pogingen tot oplichting via internet in 2007, ii

4 Samenvatting Doel en onderwerp Dit onderzoek gaat over het werkaanbod cybercrime bij de politie. Onder de politie verstaan we in het onderhavige onderzoek de 25 regionale politiekorpsen. Met werkaanbod worden alle meldingen en aangiften bedoeld die bij de politie binnenkomen en daar zijn geregistreerd. Cybercrime definiëren we als criminele activiteiten waarbij het gebruik van ICT van wezenlijk belang is. Het doel van het onderzoek is het bieden van inzicht in het geregistreerde werkaanbod cybercrime bij de politie. De centrale onderzoeksvraag luidt dan ook: wat zijn aard en omvang van, en ontwikkelingen in het geregistreerde werkaanbod van de politie, inzake cybercrime? Methodische verantwoording Het onderzoek is uitgevoerd in de korpsen Utrecht, Hollands Midden en Zuid-Holland-Zuid. In de eerste fase van het onderzoek stond centraal hoe cybercrime te herkennen is in het basisprocessensysteem van de politie. In totaal zijn 13 interviews afgenomen bij infodeskmedewerkers, misdaadanalisten, intakers en medewerkers met aanverwante functies. Daarnaast zijn bestaande data uit politiedossiers geanalyseerd. Op deze manier is een beeld verkregen van hoe de intake verloopt, hoe agenten cybercrime registreren en hoe cybercrime terug te vinden is in het basisprocessensysteem. Vervolgens zijn zoekprotocollen opgesteld om cybercrimedossiers te selecteren in het basisprocessensysteem van de regio s Zuid-Holland-Zuid en Hollands Midden. De zoeksleutel is opgebouwd uit vier onderdelen. Eén onderdeel bestaat uit zoektermen die we associëren met cybercrime en waar we naar zoeken in de vaste en vrije velden. Het tweede onderdeel selecteert alleen de dossiers die een aangifte en/of meldingscode hebben. Het derde onderdeel selecteert een steekproef van 39 dagen. Het vierde onderdeel sluit een lijst van zoekwoorden en incidentcodes uit. Om de kwaliteit van de zoekprotocollen te verifiëren, hebben we het resultaat van de zoekslag handmatig gecontroleerd. Hiervoor hebben we in totaal geselecteerde dossiers handmatig geanalyseerd. Om na te gaan of we met de zoekprotocollen geen cybercrime ten onrechte hebben uitgesloten, namen we uit de niet-geselecteerde dossiers een steekproef van dossiers en controleerden deze handmatig. Het geregistreerde werkaanbod cybercrime In Hollands Midden zijn in het jaar 2007 in totaal mutatienummers aangemaakt. We hebben van alle meldingen en aangiften een steekproef van 39 dagen getrokken. In de steekproef van mutatienummers (10,7 procent van het totaal aantal meldingen en aangiftes in dat jaar) vinden we 72 cybercrimes. Dit komt neer op een aandeel cybercrime van 0,32 procent in de steekproef. In een aselecte steekproef van 600 dossiers die buiten de algemene zoeksleutel vallen, vinden we geen cybercrimes. Aangezien we met een steekproef werken, kunnen we niet aannemen dat het werkelijke aandeel cybercrime in alle aangiften en mutaties exact 0,32 procent is. Met een betrouwbaarheid van 90 procent ligt het aandeel cybercrime in regio Hollands Midden in 2007 tussen 0,25 procent en 0,64 procent. Dit komt overeen met 547 à meldingen en aangiften. In Zuid-Holland-Zuid zijn in het jaar 2007 in totaal mutatienummers aangemaakt. We hebben van alle meldingen en aangiften een steekproef van 39 dagen getrokken. In de steekproef van mutatienummers (10,4 procent van het totaal aantal meldingen en aangiftes) vinden we 70 cybercrimes. Dit komt neer op een aandeel cybercrime van 0,54 procent iii

5 in de steekproef. In een aselecte steekproef van 600 dossiers die buiten de algemene zoeksleutel vallen, vinden we geen cybercrimes. Rekening houdend met de mogelijke afwijkingen van de steekproef ligt met een betrouwbaarheid van 90 procent het aandeel cybercrime in regio Zuid-Holland-Zuid in 2007 tussen 0,43 procent en 0,91 procent. Dit komt overeen met 530 à 1150 meldingen en aangiften. Het geregistreerde werkaanbod in perspectief Volgens onze berekening is het aandeel cybercrime in het werkaanbod kleiner dan 1%. Uit een onderzoek onder internettende Friezen, uitgevoerd eind 2008, blijkt dat het slachtofferschap van cybercrime aanzienlijk hoger ligt en de aangiftebereidheid laag is. De aard van meldingen en aangiften cybercrime Ongeveer de helft van alle cybercrimes is e-fraude, zowel in regio Hollands Midden als in regio Zuid-Holland-Zuid. Verder komt hacken, illegale handel, smaad, stalking en overige cybercrimes zoals schennis van de eerbaarheid voor. Cyberafpersen en haatzaaien vinden we niet, wat niet wil zeggen dat dergelijke cybercrimes niet in Nederland voorkomen. Voor de registratie van cybercrime wordt in beide korpsen in ongeveer eenderde van de gevallen de incidentcode 281 oplichting gebruikt. De rest van de cybercrimes wordt onder een veelheid van incidentcodes gemuteerd. Trendanalyse Voor de trendanalyse hanteerden we als aanname dat de door ons ontwikkelde algemene zoeksleutel in de andere jaren eenzelfde percentage vals positieven (90,1 procent in Hollands Midden en 93,6 procent in Zuid-Holland-Zuid) zou hebben als in Die aanname lijkt niet correct. Als gevolg van veranderende registratieroutines selecteert onze zoeksleutel in andere jaren andere hoeveelheden dossiers. Daarmee valt in feite de bodem weg onder de trendanalyse. Conclusies en aanbevelingen - Het percentage cybercrime in de politieregistratiesystemen ligt in 2007 tussen 0,3 en 0,9 procent in de regio s Hollands Midden en Zuid-Holland-Zuid. - Uitspraken over trends in cybercrime in de periode kunnen niet gedaan worden op basis van dit onderzoek. Ook kunnen we op basis van de resultaten uit de twee onderzochte korpsen geen uitspraken doen over het geregistreerde werkaanbod in andere korpsen. - Op basis van slachtofferenquêtes in Friesland kunnen we stellen dat het slachtofferschap aanzienlijk hoger ligt. De aangiftebereidheid ligt voorzichtig geschat op maximaal vijf procent. - Ongeveer de helft van het geregistreerde werkaanbod cybercrime is e-fraude. - Het is niet mogelijk om geautomatiseerd cybercrimes uit de politieregistratiesystemen te selecteren zonder handmatige check van het resultaat. - Ontwikkel een gerichte, efficiënte strategie om het werkaanbod op te vangen. Geen zware opleidingen aan alle intakers, maar het aanbieden van gerichte ondersteuning voor het geval zich een aangifte voordoet. - Vergroot de kennis over e-fraude bij intakers. De kans dat intakers met e-fraude te maken krijgen is reëel en op deze manier maken intakers toch kennis met de basisprincipes van het opnemen van een aangifte cybercrime en dat is iets wat ze in de toekomst naar verwachting steeds vaker te doen zullen krijgen. Geen zware cursus in de breedte maar een relatief lichte voorlichting aangevuld met voorzieningen voor als-het-zich-aandient. iv

6 - Voer slachtofferonderzoek uit om te zien hoe cybercrime, en dus het werkaanbod, zich ontwikkelt. - Breng geen wijzigingen aan in de registratiesystemen. Variatie in registratie is altijd (ook) gevolg van veranderingen in beleid, prioriteit en verandering in de bedrijfsprocessen. Het is niet haalbaar om 100 procent nauwkeurig te registreren. De belasting op intakers is met een wijziging in het registratiesysteem verhoudingsgewijs te hoog. - Beter is het (efficiënter en meer valide) om de omvang van cybercrime in de politieregistratie met de hand vast te stellen, met gebruikmaking van steekproeven. v

7 HOOFDSTUK 1 Inleiding 1.1 Cybercrime en Programma Aanpak Cybercrime Internet biedt mensen communicatie- en handelingsmogelijkheden die zij daarvoor niet hadden. Zij maken daarvan volop gebruik, ook voor criminele doeleinden. Het gebruik van internet bij het plegen van delicten is al lang niet meer nieuw (Akdeniz, 1996; Duncan, 1997, Durkin 1997, Van Eecke, 1997, Boerstra, 1997; Grabowsky en Smith, 1998). Te verwachten is dat de met internet verweven criminaliteit de komende jaren toeneemt (SCP, 2004). De Nederlandse overheid geeft aan de opsporing en bestrijding van cybercrime een hoge prioriteit en neemt verschillende juridische en organisatorische maatregelen. Voorbeelden hiervan zijn aanpassingen in wetgeving door de inwerkingtreding van de Wet op Computercriminaliteit-II in 2006, de Nationale Infrastructuur ter bestrijding van CyberCrime (NICC), de oprichting van een Meldpunt Cybercrime, de oprichting van het Team High Tech Crime (THTC) bij het Korps Landelijke Politiediensten en het landelijke Programma Aanpak Cybercrime (PAC) van de Raad van Hoofdcommissarissen. Bij herhaling wordt echter geconstateerd, ook door politie en justitie zelf, dat politie en justitie de ontwikkelingen maar moeizaam kunnen bijbenen. Groot probleem is gebrek aan kennis over wat zich op internet precies afspeelt met betrekking tot criminaliteit en hoe dat kan worden opgespoord (Stol e.a. 1999; PWC 2001; LP- DO 2003; Griffith, 2005; Lünnemann e.a., 2006; Van der Hulst en Neve, 2008). Dat is een ongewenste situatie. De politie is zich dat bewust en startte in 2007 het eerder genoemde landelijke Programma Aanpak Cybercrime (PAC). Het PAC draagt zorg voor de uitvoering van een samenstel van activiteiten die er toe zullen moeten leiden dat: (1) de politie in staat is effectief uitvoering te geven aan de bestrijding van cybercrime als onderdeel van haar dagelijkse werkzaamheden, (2) de Nederlandse samenleving een beroep kan doen op haar politie ten aanzien van de bestrijding van cybercrime en daarin niet zal worden teleurgesteld, (3) cybercrime in Nederland adequaat, actief en zichtbaar door de Nederlandse politie wordt aangepakt en (4) de politie aansluiting vindt op het netwerk van organisaties en instanties die een rol dan wel een belang hebben bij de bestrijding van de negatieve effecten van digitalisering en in dit netwerk een natuurlijke rol speelt met een reële toegevoegde waarde passend bij de wettelijke taken en verantwoordelijkheden. Het PAC beoogt de gewenste situatie binnen vijf jaar te realiseren door het treffen van maatregelen op het vlak van organisatie, opleiding & training, onderzoek & ontwikkeling, stimulering van good practices en een éénmalige kennis- en capaciteitsinjectie. (PAC 2007:2). Het PAC doet momenteel onderzoek naar hoe de politie omgaat met cybercrime. Het onderzoek is verdeeld in vijf blokken: het werkaanbod, de organisatie, de competenties, research & development, en de ervaren knelpunten en kansen. Voor het blok werkaanbod heeft het PAC het lectoraat cybersafety van de Noordelijke Hogeschool Leeuwarden benaderd om in kaart te brengen hoe groot het (geregistreerde) werkaanbod cybercrime voor de politie is. Momenteel rondt het lectoraat Cybersafety met studenten van de Noordelijke Hogeschool Leeuwarden onderzoek af naar de wijze waarop bij de politie de intake en de eerst opvolging van het werkaanbod is geregeld en hoe een en ander in de praktijk verloopt. Ook voert het lectoraat Cybersafety, in opdracht van het KLPD, een criminaliteitsbeeldanalyse cybercrime 1

8 (CBAC) uit (Leukfeldt e.a., te verwachten). Resultaten en ervaringen uit die CBAC zijn gebruikt bij onderhavig onderzoek. 1.2 Onderwerp en doel van onderzoek Onderwerp Dit onderzoek gaat over het werkaanbod cybercrime bij de politie. Onder de politie verstaan we in het onderhavige onderzoek de 25 regionale politiekorpsen. Met werkaanbod worden alle meldingen en aangiften bedoeld die bij de politie binnenkomen en daar zijn geregistreerd. Werkaanbod kan dus criminaliteit betreffen, maar het kan ook gaan om overtredingen of om situaties waarbij geen sprake is van een strafbaar feit (gevaarlijke situatie op een kruispunt, burenruzie, etc.). Dit onderzoek is er niet op gericht te bepalen of een bepaald werkaanbod al dan niet een strafbaar feit betreft. Van belang is hier te constateren dat een burger/bedrijf de politie benadert met een probleem inzake cybercrime, niet van belang is dat we vaststellen dat er ook werkelijk een delict is gepleegd. In de literatuur komen we verschillende definities van cybercrime tegen (zie Van der Hulst en Neve, 2008). In dit onderzoek hanteren we de definitie van cybercrime zoals die door het PAC is geformuleerd (PAC, 2008). Na een vergelijkend onderzoek concludeert het PAC dat de definitie van Van der Hulst en Neve (2008) de meest bruikbare is voor de activiteiten van het PAC. Van der Hulst en Neve definiëren high-tech crime als overkoepelend begrip waarmee wij verwijzen naar het gebruik van ICT voor het plegen van criminele activiteiten tegen personen, eigendommen, organisaties of elektronische communicatienetwerken en informatiesystemen (2008: 37). Subthema s zijn cybercriminaliteit en computercriminaliteit. Cybercriminaliteit omvat volgens Van der Hulst en Neve alle (traditionele) criminele activiteiten waarbij ICT als instrument wordt gebruikt zonder dat ICT expliciet doelwit is van de criminele activiteiten. Computercriminaliteit omvat alle criminele activiteiten waarbij ICT als instrument wordt gebruikt én waarbij ICT expliciet doelwit is van de criminele activiteiten. Volgens Van der Hulst en Neve is kenmerkend aan de verschijningsvormen van computercriminaliteit (bijvoorbeeld hacken en verspreiden van virussen) dat zij een sterk technisch, virtueel karakter hebben: zij zijn ontstaan door, en kunnen niet bestaan zonder ICT. De verschijningsvormen van cybercriminaliteit daarentegen zijn doorgaans traditionele delicten die ook zonder tussenkomst van ICT gepleegd kunnen worden (bijvoorbeeld verspreiden van kinderporno en afpersen) maar door het gebruik van ICT een nieuwe (efficiëntere) uitvoering hebben gekregen. Benadrukt wordt daarbij nog dat beide subthema s ideaaltypen vormen, als uiteinden van een continuüm, waarbinnen verschillende combinaties mogelijk zijn. Het PAC volgt de definitie van Van der Hulst en Neve (2008) niet één-op-één. Het overkoepelende begrip high-tech crime wordt door het PAC vervangen door cybercrime. Het onderscheid tussen cybercrime in enge en ruime zin blijft gehanteerd (figuur 1.1). Het onderscheid tussen enerzijds delicten waarbij ICT zowel middel als doel is en anderzijds delicten waarbij ICT middel is maar geen doel, is niet nieuw en zagen we bijvoorbeeld ook in het Europese Cybercrime Verdrag van 2001, zij het met gebruik van wat andere termen. 1 1 Convention on Cybercrime, European Treaty Series 185, Budapest, 23.XI

9 Figuur 1.1: begripsbepaling cybercrime (bron: PAC, 2008) Cybercrime Dit is het overkoepelende begrip dat verwijst naar het gebruik van ICT voor het plegen van criminele activiteiten tegen personen, eigendommen, organisaties of elektronische communicatienetwerken en informatiesystemen. Cybercrime in ruime zin Cybercrime in enge zin Dit omvat alle (traditionele) criminele activiteiten waarbij ICT als instrument wordt gebruikt zonder dat ICT expliciet doelwit is van de criminele activiteiten. Dit omvat alle criminele activiteiten waarbij ICT als instrument wordt gebruikt én waarbij ICT expliciet doelwit is van de criminele activiteiten. De zojuist gegeven definitie van cybercrime verwijst naar elk delict waarbij de dader voor het plegen daarvan op enigerlei wijze gebruik heeft gemaakt van ICT. Classificeren we delicten volgens dat principe, dan zou de selectie al snel ook zaken gaan bevatten die in het politieveld niet worden aangemerkt als werkaanbod inzake cybercrime, bijvoorbeeld alle delicten waarbij de dader voor het plegen daarvan enkel gebruik heeft gemaakt van een mobiele telefoon of een satellietnavigatiesysteem. Daar komt bij dat het gebruik van dergelijke voor het plegen van het delict niet wezenlijke ICT, uit de politieregistratie doorgaans niet (eenvoudig) zal zijn af te leiden. Om het geregistreerde werkaanbod inzake cybercrime te bepalen, perken we bovenstaande definitie dan ook enigszins in. In dit onderzoek is sprake van cybercrime indien de door de dader gebruikte ICT van wezenlijk belang is voor de totstandkoming van het delict. We zijn ons er van bewust dat we de definitie daarmee weliswaar hebben ingeperkt maar haar daarmee nog niet van een scherpe grens hebben voorzien. In de uitvoering van het onderzoek zullen we aan de hand van het empirische materiaal duidelijk maken welke gevallen we wel en welke we niet onder de definitie hebben laten vallen. In de volgende alinea geven we al vast een fictief voorbeeld. Cybercrime in ruime zin kan verweven zijn met uiteenlopende vormen van traditionele criminaliteit die ook voorkomen in de fysieke wereld. Voorbeelden hiervan zijn fraude, afpersing, haatzaaien en de verspreiding van kinderpornografie. Omdat ICT een belangrijke rol speelt in het dagelijks leven is het bij deze delicten van belang om te kijken hoe belangrijk ICT is geweest voor het plegen van het delict. Een voorbeeld van cybercrime in brede zin is oplichting via online veilingwebsites. Op de website verkoopt de oplichter spullen maar levert deze nooit aan de afnemers. Zonder de online veilingwebsite zou het delict niet zo gepleegd kunnen worden. Er is echter geen sprake van cybercrime indien een bedrijf in de fysieke wereld klanten oplicht en deze praktijken bijhoudt in een schaduwboekhouding op een bedrijfscomputer. Het delict kon in dit geval ook gepleegd worden zonder gebruik van ICT. Doel van het onderzoek Het onderzoek moet uiteindelijk bijdragen aan de bestrijding van cybercrime. Het dichterbij gelegen doel is het bieden van inzicht in het geregistreerde werkaanbod cybercrime bij de politie. Het onderzoek moet de politie inzicht geven in de aard en omvang van geregistreerde aangiften en meldingen cybercrime. 3

10 1.3 Onderzoeksvragen De centrale onderzoeksvraag luidt: wat zijn aard en omvang van, en ontwikkelingen in het geregistreerde werkaanbod van de politie, inzake cybercrime? Deze vraag hebben we als volgt uitgewerkt in deelvragen. 1. Wat zijn de theoretische mogelijkheden om cybercrime in het basisprocessensysteem van de politie te registreren? 2. Hoe wordt cybercrime in de praktijk in het basisprocessensysteem van de politie geregistreerd? 3. Hoe is cybercrime te herkennen in het basisprocessensysteem van de politie? a. Aan de hand van welke vaste velden in het basisprocessensysteem kan worden bepaald of er sprake is van een cybercrime? b. Aan de hand van welke vaste velden in BlueView kan worden bepaald of er sprake is van een cybercrime? c. Aan de hand van welke zoektermen in de vrije tekst in het basisprocessensysteem kan worden bepaald of er sprake is van een cybercrime? d. Aan de hand van welke zoektermen in de vrije tekst in BlueView kan worden bepaald of er sprake is van een cybercrime? e. Aan de hand van welke vaste velden in het basisprocessensysteem kan worden bepaald of er sprake is van een melding of aangifte? f. Aan de hand van welke vaste velden in BlueView kan worden bepaald of er sprake is van een melding of aangifte? g. Aan de hand van welke vaste velden in het basisprocessensysteem kan worden bepaald of de aangever of melder een individu of bedrijf is? h. Aan de hand van welke vaste velden in BlueView kan worden bepaald of de aangever of melder een individu of bedrijf is? 4. Wat zijn de ontwikkelingen op het gebied het geregistreerde werkaanbod cybercrime bij de politie in de periode ? Meldingen a. Hoeveel meldingen cybercrime komen er per jaar binnen bij de korpsen Utrecht en Hollands Midden in de periode 2003 t/m 2007 en hoeveel meldingen zijn op basis daarvan te verwachten voor 2008? b. Welk aandeel is dat van het totaal aantal meldingen in die korpsen? c. Om wat voor soort cybercrime gaat het? d. Wie doet de melding (bedrijf/burger)? e. Onder welke maatschappelijke klasse wordt de melding geregistreerd? Aangiften f. Hoeveel aangiften cybercrime komen er per jaar binnen bij de korpsen Utrecht en Hollands Midden in de periode 2003 t/m 2007 en hoeveel aangiften zijn op basis daarvan te verwachten voor 2008? g. Welk aandeel is dat van het totaal aantal aangiften in die korpsen? h. Om wat voor soort cybercrime gaat het? i. Wie doet de aangifte (bedrijf/burger, kenmerken)? j. Onder welke maatschappelijke klasse wordt de aangifte geregistreerd? 5. Welke aanbevelingen kunnen op basis van het onderzoek worden gedaan? 4

11 1.4 Verantwoording onderzoeksmethoden Het onderzoek is uitgevoerd in de regiokorpsen van politie Utrecht, Hollands Midden en Zuid-Holland-Zuid. Om het totale werkaanbod cybercrime in kaart te kunnen brengen, is het onderzoek opgedeeld in twee fasen waarin gebruik is gemaakt van drie onderzoeksmethoden. In de eerste fase van het onderzoek stond centraal hoe cybercrime te herkennen is in het basisprocessensysteem van de politie (vraag 1, 2 en 3). Deze fase is uitgevoerd in de regio s Utrecht en Hollands Midden. We maakten gebruik van de volgende onderzoeksmethoden: 1. Interviews. In regio Hollands Midden hebben we twee interviews gehouden met politieagenten die belast zijn met de invoer van delicten in het basisprocessensysteem, twee interviews met infodeskmedewerkers, twee interviews met veiligheidsanalisten en één interview met de chef analyse. In regio Utrecht hebben we één veiligheidsanalist gesproken, twee politieagenten die belast zijn met de invoer van delicten in het basisprocessensysteem en twee infodeskmedewerkers. In regio Zuid-Holland-Zuid spraken we met een vakspecialist analyse. Dat is in totaal 13 (semi-gestructureerde) interviews. Op deze manier is per regio een beeld verkregen van hoe de intake verloopt, hoe agenten cybercrime registreren en hoe analisten cybercrime weten terug te vinden in het basisprocessensysteem. 2. Secundaire analyse. Bestaande data uit politiedossiers, afkomstig uit onderzoek van het lectoraat Cybersafety naar de aard, ernst en omvang van cybercrime in Nederland analyseren we om te bepalen hoe cybercrime in de politieregistratie te herkennen is. In de tweede fase van het onderzoek staat centraal wat de ontwikkelingen zijn op het gebied van het geregistreerde werkaanbod cybercrime. Tijdens de interviews in de eerste fase werd duidelijk dat in Hollands Midden ervaring was met het geautomatiseerd zoeken naar cybercrime in politiesystemen. Ook troffen we in Hollands Midden de expert op het gebied van het softwareprogramma BRAINS, dat is gemaakt voor het analyseren van politiegegevens. In hoofdstuk twee gaan we dieper in op BRAINS. Eveneens kwamen we tijdens de interviews in regio Zuid-Holland-Zuid op het spoor van nog een andere ervaringsdeskundige op het gebied van analyse van politiegegevens. Zowel Hollands Midden als Zuid-Holland-Zuid hebben rapportages gemaakt over het werkaanbod cybercrime in deze regio s. Beide regio s beschikken over de meest recente versie van BRAINS en een medewerker die goed daarmee kan werken. We hebben om die reden de regio s Hollands Midden en Zuid-Holland-Zuid gekozen voor de tweede fase van het onderzoek: het bepalen van het geregistreerde werkaanbod. Hiervoor maakten we gebruik van de volgende onderzoeksmethode: Kwantitatieve analyse. Aan de hand van de uitkomsten van onderzoeksvragen 1, 2 en 3 zijn zoekprotocollen (algoritmes) opgesteld om cybercrimedossiers te selecteren in het basisprocessensysteem van de regio s Zuid-Holland-Zuid en Hollands Midden. Beide regio s maken gebruiken van het basisprocessensysteem BPS. Bij de interpretaties van de cijfers hebben we gebruik gemaakt van ervaringen die het lectoraat Cybersafety opdeed bij kwantitatief dossieronderzoek naar de aard van cybercrime. Om de kwaliteit van de algoritmes te verifiëren, hebben we het resultaat van de geautomatiseerde zoekslag handmatig gecontroleerd. We analyseerden hiervoor in totaal van de automatisch geselecteerde dossiers. Om na te gaan of we met de algoritmes geen cybercrime ten onrechte hebben uitgesloten, namen we uit de niet-geselecteerde dossiers een steekproef van en controleerden deze handmatig. Een uitgebreidere verantwoording van de gehanteerde algoritmes en de wijze waarop we de resultaten controleerden volgt in paragraaf

12 HOOFDSTUK 2 Fase 1: bepalen zoekmethode 2.1 Inleiding Om geautomatiseerd te kunnen zoeken in de politiesystemen naar het werkaanbod cybercrime, moet een tweetal keuzes gemaakt worden. Ten eerste dient te worden bepaald in welke data gezocht wordt. Aangezien we op zoek zijn naar het geregistreerde werkaanbod, wat we gedefinieerd hebben als alle meldingen en aangiften die bij de politie binnenkomen en daar zijn geregistreerd, hebben we databestanden nodig die (alle) meldingen en/of aangiften bevatten. Twee databestanden komen in aanmerking: die van de basisprocessensystemen (BPS, XPOL en Genesys) met gegevens over meldingen en aangiften en die van het herkennisdienstsysteem (HKS) met gegevens over aangiften waarbij zij opgemerkt dat we niet kunnen kiezen voor een analyse op basis van alleen HKS-gegevens omdat we dan de dossiers zouden missen die geen aangifte bevatten. 2 Ten tweede moet worden vastgesteld met welk zoeksysteem we het werkaanbod in kaart willen brengen. Hiervoor komen eveneens twee systemen in aanmerking: Blueview en BRAINS. In dit hoofdstuk beschrijven we aan de hand van de eerste drie onderzoeksvragen op welke manier wij het werkaanbod cybercrime hebben gemeten. In paragraaf 2.2 gaan we in op de theoretische mogelijkheden om cybercrime in de systemen van de politie te registreren. In paragraaf 2.3 beschrijven we vervolgens hoe medewerkers van de politie met deze mogelijkheden omgaan in de praktijk. Paragraaf 2.4 gaat in op de voor- en nadelen van Blueview en BRAINS. In paragraaf 2.5 onderbouwen we de keuze voor het databestand BPS en het zoeksysteem BRAINS. 2.2 Theoretische mogelijkheden om cybercrime in BPS en HKS te registreren. Inleiding Om een goed onderbouwde keuze te kunnen maken voor het te gebruiken databestand, hebben we eerst de theoretische mogelijkheden en beperkingen onderzocht om cybercrime in de basisprocessensystemen en in HKS van de politie te registreren. Hiervoor hebben we rapportages over de omvang van cybercrime bestudeerd, geschreven door twee criminaliteitsanalisten van de politie (de twee eerder genoemde ervaringsdeskundigen) (Van der Nagel, 2008; Aangeenbrug, 2008). Ook de ervaring die we met de CBAC (Leukfeldt e.a., te verwachten) hebben opgedaan, hebben we hierbij betrokken. De regio s waarin we de meting voor onderhavig onderzoek hebben uitgevoerd, maken beide gebruik van het basisprocessensysteem BPS. Vanaf volgend jaar gaan alle regio s over op een nieuw basisprocessensysteem. Wanneer we in dit rapport spreken over basisprocessensysteem of BPS bedoelen we dus in beide gevallen BPS, niet Genesys of Xpol. Theoretische mogelijkheden om cybercrime in BPS te registreren Wanneer gebruik wordt gemaakt van de standaard invoermethode van BPS, zoals intakers doen, is het mogelijk om bij het veld Modus Operandi, in het subveld met behulp van de optie computer te kiezen. Ook is er een open invoerveld Modus Operandi waar een tekst ingevoerd kan worden waaruit blijkt dat de zaak een cybercrime betreft. In het geval van cybercrime in enge zin, kan in BPS de incidentcode 270 of 271 computercriminaliteit gekozen worden. Deze codes worden door elkaar gebruikt maar 271 wordt het 2 Zaken waarvan alleen een melding is maar geen aangifte, worden niet in HKS ingevoerd.

13 vaakst gebruikt. Het is niet duidelijk waarom voor computercriminaliteit twee identieke incidentcodes beschikbaar zijn. Ook zijn er in BPS voor cybercrime in enge zin de volgende wetsartikelen beschikbaar die in een vast veld kunnen worden aangeklikt: 138a WvSr: het binnendringen in een geautomatiseerd werk, 161sexies WvSr: opzettelijk veroorzaken van stoornis in de gang of in de werking van een geautomatiseerd werk of werk voor de telecommunicatie, 161septies WvSr: stoornis in de gang of in de werking in een geautomatiseerd werk of werk voor telecommunicatie door schuld, 350a WvSr: het opzettelijk onbruikbaar maken en veranderen van gegevens, 350b WvSr: het onbruikbaar maken en veranderen van gegevens door schuld, 139c WvSr: het aftappen en/of opnemen van gegevens en 139d WvSr: het plaatsen van opname-, aftap- c.q. afluisterapparatuur. Er is in BPS geen mogelijkheid om bij het registreren van een delict in een vast veld op te geven dat de melding of aangifte een cybercrime betreft. Voor cybercrime in ruime zin zijn naast het genoemde Modus Operandi-veld geen vaste velden beschikbaar om aan te geven dat de mutatie een cybercrime betreft. Ook zijn er geen specifieke incidentcodes of wetsartikelen om cybercrime in ruime zin aan te duiden. Voor de hoofddaad worden dezelfde incidentcodes en wetsartikelen gebruikt als wanneer de criminele daad niet met ICT zou zijn gepleegd. Wanneer sprake is van cybercrime in ruime zin in combinatie met cybercrime in enge zin, kan wel een wetsartikel voor cybercrime in enge zin gebruikt worden. Intakers kiezen bij het aanmaken van een nieuw dossier tussen de activiteitcode A01 (melding) en A03 (aangifte). Wanneer een persoon aangifte doet van een cybercrime die gepleegd is bij een bedrijf, kan de intaker ook bedrijfsgegevens invoeren. In het geval van een melding van cybercrime, kunnen geen vaste velden met bedrijfsgegevens worden gevuld. Welke zaken missen in BPS Een aantal keer per jaar wordt een onderzoek opgestart voor zeer ernstige zaken zoals moord, verkrachting met geweld, ernstige oplichtingszaken en ernstige zedenzaken. Het is mogelijk dat zich hieronder ook enkele cybercrimes bevinden. Deze zaken worden afgeschermd ingevoerd in het recherchesysteem RBS. Deze zaken zijn dus niet zichtbaar in BPS en vallen buiten onze telling. Het aantal is echter laag en heeft vermoedelijk dan ook geen meetbare effecten hebben op de uitkomst van het onderzoek. Wanneer een burger bij de balie komt om aangifte te doen van oplichting via bijvoorbeeld een veilingsite, dan gebeurt het dat de intaker meent dat het een civiele zaak betreft en de aangifte niet opneemt. Sommigen maken een melding, andere muteren helemaal niets. Als een melding is gemaakt, wordt de zaak onderdeel van het geregistreerde werkaanbod waarop dit onderzoek betrekking heeft. Zaken die niet worden gemuteerd, vallen buiten dit onderzoek. Theoretische mogelijkheden om cybercrime in HKS te registreren HKS bevat alleen aangiften en geen meldingen. We hebben HKS laten vallen als optie voor ons onderzoek naar het werkaanbod omdat ons onderzoek zich ook uitstrekt tot meldingen. 7

14 Wanneer een onderzoek naar uitsluitend aangiften van cybercrime gedaan zou moeten worden, is HKS een bruikbaar databestand. HKS heeft dezelfde invoervelden bij Modus Operandi als BPS. Volgens infodeskmedewerkers worden deze velden in HKS beter gevuld dan in BPS. Om hierover meer te weten te komen, zou een test gedaan kunnen worden. In HKS kan bij het veld Modus Operandi code D05 gebruikt worden, waarna de keuze computer home, computer personal of computer portable gemaakt kan worden. Er is op dit moment in HKS geen mogelijkheid om bij het registreren van een delict in een vast veld op te geven dat de aangifte een cybercrime betreft. 2.3 Registratie van cybercrime in BPS in de praktijk. Middels interviews met intakers brachten we in kaart hoe politiemensen de mogelijkheden van BPS gebruiken en hoe zij omgaan met de beperkingen van het systeem. In het geval van cybercrime in enge zin wordt meestal de incidentcode 270 of 271 computercriminaliteit gebruikt. Uit de CBAC blijkt dat van 132 dossiers waarin sprake is van hacken en die in BPS ingevoerd zijn in 2007, driekwart onder de incidentcode computercriminaliteit is gemuteerd. Dat betekent ook dat een kwart onder een andere incidentcode is gemuteerd. In de meeste gevallen is dan sprake van meer delicten dan alleen cybercrime in enge zin en wordt de incidentcode gekozen van het andere delict. Dit is bijvoorbeeld het geval wanneer een computer gehackt wordt, persoonsgegevens worden gestolen en met deze gegevens iemand wordt opgelicht. In dit geval kan aan de zaak de incidentcode voor oplichting worden toegekend. Onder de incidentcodes 270 en 271 worden ook zaken gemuteerd die geen cybercrime in enge zin zijn en zelfs wel eens zaken die helemaal geen cybercrime zijn. Van de in paragraaf 2.2 genoemde relevante wetsartikelen voor cybercrime in enge zin wordt alleen artikel 138a Sr met enige regelmaat gebruikt, maar ook weer niet altijd. Het vaste veld onder Modus Operandi met behulp van waar vervolgens computer kan worden gekozen, wordt door intakers voor zowel cybercrime in ruime zin als cybercrime in enge zin zeer weinig gebruikt. Bij het open invoerveld van de Modus Operandi wordt wel eens geschreven dat het incident via internet of via de computer gepleegd is, maar zeker niet in de meerderheid van de gevallen. Cybercrime in ruime zin wordt onder de incidentcode van de hoofddaad weggeschreven, dus onder fraude, oplichting, zeden, schennis van de privacy, stalking enzovoort. Cybercrime in ruime zin wordt op dezelfde manier in de basisprocessensystemen gemuteerd als wanneer het incident op de traditionele manier zou zijn gepleegd. Om cybercrime in ruime zin terug te vinden, zal dus gebruik gemaakt moeten worden van zoektermen in de vrije velden, zoals teksten van processen verbaal, verhoren en aangiften. De activiteitcodes A01 en A03 worden gebruikt om een onderscheid te maken tussen meldingen en aangiften. Een aangifte kan niet gemaakt worden zonder de juiste activiteitcode (A03) te gebruiken. Dit veld is dus altijd zorgvuldig gevuld. Wanneer de eigenaar of directeur van een eenmanszaak of VOF aangifte doet van een cybercrime die gepleegd is op zijn bedrijf, voert de intaker vaak geen bedrijfsgegevens in op de hiervoor beschikbare vaste velden. Dat de benadeelde een bedrijf is, is in dat geval niet met 8

15 behulp van vaste velden te achterhalen. In het geval van een melding, worden in geen enkel geval bedrijfsgegevens genoteerd; daarvoor biedt het systeem namelijk niet de mogelijkheid. De conclusie uit deze verkenning omtrent de registratie van cybercrime is dat de vaste hulpmiddelen die BPS bevat voor het herkennen van cybercrime tot op zekere hoogte gebruikt kunnen worden om dergelijke crimes te detecteren, maar dat tegelijk veel cybercrimes op die manier niet zijn terug te vinden. Voor het zoeken van cybercrimes in BPS, zijn de vaste invoervelden dus geen voldoende hulpmiddel. Aanvullende strategieën zijn vereist, bijvoorbeeld met gebruikmaking van Blueview en BRAINS systemen waarmee men voor analysedoeleinden informatie uit basisprocessensystemen kan zoeken. 2.4 Blueview en BRAINS een keuze We spraken met een aantal misdaadanalisten en infodeskmedewerkers om zicht te krijgen op de voor- en nadelen van zowel Blueview als BRAINS. Voor- en nadelen van Blueview Het voordeel van Blueview is dat het systeem toegang biedt tot veel politiedossiers in Nederland. Het maakt het mogelijk om te zoeken in BPS, BVH, BVO, Genesys, HKS, Luris, NDS, RBS en Xpol. Gevoelige zaken kunnen beveiligd zijn met een wachtwoord. Dit zijn vaak zedenzaken of zaken waarbij (familieleden van) politieagenten als verdachten of slachtoffers betrokken zijn. Blueview geeft de mogelijkheid om in zowel vaste als vrije velden te zoeken. Blueview biedt dan ook in principe de mogelijkheden om het werkaanbod te bepalen. Het nadeel van Blueview is dat het systeem geen gekwantificeerde data als output kan leveren (geen tabellen bijvoorbeeld). Het systeem levert dossiers als resultaat. Het kan geen lijsten van incidentcodes, gebruikte wetsartikelen of iets dergelijks geautomatiseerd samenstellen. Het tweede nadeel van Blueview is, dat het systeem niet met een combinatie van zoektermen kan werken. Bijvoorbeeld: we zoeken dossiers die wél minstens één van de volgende woorden bevat <woord1, woord2, woord3, > maar niet in combinatie met een woord uit een tweede lijst en dan moet het ook nog een aangifte en/of melding zijn. Kort gezegd: Blueview is een zoeksysteem, geen analysesysteem. Blueview is vooral geschikt voor kwalitatieve en niet zozeer voor kwantitatieve analyse. Voor- en nadelen van BRAINS BRAINS biedt wel faciliteiten voor kwantitatieve analyses. BRAINS is ontworpen als analysetool en kan tabellen genereren met kwantitatieve data. Deze data zijn gemakkelijk via Excel te exporteren naar analysesoftware, zoals SPSS. Een nadeel van BRAINS is dat het niet in alle regio s in gebruik is en dat het niet kan lezen in registraties die door andere regio s zijn gedaan dan daar waar de machine met BRAINS staat. Technisch is dit wel mogelijk, maar dat vergt nog een aantal ontwikkelstappen van het programma en een aantal redelijk ingrijpende veranderingen in de bedrijfsprocessen binnen politie Nederland. Wanneer met BRAINS analyses over heel Nederland gedaan moeten worden, is het op dit moment noodzakelijk de analyse in alle regio s te herhalen. Een tweede nadeel van BRAINS is de beperkte gebruikersvriendelijkheid. Het is een technisch analysepakket en niet ontworpen voor een grote doelgroep. Het duurt dus even voordat de gebruiker het onder de knie heeft, maar dan biedt het systeem ook veel mogelijkheden. BRAINS kan databestanden uit alle mogelijke bedrijfsprocessensystemen inlezen, zelfs losse word-documenten en documenten die op het intranet van de politie staan. BRAINS heeft nu nog wat technische problemen met data die uit andere basisprocessensystemen komen dan 9

16 BPS. In 2009 zullen alle regio s overgaan op een nieuw basisprocessensysteem waardoor BRAINS, als het is aangepast op het nieuwe systeem, voor alle regio s bruikbaar is. Resultaat van de verkenningen: een aanpak We hebben ons verdiept in hoe cybercrime uit de politiesystemen kan worden geselecteerd. We deden dat op basis van interviews, onze ervaringen met de criminaliteitsbeeldanalyse cybercrime, ervaringen van politieanalisten met het zoeken naar cybercrimes, en een verdieping in de mogelijkheden van relevante computersystemen. Op basis daarvan komen we tot een aanpak waarmee de omvang van het geregistreerde werkaanbod kan worden bepaald. We zoeken met het programma BRAINS in het databestand BPS in de regio s Hollands Midden en Zuid-Holland-Zuid. We maken gebruik van een sleutel waarmee we zoeken in zowel vaste als vrije velden. De zoeksleutel bestaat uit vier onderdelen: zoektermen voor vaste en vrije velden, welke termen we associëren met cybercrime; termen voor selectie van dossiers die een aangifte en/of meldingscode hebben; termen voor het selecteren van een steekproef van 39 dagen; termen voor het uitsluiten van bepaalde zoekwoorden en incidentcodes, bijvoorbeeld we willen dossiers selecteren die het woord website bevatten, behalve wanneer het dossier ook de term internetaangifte bevat. 10

17 HOOFDSTUK 3 Fase 2: omvang werkaanbod In dit hoofdstuk presenteren we de omvang van het werkaanbod cybercrime in de regio s Hollands Midden en Zuid-Holland-Zuid. Paragraaf 3.1 licht toe hoe we de metingen hebben uitgevoerd. Paragraaf 3.2 en 3.3 geven inzicht in het werkaanbod cybercrime in de regio s Hollands Midden respectievelijk Zuid-Holland-Zuid. Paragraaf 3.4 zet alle resultaten van beide regio s nog eens op een rijtje. In paragraaf 3.5 gaan we kort in op een onderzoek naar slachtofferschap van cybercrime en in paragraaf 3.6 worden de conclusies beschreven die we kunnen trekken uit de cijfers. 3.1 Toelichting bij de werkwijze Aannames We voeren het onderzoek uit in politieregio Hollands Midden en Zuid-Holland-Zuid. We hebben deze regio s geselecteerd, omdat binnen deze regio s ervaring is met het geautomatiseerd zoeken naar cybercrime in BPS en in deze regio s BRAINS tot onze beschikking stond. We nemen niet op voorhand aan dat deze twee regio s representatief zijn voor alle korpsen. Het lijkt tot op zekere hoogte nog wel aannemelijk dat het werkaanbod in alle regio s gelijk is, internet is immers niet plaatsgebonden, maar het is heel goed mogelijk dat het geregistreerde werkaanbod per regio verschilt, omdat niet alleen het werkaanbod maar ook politiegedrag bepaalt hoeveel de politie registreert. Een politieregio die actief is in de opsporing van cybercrime zal een hoger percentage cybercrime registreren dan een regio die op dit gebied niet actief is. Onze strategie voor het zoeken van cybercrime houdt in dat we eerst geautomatiseerd een voorselectie maken en vervolgens met de hand nagaan hoeveel daarvan cybercrime betreft. Dan weten we hoeveel procent van de voorselectie cybercrime betreft, en dus ook hoeveel procent van alle dossiers. Aangezien het handmatig nalopen van de dossiers in de voorselectie erg tijdrovend is, doen we voor de trendanalyse de aanname dat het percentage cybercrimes in de voorselectie door de jaren heen hetzelfde blijft. We nemen daarbij 2007 als peiljaar. Bepalen zoeksleutel Als we geautomatiseerd willen vaststellen wat het aandeel cybercrime is in het totale werkaanbod van de politie, zullen we een zoekalgoritme of zoeksleutel moeten samenstellen. Op basis van de ervaringen uit de CBAC, de interviews met intakers en de interviews met misdaadanalisten en infodeskmedewerkers, hebben we een lijst van zoektermen samengesteld waarmee we cybercrime associëren. De opdracht voor BRAINS luidt dan (zoekterm1 OR zoekterm2 OR zoekterm3 OR ). Een deel van de mogelijke sleutelwoorden (bijvoorbeeld computer ) is echter zo algemeen dat we verwachten dat deze zoeksleutel veel vervuiling oplevert. Vervuiling houdt in dit verband in, dat de zoekterm dossiers selecteert, die geen cybercrime zijn. Bijvoorbeeld: in de aangifte staat ik was aan het werk op mijn computer, toen ik buiten twee verdachte personen zag. Aangezien de computer zo ingeburgerd is in onze samenleving, is dat begrip een te algemene zoekterm geworden. We hebben dergelijke te algemene termen buiten de zoeksleutel gelaten. 11

18 Internet is een zoekterm die sterk geassocieerd wordt met cybercrime. Die term maakte deel uit van onze zoeksleutel. Echter, in de aangiften die via internet gedaan worden van bijvoorbeeld fietsdiefstal, komt vaak het woord internet voor. Van cybercrime kan via internet geen aangifte gedaan worden. Door het gebruik van NOT-statements in BRAINS hebben we aangiften met de woordcombinaties internetaangifte, internet aangifte, aangifte via internet of aangifte gedaan via internet uitgesloten van selectie. Op deze manier hebben we het aandeel internetaangiften zo klein mogelijk gemaakt. Aangezien we alleen aangiften en meldingen willen selecteren, maken we gebruik van de code formulier die gegenereerd wordt door BRAINS op basis van de activiteitcodes die intakers gebruiken. Activiteitcode A01 wil zeggen: melding. Activiteitcode A03 wil zeggen: aangifte. De opdracht voor BRAINS luidt dan (formuliera01 OR formuliera03). Tijdens de eerste testen met BRAINS werd al snel duidelijk dat de machines die wij tot onze beschikking hadden geen grote zoekresultaten aan kon. Dossiers selecteren uit heel 2007, wat onze oorspronkelijke bedoeling was, bleek daarom praktisch gesproken niet mogelijk. We waren daarom gedwongen met een steekproef te werken. Het bleek dat we met een steekproef van 39 dagen (ongeveer 10 procent van alle aangiftes en meldingen) goed konden werken: het systeem kon deze hoeveelheden aan en het resultaat was groot genoeg om betrouwbare resultaten te verkrijgen (we komen daarop terug). BRAINS genereert een vast veld met de aangiftedatum die we konden gebruiken om de steekproef te selecteren (pleegmdt<datum>). De door ons ontwikkelde algemene zoeksleutel cybercrime is opgebouwd uit vier delen. Een deel met zoektermen waarvan er minstens één voor moet komen, een deel dat bepaalt dat het formulier waarin gezocht wordt een melding of een aangifte is, een deel dat de steekproefdagen selecteert en een deel dat bepaalde zoektermen uitsluit. De algemene zoeksleutel is opgenomen in bijlage 1. Binnen het resultaat van de algemene zoeksleutel (de eerste selectie), is het mogelijk om de documenten die bij de geselecteerde dossiers horen, in te zien om te kijken of het geselecteerde dossier werkelijk cybercrime is of niet. Door het aanklikken van dossiernummers, kan de onderzoeker de aangiftes en zogeheten vrije mutaties lezen die bij het dossier horen. Om te bepalen wat de validiteit van de zoeksleutel is, hebben we het resultaat van de zoeksleutel (de eerste selectie) gedetailleerd bekeken. Dat wil zeggen: we hebben alle dossiers in die selectie uit de steekproef van 39 dagen bekeken om te zien of het dossier werkelijk cybercrime was en zo ja, welke vorm van cybercrime. Om te controleren of we met de zoeksleutel niet onterecht cybercrimes hebben buitengesloten (vals negatieven), hebben we eveneens een steekproef van dossiers nagelopen die niet door de zoeksleutel zijn geselecteerd. Registraties mogen vijf jaar bewaard worden door de politie. Aangezien we de metingen in januari 2009 hebben uitgevoerd, konden we niet meer beschikken over de cijfers van We voerden de meting uit voor de jaren 2004 t/m 2008, waarbij we het resultaat van 2007 in zijn geheel nalopen om de werkelijke hoeveelheid cybercrime te bepalen. Hierna geven we de aanpak nog eens schematisch weer in een stappenplan: context bepalen 1. vaststellen van de omvang van alle aangiftes en meldingen in 2007 in Hollands Midden (met behulp van de systeembeheerder) 12

19 omvang cybercrime vaststellen 2. steekproef van 39 dagen trekken 3. de algemene zoeksleutel (het algoritme) uitvoeren en het resultaat aflezen kwaliteitscontrole 4. elk dossier dat aan de zoeksleutel voldoet nalopen en noteren of het cybercrime is en zo ja, welke 5. een steekproef van 600 dossiers nalopen van alle dossiers binnen de steekproef die niet aan de zoeksleutel voldoen en noteren of het cybercrime is en zo ja, welke andere jaren 6. stappen 2 en 3 herhalen voor 2004, 2005, 2006 en stappen 1 t/m 6 herhalen voor het tweede korps. We plaatsen de resultaten voor 2004 tot en met 2008 in een reeks, om zicht te krijgen op de (recente) ontwikkeling in het werkaanbod cybercrime. 3.2 Resultaten werkaanbod Hollands Midden Stappen 1 en 2: algemene zoeksleutel toepassen In Hollands Midden zijn in 2007 in totaal dossiernummers aangemaakt. Daarvan bevatten er een meldings- en/of aangifteformulier (84,8 procent). We hebben van alle meldingen en aangiften een steekproef van 39 dagen getrokken door alle mutaties te selecteren die op onderstaande dagen zijn gemaakt: - 10 t/m 19 februari; - 20 t/m 29 mei; - 01 t/m 09 augustus; - 10 t/m 19 november. Naar verwachting zou deze steekproef uit ( /365)*39 = meldingen en aangiftes bestaan. De steekproef bevatte dossiers. Daarmee heeft de gerealiseerde steekproef een afwijking van ongeveer 4,1 procent ten opzichte van hetgeen op basis van toeval kon worden verwacht. Een reden hiervoor zou kunnen zijn dat de maand augustus relatief rustig is omdat dan veel mensen op vakantie zijn. Voor de resultaten van het onderzoek is dit echter niet van overwegend belang. Wanneer we de resultaten uit de steekproef extrapoleren naar heel 2007, kunnen we immers voor deze afwijking corrigeren. Stap3: het resultaat Met behulp van BRAINS hebben we geteld hoeveel meldingen en aangiftes in de steekproef van 39 dagen aan de algemene zoeksleutel voldoen (eerste selectie). De zoeksleutel is zo geconstrueerd dat de kans op vals negatieven zo klein mogelijk is. We hadden liever een ruimere eerste selectie (door vals positieven) dan dat we cybercrimes zouden missen. Het resultaat van de zoeksleutel noemen we het aantal hits. Het aantal hits na toepassing van de algemene zoeksleutel in de steekproef van 39 dagen ( dossiers) bedraagt 730 (3,2 procent van alle dossiers in de steekproef). Stap 4: nauwkeurigheid zoeksleutel bepalen Om de validiteit van het algoritme, de algemene zoeksleutel, te bepalen, is het noodzakelijk vast te stellen welk deel van de gevonden hits ook daadwerkelijk cybercrime is. Bij het inhoudelijke bestuderen van alle 730 hits na de algemene zoeksleutel, bleken 72 dossiers daadwerkelijk cybercrime te zijn (9,9 procent). 13

20 Stap 5: wat hebben we gemist? Door alle hits op de algemene zoeksleutel te bekijken, weten we zeker dat 72 zaken cybercrime zijn. Wat we nu nog niet weten, is of we door het gebruik van de algemene zoeksleutel dossiers die cybercrime bevatten ten onrechte hebben uitgesloten (de vals negatieven). Om die reden hebben we van de dossiers die in de steekproef van 39 dagen vallen, maar niet aan de algemene zoeksleutel voldeden, aselect 600 dossiers geselecteerd. Deze 600 dossiers hebben we bekeken om vast te stellen welk deel hiervan cybercrime bevat. Geen enkel dossier betrof cybercrime. Eén en ander staat schematisch weergegeven in tabel 3.1. Tabel 3.1 Werkaanbod cybercrime Hollands Midden, op basis van 39 dagen Totaal aantal aangiften en meldingen in ,0% Totaal aantal aangiften en meldingen in de ,7% van totaal steekproef van 39 dagen Totaal aantal hits na toepassing zoeksleutel 730 3,2% van de steekproef Totaal aantal werkelijke cc 72 9,9% van de 730 hits; 0,32% van de steekproef van Totaal aantal dossiers uitgesloten door de zoeksleutel Totaal aantal gemiste cc, steekproef ,0% In 2007 vinden we in een steekproef van (ofwel 10,7 procent van het totale aantal meldingen en aangiftes in dat jaar) 72 cybercrimes. Dit komt neer op een aandeel cybercrime van 0,32 procent in de steekproef. In een aselecte steekproef van 600 dossiers die buiten de algemene zoeksleutel vallen, vinden we geen cybercrimes. Met deze gegevens kunnen we berekenen hoeveel aangiftes en meldingen van cybercrime er in 2007 in Hollands Midden minimaal zijn gemuteerd in BPS. In de steekproef vinden we 0,32 procent cybercrime. Aangezien we met een steekproef werken, kunnen we niet aannemen dat het werkelijke aandeel cybercrime in alle aangiften en mutaties exact 0,32 procent is. Op basis van het totale aantal meldingen en aangiften, de omvang van de steekproef en het aantal werkelijk gevonden cybercrimes in de steekproef kunnen we (vgl. Van den Brink en Koele, 2001) een 95 procent betrouwbaarheidsinterval berekenen. 3 Het betrouwbaarheidsinterval b is het resultaat van de statistische kansberekening die uitrekent binnen welke grenzen het werkelijke aandeel cybercrime met 95 procent zekerheid ligt. De uitkomst van b is 0,07 procent Om de betrouwbaarheidsmarge te bepalen moeten we dit percentage één keer van de in de steekproef gevonden waarde van 0,32 procent aftrekken en één keer daarbij optellen. We kunnen nu met een zekerheid van 95 procent zeggen dat het werkelijk aandeel cybercrime in alle aangiften en meldingen in 2007 in Hollands Midden die we met de algemene zoeksleutel vinden ligt tussen 0,25 en 0,39 procent. We kunnen met 95 procent zekerheid vaststellen dat van het werkaanbod het aandeel geregistreerde cybercrime in Hollands Midden minimaal 0,25 procent van alle aangiftes en meldin- 3 Voor de berekening, zie bijlage 4 14