IT-REcht in vogelvlucht

IT-REcht in vogelvlucht

IT-REcht in vogelvlucht Quick reference voor IT-auditors juni 2005

Grafische vormgeving: Bert Arts BNO NOREA de beroepsorganisatie van IT-auditors Bezoekadres A.J. Ernststraat 55 1083 GR Amsterdam Postadres Postbus 7984 1008 AD Amsterdam norea@norea.nl www.norea.nl tel +31 (0)20 3010380 fax +31 (0)20 3010302 Deze uitgave is ontwikkeld in samenwerking met: Duthler Associates IT recht adviseurs Prins Mauritslaan 44 2582 LS Den Haag www.duthler.nl tel +31 (0)70 3922209 fax +31 (0)70 3922276 2005 Duthler Associates ISBN: 90 13 02836 5 Uitgegeven door: Uitgeverij Kluwer Deventer 2005 www.kluwer.nl Deze uitgave wordt uitgegeven onder de Creative Commons licentie Naamsvermelding-GeenAfgeleideWerken-NietCommercieel 2.0 Nederland (http://creativecommons.org/licenses/by-nc-nd/2.0/nl/deed.nl). De volledige tekst van deze licentie is te vinden op http://creativecommons.org/licenses/by-nc-nd/2.0/nl/legalcode.

VOORWOORD Voor u ligt de uitgave IT-recht. Deze uitgave is bedoeld voor de IT-auditor die te maken krijgt met de wet- en regelgeving op IT-gebied. De uitgave kan worden gebruikt om informatie te vergaren of als naslagwerk, dan wel als bron voor verdere verwijzingen over een bepaald onderwerp. Met deze uitgave wordt beoogd de IT-auditor verder wegwijs te maken in de wereld van het IT-recht, zodat hij deze kennis kan inzetten ten behoeve van zijn oordeelsvorming en in de dienstverlening naar zijn cliënt. Uiteraard is het niet mogelijk in deze uitgave van beperkte omvang het IT-recht uitputtend te behandelen. Gepoogd is de kern van de materie voor de geïnteresseerde IT-auditor weer te geven en bronnen op te nemen die verwijzen naar verdere relevante informatie. Het bestuur van NOREA hoopt hiermee haar leden van dienst te zijn. Deze uitgave is samengesteld door Duthler Associates. Aan deze uitgave hebben meegewerkt: mr. dr. A.W. Duthler (eindredactie) mr. F.H. Koppejan (redactie, privacy, intellectuele eigendom, elektronische handtekeningen, bewaring) mr. E. van Geest (telecommunicatie, computercriminaliteit) mr. P.H.M. van Waas (vorderen gegevens) ir. C.P.I. de Winne (informatiebeveiliging) mr. W. Diephuis (elektronische handel) mr. E.M. van der Meij (aanbestedingen, elektronische overheid) Dank gaat uit naar eenieder die betrokken is bij het totstandkomen van deze uitgave. Het bestuur van NOREA. V

INHOUDSOPGAVE Voorwoord / V Inhoudsopgave / VII 1 Inleiding / 1 2 Aanbesteding / 3 3 Computercriminaliteit / 9 4 Elektronische handel / 15 5 Elektronische overheid / 21 6 Elektronische handtekening / 27 7 Intellectuele eigendom / 33 8 Privacy / 39 9 Telecommunicatie / 45 10 Vorderen gegevens / 51 11 Informatiebeveiliging / 57 12 Bewaring / 63 Ter afsluiting / 69 VII

HOOFDSTUK 1 Inleiding 1.1 Initiatief en doel van de uitgave Deze uitgave is ontwikkeld op initiatief van NOREA, de beroepsorganisatie van gekwalificeerde IT-auditors in Nederland. RE, in NOREA staat voor Register EDPauditors. EDP is de afkorting van Electronic Data Processing, een aanduiding die in de jaren zestig en zeventig van de vorige eeuw werd gehanteerd voor het tegenwoordige begrip Informatietechnologie (IT). Deze uitgave is samengesteld door het toonaangevende adviesbureau op het gebied van het IT-recht, te weten Duthler Associates. Het doel van deze uitgave is het informeren van IT-auditors over de meest relevante aspecten van het IT-recht, waarmee zij in hun dagelijkse praktijk te maken kunnen krijgen. IT-auditors krijgen hiermee de beschikking over een hulpmiddel om relevante risico s tijdig te herkennen, wat ten goede zal komen aan zijn oordeelsvorming en dienstverlening aan zijn cliënt. 1.2 Afbakening Het IT-recht, het recht met betrekking tot het gebruik van informatietechnologie, is een breed gebied. IT wordt hier in ruime zin gebruikt: ook de communicatietechnologie valt hier onder. In deze uitgave worden de belangrijkste juridische aspecten kort besproken en wordt een overzicht gegeven van de belangrijkste wet- en regelgeving. Wet- en regelgeving buiten de Europese Unie valt buiten het bereik van deze uitgave. Ook rechtspraak wordt niet uitgebreid behandeld. De uitgave vooronderstelt geen kennis op (IT-)auditing of ander vakgebied. 1.3 Leeswijzer De verschillende IT-rechtelijke onderwerpen zijn alfabetisch gerangschikt. De onderwerpen informatiebeveiliging en bewaring zijn als verzameling van informatie uit andere onderwerpen in aparte hoofdstukken achteraan geplaatst. Aan het einde van elk hoofdstuk zijn verwijzingen naar relevante wet- en regelgeving, achtergrondinformatie en enkele aandachtspunten voor managers en IT-auditors opgenomen. 1

HOOFDSTUK 2 Aanbesteding 2.1 Toelichting Aanbesteden Aanbesteden heeft betrekking op het inkopen van producten of diensten door de overheid en kan worden omschreven als het uitnodigen tot het doen van een aanbod voor de uitvoering van een overheidsopdracht. 1 Er is alleen sprake van aanbesteden als het initiatief tot de opdracht van de koper uitgaat. De regelgeving rond het aanbesteden is grotendeels afkomstig uit Europa. Het aanbestedingsrecht onderscheidt vier Europese richtlijnen, te weten de Richtlijn Werken, Diensten, Leveringen en Nutssectoren. Op nationaal niveau zijn deze richtlijnen geïmplementeerd in een raamwet en verschillende besluiten. De vier Europese richtlijnen zijn inmiddels vervangen door twee nieuwe Europese richtlijnen die nog op nationaal niveau dienen te worden geïmplementeerd. Aanbestedende dienst en drempelbedragen De opdrachtgever wordt in het aanbestedingsrecht aanbestedende dienst genoemd. Onder een aanbestedende dienst wordt verstaan de staat, zijn territoriale lichamen, publiekrechtelijke instellingen en verenigingen gevormd door een of meer van deze lichamen of instellingen. 2 Een aanbestedende dienst is verplicht een opdracht aan te besteden indien deze opdracht een bepaalde drempelwaarde overschrijdt. Indien een opdracht onder deze grens blijft is zij eveneens verplicht de algemene aanbestedingsbeginselen in acht te nemen. De drempelwaarden staan omschreven in de verschillende Europese richtlijnen. Ze worden elke twee jaar opnieuw vastgesteld door de Europese Commissie. De belangrijke aanbestedingsbeginselen De doelstelling van het aanbestedingsrecht is het bieden van gelijke kansen aan elke aanbieder voor het verkrijgen van opdrachten. Om deze doelstelling te bereiken worden in het aanbestedingsrecht drie belangrijke beginselen gehanteerd, te weten het transparantiebeginsel, het beginsel van objectiviteit en het beginsel van non-discriminatie. Deze beginselen zullen hieronder kort worden toegelicht. 1. E.H. Pijnacker Hordijk en G.W. van der Bend, Aanbestedingsrecht, handboek van het Europese en het Nederlandse Aanbestedingsrecht, Den Haag: Sdu Uitgevers 1999. 2. Zie art. 1 onder b Richtlijn Leveringen. 3

Aanbesteding Transparantie Het transparantiebeginsel houdt in dat een aanbestedingsprocedure helder, kenbaar en eenduidig moet zijn. Het beginsel brengt met zich mee dat duidelijkheid wordt verschaft omtrent welke stappen er in een aanbesteding worden doorlopen. 3 Het beginsel vindt haar doorwerking in de gehele aanbestedingsprocedure. Objectiviteit Het beginsel van objectiviteit houdt in dat er objectieve criteria gehanteerd dienen te worden om de inschrijvers op een aanbesteding te selecteren en opdrachten te gunnen. Iedere inschrijving dient op een eenduidige manier te worden beoordeeld op basis van de objectieve selectie- en gunningscriteria. Non-discriminatie Het beginsel van non-discriminatie houdt in dat alle potentiële aanbieders gelijk moeten worden behandeld. De opdrachten die een aanbestedende dienst aanbiedt dienen op objectieve wijze te worden omschreven. Zo mag er bijvoorbeeld niet worden verwezen naar een bepaald merk. Aanbestedingsprocedures In het aanbestedingsrecht zijn verschillende procedures mogelijk om een opdracht aan te besteden. Te onderscheiden zijn de openbare procedure, de niet-openbare procedure, de onderhandelingsprocedure met of zonder voorafgaande bekendmaking en de prijsvraag. Hieronder zullen de verschillende procedures kort worden toegelicht. De openbare procedure De openbare procedure biedt alle belangstellenden de mogelijkheid om zich rechtstreeks in te schrijven op een opdracht. Op basis van de inschrijvingen wordt door de aanbestedende dienst besloten wie de opdracht krijgt. Het toekennen van een opdracht door een aanbestedende dienst wordt gunning genoemd. De niet-openbare procedure De niet-openbare procedure verschilt van de openbare procedure, doordat deze in twee fasen plaatsvindt. In de eerste fase kan iedere geïnteresseerde zich aanmelden. Uit deze geïnteresseerden wordt een selectie gemaakt. Alleen de aanbieders die zijn geselecteerd krijgen de gelegenheid een offerte uit te brengen. De onderhandelingsprocedure met voorafgaande bekendmaking Deze procedure is slechts in uitzonderlijke situaties van toepassing. Een voorbeeld van een dergelijke situatie is een onaanvaardbare inschrijving. Er is onder meer sprake van onaanvaardbare inschrijving indien offertes van inschrijvers niet aan de vereiste voorwaarden voldoen. De aanbestedende dienst heeft, wanneer deze pro- 3. P. Tazelaar, J.P. Papenhuijzen, Professioneel Europees aanbesteden, een praktische leidraad voor de aanbesteder, Alphen aan den Rijn: Kluwer 2003. 4

Aanbesteding cedure wordt gehanteerd, de vrijheid om met inschrijvers te onderhandelen, voordat besloten wordt wie de opdracht krijgt. De onderhandelingsprocedure zonder voorafgaande bekendmaking Ook deze procedure is slechts in een bepaald aantal gevallen van toepassing. Zo kan de procedure worden gehanteerd indien tijdens de openbare en niet-openbare procedure geen of geen passende inschrijvingen zijn gedaan. De aanbestedende dienst overlegt in deze procedure met één of meerdere door hem zelf gekozen partijen en stelt door middel van onderhandelingen de contractuele voorwaarden vast. Een verschil met de onderhandelingsprocedure met voorafgaande bekendmaking is, dat de aanbesteding niet algemeen bekend hoeft te worden gemaakt. Prijsvraag Ten slotte bestaat er een specifieke procedure voor het uitschrijven van prijsvragen voor ontwerpen. Deze procedure is van toepassing op prijsvragen voor plannen of ontwerpen op het gebied van onder andere ruimtelijke ordening, stadsplanning of op het gebied van automatische gegevensverwerking. De procedure kan zowel openbaar als niet-openbaar plaatsvinden. Selectiecriteria Selectiecriteria zijn criteria aan de hand waarvan de aanbestedende dienst een kwalitatieve selectie maakt van de gegadigden en inschrijvers. Het zijn eisen die gesteld worden aan de (potentiële) opdrachtnemer en niet aan de offerte. Selectiecriteria kunnen worden onderscheiden in uitsluitingscriteria en geschiktheidscriteria. Voorbeelden van uitsluitingscriteria zijn staat van faillissement, vereffening, surseance van betaling of soortgelijke toestand van de gegadigde. De geschiktheidscriteria kunnen worden onderscheiden in criteria ten behoeve van de beroepsbekwaamheid, zoals inschrijving in het beroepsregister of handelsregister, criteria die betrekking hebben op de financiële en economische draagkracht, zoals bankverklaringen en balansen en criteria die zien op de technische bekwaamheid, de ervaringseis en de beschikbaarheid van personeel en materiaal. Selectiecriteria dienen objectief te zijn, alsmede voor alle gegadigden gelijk van aard. Ze bieden de aanbestedende dienst inzicht in de betrouwbaarheid, kwaliteit en draagkracht van de gegadigden. Gunningscriteria Zoals eerder aangegeven wordt het uiteindelijk toekennen van een opdracht gunning genoemd. Gunningscriteria zijn de criteria aan de hand waarvan de aanbestedende dienst een opdracht aan een aanbieder, hierna inschrijver genoemd, gunt. Het aanbestedingsrecht onderscheidt slechts twee gunningscriteria, te weten de laagste prijs en de economisch voordeligste aanbieding. Het gunningscriterium laagste prijs wordt meestal gehanteerd bij eenvoudige opdrachten, zoals de aankoop van standaardartikelen als printpapier. Doorslaggevend voor de toekenning van de opdracht is in beginsel de laagste aanbieding die de aanbestedende dienst ontvangt. 5

Aanbesteding Het criterium economisch voordeligste aanbieding is geschikt voor meer complexe opdrachten, waarbij naast de prijs ook andere criteria een rol spelen. Zo zal bijvoorbeeld de kwaliteit, de technische waarde of de gebruikskosten van het product als uitgangspunt kunnen dienen bij de beoordeling van de economisch voordeligste aanbieding. Weging van de criteria Het is toegestaan bij de selectie van de gegadigden gebruik te maken van objectieve wegingsfactoren. Zo wordt aan bepaalde belangrijke kwalitatieve aspecten een wegingsfactor toegekend. Het wegingssysteem dient vooraf aan de gegadigden bekend te worden gemaakt. 4 Op deze manier wordt aanbieders de mogelijkheid geboden rekening te houden met de rangorde die aan de criteria is toegekend. Een voorbeeld van een wegingssysteem is een cijfermatige waardering, te weten een puntensysteem. Een voorwaarde voor een wegingssysteem is dat het systeem achteraf objectief toetsbaar dient te zijn. In de gunningsfase kan eveneens gebruik worden gemaakt van een wegingssysteem, indien de economisch voordeligste aanbieding het gunningscriterium is. De inschrijvers dienen ook hier vooraf in kennis te worden gesteld van het wegingssysteem. Indien er geen rangorde is opgenomen worden de criteria als gelijkwaardig beschouwd. Motiveringsbeginsel Om te kunnen controleren of de aanbestedingsregels door een aanbestedende dienst juist zijn toegepast dient een gegadigde of inschrijver, wanneer deze de opdracht niet heeft gekregen, op verzoek de redenen van een afwijzing te verkrijgen. Dit wordt het motiveringsbeginsel genoemd. Het motiveringsbeginsel stelt voor de aanbestedende dienst een termijn van vijftien dagen om te reageren op een dergelijk schriftelijk verzoek. Daarnaast dient aan elke inschrijver die een geldige inschrijving heeft gedaan te worden meegedeeld wat de kenmerken en relatieve voordelen zijn van de gekozen aanbieding, en tevens de naam van de gekozen partij. 5 Geen verplichting tot gunning Binnen het aanbestedingsrecht bestaat er geen verplichting om aan één van de partijen die meedingen naar een opdracht, deze toe te kennen. De aanbestedende dienst kan een aanbestedingsprocedure op elk moment stopzetten, indien zij de redenen hiervan aan alle partijen meedeelt. Nu het inschrijven op een aanbesteding en het opstellen van een offerte kosten met zich meebrengen, zullen inschrijvers en gegadigden hier niet verheugd op reageren. Een aanbestedende dienst is in een dergelijke situatie niet verplicht om schadevergoeding te betalen. Indien daarentegen de indruk is gewekt dat een overeenkomst tot stand zou komen door het doen van 4. In het kader van de transparantie. 5. Zie art. 7 Richtlijn Leveringen. 6

Aanbesteding toezeggingen, bestaat er wel een mogelijkheid om voor schadevergoeding in aanmerking te komen. 6 Ontwikkelingen in het aanbestedingsrecht Tot slot wordt erop gewezen dat de vier Europese aanbestedingsrichtlijnen recentelijk zijn vervangen door twee nieuwe richtlijnen. De aparte richtlijnen voor werken, diensten en leveringen zijn samengevoegd tot één richtlijn. Voor nutssectoren is een aparte richtlijn ontworpen. Op dit moment zijn de nieuwe richtlijnen nog niet geïmplementeerd in de nationale regelgeving. Enkele belangrijke wijzigingen in de nieuwe richtlijnen zijn een extra aanbestedingsprocedure, te weten de concurrentie gerichte dialoog die de aanbestedende dienst de mogelijkheid biedt een dialoog aan te gaan met de potentiële gegadigden over alle aspecten van de opdracht. Daarnaast wordt de mogelijkheid geboden een volledige elektronische aanbestedingsprocedure te realiseren. Volledig elektronisch wil zeggen dat de aanbestedende dienst alle communicatie langs de elektronische weg kan laten plaatsvinden. Het doel van elektronisch aanbesteden is het realiseren van een efficiëntere aanbestedingsprocedure. 2.2 Wet- en regelgeving Nederland Wet van 31 maart 1993, Stb. 212, tot uitvoering van EEG-maatregelen inzake het plaatsen van opdrachten voor de levering van producten, de uitvoering van werken en de verrichting van diensten. (Raamwet EEG-voorschriften aanbestedingen) Besluit van 4 juni 1993, Stb. 305; gecodificeerde tekst gepubliceerd in Stb. 1997, 436; nadien gewijzigd bij Besluit van 27 augustus 1998, Stb. 542. (Besluit overheidsaanbestedingen) Besluit van 6 april 2003, Stb. 214; gecodificeerde tekst gepubliceerd in Stb. 1997, 437; nadien gewijzigd bij Besluit van 17 december 1998, Stb. 743. (Besluit aanbesteding Nutssectoren) Europa De Europese richtlijn voor overheidsopdrachten: Werken (93/37/EEG) waarin opgenomen Richtlijn 97/52/EG De Europese richtlijn voor overheidsopdrachten: Diensten (92/50/EEG) waarin opgenomen Richtlijn 97/52/EG De Europese richtlijn voor overheidsopdrachten: Leveringen (93/36/EEG) waarin opgenomen Richtlijn 97/52/EG De Europese richtlijn voor overheidsopdrachten: Nutssector (93/38/EEG) waarin opgenomen Richtlijn 98/4/EG Richtlijn 2004/18/EG van het Europees Parlement en de Raad betreffende de coör- 6. M.L.E. Liem & I.A.H. Dolmans-Budé, Praktisch Europees Aanbesteden, Den Haag: DELWEL 1998, blz. 160. 7

Aanbesteding dinatie van de procedures voor het plaatsen van overheidsopdrachten voor werken, leveringen en diensten Richtlijn 2004/17/EG van het Europees Parlement en de Raad houdende coördinatie van de procedures voor het plaatsen van opdrachten in de sectoren wateren energievoorziening, vervoer en postdiensten 2.3 Relevante achtergrondinformatie Handleiding Open Standaarden en Open Source Software in aanbestedingen, ICTU/ Programma OSOSS, 4 oktober 2004. S. Corvers, F.A.M. van der Klaauw-Koops en W.G.Ph.E. Wedekind, Overheidsaanbestedingen in de IT: van onderhandelingsmodel naar aanbestedingsmodel, Alphen aan den Rijn: Samson 1995. E.H. Pijnacker Hordijk en G.W. van der Bend, Aanbestedingsrecht, handboek van het Europese en het Nederlandse Aanbestedingsrecht, Den Haag: Sdu Uitgevers 1999. P. Tazelaar, J.P. Papenhuijzen, Professioneel Europees aanbesteden, een praktische leidraad voor de aanbesteder, Alphen aan den Rijn: Kluwer 2003. 2.4 Aandachtspunten voor management Het toepassen van de Europese aanbestedingsrichtlijnen, dan wel het toepassen van de Europese aanbestedingsbeginselen. 2.5 Aandachtspunten voor de IT-auditor Een wegingssysteem dient achteraf objectief toetsbaar te zijn Motiveringsbeginsel Non-discriminatiebeginsel 8

HOOFDSTUK 3 Computercriminaliteit 3.1 Toelichting In hoofdlijnen kunnen twee vormen van computercriminaliteit worden onderscheiden. De eerste vorm is de zogenaamde internetgerelateerde computercriminaliteit of computercriminaliteit in enge zin. Bekende vormen van deze vorm van computercriminaliteit zijn bijvoorbeeld: hacken, Trojans, Denial of Service (d)dos aanvallen, defacements, spam en het verspreiden van virussen en wormen. Kenmerkend voor deze vormen van computercriminaliteit is dat het strafbare feit wordt verricht met de verschillende informatie- en communicatietechnieken, dan wel de criminaliteit is gericht tegen de informatie- en communicatietechnieken. Hacken: (ook wel cracken genoemd) het zich op een ongeautoriseerde wijze toegang verschaffen tot een computer en/of computernetwerk. Virus: een programmeringcode die zichzelf kan vermenigvuldigen in bestanden. Worm: een programmeringcode die zichzelf kan vermenigvuldigen en zich in het geheugen van de computer nestelt. Trojans: kunnen gezien hun functionaliteit worden onderscheiden in Trojans die ongewenst gegevens verzamelen, zoals keyloggers en spyware. Daarnaast zijn er Trojans die ongewenst toegang verlenen tot een systeem, zoals een rootkit en bots. Een Trojan wacht vaak op een speciale gebeurtenis totdat het wordt geactiveerd. Een Trojaans paard kan lang onopgemerkt blijven. Defacen: het zonder toestemming veranderen of vernielen van een website dan wel het doorgeleiden van internetverkeer naar een andere website (spoofing). (d)dos aanvallen: zijn aanvallen op een systeem of service met als doel een systeem, service of netwerk zo te belasten dat deze uitgeschakeld wordt of niet meer beschikbaar is. Aanvallen hebben het doel om netwerksystemen of services plat te leggen. Spam: is het verzenden van ongewenste, vaak overdadige, mail naar duizenden gebruikers tegelijkertijd, veelal via een niet goed geconfigureerde mailserver (open relay). Spoofing: is het wijzigingen van instellingen van bijvoorbeeld e-mail, een DNSserver of een IP adres waardoor het lijkt of de e-mail of de website vertrouwd is. De tweede vorm van computercriminaliteit is de zogenaamde inhoudgerelateerde computercriminaliteit, ook wel computercriminaliteit in ruime zin genoemd. Voor- 9

Computercriminaliteit beelden van deze inhoudgerelateerde incidenten zijn het verspreiden van kinderporno of discriminerende leuzen via het internet, diefstal van persoonsgegevens of drugshandel via het internet. Bij deze laatste vorm van computercriminaliteit worden de traditionele vormen van criminaliteit gepleegd met behulp van de informatie- en communicatietechnologie. Kenmerkend voor beide vormen van computercriminaliteit is het grensoverschrijdende karakter van de gedragingen. Vanwege het internationale karakter van computercriminaliteit wordt meestal gesproken over cybercrime. Op basis van de Wet Computercriminaliteit I is een aantal specifieke vormen van internetgerelateerde computercriminaliteit in het Wetboek van Strafrecht strafbaar gesteld. 7 In dit artikel wordt deze vorm van computercriminaliteit behandeld. Met name deze internetgerelateerde vormen van computercriminaliteit kunnen namelijk het bedrijfsproces van de organisatie platleggen en de organisatie aanzienlijke schade berokkenen. De Wet Computercriminaliteit I Op hoofdlijnen onderscheidt de Wet Computercriminaliteit een drietal kenmerken voor de strafbaarheid van internetgerelateerde vormen van computercriminaliteit: 8 I. Er wordt binnengedrongen in een informatie- en/of computersysteem; of II. Er wordt stoornis in een informatie en/of computersysteem veroorzaakt; of III. Gegevens worden veranderd, onbruikbaar gemaakt of vernield. I In het geval zonder toestemming van de eigenaar wordt binnengedrongen in een informatie- en/of computersysteem wordt gesproken van hacken. De Wet Computercriminaliteit I noemt een aantal voorbeelden voor het zich op ongeautoriseerde wijze verschaffen van de toegang, zoals: het doorbreken van enige vorm van beveiliging, door een technische ingreep en door het aannemen van een valse hoedanigheid. II Het versturen van spam en (d) DoS aanvallen zijn voorbeelden die onder de tweede categorie vallen. Beide vormen van computercriminaliteit kunnen stoornis in een informatie- en/of computersysteem veroorzaken, dan wel kan het systeem worden uitgeschakeld of lamgelegd. Bij spam gaat het om het versturen van ongevraagde e- mail in grote hoeveelheden. De stoornis die door spam wordt veroorzaakt kan bijvoorbeeld op de (tussenliggende) mailservers optreden doordat deze onevenredig veel netwerkverkeer moeten verwerken. (d)dos aanvallen zijn veelal gerichte aanvallen op een systeem of service met als doel het desbetreffende systeem, service of netwerk zo te belasten dat een dusdanige stoornis wordt veroorzaakt dat deze voor zijn oorspronkelijke doel wordt uitgeschakeld of niet meer beschikbaar is. Voor een (d)dos aanval worden veelal zogenaamde botnets opgezet. Een bot is een programma 7. Stb. 1993, 33. 8. Om te bepalen of een bepaalde vorm van computercriminaliteit ook daadwerkelijk strafbaar is, zal te allen tijde moeten worden voldaan aan alle eisen en voorwaarden voor strafbaarheid die de wet aan de specifieke verschijningsvorm stelt. 10

Computercriminaliteit dat bijvoorbeeld zelfstandig kwaadaardige handelingen op een computersysteem kan uitvoeren. Bots worden bijvoorbeeld op ongeautoriseerde wijze geplaatst op verschillende computersystemen. Hierdoor ontstaat een botnetwerk dat wordt gebruikt om een (d)dos aanval uit te voeren. III Virussen, wormen, Trojans en defacement van een website vallen bijvoorbeeld onder de derde categorie. Het gevolg van deze vormen van computercriminaliteit is dat gegevens worden vernield, veranderd of onbruikbaar worden gemaakt. Wetsvoorstel Wet Computercriminaliteit II Op het moment van schrijven van dit artikel ligt het wetsvoorstel Wet Computercriminaliteit II voor advies bij de Raad van State. 9 Dit wetsvoorstel strekt onder meer tot implementatie van het Cybercrimeverdrag. 10 Het wetsvoorstel Wet Computercriminaliteit II zal een aantal wijzigingen met zich meebrengen ten opzichte van de huidige strafbaarstelling van internetgerelateerde vormen van computercriminaliteit. Zoals het er nu naar uitziet zullen de belangrijkste wijzigingen zijn dat de strafmaat voor het hacken van een computersysteem wordt verhoogd van een half jaar naar één jaar. Er wordt een nieuw artikel voorgesteld op grond waarvan het versturen van spam of een (d)dos aanval eerder kunnen worden gekwalificeerd als strafbaar. Voor de strafbaarheid van spam of een (d)dos aanval moet wel ernstige hinder zijn veroorzaakt. In het wetsvoorstel wordt tevens een aantal bepalingen opgenomen op basis waarvan voorbereidingshandelingen specifiek strafbaar worden gesteld. Een voorbeeld van een voorbereidende handeling is het aanbrengen van bepaalde scripts op een website waardoor bijvoorbeeld een Trojan op de computer van een bezoeker kan worden geplaatst. Verwevenheid van technieken Hierboven is op hoofdlijnen aangegeven of een bepaalde vorm van internetgerelateerde vormen van computercriminaliteit ook strafbaar is. De verschillende vormen van computercriminaliteit staan echter veelal niet op zichzelf. Vaak is een combinatie van technieken noodzakelijk om een bepaalde vorm van internetgerelateerde computercriminaliteit te kunnen realiseren. Voordat een kwaadwillende een website kan vernielen of het internetverkeer naar een andere website kan doorgeleiden (defacement), zal bijvoorbeeld altijd eerst moeten zijn binnengedrongen in het computersysteem (hacken). Ook voor het uitvoeren van een (d)dos aanval worden meerdere technieken gebruikt. Voor het plaatsen van een bot moet bijvoorbeeld worden binnengedrongen op een computersysteem. 9. Het wetsvoorstel Wet Computercriminaliteit II wordt pas openbaar als het advies van de Raad van State wordt aangeboden aan de Tweede Kamer. De verwachting is dat het wetsvoorstel in het eerste kwartaal van 2005 openbaar wordt gemaakt. 10. Trb. 2002, 18. 11

Computercriminaliteit De verschillende vormen van internetgerelateerde computercriminaliteit worden ook steeds vaker ingezet voor de traditionele vormen van criminaliteit. Voorbeelden van groeiende traditionele vormen van criminaliteit met behulp van internetgerelateerde vormen van computercriminaliteit zijn de phising scams en Nigerian scams. Bij deze vormen van fraude wordt persoonlijke informatie, zoals creditcard-, bankrekening- en sofi-nummers van mensen ontfutseld ten behoeve van financieel gewin. Voor phising is het bijvoorbeeld nodig om de gekopieerde website op een webserver waarop is binnengedrongen, op een server te plaatsen (hacken). Het verspreiden van de phising scams gebeurt veelal door middel van spam (open relay), waarbij het afzendadres van de e-mail veelal is vervalst, om de e-mail legitiem te laten lijken (spoofing). Bewustwording en beveiliging Iedere organisatie die gebruikmaakt van digitale informatie- en communicatietechnieken loopt het risico om het doelwit te worden van computercriminaliteit. De sleutelwoorden om te voorkomen dat een organisatie slachtoffer wordt van computercriminaliteit zijn bewustwording en beveiliging. Bewustwording houdt in dat men weet wat onder computercriminaliteit wordt verstaan, alsmede dat ter voorkoming hiervan adequate beveiligingsmaatregelen worden genomen. Naast de bewustwording en het nemen van adequate beveiligingsmaatregelen is het van belang dat een organisatie beleid heeft opgesteld voor het geval de organisatie slachtoffer wordt van computercriminaliteit. Dit beleid zal bijvoorbeeld inzichtelijk moeten maken: Wie binnen de organisatie welke taken en bevoegdheden heeft in relatie tot het herstel van het incident; Waarom de desbetreffende vorm van computercriminaliteit zich heeft kunnen voordoen; Of de organisatie overgaat tot het doen van aangifte; Op welke wijze kan worden voorkomen dat de organisatie opnieuw slachtoffer wordt van (een bepaalde vorm van) computercriminaliteit. Gedragscode internet en e-mail verkeer De verschillende vormen van computercriminaliteit kunnen (bewust of onbewust) worden veroorzaakt door het computergebruik van eigen medewerkers. Bij bedrijfsspionage of voor puur eigen gewin kan een medewerker zich bijvoorbeeld toegang verschaffen tot afgeschermde informatie. Ook is het goed mogelijk dat door het onbewust openen van toegezonden e-mails van vrienden of het bezoeken van bepaalde websites, een backdoor wordt geactiveerd waardoor een virus zich gemakkelijk kan verspreiden. Ook het bezoeken van pornosites en het deelnemen aan chatsessies of nieuwsgroepen kunnen grote beveiligingsrisico s met zich meebrengen voor een organisatie. Om beveiligingsrisico s die aan dit gedrag kleven te beheersen, kunnen werkgevers naast het nemen van technische beveiligingsmaatregelen ook gemakkelijk overgaan tot het systematisch monitoren van het gebruik van de bedrijfsnetwerken door de werknemers en de gegevens hierover vast te leggen. Het zonder medeweten van de medewerkers verwerken van persoonsgegevens is ech- 12

Computercriminaliteit ter op grond van de Wet bescherming persoonsgegevens (Wbp) niet toegestaan. In het geval een werkgever wenst over te gaan tot het monitoren van zijn bedrijfsnetwerk, met bijvoorbeeld als doel het beperken van de beveiligingsrisico s, zal hij op grond van de Wbp zijn medewerkers moeten informeren over: Het toegestane internet en e-mailgebruik, alsmede het feit dat dit internet en e- mail van de (desbetreffende) medewerker(s) door de werkgever wordt gecontroleerd; Het doel van deze gegevensverwerking; De consequenties van het niet-naleven van de afspraken omtrent het toegestane internet en e-mailgebruik; Wanneer en welke maatregelen worden getroffen in het geval afspraken over het internet en e-mailgebruik niet worden nageleefd. De toezichthouder op de naleving van de privacy wet- en regelgeving het College Bescherming persoonsgegevens adviseert deze informatie op te nemen in een Gedragscode Internet en e-mailgebruik. 3.2 Wet- en regelgeving Nederland Wet Computercriminaliteit I (Wetboek van Strafrecht) Wetsvoorstel Wet Computercriminaliteit II (zodra beschikbaar) Internationaal Cybercrime Verdrag 3.3 Relevante achtergrondinformatie Bestrijding van cybercrime en de noodzaak van internationale regulering, H.W.K. Kaspersen, Justitiële verkenningen, jaargang 30, nr. 8 2004. Handleiding Cyber Crime, van herkenning tot aangifte, GOVCERT augustus 2003. Informatietechniek en Strafrecht Rapport van de Commissie Computercriminaliteit, Staatsuitgeverij, 1987. Goed werken in netwerken, Regels voor controle op e-mail en internetgebruik van werknemers (www.cbpweb.nl). 3.4 Aandachtspunten voor management Beveiligingsmaatregelen Beleid omgang met ICT- gerelateerde beveiligingsincidenten Gedragscode internet en e-mailgebruik 13