2-392/3 | 2-392/3 |
28 JUNI 2000
Evocatieprocedure
De commissie voor de Justitie heeft dit wetsontwerp besproken tijdens haar vergaderingen van 14, 20, 21 en 28 juni 2000, in aanwezigheid van de minister van Justitie.
Onderhavig optioneel bicameraal wetsontwerp werd door de Kamer van volksvertegenwoordigers eenparig aangenomen op 30 maart 2000, en geëvoceerd op 28 april 2000 op verzoek van 37 senatoren (Griffiebulletin nr. 23 van 28 april 2000).
De onderzoekstermijn loopt ten einde op vrijdag 14 juli 2000, na beslissing tot verlenging met 9 dagen door de parlementaire overlegcommissie op 22 juni 2000 (overzicht van de werkzaamheden nr. 11).
Het ontwerp van wet beoogt, in het licht van de internationale stand van zaken, een aantal concrete stappen te nemen om de actoren van de justitie de adequate juridische instrumenten aan te reiken om de criminaliteit op de informatiesnelweg te kunnen bestrijden. In dat verband worden een aantal wijzigingen van het materieel strafrecht en het strafprocesrecht voorzien. Het uitgangspunt hierbij is dat het strafrechtelijke beschermingsniveau dat thans ten aanzien van een aantal rechtsgoederen bestaat, ook in de context van de informatietechnologie moet worden gehandhaafd. Bovendien worden voor nieuwe beschermwaardige belangen adequate bepalingen gecreëerd.
De recente gebeurtenissen hebben immers ten overvloede aangetoond dat de strafrechtelijke bescherming van de informaticanetwerken zowel in het licht van de belangen van de overheid, de bedrijven en de particulieren een belangrijke beleidsprioriteit moet zijn die een dringend wetgevend optreden noodzakelijk maakt.
In het ontwerp wordt betracht het wettelijk arsenaal aan strafbepalingen en de middelen voorzien in het strafprocesrecht aan te passen aan de noden van een effectieve bestrijding van criminaliteit die verband houdt met de informatietechnologie, en dit vanuit een dubbele invalshoek :
er wordt aansluiting gezocht bij de bestaande structuur van het Strafwetboek en het Wetboek van Strafvordering, zonder hier ingrijpende structurele hervormingen in door te voeren;
inzake het invoeren van nieuwe misdrijven wordt de strafwaardigheid van misbruiken inzake de informatietechnologie in rekening gebracht, teneinde overcriminalisering te vermijden.
In het licht van het voorgaande streeft het ontwerp er vooreerst naar om twee centrale traditionele beschermde rechtsbelangen, de openbare trouw en het vermogen, ook in een informatietechnologie-context te waarborgen, niet in het minst omwille van de twijfel die in dat verband in doctrine en rechtspraak heerst.
Er worden derhalve nieuwe bepalingen inzake valsheid in informatica en informaticabedrog ingevoegd in de hoofdstukken van het Strafwetboek die op de voormelde rechtsbelangen betrekking hebben, zonder evenwel te raken aan de opbouw van die hoofdstukken en de bepalingen daarvan.
De strafwaardige inbreuken op de vertrouwelijkheid, integriteit en beschikbaarheid van informaticasystemen en de gegevens, die door middel daarvan worden opgeslagen, verwerkt of overgedragen, als zodanig kunnen in zeer veel gevallen niet herleid worden tot inbreuken op bestaande rechtsbelangen, zonder de feitelijke en juridische realiteit geweld aan te doen. Daarom word hiervoor een nieuwe titel in boek II van het Strafwetboek ingevoegd dat in essentie de ongeoorloofde toegang, evenals computer- en datasabotage beoogt te beteugelen.
In het Wetboek van Strafvordering worden een aantal vernieuwingen ingevoerd inzake opsporings- en onderzoekshandelingen in een geïnformatiseerde context. In essentie betreft het hier bepalingen inzake databeslag, netwerkzoeking, bijzondere medewerkingsverplichtingen in een geïnformatiseerde omgeving, en een aanpassing van de modaliteiten van het onderscheppen van telecommunicatie.
Tenslotte wordt ook de telecommunicatiewetgeving aangepast teneinde de Koning toe te laten bepaalde identificatieverplichtingen en bewaringsverplichtingen inzake het gebruik van telecommunicatiediensten ten aanzien van de dienstenverstrekkers van telecommunicatiediensten te preciseren. Het niet-respecteren van deze verplichtingen wordt strafrechtelijk gesanctioneerd.
Gezien de gemeenschappelijke problematiek betreffende de valsheid in informatica tussen het wetsontwerp inzake informaticacriminaliteit en dat inzake de digitale handtekening, wordt onderhavig ontwerp voorgedragen en medeondertekend door de minister van Justitie, de minister van Telecommunicatie en Overheidsbedrijven en Participaties en de minister van Economie.
De minister onderstreept het belang van het wetsontwerp dat hier wordt voorgelegd.
Elektronica en informatica dringen steeds meer ons dagelijkse leven binnen en hebben onze leefomgeving radicaal veranderd.
De computer is alomtegenwoordig en men maakt er zonder veel ophef gebruik van.
Wat ook dagelijkse kost is geworden is de toename van de netwerken en hun onderlinge verbinding, in die mate zelfs dat men de computer amper nog van het netwerk kan onderscheiden.
De huidige communicatiemiddelen vormen een reusachtig web dat de hele planeet beslaat. Het meest voor de hand liggende voorbeeld hiervan is natuurlijk het internet.
Er zijn voortdurend uitwisselingen op de netwerken, er worden transacties uitgevoerd met elektronische snelheid en de noties van tijd en ruimte verdwijnen om plaats te maken voor de virtuele, universele en permanente realiteit.
Deze nieuwe ruimte biedt ongekende mogelijkheden tot dialoog, uitwisseling en vooruitgang.
Deze nieuwe ruimte heeft echter ook een zeer zwak punt.
Samen met het gewone, quasi ingeburgerde gebruik van de informatica, zijn er ook frauduleuze en misdadige praktijken ontstaan met betrekking tot de informatica.
Deze praktijken zijn des te gevaarlijker omdat de kwetsbaarheid van de netwerken vrij groot is geworden en de dagelijkse werking, de economie en het bestaan zelf van onze samenleving hierdoor zwaar in het gedrang kunnen komen.
Men moet ervoor zorgen dat het nieuwe digitale systeem dat is ontstaan en waaraan men niet meer kan ontsnappen, levensvatbaar blijft.
Het strafrecht en het strafprocesrecht dienen volledig aangepast te worden aan deze ontwikkelingen om het voortbestaan te verzekeren van de waarden die wij in bescherming nemen.
Zoals emeritus advocaat-generaal Vandemeulebroecke (1) het in 1997 onderstreepte, stelt het Internet zowel het strafrecht als het strafprocesrecht voor een zware taak.
Om de magistraten in staat te stellen deze taak te volbrengen en zo een antwoord te bieden op de strafrechtelijke gevolgen van het nieuwe digitale systeem, heeft de regering dit wetsontwerp ingediend, waarbij tevens een belangrijk onderscheid is gemaakt : de informatica kan een middel zijn om klassieke strafbare feiten te begaan, maar kan ook het doel zelf van het misdrijf zijn.
In het algemeen kan worden gesteld dat de hierna genoemde inbreuken worden bestraft met geldboetes gaande van 26 tot 200 000 frank (× 200) en/of met een gevangenisstraf tussen de 3 maanden en de 5 jaar.
Deze straffen worden verdubbeld indien ze worden begaan binnen de 5 jaar na een eerste veroordeling wegens eenzelfde feit.
I. Valsheid in informatica
Hieronder wordt verstaan via datamanipulatie vervalsen van juridisch relevante computergegevens, bijvoorbeeld :
vervalsen en/of namaken van kredietkaarten, valsheid inzake digitale contracten waar de juridisch relevante documenten niet meer op papier worden geprint en de manu worden ondertekend;
gebruik van valse gegevens.
De poging tot valsheid in informatica wordt eveneens strafbaar gesteld.
II. Informaticabedrog
Hieronder wordt verstaan de gerealiseerde computerfraude. Voorbeelden van de gevallen die geviseerd worden zijn :
gebruik van een gestolen kredietkaart om geld uit een automatische biljettenverdeler te halen;
onrechtmatig overschrijden van het krediet van zijn eigen kredietkaart;
invoeren van programma-instructies waardoor bepaalde verrichtingen een ander resultaat opleveren met het oog op het bekomen van een onrechtmatig financieel voordeel;
verduisteren met winstbejag van bestanden of programma's die men enkel voor een welbepaald doel toevertrouwd heeft gekregen.
De poging tot informaticabedrog wordt eveneens strafbaar gesteld.
Deze bepalingen wordt losgekoppeld van artikel 496 van het Strafwetboek (de oplichting) aangezien computerfraude ongeoorloofde manipulaties betreft van data ten aanzien van een machine en oplichting in essentie bedrieglijke handelingen viseert die het vertrouwen van « personen » schenden.
III. Ongeoorloofde toegang zowel door outsiders als door insiders
Dit omvat de zogenaamde « hacking ».
Er wordt een bewust onderscheid gemaakt tussen de hacking die gebeurt door mensen van buiten de organisatie en hacking door mensen die principieel toegang hebben tot een deel van het netwerk.
Als voorbeeld van het eerste : via de openbare telecominfrastructuur de beveiliging van een gesloten netwerk omzeilen en zich aldus toegang verschaffen tot het systeem.
Als voorbeeld van het tweede : in delen van een intern bedrijfsnetwerk binnendringen zonder daartoe de bevoegdheid te hebben, teneinde schade te berokkenen of bepaalde data voor eigen rekening te commercialiseren.
Buitenstaanders zijn strafbaar indien ze weten dat zij onbevoegd in het systeem komen of blijven. Wanneer de inbreuk plaatsvindt met bedrieglijk opzet wordt een zwaardere straf voorzien.
Voor insiders wordt de strafbaarheidsdrempel hoger gelegd. Het overschrijden van het verleende autorisatieniveau moet plaatsvinden met een bijzonder opzet, namelijk onrechtmatig winstbejag of kwaadwillige bedoelingen.
Het louter onrechtmatig betreden van delen van het systeem moet via minder ingrijpende mechanismen (zoals interne sancties) worden aangepakt.
Bovendien worden ook een aantal gevolghandelingen van de hacking strafbaar gesteld, onder de vorm van verzwarende omstandigheden bij het basismisdrijf in zijn beide varianten, inzonderheid :
1. het ontvreemden van gegevens naar aanleiding van het hacken, bijvoorbeeld het stelen van industriële geheimen in het kader van bedrijfsspionage;
2. het misbruik maken van de capaciteit van de computer waar de persoon ongeoorloofd is binnengedrongen : het benutten van de capaciteit van het systeem waardoor de mogelijkheden van andere gebruikers tijdelijk beperkt worden, de zogenaamde « tijdsdiefstal »;
3. het al dan niet gewild toebrengen van schade na de hacking.
Een andere gevolghandeling die wordt strafbaar gesteld, is het « helen » van de naar aanleiding van de hacking bekomen gegevens. Aangezien het misdrijf heling traditioneel enkel materiële voorwerpen kan betreffen, is deze bepaling vooral binnen de context van spionagebestrijding belangrijk.
Bovendien wordt het opdracht geven of het aanzetten tot hacking zwaarder gestraft dan degene die het misdrijf effectief uitvoert. De reden hiervoor is dat, waar vroeger hacking in veel gevallen een tijdverdrijf was voor jonge computerfreaks, thans professionele criminelen dergelijke personen inschakelen om hun plannen uit te voeren.
Gezien de ernst van de gedragingen wordt wat de poging betreft, dezelfde strafmaat voorzien als voor het voltooide misdrijf. Nemen we hierbij als voorbeeld het geautomatiseerd uitproberen van paswoorden, waarbij de dader eerder geïnteresseerd is in het bekomen van de toegangscode op zich dan in het effectief binnenbreken in de computer.
IV. Data- en computersabotage
De huidige bepalingen van ons strafrecht viseren enkel de vernieling en beschadiging met betrekking tot tastbare voorwerpen. Beschadiging aan hardware wordt als dusdanig strafbaar gesteld, doch de beschadiging van data wordt hierbij niet geviseerd.
De nieuwe bepalingen vullen dit tekort op.
Hier worden een aantal vernieuwingen ingevoerd inzake opsporings- en onderzoekshandelingen binnen een geïnformatiseerde context.
I. Het databeslag
De inbeslagneming van voor het strafonderzoek relevante gegevens, die worden opgeslagen, verwerkt of overgedragen via een informaticasysteem, kan volledig volgens de traditionele procedures verlopen zolang dit gepaard gaat met de inbeslagneming van de materiële drager (bijvoorbeeld de computer, optische schijven, diskettes, enz.).
Als de gerechtelijke overheid enkel wil beschikken over de data, zonder inbeslagneming van de dragers of het systeem, is de situatie verschillend.
De nieuwe bijzondere regels inzake databeslag kunnen als volgt worden samengevat :
1. In principe worden de relevante gegevens gekopieerd op dragers van de overheid. Enkel in twee specifieke gevallen, meer bepaald bij dringendheid of bij technische problemen kunnen dragers die ter beschikking staan van personen bevoegd voor het gebruik van het systeem, worden aangewend.
2. In principe wordt de toegang tot deze gegevens in het onderzochte informaticasysteem of op ter plaatse aanwezige dragers bovendien geblokkeerd (bijvoorbeeld door encryptie).
Op die manier benadert men het dichtst de situatie van een klassieke inbeslagneming. Er kan evenwel beslist worden om gegevens of een deel daarvan niet te blokkeren om reden van het niet in het gedrang brengen van de continuïteit van de werking van een systeem of organisatie.
In twee gevallen kan het blokkeren van de gegevens worden vervangen door het wissen ervan, namelijk :
1. wanneer de procureur des Konings de gegevens strijdig acht met de openbare orde of goede zeden (bijvoorbeeld kinderporno, racistische pamfletten);
2. wanneer de procureur des Konings meent dat de gegevens een risico voor schade opleveren (bijvoorbeeld computervirussen).
In deze gevallen zal enkel een kopie worden genomen met het oog op het strafonderzoek.
II. Blokkering
Wanneer kopiëren niet mogelijk is (complexiteit, omvangrijkheid) worden de gegevens enkel geblokkeerd, wat in feite neerkomt op een variant van verzegeling.
III. Informatieverplichting
Als algemene waarborg is er een informatieverplichting ten aanzien van degene die verantwoordelijk is voor het informaticasysteem. Daarbij wordt een samenvatting meegedeeld van de operaties die ten aanzien van de gegevens werden uitgevoerd. Een uitputtende inventaris is immers in een geïnformatiseerde omgeving vaak niet realistisch.
Ook dienen alle passende middelen te worden aangewend om de integriteit en de vertrouwelijkheid van voornoemde gegevens te waarborgen. Idem dito voor de bewaring ervan ter griffie.
IV. Een nieuwe bepaling heeft betrekking op de netwerkzoeking
Wanneer een onderzoeksrechter een zoeking verricht in een informaticasysteem, kan hij deze zoeking uitbreiden naar een informaticasysteem dat zich op een andere plaats bevindt dan daar waar deze zoeking plaatsvindt, met inachtneming van een aantal voorwaarden.
De maatregel moet vooreerst noodzakelijk zijn voor de waarheidsvinding en bovendien moet er een risico bestaan dat zonder deze uitbreiding bewijselementen verloren gaan of moet de onderzoeksrechter van oordeel zijn dat andere maatregelen (bijvoorbeeld meerdere huiszoekingsbevelen) disproportioneel zijn.
Het komt aan de onderzoeksrechter toe om dit in alle redelijkheid te beoordelen.
Ook mag een dergelijke zoeking enkel uitgebreid worden in zover dit noodzakelijk is in het kader van de concrete strafzaak waarmee de onderzoeksrechter gelast is.
De grens voor het uitoefenen van deze nieuwe bevoegdheid wordt gevormd door de toegangsbevoegdheid van de personen die bevoegd zijn voor het gebruik van het informaticasysteem dat het voorwerp uitmaakt van de zoeking.
Bovendien dient de technische verbinding via de netwerken een element van permanentie en stabiliteit in te houden en mag niet louter occasioneel zijn.
Bovendien, wanneer blijkt dat relevante gegevens zich niet op het grondgebied van het Rijk bevinden, worden deze enkel gekopieerd. In dit bijzonder geval is de onderzoeksrechter verplicht, via het openbaar ministerie, onverwijld hiervan mededeling te doen aan het ministerie van Justitie, dat de bevoegde overheid van de betrokken Staat hiervan op de hoogte brengt, indien deze redelijkerwijze bepaald kan worden.
V. Medewerkingsverplichtingen
Immers, in een snel evoluerende hoogtechnologische context, waar de overheid zelf vaak niet over voldoende expertise beschikt of deskundigen in mindere mate beschikbaar zijn, is het onontbeerlijk om personen die het te onderzoeken informaticasysteem kennen of over een bijzondere expertise beschikken inzake zekere deelaspecten (bijvoorbeeld inzake beveiliging of encryptie) te kunnen verplichten de gerechtelijke overheid bij te staan.
Hiertoe wordt in twee soorten medewerkingsverplichtingen voorzien :
1. informatieverplichting ten aanzien van de onderzoeksrechter voor personen die over een bijzondere kennis beschikken inzake specifieke technische aspecten van informatica;
2. de verplichting ten aanzien van de onderzoeksrechter voor bepaalde personen om zekere operaties uit te voeren (bijvoorbeeld het doen functioneren van de computer, het opvragen van bepaalde files ...).
De verplichting om bepaalde data te zoeken kan evenwel niet worden opgelegd aan de verdachte.
VI. Geheimhoudingsverplichting
Om het geheim van het onderzoek in deze materie te beschermen, wordt een geheimhoudingsverplichting ingevoerd voor de personen die kennis krijgen van de maatregel of die hun medewerking moeten verlenen.
Om de afdwingbaarheid hiervan te garanderen wordt de niet-naleving van de voorziene verplichtingen, evenals het hinderen van het onderzoek in een informaticasysteem, strafrechtelijk gesanctioneerd.
VII. Verantwoordelijkheid voor de toegebrachte schade
De burgers die in het kader van deze bepaling verplicht worden mee te werken aan een strafrechtelijk onderzoek, kunnen hierbij schade veroorzaken aan informaticasystemen of data.
Het zou onredelijk zijn dat deze personen hiervoor burgerlijk aansprakelijk gesteld zouden worden, tenzij zij opzettelijk schade zouden berokkenen. Daarom wordt expliciet voorzien dat de Staat aansprakelijk is voor onopzettelijk toegebrachte schade in het kader van het nakomen van de medewerkingsverplichting.
Het wetsontwerp beoogt eveneens een aanpassing van de modaliteiten van het regime van het gerechtelijk onderscheppen van telecommunicatie. Drie wijzigingen worden doorgevoerd.
1. De lijst van misdrijven waarvoor een tapmaatregel mogelijk is wordt uitgebreid met de bestaande misdrijven inzake het aftappen van telecommunicatie, met de nieuwe delicten valsheid in informatica en informaticabedrog, evenals de nieuwe delicten hacking en computer- en datasabotage.
2. De bijzondere medewerkingsverplichtingen, zoals hiervoor reeds aangehaald, worden per definitie ook ingevoerd inzake het onderscheppen van telecommunicatie.
3. De beveiligings- en versleutelingstechnieken die thans beschikbaar zijn, kunnen ook door de gerechtelijke overheid worden aangewend om de vertrouwelijkheid en de integriteit van tapmateriaal (dat meer en meer digitaal zal worden) te waarborgen, met inbegrip van de bewaringsmodaliteiten op de griffie.
Hierbij kan meer bepaald gedacht worden aan de mogelijkheden die de digitale handtekening biedt. Naar de toekomst toe zal de informatietechnologie ook inzake de transcriptie en de eventuele vertaling mogelijkheden bieden. Het wetsontwerp schept daarom de principiële mogelijkheid om hiervan gebruik te maken, maar houdt er tegelijk rekening mee dat de implementatie hiervan enige tijd zal vergen.
Om die reden wordt het bepalen van de « specifieke » modaliteiten en de datum van toepassing gedelegeerd aan de Koning.
Uiteindelijk voorziet het wetsontwerp in een aantal wijzigingen van de wet van 21 maart 1991 betreffende de hervorming van sommige economische overheidsbedrijven.
De nieuwe verplichtingen voor de dienstenverstrekkers die door de Koning zullen moeten worden gepreciseerd, hebben betrekking op het niet-nakomen van de identificatieverplichting inzake gebruik van telecommunicatiediensten.
In dit verband zullen de verstrekkers van telecommunicatiediensten structurele maatregelen moeten nemen om, enerzijds, de oproepgegevens (oorsprong, bestemming, lokalisatie, duur, enz.) van telecommunicatie te kunnen achterhalen en, anderzijds, gebruikers die informatie aan het publiek aanbieden, te kunnen identificeren en deze inlichtingen te bewaren.
Hiertoe wordt het begrip « oproepgegevens » gebruikt, omdat in de context van computernetwerken niet louter met traditionele telefoonnummers wordt gewerkt, maar bijvoorbeeld ook met internetadressen.
In een eerste instantie worden de verbindingen tussen de gebruiker en de accessprovider geviseerd.
Niettemin kan het in bepaalde gevallen voor de bevoegde magistraat ook nuttig zijn om precies te kunnen nagaan welke internetadressen werden gecontacteerd.
Het is de Koning die zal bepalen op welke types van operatoren van telecommunicatienetwerken en telecommunicatiediensten deze verplichting betrekking heeft.
De mogelijkheid werd tevens opengelaten om de Koning toe te laten specifieke maatregelen uit te vaardigen om bijvoorbeeld internetproviders te verplichten bepaalde informatie te bewaren in uitzonderlijke gevallen en in functie van de technologie waarover zij redelijkerwijze kunnen beschikken.
Naast deze strafrechtelijk gesanctioneerde verplichting voor de verstrekkers van telecommunicatiediensten wordt tevens voorzien dat de gegevens die zij zullen moeten bewaren, technisch afdoende worden beveiligd vanuit het oogpunt van confidentialiteit en integriteit.
Dit is dus wat er in het wetsontwerp inzake informaticacriminaliteit staat.
De Senaat heeft het wetsontwerp geëvoceerd om zich in het onderwerp te kunnen verdiepen.
Sinds het wetsontwerp in de Kamer is aangenomen, zijn er nieuwe gebeurtenissen geweest, zoals de wereldwijde verspreiding van een computervirus met een charmante naam maar met zeer kwalijke gevolgen.
Het wetsontwerp zoals het is aangenomen kan een oplossing bieden voor dergelijke situaties.
Een lid onderstreept het belang van het voorliggend wetsontwerp. Ofschoon de resterende onderzoekstermijn nogal kort is, verdient het ontwerp een grondig onderzoek.
Iedereen wenst ongetwijfeld dat de ontwikkeling van het internet zich in de beste omstandigheden kan ontplooien. Internet is immers een zeer belangrijk element in onze informatiemaatschappij, en de ontwikkeling ervan wordt uiteraard geremd door de houding van sommige hackers, saboteurs, enz., namelijk door de internationale criminaliteit die zich op computernetwerken kan organiseren.
Om de ontwikkeling van de informatica en het internet te bevorderen is een veilig gebruik daarvan noodzakelijk.
Hoewel de economische gevolgen niet te verwaarlozen zijn, moet men bij de ontwikkeling van de Internettoepassingen en bij de groei naar een nieuwe informatiesamenleving rekening houden met andere elementen.
Gelet op deze evoluties, kan men stellen dat het Strafwetboek verouderd is. Bij de redactie van het Strafwetboek was er immers nog geen sprake van informatica. Aldus heeft men vaak te kampen met reële problemen waar er niet altijd een antwoord voor te vinden is (zie de ontwikkeling van pedofilienetwerken via internet, de ontwikkeling van racistische websites of de ontwikkeling van het fascisme via websites).
Er zijn twee mogelijke reacties. Enerzijds is er de Amerikaanse strekking die voornamelijk de bescherming van het netwerk beoogt. De inhoud van de netwerken komt hierbij op de tweede plaats. Om de ontwikkeling van internet te stimuleren, zorgt men ervoor dat de netwerken worden beschermd tegen virussen en hackers. Een tweede visie is meer Europees getint, waarbij een beheersing en reglementering wordt vooropgesteld niet alleen op het vlak van het gebruik van de netwerken, maar ook op het vlak van de inhoud van de netwerken.
Het voorliggende wetsontwerp sluit nader aan bij het tweede standpunt.
Voorts rijst de vraag of het wetsontwerp niet reeds voorbijgestreefd is, gezien de zeer snelle evolutie van de informatica. Spreker verwijst naar de top van Parijs van de G8, waar niet alleen de betrokken overheden, maar ook de voornaamste private actoren aanwezig waren (Microsoft, enz.). Wat waren de resultaten van deze top ?
Een commissielid merkt op dat deze nieuwe gedaante van de communicatienetwerken complex is. De misdaad sluit altijd op zeer natuurlijke wijze aan bij elke nieuwe ontwikkeling van de technologieën en neemt daarbij zeer uiteenlopende vormen aan (virussen, kopiëren van netwerken). Er bestaan dus enorm veel mogelijkheden om criminele netwerken uit te bouwen zodra nog modernere communicatiemiddelen tot ontwikkeling komen die aan de controle van de overheid ontsnappen. Om deze criminaliteit uit te schakelen is een nationale regelgeving niet voldoende. Bovendien zullen de misdadigers systemen zoeken om aan deze regelgeving te ontkomen. De tekst moet algemeen genoeg zijn om op de ontwikkelingen te kunnen inspelen en om te vermijden dat de regels onmiddellijk achterhaald zijn. Ook moet de tekst aansluiten op de ontwikkelingen die zich op Europees en internationaal vlak afspelen.
De minister vermeldde in zijn uiteenzetting in de Kamer dat het wetsontwerp in ruime mate teruggaat op de werkzaamheden binnen de OESO en binnen de Raad van Europa. Welk verband bestaat er tussen dit ontwerp en de werkzaamheden van de Europese partners ? Bestaan er terzake Europese richtlijnen ? Sluit het ontwerp aan bij een Europees ontwerp terzake ? Welke regels zijn op dat vlak opgesteld door de OESO en door de Raad van Europa ?
Spreekster merkt op dat het belangrijk is dat de overheid toezicht kan uitoefenen op netwerken. Men moet ervoor zorgen dat de handelsnetwerken in alle veiligheid ontwikkeld kunnen worden (zie het wetsontwerp op de elektronische handtekening en op de veiligheid van het betalingsverkeer).
De vraag rijst of het op dit vlak mogelijk is wetgevend werk te verrichten. Bestaat het gevaar niet dat het ontwerp vlug achterhaald is ? Zijn algemene basisregels niet voldoende ? Spreekster vraagt zich af op welke wijze dit ontwerp zich verhoudt tot de wet ter bescherming van de persoonlijke levenssfeer. Stemt dit ontwerp in het strafrechtelijke domein overeen met het ontwerp inzake de bescherming van gevoelige gegevens ?
Een bepaling van het ontwerp vermeldt in zeer algemene bewoordingen het principe van de aantasting van de goede zeden en van de openbare orde. Is dat voldoende ? Er bestaan reeds regels, bijvoorbeeld inzake kinderporno, die van toepassing zijn op het internet. Men moet voorkomen dat men regels krijgt die hiertegen ingaan.
Wat de voorgestelde straffen betreft, heeft spreekster vragen bij de gevangenisstraffen. De inbeslagname van de gebruikte middelen lijkt haar een meer passende straf. Er zijn vele soorten van criminaliteit die waarschijnlijk een uiteenlopende aanpak vereisen (virussen, hackers, pornografie). Is het ontwerp aangepast en is het niet in strijd met de bestaande wetten ?
Een lid heeft vragen bij de bewaring van de gegevens en in het bijzonder bij de omschrijving van de telecommunicatiediensten. Wat verstaat men onder die diensten? Het ontwerp vermeldt de operatoren van telecommunicatienetwerken en de verstrekkers van telecommunicatiediensten. Wat is de precieze definitie van een verstrekker? Geldt dat ook voor een telefooncentrale in een hotel? Een rekbare definitie van een telecommunicatiedienst leidt tot het bewaren van eender welke communicatie die uitgaat van onverschillig welke plaats.
De bewaringstermijn van 12 maanden lijkt problemen op te leveren voor de operatoren van telecommunicatienetwerken (kostprijs, enz.). Spreker vermeldt eveneens een probleem in dit verband dat betrekking heeft op de bescherming van de persoonlijke levenssfeer. Alle activiteiten van de burger zullen gedurende een jaar bewaard blijven. Daarmee wordt een zeer zware druk uitgeoefend op de privacy. De burger heeft geen enkele waarborg in verband met het gebruik van deze gegevens.
Spreker verwijst ten slotte naar het advies van de Raad van State. Het is vreemd dat men een minimale bewaartermijn vaststelt. Het wetsontwerp bepaalt geen maximumduur voor de bewaring.
Een commissielid wenst een amendement in te dienen dat ertoe strekt in artikel 14, 1º, de woorden « mag nooit minder zijn dan 12 maanden » te vervangen door de woorden « mag niet meer zijn dan 12 maanden ». De minimumtermijn van een jaar lijkt haar te lang. Het is een te zware last voor de operator (cf. infra artikelsgewijze bespreking).
Spreekster is van mening dat het ontwerp op de computercriminaliteit één groot geheel vormt met de ontwerpen op de elektronische handtekening en de werking van de certificatiedienstverleners met het oog op het gebruik van elektronische handtekeningen. Hoever staat het met die twee ontwerpen ?
Spreekster vraagt zich af of het noodzakelijk is bijzondere regels te bepalen voor de inbeslagneming van computeruitrusting. In hoeverre zijn die bijzondere bepalingen noodzakelijk rekening houdend met het gewone beslag- en verbeurdverklaringsrecht ? Is het gewoon de bedoeling de personen die aan de apparatuur komen, te beschermen tegen de schade die zij aan die apparatuur zouden toebrengen ?
Het voorliggende ontwerp bepaalt eveneens bijzondere regels om het geheim van het gerechtelijk onderzoek te waarborgen. In hoeverre wijken deze regels af van de algemene beginselen ?
Spreekster verwijst ten slotte naar het advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. Stemt het ontwerp overeen met de verwachtingen van die commissie ?
Een senator verheugt zich over het feit dat er eindelijk een debat op gang komt met betrekking tot het internet en de informatiemaatschappij. Het is bekend dat België een enorme achterstand vertoont op het vlak van de e-commerce, de e-government en e-justice (hoewel op dit laatste vlak recente experimenten zijn op gang gebracht, zoals de publicatie van rechtspraak op het internet). België is een van de laatste landen in Europa om een wet betreffende de informaticacriminaliteit in te voeren. Een goede wetgeving is belangrijk, aangezien het vertrouwen het kernvraagstuk is van het al dan niet slagen van de e-commerce en de ontwikkeling van het internet.
Een voorafgaande opmerking betreft de werkzaamheden in de Kamer. Het is opvallend dat in het wetsontwerp drie partijen zijn betrokken, met name de politiediensten (opsporing van de misdrijven), de Commissie voor de bescherming van de private levenssfeer (vraagstuk van de privacy) en de internetproviders (artikelen 9 en 14). Hoewel het ontwerp aan deze laatste partij een plicht van medewerking en bewaring van gegevens oplegt, kwam zij niet aan bod bij de besprekingen in de Kamer. Aldus stelt de senator voor de overkoepelende organisatie van de internetproviders (ISPA) te horen. Deze mensen hebben immers een aantal punctuele vragen in verband met de bewaringstermijn en de kosten ten gevolge van het wetsontwerp.
Een tweede voorafgaande opmerking betreft de filosofie van het wetsontwerp. Deze is gestoeld op twee belangrijke principes. Een eerste principe transponeert het begrip diefstal in de nieuwe informaticatechnologieën. Er wordt gesteld dat « wat off-line niet mag, on-line ook niet mag ». Een tweede uitgangspunt stelt duidelijk dat de strafwet het ultimum remedium moet blijven. Gelet op deze principes, is het wel opmerkelijk dat het wetsontwerp vrij licht gaat over het definiëren en het vastleggen van de constitutieve bestanddelen van de nieuwe misdrijven. Zo kan men het feit aanhalen dat men zich in heel wat misdrijfomschrijvingen beperkt tot het algemeen opzet. Spreker verwijst terzake naar de verscheidene tussenkomsten van de voorzitter van de commissie voor de Justitie in de Kamer.
Op een bepaald ogenblik werd de hacking vergeleken met het misdrijf van diefstal. In de constitutieve elementen van diefstal zit echter het element van bedrieglijk opzet, terwijl voor hacking het algemeen opzet volstaat. Wordt de filosofie van het ontwerp (on-line = off-line) niet geschaad door het volstaan van het element van algemeen opzet ?
Wat betreft het ultimum remedium, betreurt spreker dat in het wetsontwerp niet werd ingeschreven dat er verscheidene soorten hackers bestaan. Er moet immers een onderscheid worden gemaakt tussen enerzijds mensen die experimenteren op het internet en anderzijds personen die met schadelijke en criminele bedoelingen op het internet hacken. Het wetsontwerp lijkt iedereen over dezelfde kam te scheren. Men had verschillende trappen van strafwaardigheid kunnen inbouwen of men had een aantal alternatieve sancties kunnen inbouwen met betrekking tot een minder schuldige vorm van hacking. Er zouden dan echte sancties kunnen worden bepaald voor de criminele hackers die de intentie hebben vermogensvoordeel op te strijken. De moeilijkheid bestaat erin hacking te definiëren. Het wetsontwerp bepaalt hacking als zijnde « zich toegang verschaffen tot informaticasystemen ». Een artikel van 2 juni in Le Vif-L'express hekelt de vaagheid van de bepaling die hacking definieert als zijnde zich toegang te verschaffen tot een informaticasysteem (une législation floue, floue, floue ...).
Spreker besluit dat het uitgangspunt van de wet, namelijk een gelijke behandeling van off-line en online, en het ultimum remedium in de strafwet, moeilijk terug te vinden is in de vermelde bepalingen, omdat alle personen over dezelfde kam worden geschoren en men al te snel en uitdrukkelijk grijpt naar een aantal straffen. Bij diefstal bijvoorbeeld bestaat er een gradatie als joyriding. Waarom heeft men hier dan niet gesteld dat degene die hackt zonder een schadelijk effect, zonder zich een vermogensvoordeel te verschaffen, kan worden gelijkgesteld met een joyrider ?
Een derde bemerking betreft de opsporing van daders. De minister heeft de nood aan wetgeving aangetoond en uitgelegd dat de wet in ontwerp afdoende zou zijn geweest bij de aanpak van het I love you-virus. Hoe zou dit dan worden aangepakt ? Zou men de personen in de Filippijnen via de netwerkzoeking hebben opgespoord of worden ook de personen die het virus hier verder hebben verspreid beschouwd als potentiële criminelen ? Was het de bedoeling ook de mensen die de virussen hebben geforwarded als potentiële criminelen te beschouwen ? De Raad van State stelde duidelijk dat het eenzijdig vastleggen in een wet van middelen om opsporingsdaden te stellen in het buitenland een inbreuk zou vormen op het thans gekende strafrecht, wat dan onregelmatige bewijsmiddelen zou kunnen opleveren.
Een lid heeft vragen met betrekking tot de adequaatheid van de strafmiddelen die in het voorliggende wetsontwerp worden gehandhaafd. Zij heeft de indruk dat de voorgestelde straffen niet adequaat zijn.
Hoe kan worden gereageerd op racistische websites en persoonlijke racistische uitingen via e-mail ?
Betreffende de bewaringstermijn bepaald in artikel 14 van het ontwerp, verklaart spreekster zich voorstander van het behoud van de termijn van minstens 12 maanden. Aldus kunnen de rechten van het slachtoffer beter worden gewaarborgd. In Groot-Brittannië bedraagt de termijn 18 maanden.
Een ander lid verwijst naar het kritisch advies van de Raad van State bij het oorspronkelijke wetsontwerp. Op welke wijze is men aan die diverse opmerkingen al dan niet tegemoetgekomen ? De opmerkingen hielden voornamelijk verband met de territoriale bevoegdheid van de wetgever en de rechterlijke macht (blz. 44-45), en de toepassing van het gelijkheidsbeginsel (waarom zijn de specifieke vereisten van het gemeenrechtelijk delict niet terug te vinden in het computerdelict ?).
Een commissielid vraagt zich af of specifieke strafbaarstellingen nodig zijn, alleen omdat gebruik wordt gemaakt van informatica. De bestaande strafbaarstellingen (valsheid in geschrifte, enz.) lijken bruikbaar ongeacht het gebruikte instrument. Is er dan nog nood aan andere bepalingen dan die over de verantwoordelijkheid van degenen die het netwerk ter beschikking stellen ? Spreekster geeft het voorbeeld van de kinderporno. Bij de vervolging van misdrijven inzake kinderporno wordt artikel 383bis van het Strafwetboek gebruikt. Dat artikel bestraft het vervaardigen en het bezit van afbeeldingen. Ook strips of samengestelde afbeeldingen met kinderen vallen daaronder. Waarom niet de algemene strafbaarstellingen behouden die toepasbaar zijn ongeacht het middel ?
Een senator meent te hebben vernomen van de internetproviders dat de gerechtelijke politie reeds vandaag geregeld IP-nummers opvraagt, aan de hand van een bevel. Op welke wettelijke basis kunnen zij zich beroepen om deze internetgegevens bedoeld in artikel 14 op te vragen ?
Een lid vindt dat de huidige wetgeving de nodige middelen biedt om misdrijven inzake pedofilie, racisme of fascisme te bestraffen. Het is niet op dat vlak dat een wetgevend optreden nodig is. Het illustreert wel de drang die in Europa bestaat om de inhoud van de sites te controleren. Wetgevend optreden is vooral nodig voor de misdrijven die eigen zijn aan de informaticatechniek (binnenbreken of saboteren van netwerken, enz.).
Een commissielid benadrukt het economisch belang van het internet, dat meer is dan een communicatienetwerk. De gebruikers willen kopen en verkopen via internet. De gegevens moeten dus betrouwbaar zijn opdat mensen in alle veiligheid kunnen kopen. Wereldwijd vragen de economische en financiële operatoren onweerlegbaar om meer beveiliging. Spreekster benadrukt de nood aan meer beveiliging op economisch vlak aangezien het gevoel van onveiligheid de elektronische handel afremt.
Daarom is het wetsontwerp betreffende de elektronische handtekening noodzakelijk.
Een lid vraagt welke garantie men heeft als men via internet het nummer van zijn kredietkaart doorgeeft. Kan de betrokkene dit nummer dan niet aanwenden voor andere doeleinden ?
Een senator vestigt de aandacht op het feit dat de situatie kan verschillen naargelang de firma die de kaart uitgeeft. De ene bank is flexibeler dan de andere. De richtlijn op E-commerce en het wetsontwerp met betrekking tot de elektronische handtekening zouden een oplossing vormen. Dit probleem rijst ook wel reeds in de telefonische wereld (doorgeven van visakaartnummer via de telefoon). E-bank zou een oplossing vormen, waarbij de bank dan als een tussenpersoon de gegevens doorgeeft.
Een lid oppert dat er verschillende redenen zijn waarom men de klant verzoekt het nummer van zijn visakaart door te bellen. Men kan hierdoor nakijken of het niet gaat om een gezochte of gestolen kaart en of de klant voldoende kredietwaardig is. Verder onderstreept het lid dat de leverancier geen poot heeft om op te staan zolang de klant niet heeft getekend om de betaling uit te voeren. De klant heeft zelfs nog mogelijkheid om te betwisten, nadat hij heeft getekend (bijvoorbeeld wanneer hij heeft getekend zonder de munteenheid in te vullen).
De minister antwoordt dat men inderdaad kan reageren op twee manieren op de problemen die rijzen in verband met het computergebruik. De Amerikaanse oplossing is niet gevolgd, aangezien de minister meer belang hecht aan de controle op de inhoud dan aan de bescherming van het netwerk.
Er is aldus een onderscheid tussen de Europese landen, omdat de enen eerder voor het Amerikaanse systeem, en de anderen dan weer voor het Europese systeem hebben geopteerd (voornamelijk de Angelsaksische landen).
De vraag werd gesteld naar de evaluatie van het wetsontwerp. Is het wetsontwerp niet reeds voorbijgestreefd ? De minister antwoordt ontkennend. De werkgroep die werd opgericht naar aanleiding van het I love you-virus, kwam tot de vaststelling dat de wet in ontwerp een passend antwoord had kunnen bieden.
De resultaten van de top van Parijs van de G8 werden inderdaad niet erg verspreid onder het publiek, maar de 4 landen van de Europese Unie die hieraan hebben deelgenomen, zorgden wel voor de nodige repercussie.
Het probleem, dat trouwens in de gehele wereld blijft bestaan, is dat de landen dringend hun mentaliteit moeten herzien inzake nationale soevereiniteit. Anderzijds merkt men wel, tijdens de vergaderingen van de ministers van Justitie en van Binnenlandse Zaken, dat er een aanzienlijke gunstige evolutie plaatsheeft in verschillende Europese landen. Het voorliggende wetsontwerp vertoont immers veel gelijkenis met de bestaande systemen in Frankrijk en Nederland. Uniformisering op het Europees vlak zou absoluut noodzakelijk zijn.
De minister verduidelijkt dat op het vlak van informaticacriminaliteit geen Europese richtlijnen bestaan. Dit verklaart zich wegens het feit dat deze materie behoort tot de derde zuil, waarover nog geen richtlijnen bestaan. Indien er in de toekomst richtlijnen zullen komen, zal een Europese unificatie zeer snel kunnen worden bereikt. Nochtans baseerde het voorliggende wetsontwerp zich wel op de resoluties van de Raad van Europa.
Wat betreft de concordantie van het voorliggend wetsontwerp met de wet met betrekking tot de bescherming van het privé-leven, antwoordt de minister dat de Commissie voor de bescherming van de private levenssfeer werd gehoord in de Kamer. Er werd rekening gehouden met het advies dat daaruit voortvloeide en het initiële ontwerp werd in die zin geamendeerd.
Met betrekking tot de openbare orde en de goede zeden, verduidelijkt de minister dat deze begrippen werden weerhouden om over een zo groot mogelijke soepelheid te beschikken. Wat vandaag van openbare orde is, is dit morgen misschien niet meer. Ook het begrip goede zeden is onderhevig aan een constante evolutie. De rechterlijke macht beschikt aldus over een marge van appreciatie.
De gevangenisstraf kan voor sommigen buiten proportie lijken. Nochtans wordt deze straf in alle Europese landen op dezelfde wijze bepaald. Bovendien bestaan er ook andere mogelijkheden, zoals de geldboeten, het beslag, verbeurdverklaring, enz. Aldus wordt de mogelijkheid geboden op de meest adequate manier te reageren op een toestand die aan constante wijziging onderhevig is.
Met betrekking tot de inhoud van de begrippen « operatoren » en « leveranciers ... » verwijst de minister naar de resoluties van de Raad van Europa. Zo is Belgacom in de eerste plaats operator en is « Skynet » bijvoorbeeld vooral dienstenverstrekker. Het lijkt de minister niet opportuun deze begrippen te definiëren.
De bewaringstermijn van 12 maanden is inderdaad voorwerp van lobbying. De minister is er van overtuigd dat een minimumtermijn dient te worden bepaald. Eventueel kan ook een maximumtermijn worden voorzien. Ook de ons omringende landen bepalen een termijn van ongeveer een jaar.
De minister kan begrijpen dat de bescherming van het privé-leven zou moeten worden verfijnd.
Met betrekking tot het wetsontwerp over de elektronische handtekening, verklaart de minister dat dit, bij wijze van regeringsamendement op een wetsvoorstel van de heer Geert Bourgeois, in de Kamer ter bespreking voorligt (zie wetsvoorstel tot introductie van nieuwe telecommunicatiemiddelen in de gerechtelijke en de buitengerechtelijke procedure (zie Stuk Kamer, nrs. 50-38/1 tot 7). Dit wetsvoorstel geeft de mogelijkheid aan de advocaten gemakkelijker te communiceren binnen een gerechtelijke procedure, bijvoorbeeld door het neerleggen van besluiten per e-mail. Uiteraard kunnen deze handelingen slechts geldigheid bezitten als zij kunnen worden ondertekend door een elektronische handtekening.
De elektronische handtekening kan verschillende vormen aannemen (cijferreeks, scannen van de handtekening, enz.). Het probleem is dat een elektronische handtekening makkelijker kan worden nagemaakt of gekopieerd dan een geschreven handtekening. Het is niet zeker dat een rechter een cijferreeks kan beschouwen als een handtekening in de zin van het huidige Strafwetboek. Daarom moet het systeem van valsheid in informatica (makkelijker te kopiëren) ingevoerd worden.
Het wetsontwerp betreffende de werking van de certificatiedienstverleners met het oog op het gebruik van elektronische handtekeningen bepaalt dat een derde-vertrouwenspersoon de handtekening kan erkennen of het gebruik ervan beëindigen. Hier rijst een probleem ten opzichte van het Europees recht. Vanwege het vrij verrichten van diensten kan men de bevoegdheid om de elektronische handtekeningen te erkennen moeilijk alleen aan bepaalde personen toekennen; dit moet dus in overeenstemming worden gebracht met de Europese regelgeving. Het tweede ontwerp is op dit ogenblik dus minder vergevorderd.
Met betrekking tot de bijzondere regels voor beslag en verbeurdverklaring, verwijst de minister naar volgende aspecten. Een eerste bijzonderheid is dat men de mogelijkheid moet hebben beslag te leggen op informaticagegevens, die niet noodzakelijk de vorm hebben van foto's of andere materiële dragers. Daarom is de wet in ontwerp ook vaag op dit punt. Zij wil immers tegemoetkomen aan alle verdere evolutie.
Een tweede belangrijk aspect is de apparatuur. Een computer kan een middel zijn om een misdrijf te plegen. Deze computer kan bijvoorbeeld deel uitmaken van het netwerk van een onderneming. Het middel dat wordt gebruikt om het misdrijf te plegen kan in beslag worden genomen; de inbeslagneming van een computer die tot een netwerk behoort, kan problemen opleveren voor andere personen die niets met het misdrijf te maken hebben.
Moet men een geheel in beslag kunnen nemen of een welbepaald onderdeel ? Moet men alles in beslag nemen of alleen de toegang afsluiten ? De bijzondere bepalingen zijn dus een antwoord op een technisch gegeven, namelijk het opnemen van de computers in een netwerk.
Een ander probleem is dat de persoon die de computer gebruikt om een misdrijf te plegen, niet noodzakelijk de eigenaar daarvan is. Moet het systeem dan geblokkeerd worden of een onderdeel eruit verwijderd ? Deze specifieke problemen zijn een gevolg van de huidige technologische ontwikkelingen, die een andere aanpak nodig maken van misdrijven en van de daarbijhorende inbeslagneming van de middelen die hebben gediend om het misdrijf te plegen.
De minister kan niet akkoord gaan met de opmerking dat het wetsontwerp afwijkende regels zou bepalen in verband met het geheim van het onderzoek.
De regels moeten worden toegepast. Een zoeking in een netwerk naar aanleiding van een huiszoeking impliceert niet dat de onderzoeker die informatie kan gebruiken. Het beginsel van het geheim van het onderzoek staat vast en daarvan wordt niet afgeweken.
Een lid vroeg naar het advies van de Commissie ter bescherming van de persoonlijke levenssfeer. De commissie werd gehoord in de commissie voor de Justitie van de Kamer.
Het advies van die commissie over het wetsontwerp was niet negatief. Er werd alleen opgemerkt dat met het advies rekening moet worden gehouden bij het opstellen van het uitvoeringsbesluit.
Inderdaad zal een uitvoeringsbesluit noodzakelijk zijn om vast te leggen welke gegevens de operatoren moeten bewaren. Dan zal de Commissie voor de bescherming van de persoonlijke levenssfeer een advies uitbrengen.
Met betrekking tot de problematiek van de vereiste van algemeen opzet of bedrieglijk opzet in verband met de verschillende misdrijven, antwoordt de minister dat hier een parallel werd getrokken met de gewone misdrijven (valsheid in geschrifte, bedrog); in verband met de eerbiediging van het gelijkheidsbeginsel in verband met de valsheid in geschrifte, werd het advies van de Raad van State gevolgd.
Met betrekking tot hacking, kan de minister bevestigen dat dit een volledig nieuw misdrijf is « sui generis ». In artikel 6 werden de verschillende mogelijkheden van hacking in overweging genomen.
Wat de sancties betreft, stelt de minister vast dat deze gelijklopend zijn met de sancties toepasselijk bij de gewone misdrijven. De rechter kan echter beslissen een alternatieve sanctie op te leggen (algemeen of beperkt verbod voor het gebruik van een computer).
De minister merkt op dat hij niet kan instemmen met de inhoud van het in Le vif-L'express verschenen artikel dat het ontwerp van vaagheid verwijt.
Met betrekking tot het I love you-virus merkt de minister op dat dit virus zich zo vlug over de gehele wereld heeft kunnen verspreiden dankzij het feit dat het verspreid werd via Microsoft en aldus 95 % van de internetgebruikers kon bereiken. Indien deze wet reeds zou hebben bestaan, zou dit de slachtoffers hebben toegelaten klacht in te dienen wegens sabotage. Nu werden de slachtoffers ertoe gedwongen zich te beroepen op een burgerlijke procedure, die helaas niets uithaalt, gezien deze schade thans niet wordt gedekt door de verzekeringsmaatschappijen.
De vraag rees naar de mogelijkheid om racistische misdrijven die gepleegd worden via internet aan te pakken. Hierop zijn de bestaande bepalingen van de wet-Moureaux van toepassing. Het misdrijf is immers hetzelfde, ook al wordt het via een nieuw middel, de computer, gepleegd.
Een lid had vragen met betrekking tot het advies van de Raad van State. De opmerkingen met betrekking tot het gelijkheidsbeginsel kregen navolging. Met betrekking tot de territoriale bevoegdheid, is de minister van oordeel dat internationale samenwerking op het vlak van informaticacriminaliteit absoluut noodzakelijk is.
Wat de territoriale bevoegdheid betreft werd het advies van de Raad van State niet gevolgd daar de technische gegevens waarmee de onderzoekers geconfronteerd worden van die aard zijn dat het mogelijk moet zijn de grenzen van een grondgebied te overschrijden en een soepelere houding aan te nemen.
De minister legt vervolgens uit dat de nood aan twee begrippen, namelijk valsheid in informatica en informaticabedrog, gewettigd kan zijn omdat er twee gedragsvormen beoogd worden. In eerste instantie zijn er de misdrijven die gepleegd worden met behulp van een computer en vervolgens zijn er de misdrijven die gepleegd worden tegen een computersysteem. Thans zijn de overtredingen gepleegd tegen een computersysteem in België onvoldoende beschermd. Wat de misdrijven betreft die gepleegd zijn met behulp van een computer, verwijst spreker naar zijn betoog over de elektronische handtekening. Wat het informaticabedrog betreft, wijst de vertegenwoordiger op het bijzonder geval van een persoon die een machine bedriegt. In het Strafwetboek slaat bedrog steeds op een persoon die een andere persoon bedriegt. Het gaat dus om een andere logica. Daarenboven moet in overweging genomen worden dat het strafrecht steeds restrictief geïnterpreteerd wordt.
De minister legt uit dat het gebruik van een kredietkaart op internet inderdaad niet helemaal veilig is.
De minister verwijst naar een tabel die alle op internet aangesloten punten weergeeft wanneer een verzoek wordt verstuurd.
Daarbij kunnen 80 000 computers betrokken zijn. Een boodschap van de Senaat aan de Kamer kan via Parijs, Washington, Tokio, enz. de Kamer bereiken. Er kan dus een groot aantal personen op het net tussenbeide komen. Kenmerkend voor het internet is dat het mogelijk is een gedecentraliseerde structuur te ontwikkelen. Er worden dus tal van plaatsen aangedaan. Het probleem rijst die plaatsen te lokaliseren.
Het is niet de bedoeling van de gerechtelijke autoriteiten strenge verplichtingen op te leggen aan de operatoren.
Geconfronteerd worden met een persoon die het slachtoffer is van een misdrijf (bijvoorbeeld doodsbedreiging per e-mail) behoort tot het soort moeilijkheden waarmee de computer crime units te maken krijgen. Het is moeilijk de persoon die de e-mail verstuurd heeft, op te sporen omdat daarvoor een spoor gevolgd moet worden dat via een groot aantal computers loopt. Op het ogenblik waarop de persoon klacht indient, is het te laat om de gegevens op te sporen (sommige operatoren nemen een bewaringstermijn van 8 dagen in acht).
Op de opmerkingen dat dit voorbeeld niet goed is gekozen en dat hetzelfde probleem rijst bij het uiten van doodsbedreigingen vanuit een telefooncel, antwoordt de minister dat een telefooncel te lokaliseren is. Het staat in ieder geval vast dat de bewaringstermijnen niet lang genoeg zijn. In feite komt dit neer op een nieuwe verjaringstermijn, die wordt vastgesteld door de operatoren; de strafvordering dient te vervallen na een termijn van ongeveer twee maanden, aangezien de gegevens voor bewijs niet meer beschikbaar zijn. De vraag rijst wel of de bewaringstermijn van 12 maanden voldoende is. Moet men maximaal 12 maanden of minimaal 12 maanden vaststellen ?
Hierover kan een debat plaatsvinden. Men moet wel rekening houden met het feit dat de verjaringstermijn in strafzaken in principe vijf jaar bedraagt. Men moet een evenwicht vinden. Het is niet de bedoeling dat de internetproviders de termijnen opleggen en slechts de gegevens bewaren ter eventuele verdediging van hun eigen belangen. De regering zou eventueel een andere termijn hebben kunnen voorstellen. De termijn van 12 maanden werd echter gedragen door een zekere consensus.
Het probleem dat hier rijst, is een probleem van opsporing. Indien de gerechtelijke autoriteiten de afgelegde weg niet binnen een redelijke termijn kunnen volgen en overdoen, kan er niet correct worden opgetreden ten aanzien van een middel dat dient om misdrijven te plegen.
Een lid wenst nadere informatie over het beslag. Hoe kan men beslag leggen op gegevens ? Deze kunnen immers zeer makkelijk worden gekopieerd. Waar zit dan het belang van het beslag ?
De minister antwoordt dat men inderdaad had kunnen stellen dat de huidige bepalingen over inbeslagneming zouden van toepassing zijn in de informaticacontext. Men heeft echter geoordeeld dat de context hier vrij specifiek is en dat er diverse casusgevallen zijn, waarbij het aangewezen is, zo niet noodzakelijk omwille van reden van rechtszekerheid, om een gediversifieerde aanpak te hebben.
In bepaalde gevallen zal het inderdaad volstaan om diskettes in beslag te nemen, of ook de back-ups. Er zijn andere situaties (bijvoorbeeld kinderpornografie) waar dit echter niet volstaat.
Dat er mogelijkheden zijn tot kopie is uiteraard eigen aan de informatietechnologie. Men kan enkel doen wat haalbaar is. Het is perfect mogelijk dat men kopieën heeft van de informatie gestockeerd in zijn computer. Dit probleem is onoplosbaar. Het wetsontwerp poogt enkel het haalbare te realiseren.
Een lid heeft de indruk dat iedereen akkoord gaat met het feit dat een termijn wordt opgelegd aan de providers. Spreekster verwijst naar het verslag van de Kamer over de hoorzitting met de politiediensten (Stuk Kamer, nr. 50-213/4, blz. 42 en volgende). Op de chatlines is de activiteit op sommige momenten zodanig groot dat door het verderzetten van de gesprekken de gegevens die er voordien reeds opstonden worden vernietigd; is het dan technisch mogelijk de gegevens te bewaren ?
Indien men de termijn lang gaat houden in vergelijking met de omliggende landen (welke termijnen in welke landen) bestaat dan niet het risico dat de internetproviders hun gegevens elders gaan bewaren ?
In de Kamer werd het voorbeeld aangehaald van « America On Line » die zijn gegevens in de VS bewaart. Dan zal men noodzakelijkerwijze een beroep moeten doen op internationale rechtshulp. Kan men niet beter besluiten tot het opleggen van een minder lange termijn ?
Een lid merkt op dat de elektronische betalingen (bijvoorbeeld per kredietkaart aan benzinepompen) bewaard worden gedurende enige tijd. Welk is deze termijn van bewaring door de financiële instellingen ? Hoelang kan een gerechtelijk onderzoek teruggaan ?
Tevens is spreekster van oordeel dat de persoon die een criminele daad wil stellen, andere middelen zal aanwenden indien er een wet bestaat. De eerlijke burger kan men werkelijk op de voet volgen via de elektronische middelen (zie ook SIS-kaart). De criminelen zullen alle middelen die hen kunnen verraden vermijden.
Een senator is van oordeel dat de problematiek van de bewaringstermijn een discussie verdient. Het is belangrijk de internetproviders te horen, aangezien zij ook vandaag reeds gegevens bijhouden. Deze termijn varieert. Het zou interessant zijn te weten hoe zij dit doen en welke gegevens zij precies bijhouden. Spreker onderstreept dat de problematiek van de kostprijs determinerend is bij hun bezwaar tegen een te lange bewaringstermijn. De gerechtelijke politie kan vandaag reeds nummers opvragen bij Belgacom (telefoontap). Welke is de bewaringstermijn voor Belgacom ? Belgacom factureert de Belgische overheid op het ogenblik dat zij een vraag krijgt om gegevens door te spelen (artikel 109ter van de Telecomwet). Indien de providers het personeel dat de gegevens ter beschikking stelt mogen factureren, alsook de termijn, zal het debat vlotter verlopen.
In verband met de bewaringsplicht, en het feit dat providers zich elders zullen vestigen, verwijst spreker naar de bepaling die voorziet dat de bewaringsplicht moet uitgevoerd worden binnen de grenzen van het Rijk. De vraag rijst of dit conform de Europese wetgeving is (vrijheid van kapitaal, vrij verkeer van goederen). Kan men een bedrijf verplichten telkens de gegevens ter plaatse te houden ?
Een laatste punt betreft de opmerking van de minister dat een te korte bewaringstermijn aan de internetprovider de kans zou verschaffen een nieuwe verjaringstermijn in te voeren. Als men consequent wil zijn, betekent dit dat men dan de bewaringstermijn zou moeten brengen op vijf jaar. Dit is echter niet de Europese tendens. Een gesprek met de providers over de kostprijs zou een antwoord kunnen verschaffen op de gestelde vragen.
Een lid is van oordeel dat het interessant zou zijn te weten welke bewaringstermijn wordt vooropgesteld door de National Computer Crime Unit.
De minister antwoordt dat zij konden akkoord gaan met een termijn van een jaar. Zij werden echter niet over de specifieke problematiek van de bewaringstermijn gehoord.
Wat betreft de bewaringstermijn van gegevens van elektronische betaling, kan de vertegenwoordiger van de minister geen antwoord geven, ook niet wat Belgacom betreft.
Een lid vestigt de aandacht op het feit dat informaticacriminaliteit een misdrijf betreft dat meestal over de grenzen wordt gepleegd. Hoe wordt bepaald welke materiële strafwet van toepassing is (zie IPR) ?
Een ander lid vraagt welke regelen van toepassing zijn op een 14-jarige die muziek kopieert voor zichzelf of om commerciële doeleinden. Is de betreffende wet van toepassing ?
Welke sanctie kan men toepassen op een Iranese website die meldt hoe men bommen moet maken ?
De minister antwoordt dat IPR niet toepasselijk is op de informaticacriminaliteit, die in het domein van het strafrecht valt. Eventueel kan een Europees privaatrecht worden uitgedacht in verband met de digitale handtekening (zie richtlijn).
MP3 is software die het mogelijk maakt audiovisuele dragers op internet te beluisteren. Men kan die dragers beluisteren en de informatie registreren voor privé-doeleinden. Er is sprake van een misdrijf zodra dit voor handelsdoeleinden gebeurt omdat er geen auteursrechten betaald worden. Er is een misdrijf indien bepaalde sites illegaal gekopieerde werken met behulp van MP3 in de handel brengen.
De wet van 1994 op de auteursrechten is van toepassing. Het gaat hier om een andere context, die beschermd wordt door de wet op de auteursrechten.
Wat betreft bomaanslagen, verwijst de minister naar de toestand inzake kinderpornografie. Men kan zeggen dat de strafrechtelijke bepalingen terzake in dezelfde mate toepasselijk zijn op dergelijk gedrag op het internet; een bepaald gedrag dat in de papieren wereld strafbaar is, is in dezelfde mate strafbaar als het op internet gebeurt. Een maximaal parallellisme wordt gehandhaafd. Het IPR is niet ter zake. Als het gaat om een website in het buitenland moet men rekening houden met de cultuurgeladenheid van de misdrijven (zie racisme : in de VS : vrijheid van meningsuiting, bij ons verboden). Daar rijst inderdaad de vraag naar het territoriaal aanknopingspunt. Het is een feitenkwestie op welk moment dit aanwezig is. IPR-oplossingen zijn op korte termijn niet realistisch. Men poogt wel te komen tot (Raad van Europa) harmonisering voornamelijk op het vlak van de misdrijven (zie voornamelijk hacking). Aan de harmonisering op het vlak van de misdrijven wordt verbeterde internationale samenwerking gekoppeld in de zin van versnelde rogatoire commissies, nieuwe opsporingstechnieken, enz. (hard core cyber crime offences).
Met betrekking tot de juridische grondslag over het opvragen van gegevens is het van belang twee zaken te onderscheiden.
Enerzijds heeft men de specifieke opsporingstechnieken, onderzoeksmaatregelen die thans voorzien zijn in het Wetboek van strafvordering (artikel 46bis en 88bis van het Wetboek van strafvordering, met name het opvragen van telecommunicatiegegevens; abonneegegevens, enz.). Die wetgeving is recent (in 1998) aangepast om de terminologie in de bepalingen die zeer sterk was toegespitst op de traditionele telefoon technologieneutraal te maken. Men spreekt over telecommunicatie. De opsporingsmaatregelen bestaan dus nu reeds en kunnen nu worden toegepast.
Het probleem waarmee men wordt geconfronteerd en waarvoor de specifieke bewaringsplicht op de proppen komt, is het geval waar de magistraten een provider bevragen en de providers de gegevens niet meer bezitten. Men kan stellen dat de regels met betrekking tot de bewaringstermijn worden ingevoegd om de effectiviteit van bepaalde thans in het Wetboek van strafvordering voorziene onderzoeks- en opsporingsmaatregelen te garanderen.
Een lid verwijst naar drugshandel, die internationaal wordt geregeld, ook al bevindt dit zich in de private sfeer. Het lijkt spreekster goed een territoriaal aanknopingspunt in de teksten in te schrijven. Dit komt de rechtszekerheid ten goede.
Een senator verwijst naar het uitgangspunt « on-line = off-line-behandeling ». Enerzijds wordt de vergelijking gemaakt met diefstal en valsheid in geschrifte, anderzijds wordt hacking als een nieuw misdrijf bestempeld. Men vergelijkt enkel als het goed uitkomt; de vergelijking zou steeds moet worden getrokken, zeker wat betreft de constitutieve bestanddelen. Diefstal heeft bedrieglijk opzet als constitutief bestanddeel. Valsheid in geschrifte heeft bijzonder opzet als constitutief bestanddeel. Wat de valsheid in informatica en de hacking betreft volstaat plots het algemeen opzet. De Raad van State heeft telkenmale gewezen op de eventuele schending van het gelijkheidsbeginsel; daarbovenop komt dat men afwijkt van het uitgangspunt. Het blijft volkomen onduidelijk waarom men de constitutieve elementen van diefstal, respectievelijk bijzonder opzet, niet hanteert in het definiëren van het misdrijf van hacking, respectievelijk in informaticahacking. Er is een gebrek aan consistentie.
De minister antwoordt dat er een groot verschil bestaat tussen diefstal en hacking. De elementen zijn verschillend. Er is geen vergelijking mogelijk.
Hacking komt neer op binnendringen in een systeem. Het gaat niet noodzakelijk om diefstal van de gegevens; men kan in een systeem binnendringen en daar blijven zonder verdere ongeoorloofde handelingen. Hacking is eerder te vergelijken met het kraken van een netwerk.
Een lid vraagt zich af of het hier niet een probleem van mentaliteit betreft. De rechters durven vaak niet tot het uiterste gaan en de bestaande bepalingen toepassen op de informaticawereld.
De minister verduidelijkt dat het wetsontwerp is uitgegaan van drie categorieën van delicten :
Ten eerste zijn er de delicten van racisme, xenofobie, pornografie, enz. waarbij men stelt dat de delicten dezelfde zijn, maar enkel het medium verschilt. Men raakt niet aan de bestraffing ervan. De bepalingen terzake zijn technologieneutraal geformuleerd en zijn duidelijk toepasselijk.
Verder zijn er de valsheid in geschrifte en oplichting. Daar is het duidelijk dat twijfel bestaat zowel in jurisprudentie als doctrine. In zulk geval wordt de knoop doorgehakt in het voordeel van de rechtszekerheid. Om duidelijk te stellen dat het bijzonder opzet van artikel 193 eveneens toepasselijk is, is de tekst over de valsheid in geschrifte geamendeerd ten opzichte van het oorspronkelijke ontwerp.
De bestaande constitutieve elementen voor de valsheid in geschrifte, met inbegrip van het bedrieglijk opzet en het potentiële nadeel, zijn derhalve ook geïntegreerd (zie artikelen 2 en 3). De huidige tekst is in termen van constitutieve elementen volledig gealigneerd met de bestaande bepalingen over schriftvervalsing. Voor informaticabedrog rijst de vraag of men al dan niet een machine kan bedriegen.
De derde categorie betreft de misdrijven tegen de vertrouwelijkheid, beschikbaarheid van informaticasystemen en gegevens. Hiervoor werd de internationale consensus nagevolgd. Er is ergens een parallel te trekken met de bestaande bepalingen (zie in Nederland spreekt men in analogie met de huisvredebreuk over computervredebreuk), maar anderzijds kan men stellen dat hacking duidelijk geen diefstal is. Er kan trouwens hacking zijn zonder dat er iets wordt weggenomen. Bij hacking en sabotage werd de keuze gemaakt te stellen dat het om nieuwe zich ontwikkelende rechtsbelangen gaat die een sui generis bescherming noodzakelijk maken. Men zou hier de realiteit geweld aandoen door deze te assimileren met traditionele misdrijven.
Een lid vraagt of deze redenering de consensus wegdraagt van de Raad van Europa. Als er geen enkele consensus bestaat op internationaal vlak, heeft dit weinig nut.
De minister verwijst naar de aanbeveling van 1989 van de Raad van Europa die het materiële strafrecht betreft. Deze aanbeveling is thans gedeeltelijk voorbijgestreefd. Zelfs de aanbeveling die als basis diende voor het strafprocesrecht is reeds ten dele voorbijgestreefd. Sinds 1997 is er een comité van experten werkzaam in de schoot van de Raad van Europa om een ontwerp van overeenkomst op te stellen inzake informaticacriminaliteit. Aldus probeert men tot een consensus te komen en tot harmonisering van de misdrijven.
Indien de discussie van hacking autonoom wordt gevoerd, vraagt een senator zich af of bepaalde vormen van hacking niet strafwaardig kunnen zijn. Bepaalde vormen van hacking zijn niet kwaadaardig en behoeven geen bestraffing.
Wat betreft de discussie valsheid in geschrifte, verwees de minister naar de overeenstemming en de gelijklopendheid van de constitutieve elementen door het amendement van de heer Erdman. Volgens spreker is dit onjuist (artikel 193 spreekt over het bedrieglijk opzet, terwijl artikel 210bis het bedrieglijk opzet niet expliciet vermeldt); er is geen uniformiteit tussen deze artikelen.
De minister verwijst naar de ingewikkelde structuur van het hoofdstuk over de valsheid in geschrifte. De constitutieve elementen als bepaald in artikel 193 komen terug voor de verschillende varianten, voorzien in afdeling 1, 2, 2bis, en afdeling 3, dus ook voor artikel 210bis. Er is dus een wijziging ten opzichte van het oorspronkelijk ontwerp.
Een senator besluit dat enkel voor de hacking het algemeen opzet volstaat (artikel 6). Waarom volstaat het algemeen opzet hier en is er niet de vereiste van bedrieglijk opzet ?
De minister antwoordt dat hacking eigenlijk wordt beschouwd als een soort voorbereidend delict dat in verschillende gradaties kan voorkomen. Ook de strafmaat in artikel 550bis, § 1, is veel lager dan de strafmaat voor valsheid in informatica of bedrog. Naarmate de situatie van hacking zwaarder is, heeft men zwaardere maximumstraffen. Er wordt een differentiatie gemaakt tussen verschillende categorieën van hackers naargelang de ernst van het misbruik.
Verscheidene leden zijn van oordeel dat het voorgestelde artikel 550bis, § 3, niet helemaal duidelijk is.
Een senator verwijst naar artikel 550bis, § 3, 2º », welk een verzwarende omstandigheid uitmaakt. Bestaat er mogelijkheid te hacken zonder gebruik te maken van een computersysteem ?
Een lid wijst op het probleem dat veel jongeren uitzoeken waar de grenzen zijn; men neemt automatisch kennis van de gegevens waardoor men automatisch in de verzwarende omstandigheid zit.
Een senator heeft de indruk dat men door al te strikte wetgeving elke vorm van nieuwsgierigheid op het internet zonder schadelijke bedoelingen bestraft.
De minister antwoordt dat de bepaling moet worden gelezen in de logica van het artikel. Paragraaf 3 bepaalt de situatie waarbij men binnendringt als niet-gerechtigde in een systeem en er is een daaropvolgend gebruik van het systeem.
Een lid is van oordeel dat kan worden gerekend op de wijsheid van de rechters.
Aangezien verscheidene vragen rijzen, voornamelijk over de bewaring van de gegevens, besluit de commissie een hoorzitting te organiseren met ISPA (Internet Service Providers Association) en vertegenwoordigers van de NCCU (National Computer Crime Unit).
De heer Olivier van Cutsem (ISPA Belgium) legt uit dat ISPA een vereniging is van internetproviders in België. Zij biedt ook onderdak aan bedrijven die zich bezighouden met webdesign, dat wil zeggen het ontwerpen van internetsites, alsmede aan bedrijven die gespecialiseerd zijn in internetconsultance. Het is een vereniging die openstaat voor al wie in België actief is in de internetwereld.
ISPA vertegenwoordigt meer dan 90 % van de markt van internetproviders in België en is dus werkelijk representatief. Een van de taken van ISPA is ook het gebruik van het internet en de ontwikkeling van de informatiemaatschappij bevorderen.
Zonder de netwerken en de Belgische netwerkoperatoren, ongeacht of dat nu Belgacom, BT, Worldcom of andere zijn, is er geen internet. Spreker merkt op dat de netwerkoperatoren het grotendeels eens zijn met wat in het kader van zijn uiteenzetting is gezegd.
Ten tijde van de Dutroux-zaak in augustus 1996 hebben de vakmensen beseft dat er nood was aan een deontologische code en aan samenwerking met de gerechtelijke autoriteiten. ISPA heeft die deontologische code opgesteld in samenwerking met het BIPT en met het ministerie van Justitie. Elk lid van ISPA moet die code onderschrijven. Er is dus een vorm van zelfregulering. In 1999 werd een samenwerkingsprotocol gesloten met de minister van Justitie en de minister van Telecommunicatie. Dat protocol wil de ongeoorloofde handelingen op internet bestrijden en vooral de misdrijven.
Spreker verklaart dat de kosten voor de internetproviders en de dienstverleners op het gebied van de gegevensbewaring in de toekomst zullen toenemen. Men moet er dus voor zorgen dat aan die dienstverleners geen bijkomende verplichtingen worden opgelegd; het rampzalig gevolg daarvan zou immers zijn dat zij verplicht worden tot te grote en te zware investeringen waardoor hun activiteit in gevaar komt.
Hoe meer hinderpalen bedrijven moeten overwinnen om hun commerciële activiteiten op het internet te ontwikkelen, hoe minder bedrijven op het internet aanwezig zullen willen zijn. Het is de bedoeling constructief samen te werken om het aantal hinderpalen te beperken en er vooral geen nieuwe bij te maken. Het risico is duidelijk, namelijk een verschuiving van de economische activiteit.
ISPA heeft met de gerechtelijke autoriteiten een coreguleringssysteem ingevoerd, een soort samenwerkingsmodel. Die samenwerking bestaat nu al en de leden van de National Computer Crime Unit zullen dit niet loochenen.
ISPA en de internetproviders in het algemeen werken in België reeds met de gerechtelijke autoriteiten samen en ook met de overheid teneinde het internet te promoten maar dan wel een veilig en schoon internet, waar ongeoorloofd gedrag geweerd wordt.
Dit aspect van de zaak moet nader onderzocht worden en men moet zich buigen over het wetsontwerp inzake informaticacriminaliteit, dat in zijn huidige versie enkele vragen en problemen kan doen rijzen.
De heer Geert Glas (ISPA) stipt aan kort aandacht te willen besteden vanuit juridisch en economisch oogpunt aan volgende zes punten : de omschrijving van het woord « oproepgegevens », de kost van de registratie, de duur van de bewaringsplicht, aan wie moeten inlichtingen verschaft worden, de kost van de verschaffing van inlichtingen en de territoriale bewaringsplicht.
Omschrijving van het begrip « oproepgegevens »
Nu reeds worden het internet adres (IP), begin van de verbinding (log-in) en einde van de verbinding (log-out) steeds tijdelijk bijgehouden. De ISP's geven hun constructieve bereidheid te kennen tot het verderzetten van deze praktijk.
Het wordt moeilijker wanneer men onder oproepgegevens ook gaat verstaan : de gebruikersnaam (user name) en caller line identification (CLI). Deze worden soms tijdelijk bijgehouden maar dit is niet altijd technisch mogelijk.
Indien « oproepgegevens » meer omvat dan IP, log-in en log-out, rijzen er ernstige technische en privacy-problemen.
Kost registratie oproepgegevens
Deze kost wordt aanzienlijk in een exponentieel groeiende markt (+ 90 % over vier maanden in laatste marktstudie).
Deze kost zal doorgerekend worden aan de gebruiker.
Al te uitgebreide registratie- en bewaringsverplichting vormt een rem op de ontwikkeling van de informatiemaatschappij.
Duur bewaringsplicht
Het ontwerp bepaalt een bewaringstermijn van « minimum twaalf maanden ».
De duur van de bewaringsplicht doet de kost exponentieel stijgen.
België omringende landen hanteren een termijn van drie maanden.
ISPA stelt voor de bewaringstermijn te beperken tot maximum zes maanden.
Aan wie moeten de ISP's inlichtingen verschaffen ?
Wisselwerking transparantie, specialisatie en efficiëntie.
Bestaande relatie tussen ISP's en National Computer Crime Unit (NCCU).
ISPA stelt voor de verzoeken via NCCU te centraliseren en te formuleren.
Kost verschaffen inlichtingen
Daadwerkelijke meerkost gezien vereiste menselijke inzet (24/24 uur), software en hardware.
De kost staat in verhouding met snelheid, omvang van het proces, ...
De specifieke kost van het verschaffen van inlichtingen dient gedragen te worden door de verzoekende instantie en niet afgewenteld te worden op alle internet gebruikers (analogie met verzoeken aan Belgacom om inlichtingen omtrent gesprekken).
Territorialiteit bewaringsplicht
Het ontwerp bepaalt dat de « bewaringsplicht moet worden uitgevoerd binnen de grenzen van het Rijk ».
Dit staat haaks op economische realiteit en op efficiëntieverzuchting.
Dit is mededelingsrechtelijk aanvechtbaar.
Thans bestaat een constructieve samenwerking tussen ISP's en overheid zonder territoriale bewaringsplicht.
Een lid wenst in te gaan op het feit dat het volgens de voorgaande sprekers technisch zeer moeilijk is om meer dan het IP-gegeven te bewaren. Is dat zo ? Spreekster maakt de vergelijking met een telefoonfactuur waarbij de in-bel en de out-bel geregistreerd staan. Waar zit de moeilijkheid ?
De heer van Cutsem antwoordt dat een log-in op de telefoonrekening de vorming van het telefoonummer is alsmede het begin- en einduur van het telefoongesprek. Een andere operator kan aldus bepalen hoe lang het gesprek geduurd heeft. De inhoud van het gesprek is niet gekend. Hetzelfde geldt voor internet. Thans kan men te weten komen welke gebruikers op welk ogenblik met elkaar in verbinding treden en op welk ogenblik zij die verbinding verbreken. In plaats van een telefoonnummer wordt een IP-adres bewaard.
Een lid stelt twee vragen in verband met het IP-adres. De log-in en de log-uit worden tijdelijk bijgehouden. Kan dit meer concreet worden omschreven ? Wat is tijdelijk ? Verschilt dit van provider tot provider of is er een standaardisatie aan de gang ? Wat de duur van de bewaringsplicht betreft stellen de sprekers dat die in de België omringende landen drie maanden is. Welke landen zijn dat ? Zijn er ook landen die een andere termijn hanteren ? Bestaan daar gegevens over ?
De heer Glas antwoordt dat de omringende landen waar de termijn drie maanden bedraagt, Nederland, Frankrijk en Duitsland zijn. De praktijk die thans in België wordt gebruikt is afhankelijk van ISP tot ISP. Sommigen hebben terzake een praktijk van een bewaringstermijn van slechts één à twee maanden en anderen hanteren een langere termijn. Het is fair te zeggen dat de in het voorliggende ontwerp voorgestelde minimumtermijn van 12 maanden, voor de meeste ISP's een verlenging is van de termijn die zij heden hanteren.
Een lid stipt aan dat ISPA stelt dat een al te uitgebreide registratie- en bewaringsverplichting een rem zou zijn op de ontwikkeling van de informatiemaatschappij en dat de kost zou moeten worden doorgerekend aan de gebruiker. Weegt dit op tegen de grote groei van criminaliteit op het net ? Is dit evenredig ? Is het goed enkel de baten van de groei te zien ? Moet men op termijn niet eerder proberen om de criminaliteit op dat gebied wat in te perken en misschien die groei desnoods wat te vertragen ? Spreker vreest dat de criminaliteit misschien wel even vlug zoniet nog vlugger zou kunnen groeien dan de informatiemaatschappij.
Een tweede vraag betreft de « territorialiteit » van de bewaringsplicht. NCCU stelt dat de bewaringsplicht moet worden uitgevoerd binnen de grenzen van het Rijk. Wil dit zeggen dat men op al hetgeen bij buitenlandse providers zit geen vat meer heeft ? Nochtans kan een systeem in Iran bijvoorbeeld perfect de basis zijn van mensen die zich willen bezighouden met malafide praktijken.
De heer Verbeeren (National Computer Crime Unit) verwijst, wat betreft de bewaring binnen de grenzen van het Rijk, naar het voorbeeld van Compuserve. Deze Belgische operator bewaart zijn logins in Nederland. Wanneer men een gegeven, een inlichting, nodig heeft, heeft men een internationaal rechtshulpverzoek nodig. Dit vertraagt zeker de procedure. Dergelijke zaken leiden tot moeilijkheden als die logins niet binnen de grenzen van het Rijk worden bewaard.
De heer Luc Beirens (rijkswacht-BOGO) voegt hieraan toe dat de wet niet enkel slaat op ISP's die aangesloten zijn bij ISPA, maar op alle ISP's. Criminele organisaties kunnen zelf ISP worden. Zij zullen niet aansluiten bij ISPA maar het zijn juist die ISP's die in het kader van de bestrijding van de georganiseerde criminaliteit moeten aangepakt worden.
Bepaalde firma's trachten te ontglippen aan allerlei wettelijke bepalingen door zich op « save heavens » te gaan vestigen dat zijn kleine eilandjes in de Stille Oceaan waar weinig wetgeving bestaat. Daardoor wordt de bestrijding van de criminaliteit sterk bemoeilijkt. Als men uiteraard als enig land een wetgeving gaat instellen loopt men het risico dat criminelen naar de nabije landen uitwijken. Er moet een regelgeving uitgewerkt worden in Europees verband.
De heer Glas antwoordt dat de ISP's er natuurlijk het minst mee gebaat zijn dat er zich op en rond het internet criminele feiten zouden voordoen. Iedereen staat aan dezelfde kant. Trouwens, als ISP is men een leverancier van diensten met een toegevoegde waarde die geregistreerd moet zijn bij het BIPT. Het probleem van de territorialiteit van de bewaringsplicht heeft enkel te maken met de plaats waar de server zich fysisch bevindt en heeft niets te maken met het feit dat de ISP's geen enkel probleem hebben om in ieder land dus ook in België iemand te hebben die het contactpunt, het aanspreekpunt is voor de overheid. Het valt te begrijpen dat de overheid zich niet naar het buitenland dient te verplaatsen om daar informatie te krijgen. Iedere ISP in België zal uiteraard in België een aanspreekpunt hebben waar de instelling de informatie neerlegt. De enige vraag is of dat ook betekent dat de gegevens zich fysisch op het Belgisch grondgebied moeten bevinden. De vrees bestaat dat bepaalde kleinere ISP's voor wie het economisch efficiënter zou zijn om de gegevens van Nederland, Luxemburg en Frankrijk te bundelen in één server die in Luxemburg staat, het economisch moeilijker zullen krijgen omdat ze door deze wetgeving verplicht zullen worden om in België een aparte server te hebben voor de Belgische data. Het lijkt perfect haalbaar te stellen dat de ISP in België iemand dient te hebben bij wie alle vragen worden neergelegd, maar die persoon moet de vrijheid hebben om dan de informatie de facto te gaan ophalen on-line, waarschijnlijk in de server die dan in Frankrijk, Nederland of Luxemburg staat.
De minister merkt op dat, wat de bewaartermijn van de gegevens betreft, ISPA gewaarschuwd heeft voor te zware verplichtingen die te grote investeringen impliceren, waardoor de activiteit van dienstverlener een riskante onderneming wordt, wat de betrokkenen er misschien toe aanzet die activiteit te verplaatsen. Om economische redenen vragen zij ook dat ze niet verplicht zouden worden die gegevens op het grondgebied van het Rijk te bewaren.
De minister heeft de indruk dat de ISP's nu al om economische redenen hun activiteit dreigen te verplaatsen, zelfs zonder dat er een wet is en zonder dat al te zware lasten worden opgelegd.
De regering en de minister van Justitie zijn geenszins voornemens te strenge voorwaarden te stellen omdat zij daarvan op een of andere manier toch de gevolgen zullen dragen.
De heer Verbeeren preciseert dat het National Computer Crime Unit (NCCU) een voortzetting is van de Computer Crime Unit. In 1992 besliste de gerechtelijke politie met goedkeuring van de minister van Justitie om per hof van beroep een computer crime unit op te richten met twee doelstellingen. Ten eerste, efficiënt optreden tegen de computercriminaliteit en ten tweede het verlenen van een assistentie tijdens of bij onderzoekingen in geautomatiseerde omgevingen. Vanaf 1992 werd met de voorhanden zijnde middelen in het Strafwetboek getracht de computercriminaliteit op de meest efficiënte manier te bestrijden. Tijdens huiszoekingen waar computers en informaticasystemen aangetroffen worden, verlenen collega's van de CCU's hun bijstand voor het opsporen en vastleggen van gegevens nuttig voor het onderzoek.
In 1997 werd in voortzetting van die regionale computer crime units, de National Computer Crime Unit opgericht. Naast een reeks taken van opleiding en budgetbeheer heeft de NCCU één belangrijke missie, namelijk de exploitatie van een gerechtelijk meldpunt. Dit werd in december 1996 door de minister van Justitie opgericht, met het oog op het opsporen van kinderpornografie op het internet.
In overleg met Justitie, Telecommunicatie, ISPA en NCUU werd een samenwerkingsprotocol ondertekend waarbij het meldpunt kinderpornografie werd omgedoopt in een centraal gerechtelijk meldpunt bevoegd voor alle illegale en schadelijke informatie op het internet. In dat protocol zijn een aantal procedures voorzien waaraan de Internet Providers zich moeten houden. Dat loopt goed. Men wordt nog altijd geconfronteerd met veel kinderpornografie maar hoe meer het internet zich ontwikkelt, hoe groter de waaier van verschillende misdrijven op het internet : auteursrechten, racisme, hacking, oneerlijke handelspraktijken. Alle incriminaties die men kan terugvinden in het Strafwetboek of de bijzondere wetgeving vindt men ook terug op het internet. Er is een zeer goede samenwerking met ISPA en haar leden en wanneer er inlichtingen nodig zijn bij de Internetproviders dan verkrijgt het NCCU die ook op een vlotte manier. Er komen veel klachten over hacking, dit wil zeggen het binnendringen in de computers. Deze klachten worden eerder behandeld door de regionale CCU's. Dit is de reden waarom spreker aan een van zijn collega's, de heer Olivier Bogaert, gevraagd heeft om hier aanwezig te zijn.
Wat de personeelsbezetting betreft, werkt de NCCU in theorie met acht personen (een persoon is tijdelijk afwezig). Er zijn vijf gerechtelijke en twee burgerlijke personeelsleden, waarvan een jurist en een informaticus. De uiteindelijke missie in verband met het exploiteren 24 op 24 uur van het gerechtelijk meldpunt vergt drie personeelsleden.
De heer Luc Beirens staat aan het hoofd van het BOGO-team, Bijstand en Opsporingen in Geautomatiseerde Omgevingen (Assistance et Recherche dans les Environnements Automatisés (AREA). Dit team bestaat uit zes personen en is ondergebracht in het Centraal Bureau voor opsporingen. Het bestaat sinds 1995 en heeft hoofdzakelijk dezelfde taken als de Computer Crime Units. Sinds de specialisatierichtlijn tussen de politiediensten, is de computercriminaliteit toegekend aan de gerechtelijke politie. BOGO komt enkel tussenbeide in de specifieke computercriminaliteit, als zij door de parketmagistraat of door de onderzoeksrechter gevorderd worden. Is dat nog niet het geval dan trachten zij de vraag of de melding in verband met de computercriminaliteit door te spelen naar de bevoegde regionale of naar de nationale computer crime unit. Hoofdzakelijk doen zij tussenkomsten voor onderzoekingen in computeromgevingen wat betreft de traditionele criminaliteit. Dit strekt zich uit in alle domeinen, namelijk identificatie van mensen die berichten in verband met drugshandel verzonden hebben, verdwijningen, oplichtingen, kinderpornografie, enz. BOGO is een nationale eenheid die altijd bijstand verleent aan lokale BOB of een brigade.
Een commissielid vraagt zich af of een eventuele wetgeving zin heeft als andere landen, en dan vooral de Europese landen, niet op dezelfde manier tewerk gaan. Men heeft gesproken over verplaatsing van activiteiten, maar het is evident dat de informaticacriminaliteit geen grenzen kent. Spreekster vraagt zich af of dit tegemoetkomt aan de werkelijke noden, met name wat de strijd tegen de criminaliteit betreft. Afgezien van de specifieke strafbaarstellingen, is informatica maar een middel dat net als de telefoon en andere middelen wordt gebruikt voor het verzenden van informatie. Alle strafbaarstellingen uit het Strafwetboek kunnen uiteraard als zodanig worden toegepast.
Bovendien gaat men heel gedetailleerd in op een aantal strafbaarstellingen die niet zozeer de vervolging van informaticacriminaliteit bevorderen, als wel binnendringen in het privé-leven. Spreekster verwijst naar een zeer specifiek voorbeeld inzake het gebruik van gegevensbestanden, met name de leerlingenbestanden in de Franse Gemeenschap. Daarom moet worden gestreefd naar een evenwicht tussen de legitieme wens om de informaticacriminaliteit te vervolgen enerzijds en het privé-leven te beschermen anderzijds. In welk opzicht kan de informaticacriminaliteit hierdoor beter worden opgespoord ?
Spreekster geeft het voorbeeld van de kinderporno, waarin de « National Computer Crime Unit » is gespecialiseerd. De NCCU controleert het net en tracht de personen op te sporen die dit type van misdrijf plegen op het net (zoals dat ook kan gebeuren via gespecialiseerde tijdschriften en andere). Meestal opereren deze personen niet vanuit België. Hoe zal men deze vorm van informaticacriminaliteit opsporen ? Zal het wetsontwerp dit probleem oplossen ?
De heer Verbeeren antwoordt dat kinderpornografie een incriminatie is die eigenlijk media-onafhankelijk is. Dat is een voorbeeld van een artikel van het Strafwetboek dat eigenlijk toepasbaar is op gelijk welk medium. Een aantal informaticamisdrijven vallen niet onder de voorziene incriminaties, bijvoorbeeld diefstal van gegevens. Het Strafwetboek veronderstelt iets tastbaars dat men wegneemt. Daarom is er nood aan een specifieke incriminatie in verband met diefstal van computerdata.
Maar het is niet omdat het internet snel evolueert dat men zich bij de situatie moet neerleggen. In andere criminaliteitsdomeinen bestaan ook internationale problemen en toch is er een strafrechterlijk beleid in verband met drugs en georganiseerde criminaliteit. Er zullen altijd paradijzen bestaan waar men zich min of meer kan verstoppen. Dat is de realiteit waarmee men rekening moet houden, maar men moet er zich daarom niet bij neerleggen.
De heer Coenraets (jurist binnen de NCCU) wenst nog even terug te komen op de discussie in verband met de bewaartermijn. De verschillende landen die België omringen herzien hun wetgeving op het gebied van de computercriminaliteit. Het is inderdaad zo dat de meeste landen een bewaartermijn van drie maanden voorop stellen. Nochtans is er een tendens tot herziening naar een termijn van een jaar toe. Dat is zowel voor Duitsland, Nederland, Denemarken als Zweden het geval en dit werd telefonisch bevestigd door de verschillende computerteams uit die landen. Spreker is van mening dat het vooral nuttig is om de wetgevende initiatieven in die landen eens van nabij te bekijken. Binnen de Raad van Europa is men ook bezig met een regelgeving te ontwikkelen om een harmonisatie te creëren tussen de verschillende landen. In één van die artikelen stelt men ook dat elke lidstaat verplicht is om te voorzien in een bewaring van de communicatiedata en een onmiddellijke overzending van de data op het eerste verzoek van de politiediensten. Er wordt niets vermeld over wie de kosten moet dragen. Het lijkt evident dat de bedrijven zelf deze kost moeten dragen.
De heer Olivier Bogaert (CCU van Brussel) wijst op een paradox in de verklaringen van de ISP. Zij beweren dat het bewaren van gegevens veel geld kost, maar houden er geen rekening mee dat de ondersteuningsprogramma's daarvoor een technologische ontwikkeling hebben ondergaan. Om de zes maanden ongeveer verdubbelt het aantal gegevens dat een bewaringsprogramma tegen dezelfde prijs aankan. Spreker wijst er eveneens op dat de operatoren de gratis toegang tot het internet bevorderen maar tegelijk klagen over de prijs van de bewaring van de gegevens. Dit moet nader worden toegelicht.
Een commissielid vraagt of de kosten voor de bewaring van gegevens kunnen worden geschat. Heeft men er bijvoorbeeld een idee van hoeveel het kost om gegevens een maand te bewaren ?
Spreker verbaast zich erover dat de ISPA het tijdens de hoorzitting alleen daarover heeft gehad. Waren er geen andere aspecten van het wetsontwerp die hen interesseerden ? Hoe zit het met de inhoud van de sites ? Spreker noemt het geval van Yahoo Incorporated, dat weigerde om de uitspraak van een Frans gerecht in verband met de verkoop van nazivoorwerpen op een site, toe te passen. Deze kwesties gaan de ISPA in België rechtstreeks aan. Spreker wil weten of de ISPA internationale contacten heeft die meer openheid toestaan.
Een tweede vraag is gericht tot de gerechtelijke instanties en de rijkswacht. Artikel 6 van het wetsontwerp maakt van de ongeoorloofde aanwezigheid op een site een misdrijf. Gaat dat niet te ver ? Zijn de nodige gerechtelijke en andere middelen wel voorhanden om deze misdrijven op te sporen, laat staan te bestraffen ?
De minister heeft gezegd dat als deze wet in België had bestaan toen het I love you-virus opdook, er meer mogelijkheden zouden zijn geweest met name om de slachtoffers te vergoeden. Wat denkt de NCCU hierover ?
De heer Olivier van Cutsem antwoordt dat Skynet dit jaar ongeveer twee miljoen heeft uitgetrokken om de login- en logout-gegevens en de IP-adressen te bewaren. De heer Bogaert zegt dat het bewaren van gegevens steeds minder duur wordt en dat de kosten om het half jaar met de helft verminderen.
Thans vindt men bij de verkopers cd-rom's tegen de prijs van 56 frank per stuk. Het is niet de cd-rom of het opslagmedium dat duur is maar de engineering en de machines die het mogelijk maken al die gegevens te raadplegen. De gegeven raming is geldig voor 2000. Wel moet er rekening mee gehouden worden dat het aantal internetaansluitingen zal toenemen. Dat zal een stijging van het budget ten gevolge hebben.
In verband met de inhoud op het internet legt spreker uit dat bijvoorbeeld de auteursrechten geschonden worden. Voor het respecteren van de rechten van derden doet dit thans geen grote problemen rijzen aangezien de bestaande wetgeving kan worden toegepast.
Een commissielid vroeg zich af of deze wet wel wenselijk was, waarbij de eerbiediging van de persoonlijke levenssfeer werd afgewogen tegen de strijd tegen de cybercriminaliteit. Spreker is van mening dat de vertegenwoordigers van de rijkswacht en de gerechtelijke politie er duidelijk op gewezen hebben dat de misdrijven die door deze wet strafbaar worden gesteld, nieuwe soorten van misdrijven zijn; thans is er niets bepaald voor schriftvervalsing in informatica noch voor computerkraak of hacking. Hij haalt het voorbeeld aan van Red Attack waaraan in de media veel aandacht werd besteed. Red Attack wordt vervolgd door Skynet. Red Attack wordt strafrechtelijk vervolgd niet omdat hij de server van Skynet heeft aangevallen maar omdat de verkregen informatie onder het publiek verspreid werd. Was er op dat ogenblik een wet inzake informaticacriminaliteit geweest, dan had men die persoon ook kunnen vervolgen wegens computerkraak.
Een lid merkt op dat de bewaringskosten geraamd werden op 2 miljoen. Het zou nuttig zijn de omzet van het bedrijf te kennen om een idee te krijgen van wat bovenvermeld cijfer vertegenwoordigt.
De heer Olivier van Cutsem antwoordt dat de omzet thans meer dan 500 miljoen bedraagt. Het gaat dus om 0,5 %. Er wordt geen winst gemaakt. Het bedrijf lijdt verlies.
Het lid vraagt hoe het bedrijf rendabel kan blijven.
De heer Glas antwoordt dat er natuurlijk geen mirakels noch geheimen daaromtrent zijn. De mensen die vrije toegang tot het internet voorstaan, doen dat niet uit filantropie maar doen dat omwille van het feit dat zij andere vormen van inkomsten hebben of verhopen. Er zijn twee belangrijke vormen van inkomsten. Ten eerste de inkomsten uit advertenties de banners soms ook inkomsten uit het feit dat wanneer men klikt op één van die banners men naar de website gaat van één van de adverteerders. Ten tweede, de retributie die men krijgt van de Telecomoperator per telefoonverbinding.
In antwoord op de opmerking wil spreker nog toevoegen dat ISPA vragende partij is opdat deze wet wordt aangenomen omdat men vaststelt dat zich een aantal feiten voordoen zoals de hacking, paswoordenzwendel, het inbrengen van virussen, het manipuleren van data, enz. Als jurist moet men zeer creatief zijn om er in het huidige Strafwetboek iets op te vinden. Spreker verwijst naar de oude Bistel-zaak waar men toen de man heeft vervolgd wegens diefstal van elektriciteit. ISPA is vragende partij opdat de overheid in staat zou zijn om een aantal nieuwe fenomenen aan te pakken.
Uiteraard is ISPA ook bezorgd over de inhoud. ISPA wijst op het bestaan van het gerechtelijk meldpunt. Elke opmerking die een lid van ISPA vandaag krijgt over inhoud wordt au serieux genomen en gerapporteerd. Maar op de ISP's rust ook een belangrijke taak want men kan geen gevolg geven aan ieder verzoek tot het afsluiten van de site van een derde, dus de ISP's hebben veel werk om te melden: « We hebben uw verzoek goed ontvangen; we zullen contact opnemen met onze abonnee en vragen wat er aan de hand is. » Men doet dat heel ernstig en er is in België a fortiori altijd respect geweest voor de uitspraken zowel van het parket als van de burgerlijke rechtbanken en men heeft graag of niet graag altijd gevolg gegeven aan veroordelingen door de rechtbank om de toegang tot een site af te sluiten. Of dat het probleem uitroeit is een andere vraag.
De heer Beirens wil reageren op de vraag van een lid in verband met het strafbaar stellen van het enkele feit van binnen te dringen in de computer.
Hackers proberen vaak verschillende malen om in het systeem binnen te dringen zonder schade toe te brengen. Daarna komt er dikwijls een ruilhandel van paswoorden op gang, zoals de vertegenwoordiger van ISPA meegedeeld heeft. Dus zonder dat men in het systeem ook maar iets gedaan heeft, heeft men de toegangscode ontcijferd of is men op één of andere manier te weten gekomen hoe men in een systeem moet binnendringen. Het is een soort voorbereidende handeling. Men houdt die informatie bij en gaat ze gebruiken als een soort pasmunt om in andere systemen binnen te dringen. Men moet een onderscheid kunnen maken tussen degene die per ongeluk op een site of een computer terecht gekomen is, maar als er geen kwaad opzet mee gemoeid is, blijkt dat uit het onderzoek. Als het inderdaad een voorbereidende handeling is om in een systeem binnen te dringen, is het toch wel de moeite waard om dat feit strafbaar te stellen. Het is natuurlijk aan de commissie om daarover te oordelen.
Meestal stelt het slachtoffer wel vast dat er een probleem is geweest, maar dat belet niet dat men bepaalde zaken strafbaar kan stellen. Men stelt dikwijls een inbreuk vast bij één persoon en als men het informaticamateriaal van de dader gaat onderzoeken, ziet men dat hij op andere sites is binnengedrongen. Die gegevens worden dan inderdaad als ruilhandel gebruikt en worden doorgegeven aan andere hackers.
De heer Bogaert antwoordt dat de informatie bij het begin van een onderzoek komt van de systeem ingenieurs van de bedrijven of de universiteiten die bezoek krijgen van de krakers. Zonder in detail te willen treden, merkt spreker op dat de webserver van het Planbureau computerkrakers op bezoek heeft gekregen. Dit geeft aanleiding tot enige ongerustheid daar bepaalde gegevens vertrouwelijk kunnen zijn, bijvoorbeeld die inzake uitvoer voor België.
Wat de bewaartermijn voor gegevens betreft, is spreker van mening dat twaalf maanden een minimum is. ISPA vraagt dat dit een maximumtermijn zou zijn. Eigenlijk moet men weten hoe een onderzoek verloopt. Zodra een persoon, een bedrijf of een instelling beseft dat iemand in het computersysteem is binnengedrongen, dat persoonlijke gegevens verspreid worden of dat die persoon bijvoorbeeld het slachtoffer wordt van hijgtelefoons nadat over hem een vals profiel werd verspreid op een site met contactadvertenties, moet in een eerste fase de bron van alle ellende gelokaliseerd kunnen worden.
De betrokkene klopt gewoonlijk aan bij het dichtstbijgelegen rijkswacht- of politiebureau om er klacht in te dienen en om er mee te delen dat hij het slachtoffer is geworden van een computerkraker. De politieagent of rijkswachter die niet noodzakelijk vertrouwd is met dit soort problemen, zal plichtsgetrouw de klacht noteren en doorspelen aan het parket. Ook het parket wordt geconfronteerd met een probleem dat niet erg gebruikelijk is in gerechtelijke kringen. Het dossier zal worden overgezonden aan het parket van Brussel met het verzoek dat de CCU van Brussel zich met het onderzoek bezighoudt.
Tussen het ogenblik waarop de betrokkene het misdrijf heeft vastgesteld en het ogenblik waarop de CCU kennis neemt van het dossier, kan een periode van drie tot vier maanden liggen naar gelang van de snelle of minder snelle werking van het gerecht. Het gerecht klaagt voortdurend over een gebrek aan middelen en dat geldt ook op informaticagebied. Indien de middelen voorhanden waren en er meer onderzoekers waren op het gebied van de informaticacriminaliteit, dan zou er sneller kunnen worden gewerkt.
Zodra de CCU beschikt over de informatie betreffende het gepleegde misdrijf, wordt via het parket bij de internetprovider het IP-nummer opgevraagd van de machine die verbonden was met de computer die het slachtoffer van dit misdrijf geworden is. Vervolgens wordt gepoogd op te klimmen tot de dader van het misdrijf. Er is niet noodzakelijk één enkele operator. Op dat niveau is de samenwerking perfect.
Er kunnen verschillende tussenpersonen geweest zijn en indien Skynet informatie verstrekt die verwijst naar een andere operator, wordt hetzelfde verzoek gericht tot die nieuwe operator. Naar gelang van de middelen waarover men beschikt en van de technologische ontwikkelingen, kan het makkelijk één jaar duren om de dader nagenoeg met zekerheid te identificeren.
De minister preciseert dat de eerste versie van het ontwerp, zoals het in de Kamer door de regering is ingediend, in geen enkele termijn voorzag. Men was toen nog de mening toegedaan dat het probleem geregeld kon worden bij koninklijk besluit; tijdens de bespreking in de commissie voor de Justitie heeft kamerlid Verherstraeten een amendement ingediend dat door iedereen gesteund werd. De minister heeft zich achter dit amendement geschaard omdat hij van mening was dat het allicht niet haalbaar was een bewaartermijn te eisen die overstemde met die voor de verjaring van de strafvordering. De regering had geen enkel bezwaar toen dit voorstel werd gedaan. Het amendement van mevrouw Nyssens strekt ertoe het woord « minimum » te vervangen door het woord « maximum ». Er moet nog een onderzoek kunnen worden verricht met inachtneming van het evenwicht tussen strafonderzoek, bescherming van bepaalde waarden en eerbiediging van de persoonlijke levenssfeer.
De heer Olivier van Cutsem bevestigt dat samenwerking uiteraard wenselijk is om strafbare feiten te kunnen vervolgen. Wat de snelheid betreft waarmee die feiten worden vervolgd, kondigt spreker aan dat in overleg met het ministerie van Justitie besloten werd dat ISPA opleidingen voor onderzoeksmagistraten zal organiseren. Er zouden eveneens opleidingen kunnen worden gegeven aan de leden van de Computer Crime Unit en ook andere leden van de gerechtelijke autoriteiten zouden voor een opleiding op het gebied van de technologie in aanmerking kunnen komen.
Spreker wijst erop dat Belgacom reeds meer dan een jaar geleden die stap gezet heeft en opleidingen heeft georganiseerd voor onderzoeksrechters, niet alleen over de aspecten van de telecommunicatie maar ook over die van het internet. Hij is ervan overtuigd dat een degelijke opleiding en een bewustwording van het bestaan van dit soort misdrijven de termijnen in de lokale afdelingen van de Computer Crime Unit of van de rijkswacht drastisch kunnen inkorten. Het is in het belang van die afdelingen maar ook in het belang van de rechtzoekende.
Spreker is verbaasd over de buitenlandse voorbeelden waar twaalf maanden geldt, terwijl de drie maanden waarover Denemarken, Nederland en Duitsland beschikken, ruim voldoende blijken om informatie te vragen aan de ISP's. Zijns inziens lijkt een termijn van zes maanden correct om informatie op te vragen bij de providers. Die termijn zal hen ook de mogelijkheid geven om die gegevens te bewaren op een economisch verantwoorde wijze zonder de eindklant te benadelen.
De minister preciseert dat de dienst opleiding van magistraten van het ministerie van Justitie inderdaad een aantal cursussen organiseert; ISPA en de NCCU worden hiervoor uitgenodigd alsook andere leden. Die opleiding wordt aangeboden door het ministerie van Justitie onder het voorzitterschap van een magistraat. De magistraten zijn zich wel degelijk bewust van de problemen en willen alle noodzakelijke hulpmiddelen tot hun beschikking hebben.
Een senator maakt een opmerking in verband met de bewaringsproblematiek, met betrekking tot het grondgebied en de kost van bewaring. Gelet op de uiteenzetting van de National Computer Crime Unit en de verbonden CCU's lijkt het hem dat de termijn die zij voorstellen eigenlijk ingegeven is door hun onderbezetting. De boodschap naar de overheid zou dan moeten zijn dat daar een investering moet worden gedaan om die mensen te versterken, te verbeteren en het opsporingswerk te doen versnellen. Het mag niet zijn dat telkens wanneer de onderbezetting groter wordt of minder groot wordt, de bewaringstermijn wordt aangepast. Dat zou een verkeerde gevolgtrekking zijn. Wat betreft de bewaringstermijn, moet men uitgaan van een soort « bench marking ». Men moet kijken naar Europa, de Europese tendensen. Men spreekt van een termijn van drie maanden in de buurlanden. Men spreekt van een Europese harmonisatie gaande in de richting van zes maanden. Spreker ziet niet goed in waarom men hier dan een dubbele of zelfs een vierdubbele termijn zou inbouwen in de wet met dan nog een minimum van twaalf maanden. Men moet de gulden middenweg vinden en zes maanden zouden een goed compromis kunnen vormen.
Met betrekking tot de problematiek van de kosten voor het bewaren maakt spreker de vergelijking met Nederland waar momenteel een wetsvoorstel wordt besproken om een en ander te wijzigen op het vlak van computercriminaliteit. Daar bestaat een wet « tarief op strafzaken » die erin voorziet dat mensen buitenstaanders van politie die meewerken naar aanleiding van een aftapmaatregel betaald worden door de overheid. Bij ons is dat meer een gewoonterecht. Belgacom vindt dat als er prestaties worden geleverd, er ook facturen mogen zijn. Men heeft blijkbaar al herhaaldelijk gesteld dat de kostenproblematiek zou te regelen zijn via een koninklijk besluit. Men is er tot nu toe nog niet in geslaagd. Misschien is dit het perfecte ogenblik om dit voor goed te regelen zodanig dat het element van de kostprijs waarmee de mensen van de ISP's worden geconfronteerd, voor een stuk wegvalt en dat het voor hen ook gemakkelijker wordt om die gegevens misschien langer dan drie maanden bij te houden. In Nederland betaalt men aan de provider 50 gulden per gegeven dat wordt opgevraagd.
Ten slotte, wat betreft het territorium waar de gegevens moeten worden bewaard, kan men hier stellen dat het noodzakelijk is dat het arsenaal voor de politie zo groot mogelijk is om alle misdrijven op te sporen. Er bestaan nog altijd internationale afspraken; er bestaat nog altijd een soevereiniteit en dergelijke meer. Wil men daar iets aan veranderen, dan moet dat in samenspraak zijn met andere Staten. Wij kunnen op dat vlak niet het voortouw nemen of dingen vastleggen die ingaan tegen internationale afspraken. Met betrekking tot dat wetsvoorstel wordt in Nederland ook heel duidelijk stelling genomen. De bepaling waarbij gesteld wordt dat de gegevens op ons grondgebied moeten worden gehouden, gaat in tegen de regels van de vrije markt en de interne markt in Europa. Het is waarschijnlijk niet de bedoeling van de ISP's die vandaag in België zitten en die gegevens hier behouden, te verhuizen.
Er zijn een aantal ISP's, zoals Compuserve, AOL en zo, die gegevens waarschijnlijk op andere plaatsen in Europa houden en die een supplementaire kost zouden moeten doen om op basis van die wet gegevens fysiek naar hier te moeten brengen. Hopelijk vindt men daar toch een tussenoplossing in de richting van hetgeen de heer Glas heeft gezegd.
Spreker heeft nog een aantal vragen specifiek in verband met het recherchewerk dat momenteel op het internet gebeurt. Een punt dat dikwijls aan bod komt maar waar nog heel weinig over gezegd is, is in verband met de oproepgegevens: e-mails lezen. Doen de gerechtelijke diensten beroep op ISP's of andere tussenpersonen om e-mailadressen te hebben waar gegevens naartoe worden gestuurd of de inhoud na te gaan ? Als zij dit doen, op welke wettelijke grond baseren zij zich ?
Een tweede vraag betreft de pseudo-koop en infiltratie. Infiltreren de diensten van de gerechtelijke politie soms in bepaalde netwerken waarbij zij eventueel dingen aankopen, foto's en dergelijke meer ? In Nederland bestaat een regeling op de infiltratie en op de pseudo-koop. Wordt hier aan gewerkt ?
Het laatste punt betreft de problematiek van het nazisme. Het komt een voorgaande spreker voor dat het probleem van Yahoo in Frankrijk het nazisme was. Welke zijn de voldoende aanknopingspunten om te zeggen dat voor een bepaald misdrijf dat bepaald is in ons Strafwetboek, grond bestaat om te vervolgen ? Als er vanuit de Ku Klux Klan in de Verenigde Staten een aantal racistische opmerkingen worden gemaakt die contra onze wet op de racismebestrijding zijn, maar die op een buitenlandse server staan, ondernemen de gerechtelijke diensten dan stappen of verplichten zij Belgische zoekrobotten die verwijzen naar die sites om dergelijke links weg te halen ?
De heer Verbeeren antwoordt dat wetsbepalingen bestaan in het Strafwetboek in verband met de inhoud, voor traditionele misdrijven zoals kinderpornografie, racisme, inbreuken op auteursrechten. Als NCCU op de hoogte is of vaststellingen moet doen in verband met revisionistische lectuur die in België wordt aangeboden door een Belgische handelsonderneming, door een Belgische onderdaan (« het is België gelinkt »), dan treedt zij op. Vervolgens stellen zij een proces-verbaal op zoals in andere vaststellingen van misdrijven die aan het parket worden overgemaakt. Daarentegen, als die informatie van die Belgische handelsonderneming via providers in het buitenland staat, dan hebben zij daar geen enkele bevoegdheid over. Het is dan aan het parket, aan de magistraat die het onderzoek leidt om verdere stappen te doen. Dit is nog niet gebeurd.
Het is inderdaad juist dat heel wat informatie kan gevonden worden over allerhande illegale inhoud via zoekmachines zoals « Altavista » of « Yahoo ». Uiteindelijk wordt de infrastructuur van de internetprovider aangewend om bepaalde zoekopdrachten uit te voeren. Deze discussie gaat zeer ver en valt misschien buiten het debat over het ontwerp. Inzake informatie die op het World Wide Web staat, zou de eventuele aansprakelijkheid bij de internetprovider kunnen liggen. Het is heel anders wanneer het bijvoorbeeld nieuwsgroepen betreft, waar fysiek de informatie op de newsservers van de providers aanwezig zijn. Overeenkomstig het samenwerkingsprotocol zijn er goede contacten en werkwijzen tussen het gerechtelijk meldpunt en de providers. Wanneer in die nieuwsgroepen kinderpornografie wordt aangetroffen, wordt dit gemeld aan de internetproviders. Zij zijn dan verondersteld op de hoogte te zijn van de aanwezigheid van illegaal materiaal. Wanneer er dan nog een klacht zou binnenkomen over het aanbieden van dergelijke illegaal materiaal, dan zouden zij op gerechtelijk vlak mede aansprakelijk kunnen worden gesteld.
De pseudo-koop en dergelijke zijn zaken die inderdaad in andere landen gebeuren en ook meer uitgebouwd zijn dan hier in België. Er zijn daar denkoefeningen over bezig die nog niet concreet zijn. Het grootste probleem ligt daarbij dat, bijvoorbeeld voor een site met kinderporno, bijna in alle gevallen de betaling dient te geschieden met een Visa-kaart. Daar ligt een financieel technisch probleem, namelijk dat de diensten van de NCCU niet beschikken over een Visa-kaart.
De heer Vandenberghe (NCCU) heeft de indruk dat het hier om een misverstand gaat. De senatoren geven soms de indruk te denken dat de CCU super cybercops zijn. Dat is het dus niet. Zij beperken zich tot het gebruik van alle wettelijke middelen. Uiteindelijk vertaalt het resultaat zich in het voor de rechtbank brengen van iemand die zich schuldig heeft gemaakt aan enig misdrijf. Als op het vlak van de procedure fouten werden gemaakt bij het achterhalen van gepleegde zaken, dan kan de procedure niet tot een goed einde gebracht worden. Het is zeker niet de bedoeling illegaal te werken. De CCU wenden alle wettelijke middelen aan, om op een eerlijke en oprechte manier iemand voor de rechtbank te brengen. Alle operaties zowel op nationaal als op gerechtelijk vlak gebeuren in principe altijd onder controle van de nationale magistraat.
De heer Beirens antwoordt op de vraag in verband met het lezen van e-mail. Spreker legt uit dat zij tot op heden nog geen e-mail hebben onderschept, op welke basis dan ook. Eens is er met een huiszoekingsbevel de e-mail opgehaald bij een provider waar de e-mail achtergebleven was van een persoon die zijn abonnement niet meer gebruikte. Op dat moment is men met een huiszoekingsbevel bij de provider gegaan waar de e-mail nog opgeslagen was van één van de verdachten in de zaak, maar die geen actieve account meer had bij die provider. Dit is het enige geval waarvan spreker op dit ogenblik kennis heeft, waarbij men een e-mail onderschept heeft. Wat de eventuele toepassing van de « tapwet » betreft, meent spreker dat e-mail gewoon een bericht is dat onderweg is; er zullen dus weinig problemen zijn om dit als communicatie te gaan beschouwen.
De heer Coenraets verduidelijkt dat de vraag natuurlijk rijst of men e-mail laat vallen onder de klassieke brief of niet. Die vraag is nog altijd niet echt opgelost door de rechtspraak. Voorzichtigheidshalve past men momenteel dezelfde regels toe als voor het briefgeheim. Als men tijdens een huiszoeking een e-mail wil inkijken, kan men overgaan tot een inbeslagname, als dat zich op een drager bevindt. Of de tapwet van toepassing is of niet is nog niet duidelijk; dit is afhankelijk van het feit of men dit al dan niet onder een briefgeheim laat vallen. Op dit vlak is er nog geen rechtspraak.
De heer Bogaert heeft de indruk dat een deel van de vraag ging over de identificatie van de schrijver van een e-mail. De software maakt het mogelijk de naam en het nummer te achterhalen van alle computers waar de boodschap doorheen is gegaan vanaf de verzending tot de aankomst. Wij kunnen achterhalen vanuit welke computer de boodschap is gestuurd en, als we over een vordering beschikken kunnen we aan de provider bij wie de verzender zijn brievenbus heeft, de identiteit van die verzender opvragen.
De minister benadrukt dat de telefoontap of het openen van brieven alleen kan gebeuren op bevel van de onderzoeksrechter. De politiediensten kunnen dit nooit onmiddellijk en rechtstreeks doen zonder machtiging van de onderzoeksrechter.
De heer Geert Derre, verbonden aan het NCCU-Brussel, wenst terug te komen op de voorgestelde bewaringstermijn van één jaar. Om die termijn vast te stellen baseert men zich op de evoluties in onze buurlanden. Via internet wordt men in Europa, in gans de wereld, geconfronteerd met informaticacriminaliteit. Van andere landen ontvangt ook België rogatoire commissies met betrekking tot identificaties van TCP-IP-gegevens. Zij moeten zich houden aan die rogatoire commissies die natuurlijk heel wat tijd in beslag nemen. Indien de termijn te beperkt is, is het goed mogelijk dat de rogatoire commissies niet kunnen worden uitgevoerd omdat men in België achterwege blijft. Er heerst in Europa een solidariteit op internationaal vlak en dit is een zeer belangrijke factor. Indien men een termijn van drie maanden zou overwegen dan bestaan die TCP-IP-gegevens niet meer, want de drie maanden zijn al overschreden. In dat geval zouden we in België geconfronteerd worden met bijvoorbeeld een persoon die kinderpornografie verspreidt en we zouden niet in staat zijn om het BKA te helpen. Nochtans is in België de strijd tegen kinderpornografie prioritair.
Een commissielid vraagt of alle providers lid zijn van de ISPA. Maakt Belgacom bijvoorbeeld deel uit van deze vereniging en deelt het dezelfde principes ?
Een van de sprekers had het over het verdrag van de Raad van Europa hierover. Is dit wetsontwerp in overeenstemming daarmee en is het een omzetting van die tekst ?
Volgens een artikel in « Le Vif-L'Express » is de formulering van de misdrijven in het wetsontwerp te ruim en te vaag. « Le Vif-L'Express » gaf vooral in verband met artikel 6, § 5, en artikel 7, § 4, voorbeelden waaruit bleek dat elke brave burger de straffen kan oplopen waarin deze artikelen voorzien.
Zijn de misdrijven in het wetsontwerp voldoende precies geformuleerd opdat de bedoelde misdrijven precies kunnen worden opgespoord of zijn sommige ervan te ruim gedefinieerd zodat brave burgers het slachtoffer kunnen worden van een te ruime interpretatie van de strafwet ?
De heer Olivier van Cutsem antwoordt dat de ISPA de meerderheid van de ISP's in België vertegenwoordigt en dat de leden van de ISPA 90 % van de aandelen van de internetmarkt in België in handen hebben.
Belgacom maakt geen deel uit van de ISPA omdat het geen internetprovider is. Skynet, een dochteronderneming van Belgacom, is wel lid van de ISPA.
De heer Coenraets vestigt de aandacht op het feit dat, wat betreft het bewaren, het ontwerp van de Raad van Europa enkel een algemene omschrijving geeft die nog door de lidstaten moet worden ingevuld. Met het oog op harmonisatie bepaalt het ontwerp dat de lidstaten moeten voorzien in een verplichting tot het onverwijld bewaren van de communicatiedata ongeacht de betrokkenheid van één of meerdere providers, ongeacht de compliciteit. De overheid is verplicht die data aan de politiediensten die erom verzoeken, bekend te maken. In het ontwerp zijn ook artikelen gewijd aan de internationale samenwerking, waarin bepaald wordt dat de aangezochte lidstaat de gepaste middelen dient te nemen teneinde de geviseerde data ook daadwerkelijk te bewaren, dit in overeenstemming met zijn wetgeving.
Het komt erop neer dat de wetgever dient rekening te houden met rechtshulpverzoeken die de nodige tijd in beslag nemen. Deze zijn complex vooral op het vlak van hackinggevallen waar we niet meer met amateurs te maken hebben, maar wel met gespecialiseerde hackers die in dienst staan van de georganiseerde misdaad. In dat laatste geval zijn er snel meerdere landen betrokken en volstaat een periode van drie à zes maanden niet meer. Het ontwerp houdt met dergelijke complexe zaken rekening. Onze wetgeving moet hieraan worden aangepast.
Een lid verwijst naar de opmerking van de heer Van Cutsem over de bewaringstermijn, namelijk dat deze in de ons omringende landen drie maanden bedraagt. Spreekster had nochtans vernomen dat Groot-Brittannië, weliswaar niet direct aangrenzend, over een termijn beschikt van achttien maanden. Is dit juist ?
Wat van belang is, is de toepasbaarheid van de wet. Indien men kan garanderen dat binnen zes maanden de wet wel degelijk zou kunnen worden toegepast, is dit des te beter. Indien die garantie, dat dit binnen de zes maanden kan gebeuren, niet reëel is, dan bestaat het gevaar dat de wet zou worden uitgehold. Het heeft geen zin om in België een wet te stemmen, die niet kan toegepast worden, dit om de redenen die aangebracht werden door de leden van het NCCU.
In het voorliggend wetsontwerp wordt een bewaringstermijn van twaalf maanden vooropgesteld. Hoe werken de landen die over drie maanden beschikken ? Misschien hebben zij een andere werkmethode die efficiënter is ? Is dit in harmonie met de Raad van Europa ?
De heer Van Cutsem heeft ook gesproken over een soort Benelux-centralisatie van bewaarcentra. Bestaat dit al op dit ogenblik ? Iedereen is het eens dat de informatiecriminaliteit over alle grenzen bestaat. Enkel die drie landen hierbij betrekken is een begin maar wellicht is dit onvoldoende. We moeten ruimer gaan werken.
M. Coenraets is van oordeel, dat het in het belang van de discussie nuttig is om in andere landen te gaan kijken naar hun wetgevende initiatieven wat betreft de bewaartermijnen, en dat er een echte kosten-batenanalyse in hoofde van de ISP's gemaakt wordt.
Het lid stemt hiermee in omdat hier een voorbeeld aangehaald wordt van een land dat drie maanden als termijn hanteert, maar men weet niet hoe die drie maanden worden ingevuld.
Een ander commissielid vraagt hoelang Belgacom de telefonische gegevens bewaart voor de gerechtelijke onderzoeken.
De heer Van Cutsem kan deze vraag niet beantwoorden. Als deze wet zo wordt goedgekeurd, zal zij net zo goed van toepassing zijn op gezinnen die toegang hebben tot het internet als op de telecommunicatie-operatoren, met inbegrip van Belgacom.
De heer Bogaert verklaart dat Belgacom te Libramont een cel heeft die belast is met de exploitatie van de door de gerechtelijke instanties opgevraagde gegevens en die op twee niveaus werkt. Alle telefooncentrales bewaren de gegevens gedurende een bepaalde periode van ongeveer zes maanden. Tijdens deze periode zijn de gegevens leesbaar en onmiddellijk beschikbaar zonder andere vorm van bewerking.
Vervolgens worden de gegevens opgeslagen en gecomprimeerd in de vorm van magneetbanden met een hoge capaciteit. Vanaf dat ogenblik wordt de exploitatie van de gegevens en de magneetbanden een langere en duurdere operatie.
Een senator vraagt of zij hun diensten kunnen factureren en ten bedrage van hoeveel. Wat omvat de vaste kostprijs, uitgenomen de opstartkost, capaciteit van personeel, machines om dat te verwerken, kan dat eventueel ook initieel gefactureerd worden ?
De minister antwoordt bevestigend. Deze kostprijs maakt deel uit van de gerechtskosten, telefoontap enz., en de minister van Justitie is verplicht om dit te betalen.
Een lid merkt op dat de operatoren het probleem van de kostprijs van de operatie aanhalen terwijl ze die kosten niet moeten dragen.
De heer Van Cutsem antwoordt dat alleen de kosten voor de verwerking van het verzoek aan Belgacom betaald worden, niet de infrastructuur die nodig is om het verzoek te beantwoorden.
De minister merkt op dat voor het verrichten van de telefoontap een antwoord moet worden gevonden door middel van een koninklijk besluit. De verzoeken tot terugbetaling voor uitgevoerde taken moeten betaald worden. De facturen worden begroot door de onderzoeksrechter, of door de procureur of de procureur-generaal en de diensten van het ministerie hebben geen andere mogelijkheid dan te betalen. Door een koninklijk besluit krijgt men een eenvormige basis om de kostprijs beter te kennen en te plannen. De speurders moeten gebruik kunnen maken van alle wettelijk bepaalde middelen en anderzijds moeten de operatoren van wie effectief medewerking wordt gevraagd, een billijke vergoeding krijgen.
De heer Glas oppert dat, wat de termijn betreft, ISPA voorhoudt dat de enige norm is dat de bewaring hoe dan ook een kost is die op een of andere manier zal afgewenteld worden op de gebruiker van het internet en dat de termijn eigenlijk deze zou moeten zijn die men nodig heeft om op een normale, efficiënte wijze het onderzoek te verrichten. De vrees bestaat dat de ISP's maar dus ook de gebruiker het kind van de rekening zullen worden van een gebrek aan bestaffing of investering, die op andere niveaus bestaan.
Ten tweede bevestigt spreker dat er een aantal ISP's in België actief zijn, erkend door BPT, die samenwerken met het NCCU en die dus gegevens verstrekken aan het NCCU, maar waarvan de database wat die Belgische gegevens betreft, zich niet in dit land bevinden. In die zin zou het aannemen van deze tekst betekenen dat een aantal ISP's, die erkend zijn, die aansprekingspunten hebben, verplicht worden om zich economisch op een andere wijze te organiseren dan zij vandaag de dag doen.
Een commissielid stelt de vraag aan de hand van welke rechtsgrond inlichtingen die niet in België opgeslagen zijn, naar België doorgezonden worden.
De heer Glas antwoordt dat de ISP's door het protocolakkoord aanvaard hebben zich ten aanzien van de overheid te gedragen als verantwoordelijke burgers. Iedereen heeft er belang bij dat misbruiken bestreden worden en de vraag in dit verband is niet of er een rechtsgrond bestaat voor het beantwoorden van het verzoek. Men gaat graag in op deze verzoeken, los van elke rechtsgrond, omdat dit bepaald is door het protocolakkoord, en als ISP heeft men daar baat bij.
De heer Beirens heeft de indruk dat het voor facturatiedoeleinden toegelaten is om al die gegevens op te slaan. Dit vormt waarschijnlijk de basis waarop de ISP's hun gegevens bijhouden. Maar eigenlijk is dat hun zaak.
Een opmerking over die territorialiteit is dat men niet mag komen tot de situatie waarbij, indien die gegevens in het buitenland opgeslagen worden, een rogatoire opdracht noodzakelijk zou zijn. Het gaat eigenlijk over de snelheid waarmee de gegevens kunnen worden opgevraagd.
Er zijn al contacten met Interpol geweest, wat betreft de grote providers als AOL. Als men die gegevens nodig heeft, mag men ze altijd in Amerika gaan halen. Dit antwoord is heel simpel, maar dit moet worden vermeden. Men moet zich engageren om die in België af te leveren. Het belangrijkste is om niet met een rogatoire opdracht naar Amerika te moeten gaan voor iemand die in België een internetverbinding gelegd heeft naar iemand die in België zijn diensten aanbiedt.
Als een persoon in België zich verbindt met een internetprovider, dan zouden die gegevens in België moeten beschikbaar zijn.
De heer Glas heeft de indruk op dezelfde golflengte te zitten. Het belangrijkste is dat die gegevens bestaan, beschermd zijn, snel en efficiënt raadpleegbaar zijn. Zij zijn bereid zelf die gegevens te gaan halen uit het buitenland. Wat betreft de rogatoire commissies is het duidelijk dat het niet meer gaat over iemand die gestuurd wordt; dit gebeurt uiteraard in de 21e eeuw on-line, die gegevens worden uit de databank in Luxemburg of om het even waar gehaald. Zij vragen enkel het recht om die gegevens te stockeren buiten de landsgrenzen. De huidige tekst zegt nu : de bewaargevingsplicht moet worden uitgeoefend binnen de grenzen van het Rijk. Zij interpreteren deze tekst misschien ten onrechte als een verplichting om ook fysiek het databestand in België te gaan houden.
De heer Coenraets is van oordeel dat het, met het oog op de procedure, onontbeerlijk is te beschikken over duidelijke bepalingen. Het is niet omdat er in België een vertegenwoordiger van een onderneming is, dat daarom de gegevens vanuit het buitenland gehaald kunnen worden. Die gegevens zijn onderhavig aan de wet op de privacy in dat land. Daarom is het niet altijd logisch dat uit een dossiermap andere landen zomaar gegevens kunnen halen, zonder toepassing van een of andere procedure, louter op basis van de bereidwillige medewerking van een provider. Het is net zoals met de identificatie van iemand die een internetadres bezit. Een provider kan die gegevens op een bereidwillige basis meedelen maar dat neemt daarom niet weg dat wij via een procureur moeten gaan om een vordering te bekomen die nodig is voor de noodzakelijke procedure. Hetzelfde geldt voor de gegevens die zich in het buitenland bevinden, waarvoor een wettelijke basis nodig is.
De heer Verbeeren kan hiermee instemmen. Indien men de situatie zou omdraaien en het betreft een Belgische ISP waarvan de gegevens over de datacommunicatie hier bewaard worden, en dat deze gegevens door het dochterbedrijf in het buitenland zouden opgevraagd worden, dan ook is de Belgische ISP onderworpen aan de Belgische regelgeving inzake databewaring en databescherming. Men kan niet zo maar gegevens transfereren.
Een commissielid haalt het volgende probleem aan. Wanneer er telefoonoperatoren zullen zijn die niet meer Belgisch zijn we bevinden ons in een vrije markt kan men zijn telefoonabonnement nemen bij een Franse operator. Hoe zal men gerechtelijke onderzoeken kunnen verrichten ? De toestand lijkt inderdaad complex. De territoriale basis is belangrijk en het recht is zo opgevat : en het is waar dat men voor de regelmatigheid van de bewijsvoering niet zomaar elk gegeven in het buitenland kan gaan zoeken. Wij ondervinden het als een probleem dat iedereen in Europa blijkbaar met zijn eigen wetje hardnekkig het probleem tracht op te lossen terwijl de operatoren internationaal zijn. Met onze wetgeving zitten we nog in het steentijdperk terwijl men op een ander vlak in het tijdperk van de satellieten zit. Het is moeilijk om de juiste weg te vinden en men heeft het gevoel dat de tekst reeds achterhaald is nog voordat de wet is goedgekeurd. Dat verklaart waarom de commissie het noorden kwijt is.
De minister is er niet van overtuigd dat men iets moet uitvinden. Men moet misschien toepassen wat men gedurende weldra veertig jaar vraagt inzake internationale gerechtelijke bijstand, men moet effectief een systeem hebben dat correct en snel werkt. Wat het probleem van de toegang tot gegevens en hun bewaring betreft, kan spreker een zeer frappant voorbeeld geven. Indien een persoon zich in België schuldig maakt aan belastingfraude en een bankrekening in het buitenland bezit, zal men inlichtingen moeten vragen aan dat relatief dichtbij gelegen land, dat ons na bijna drie jaar zal antwoorden dat het geld dat op de rekening stond, 500 kilometer verder gebracht is. Wat zal de magistraat doen die de informatie ontvangt ? Hij zal een nieuwe rogatoire commissie naar dat land sturen en na vijf jaar vernemen dat het geld overgebracht is naar een ander land dat dichtbij de Côte d'Azur ligt. En na drie rogatoire commissies zal hij zijn dossier sluiten omdat er verjaring is.
Wat de te bewaren gegevens betreft, is spreker van mening dat iedereen kan instemmen met de verplichting tot het bewaren van de belangrijke gegevens voor zover hiermee geen afbreuk wordt gedaan aan de persoonlijke levenssfeer. Men moet over deze gegevens kunnen beschikken en moet ze kunnen volgen. Een termijn van 12 maanden wordt voorgesteld om de gerechtelijke instanties en de speurders zekerheid te verschaffen dat ze een onderzoek dat ze op grond van deze wet starten, kunnen afwerken. Spreker verwijst naar het nieuwe artikel 21ter van het Wetboek van strafvordering (Stuk Senaat, nr. 2-279). Wat hier niet mag gebeuren, is dat men onvoldoende slagkracht heeft om zo snel mogelijk op te treden, om zo ver mogelijk te gaan in het speuren naar informatie.
De tekst lijkt niet achterhaald, noch wat de strafbaarstellingen, noch wat de gerechtelijke samenwerking betreft. De tekst vormt de basis voor een normale samenwerking. Een commissielid heeft vragen gesteld over de bestaanbaarheid van dit wetsontwerp en het ontwerp van verdrag van de Raad van Europa. Dat ontwerp is nog altijd niet afgewerkt, niet omdat het materiële recht problemen oproept maar omdat het strafvorderingsrecht problemen meebrengt. Een verklaring daarvoor is de uitnodiging aan de Verenigde Staten om deel te nemen aan de debatten van de Raad van Europa. Spreker verwijst naar de voorbeelden van AOL of Compuserve die de gegevens in Virginia bewaren. En indien AOL en Compuserve de moed hadden om de gegevens onmiddellijk te bezorgen aan de Belgische overheid omdat ze er zich van bewust zijn dat deze gegevens voor ons belangrijk zijn, dan zouden ze de Amerikaanse overheid tegen zich in het harnas jagen. De Amerikanen, die beseffen dat de meeste belangrijke gegegensbanken bij hen bewaard worden, hebben geen zin om gehoor te geven aan verzoeken tot internationale gerechtelijke samenwerking. En daar schuilt in de grond het probleem, dat niet door middel van een wet of zelfs door een verdrag opgelost kan worden. Het is een kwestie van mentaliteit.
Sommige Staten zijn bereid om op Europees vlak een gevorderde samenwerking aan te gaan. Er zijn structuren ontwikkeld en een nieuw verdrag tussen de 15 lidstaten zal geratificeerd worden om inzake rechtshulp nog doeltreffender te kunnen optreden voor het aftappen van GSM's. Het gesprek kan opgevangen worden door een GSM-antenne die zich buiten het Belgische grondgebied bevindt, terwijl het gevoerd wordt tussen twee personen die zich op het Belgische grondgebied bevinden. De operator kan Frans of Luxemburgs zijn. De Franse Staat zal antwoorden dat hij slechts als tussenpersoon optreedt. Binnen de Europese Unie is de vraag gerezen of de Staat die als tussenpersoon optreedt, in naam van zijn soevereiniteit de uitwisseling van gegevens kan blokkeren tussen overheden die zich op een zelfde grondgebied bevinden. Hier is een ontkennend antwoord op gegeven. Er kunnen dus relatief soepele structuren opgezet worden. En men kan zich zeer goed inbeelden dat deze zelfde structuren in de toekomst in de 15 lidstaten opgezet worden om het probleem van de computermisdaad aan te pakken.
Wat de strafbaarstellingen betreft, is bij de aanvang van de vergadering de vraag gesteld of de magistraten enige verbeelding aan de dag kunnen leggen. Sommige magistraten zijn bereid hun verbeelding te laten werken maar men moet rekening houden met de restrictieve interpretatie van het strafrecht die de verbeelding toch wel een beetje beperkt.
Wat de samenwerking tussen gerechten betreft, is de Belgische Staat van goede wil. Een wetsontwerp zal een land er echter niet zomaar van overtuigen dat de mentaliteit moet veranderen. Dit dient op internationaal niveau te gebeuren. Het voorliggende ontwerp zal, indien het wordt aangenomen, de vertegenwoordigers van de Belgische regering misschien de kans geven om aan de Raad van Europa te zeggen dat wij inderdaad stappen hebben ondernomen, maar dat zij het ons onmogelijk maken om de wet toe te passen.
De heer Beirens komt nog even terug op de gegevens die moeten worden opgeslagen. ISPA doet het voorkomen alsof het opslaan van het telefoonnummer van de persoon die de verbinding legt met de server van zijn internetprovider, naast het caller-ID, een probleem zou zijn. Als de opsporingsdiensten dit element niet hebben, dan staan zij zeer zwak. Spreker geeft het voorbeeld van een geval dat vorige week voorgekomen is voor de correctionele rechtbank in Brussel.
Op een bepaald ogenblik stelt spreker vast op zijn eigen PC, terwijl hij bezig is met een opsporing op internet, dat iemand probeert een Trojaans paard te misbruiken op zijn PC. Het was enkel de detector. Spreker maakt aldus een proces-verbaal op. De parket-magistraat geeft een vordering af om de gegevens op te vragen bij Planet Internet, die de gegevens doorgeeft : dat internetadres is gebruikt op dat ogenblik door die abonnee.
Bijkomend was het telefoonnummer van waaruit gebeld was naar de service provider ook opgeslagen. Bij de abonnee in kwestie vond een huiszoeking plaats. Aldus bleek dat het ging om een persoon die gepirateerd was geweest, dus gehacked, door iemand die hem een programma had opgezonden met een Trojaans paard. Het Trojaans paard installeert zich op zijn PC. Dat is een programma dat toelaat aan personen die aan de andere kant op internet zitten, om op uw PC binnen te dringen, te gaan lezen wat er op uw PC staat, bestanden te wissen enz., wat de persoon in kwestie had gedaan.
Als de opsporingsdiensten het telefoonnummer waarmee de verbinding werd gelegd met de service provider, niet gekregen hadden, dan hadden zij dus niet kunnen uitmaken dat het ging over een hacker die misbruik maakte van de abonneegegevens die hij had gekregen op het moment dat hij zijn slachtoffer had gehackt. Zonder die gegevens zijn de logins niet altijd bruikbaar.
Integendeel, bij hackings komt het vaak voor dat de caller-ID bepalend is om uit te maken wie de dader is of waar de dader zich situeerde op het moment dat hij zijn misdrijf pleegde. Dat kan zowel het telefoonnummer zijn als voor de kabelmaatschappijen het serienummer van de modem die gebruikt wordt.
Dat is een element dat mee zal evolueren met de techniek. Men moet ergens een materiële identificatie kunnen meegeven, hetzij het telefoonnummer, hetzij de kabelmodem die gebruikt wordt voor het leggen van de verbinding.
Een senator merkt op, wat die caller identification betreft, dat bepaalde mensen een privé-nummer hebben dat niet wordt weergegeven. Ten tweede, kunnen mensen eventueel die caller identification uitzetten. Klopt dat ?
De heer Beirens antwoordt dat de meeste mensen geen privé-nummer hebben, waardoor 90 % van de caller ID kan geregistreerd worden in de logins. Wanneer er geen caller ID is omdat men een privénummer heeft, kan men een bijkomende vordering doen bij de maatschappij die de verbinding gelegd heeft met de telefoonlijn. Heeft de gebruiker een Skynet-abonnement, dan kan hij Belgacom gebruikt hebben om zijn verbinding naar Skynet te leggen. Men zal dus bij Skynet vinden dat de heer X met een internetsessie gestart is op dit ogenblik en gestopt is op een ander ogenblik. Bij Belgacom gaat men vinden dat vlak voor de internetsessie gestart is bij Skynet, de persoon de verbinding gelegd heeft vanaf dat telefoonnummer naar het inbelpunt van Skynet.
Het probleem bij zulk onderzoek is dat vele mensen zich op dat moment kunnen verbinden en dan is het heel moeilijk om te identificeren over wie we hier nu eigenlijk spreken. Bijkomend wordt de termijn natuurlijk langer want men moet bij Skynet gaan. Men stelt vast dat de gegevens die toegeleverd worden onvoldoende zijn en men moet bijkomend nog eens naar Belgacom gaan en dan beginnen met de filtering. Wie van al de mensen die rond dat uur ingebeld hebben zijn juist de personen die men zoekt ? Dat zijn zaken die alle dagen voorkomen.
De heer Van Cutsem geeft twee voorbeelden : toen Redattack Skynet aanviel, heeft het twintig minuten geduurd voor men hem via zijn GSM heeft geïdentificeerd. Voor de auteur van het I love you-virus heeft men drie dagen nodig gehad.
De heer Beirens stipt aan dat alles in de juiste context moet worden geplaatst. Het gaat niet altijd over Redattack, waarbij de media alles uitzendt wat er gebeurd is. Niet alles gaat over het I Love you-virus, waarbij de hele wereld stil staat omdat er in een systeem ingebroken wordt.
De heer Van Cutsem legt uit hoe de identificatie verloopt. Er komt een vraag binnen, waarbij men weet dat een bepaald IP-adres (samengesteld uit een reeks cijfers) op een bepaald uur en een bepaalde dag gebruikt is. In de gegevensbestanden kan men nagaan welke klant van Skynet dat IP-adres op dat bepaalde moment gebruikt heeft. Zo wordt de klant geïdentificeerd.
De heer Olivier van Cutsem bevestigt dat men de klant kan identificeren. Op het internet worden echter paswoorden en logins van Skynet via lijsten verspreid op hackersites, zodat de hackers de login en het paswoord van een klant kunnen gebruiken terwijl ze een verbinding tot stand brengen vanaf een telefoonnummer dat niet overeenstemt met het nummer van de klant. Indien het telefoonnummer waarmee de verbinding tot stand is gekomen niet voorkomt in de opgeslagen gegevens, kan het dus gebeuren dat men een huiszoeking gaat doen bij iemand die niets met de zaak te maken heeft, alleen omdat zijn login en zijn Skynet-paswoord hem buiten zijn medeweten ontfutseld zijn.
Wat de contractuele betrekkingen tussen Skynet en de klant betreft, is deze laatste verantwoordelijk voor het gebruik dat van zijn login en paswoord wordt gemaakt. Er is duidelijk bepaald dat wanneer de gebruiker ontdekt dat zijn login en zijn paswoord gestolen zijn, hij de ISPA op de hoogte dient te brengen of onmiddellijk de nodige maatregelen moet nemen.
Er is opgemerkt dat er in Libramont een cel van Belgacom is die gespecialiseerd is in vragen van het gerecht. Hier wordt vrij snel gereageerd. Wanneer een klant een klacht heeft, volstaat het de lijsten van Skynet te vergelijken met de lijsten van Belgacom. Indien ze niet overeenstemmen, is er een probleem.
De heer Verbeeren sluit zich aan bij de mening van zijn collega's maar wil eraan toevoegen dat met al die gratis internetabonnementen er quasi geen controle meer mogelijk is van de internetprovider over wie aan de andere kant van de lijn zit. Men kan een abonnement nemen op gelijk welke naam zonder dat er enige controle mogelijk is.
Een senator stelt vast dat de politiediensten blijkbaar verder willen gaan dan het zich beperken tot IP, inbelmoment, uitbelmoment, dus dat er ook iets moet bewaard worden in verband met calleridentification. Het voorliggende wetsontwerp dat was ook opgemerkt door de Raad van State gebruikt zeer vage woorden en stelt de Koning of de regering in staat om oproepgegevens en identificatiegegevens te definiëren of te formuleren zoals dat de regering schikt. Spreker vraagt zich af of men ook buiten de vraag van de caller identificatie, zo ver kan gaan naar bijvoorbeeld de verplichting om te noteren welke e-mailadressen zijn bezocht of naar welke e-mailadressen berichten zijn verstuurd. Verschillende internetproviders kunnen die e-mails bewaren en dan zou men bijvoorbeeld kunnen veronderstellen dat de regering in het uitvoeringsbesluit vastlegt dat ook e-mailgegevens, inhoud, eventueel verzending, e-mailadressen kunnen worden bijgehouden. Spreker zou dat beschouwen als een inbreuk op de privacy. In die zin acht hij het noodzakelijk om de begrippen oproepgegevens en identificatiegegevens nauwlettender te formuleren in de wet.
De minister staat open voor wijzigingen in de tekst. In de oorspronkelijke tekst, ingediend door de regering, stond dat de oproepgegevens moeten beperkt blijven op advies van het ministerie van Justitie. Een van de oplossingen is misschien dat niet alleen de termijn beperkt is na advies van de commissie persoonlijke levenssfeer maar tevens de oproepgegevens.
Een commissielid vraagt of andere landen België kunnen verwijten dat hier geen wetgeving bestaat, zodat zij kunnen weigeren om samen te werken en gegevens uit te wisselen op basis van het principe van de dubbele strafbaarstelling. Is de activiteit van een in België goed vertegenwoordigde cel beperkt tot het internationaal niveau omdat wij geen basiswetgeving hebben en worden de internationale rechtshulp en de gerechtelijke samenwerking door andere landen geblokkeerd vanwege het principe van de dubbele strafbaarstelling ?
De minister antwoordt dat men, wat de internationale rechtshulp betreft, misschien kan rekenen op de verbeelding van de magistraten, aangezien er op het vlak van die rechtshulp alleen sprake is van een dubbele strafbaarstelling in abstracto. Bij een huiszoeking komt men echter al gauw weer bij de dubbele strafbaarstelling in concreto terecht. Zonder preventieve maatregelen zijn wij niet in staat het hoofd te bieden aan alle problemen die kunnen rijzen. Het gaat dus om internationale rechtshulp met twee snelheden, die echter gerechtvaardigd wordt door het feit dat er inderdaad sprake is van rechtshulp die kan leiden tot een huiszoeking. De beperking in het strafrecht is in dit geval van toepassing en er is dus wel een precieze maatregel nodig.
De heer Coenraets stipt aan dat, in verband met de voorwaarde van de dubbele strafbaarstelling, het ontwerp stelt dat als een Staat een verzoek richt tot een andere Staat tot bewaring van gegevens, er onmiddellijk op ingegaan moet worden met een minimumtermijn van veertig dagen zonder dat er moet voldaan zijn aan de dubbele strafbaarstelling. Die voorwaarde begint pas te spelen vanaf het moment dat er een effectief verzoek is tot bekendmaking van de gegevens of tot het effectief overdragen ervan.
Een commissielid herinnert eraan dat de verenigingen ongerust zijn over de termijn.
Er moet een redelijke termijn worden gevonden die de rijkswacht en de gerechtelijke politie toestaat om hun werk te doen.
Het bewaren van de gegevens brengt uiteraard kosten mee maar dat lijkt geen doorslaggevend probleem te zijn.
Tijdens de hoorzittingen zijn interessante elementen van rechtsvergelijking naar voren gebracht.
Spreker vraagt zich af of de genoemde termijn van drie maanden in wetteksten wordt vermeld of daarentegen door de operatoren in de praktijk wordt gebruikt.
Mevrouw Nyssens verwijst naar haar amendement dat een maximum- veeleer dan een minimumtermijn wil vaststellen (amendement nr. 1, Stuk Senaat, nr. 2-392/2 zie infra , bespreking van de artikelen).
De Kamer heeft het vaststellen van de termijn aan de Koning overgelaten wellicht om rekening te kunnen houden met de nieuwe technologieën waardoor de parketten sneller zullen kunnen werken.
Overleg met de sector is nodig, alsook het advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.
Spreekster heeft met een zekere verbazing opgemerkt dat de gehoorde personen vinden dat de huidige formulering van de strafbaarstellingen hun werk mogelijk maakt, in tegenstelling tot de in een recent artikel in le Vif-l'Express geuite kritiek dat de strafbaarstellingen te vaag en te ruim geformuleerd waren.
De minister verklaart dat de rijkswacht twee jaar geleden haar licht heeft opgestoken bij de dienst gerechtskosten, en vervolgens de magistraten en het departement Justitie heeft gewezen op de bedragen die Belgacom vraagt voor haar opsporingen.
Men had Belgacom gevraagd twee telefoonnummers te identificeren.
De eerste identificatie is verricht zes maanden na de feiten en koste ongeveer 40 000 frank. De tweede, waarvoor meer onderzoek nodig was met betrekking tot een groter aantal nummers en veel oudere feiten, koste 10 000 frank. Dat bewijst dat de kosten op willekeurige manier worden geschat.
Het koninklijk besluit dat momenteel wordt voorbereid, zal orde op zaken moeten stellen.
Via overleg moet het bedrag worden vastgesteld dat de operatoren mogen vragen en dat alle kosten moet dekken.
Op termijn zal het ministerie van Justitie steeds de kosten betalen als een magistraat een inlichting vraagt.
Een commissielid verklaart dat het bewaren van gegevens haar vooral zorgen baart met betrekking tot de bescherming van de persoonlijke levenssfeer. In elk geval moet de bewaring beperkt zijn in de tijd.
Spreekster verwijst naar de recente zaak van de leerlingenbestanden die een onderzoeksrechter in de Franse Gemeenschap had opgevraagd.
De termijn moet bovendien op Europees niveau worden geharmoniseerd aangezien de liberalisering van de sector van de operatoren volop aan de gang is.
De Europese Commissie zal eerlang een advies geven over de ontworpen bepalingen.
Spreekster kan het eventueel eens zijn met het amendement van mevrouw Nyssens als de maximumtermijn van twaalf maanden die zij voorstelt, overeenstemt met de Europese norm.
De oplossing van het oorspronkelijke ontwerp die de vaststelling van de termijn overlaat aan de Koning, lijkt haar gevaren in te houden voor de bescherming van de persoonlijke levenssfeer.
Spreekster hoopt dat met de nieuwe structuur van de politiediensten niet meerdere diensten bevoegd zullen zijn voor deze materie en dat de CCU-cel voldoende middelen zal krijgen.
Deze cel moet immers verschillende taken uitvoeren, namelijk enerzijds de magistraten helpen om gegevens te decoderen wanneer zij bijvoorbeeld een harde schijf in beslag nemen en anderzijds controle uitoefenen op het net, met name inzake kinderporno.
Op dat vlak zouden de politiediensten maar ook de burgers een methode moeten vinden om de inhoud van het net controleren.
Als deze cel met nieuwe strafbaarstellingen moet werken, zal dat meer werk meebrengen en moeten er specialisten worden ingeschakeld. Beschikt men over de nodige middelen ?
De medewerking van de operatoren moet aangemoedigd en nagestreefd worden. De nieuwe wet mag op dit vlak geen negatieve gevolgen hebben.
Spreekster vindt dat de strafbaarstellingen uit het ontwerp zeer gedetailleerd zijn beschreven.
Dankzij de hoorzittingen zijn de aard en het motief van bepaalde strafbaarstellingen duidelijker geworden.
Toch is het niet zeker dat alle bepalingen bijdragen tot de vervolging van de informaticacriminaliteit in haar specifieke vormen.
De toepassing van de wet moet geëvalueerd worden, bijvoorbeeld over een jaar. Daarbij moet met name gelet worden op haar efficiëntie en vergelijkingen worden gemaakt met andere landen.
Een commissielid verwijst voor de bescherming van de persoonlijke levenssfeer naar artikel 7, § 4, dat bepaalt dat de procureur des Konings alle passende technische middelen aanwendt om de integriteit en de vertrouwelijkheid van gegevens te waarborgen.
Spreekster vindt de straf waarin artikel 6, § 2, 3º, voorziet te streng wanneer de schade onopzettelijk is veroorzaakt.
Een senator sluit zich aan bij de opmerkingen van de vorige sprekers over de hoorzittingen. Hij vindt dat de wetgever de maximumtermijn moet vaststellen voor de bewaring van de gegevens teneinde de persoonlijke levenssfeer te beschermen.
De bevoegdheidsoverdracht aan de Koning, die de Raad van State trouwens bekritiseert, lijkt hem geen goede oplossing. Het amendement van mevrouw Nyssens gaat in de goede richting.
Er moet een realistische termijn worden vastgesteld waarbij rekening wordt gehouden met de praktische problemen en de situatie in andere landen.
Spreker is ook getroffen door de omstandigheden waarin de bevoegde diensten moeten werken : onvoldoende personeel, geen mogelijkheid om een Visakaart te krijgen (omdat een bedrag van 600 of 700 frank moeilijk in de boekhouding te verwerken is en omdat de hoogste instanties, die hun toestemming moeten geven, andere prioriteiten hebben).
Daarom moeten de ministers van Justitie en Binnenlandse Zaken gewezen worden op het belang van het opsporen van misdrijven op het internet.
Wat de hoorzitting van de ISPA betreft, meent spreker dat met de meeste opmerkingen althans gedeeltelijk rekening kan worden gehouden.
Voor het overige wacht spreker op het advies van de Europese Commissie die zal nagaan of het ontwerp overeenstemt met de regels van de interne markt. Dit advies wordt verwacht tegen 11 juli. Tot die datum kan niet over het wetsontwerp worden gestemd. Het is dus niet uitgesloten dat het pas na het reces zal gebeuren.
Bij de nieuwe strafbaarstellingen is het vooral de « hacking » (artikel 6 nieuw artikel 550bis) die de aandacht van de spreker heeft getrokken.
Hij heeft zijn licht opgestoken bij een aantal organisaties en bedrijven die zich met de veiligheid op het internet bezighouden en met name bij Ubizen.
Ubizen publiceert in een jaarverslag een index van een aantal termen waaronder de volgende definitie van « hacker » en « cracker ».
Hacker: the accepted meaning of the term hacker is a person who has expertise in the area of computer operating systems and/ or networking. Hackers enjoy digging into the subtleties of how the operating system and the network software interact, frequently developing methods of expanding the capabilities of the system. Often hackers can help system administrators by finding security loopholes and alerting them. A hacker becomes a cracker when they cross a fine ethical line and use their talents in an illegal or unprofessional manner.
Cracker: in the internet community a cracker is a person who maliciously attempts to break into other peoples computer systems. Once a cracker breaks into a system they waste valuable resource dollars, especially if the user who's account they break into pays for connection time. Once in, a cracker typically arranges back doors and other loopholes in the system. Even worse, crackers can alter or erase files, cancel programs or even crash the system.
Hieruit volgt dat het woord hacker een positieve connotatie heeft : het gaat om iemand die op verzoek of met instemming van het bedrijf de leemten in een systeem opspoort, ze aan de webmaster meedeelt en eventueel een oplossing voorstelt.
In die betekenis van het woord is er bij een hacker dus geen sprake van bedrieglijk opzet.
Opmerkelijk is dat voor alle strafbaarstellingen waarin het ontwerp voorziet, bedrieglijk opzet, de bedoeling om te schaden of persoonlijke verrijking vereist is, behalve voor hacking.
Voor hacking is bedrieglijk opzet slechts een verzwarende omstandigheid (artikel 550, § 1, tweede lid).
Spreker vraagt zich af of, in het licht van de hierboven vermelde definities, het ontwerp niet te ver gaat op dit punt.
Distrigas heeft bijvoorbeeld een website (www.distrigas.be) die indertijd op basis van het Frontpage-programma van Microsoft ontwikkeld werd, een programma dat amateurs de mogelijkheid geeft om op autonome wijze een eigen website te ontwerpen. Dit veronderstelt dat er ook een veiligheidscode aan die website gegeven wordt. Dat heeft Distrigas vergeten. Derden hebben dit toevallig ontdekt nadat ze waren binnengedrongen op de Distrigas-site en hebben onmiddellijk de webmaster op de hoogte gebracht, die de vergissing heeft rechtgezet.
Volgens § 1, tweede lid, van artikel 550bis van het ontwerp zijn die derden strafbaar en hebben ze er alle belang bij niets te zeggen. Die bepaling is dus contraproductief.
Degenen die met verkeerde bedoelingen een systeem binnendringen, moeten worden gestraft en niet degenen die het met positieve bedoeling gebruiken. Daarom bereidt spreker een amendement voor op artikel 6 van het ontwerp.
Een commissielid verklaart over de hoorzittingen dat er zich duidelijk twee standpunten hebben afgetekend, maar dat de ISPA haar niet heeft kunnen overtuigen van de gegrondheid van haar standpunt.
Spreekster meent dat men zich niet blind mag staren op een termijn maar dat het juiste evenwicht tussen de vereisten van het onderzoek en de bescherming van de persoonlijke levenssfeer het enige te hanteren criterium moet zijn.
De gerechtelijke diensten die gehoord zijn, zijn de diensten die de wet zullen moeten toepassen. Men moet dus rekening houden met hun standpunt, namelijk dat de minimumtermijn van zes maanden in de praktijk niet haalbaar is.
Het ontwerp bepaalt dat de Koning, nadat hij het advies van de Commissie voor de bescherming van de persoonlijke levenssfeer heeft ingewonnen, de nadere middelen bepaalt die gebruikt worden om de integriteit en de vertrouwelijkheid van de gegevens te waarborgen.
Spreekster vraagt zich af of de wet op de bescherming van de persoonlijke levenssfeer niet automatisch van toepassing is op de bewaring van gegevens van persoonlijke aard en of zulks niet uitdrukkelijk moet worden vermeld bij wijze van waarborg.
De strijd tegen de cybercriminaliteit moet op Europees niveau geharmoniseerd worden. Doch die overweging mag België niet verhinderen zo snel mogelijk een eigen wet goed te keuren.
Een ander commissielid is het eens met de vorige sprekers wat betreft de kosten waarop de internetproviders gewezen hebben.
Men moet, enerzijds, oog hebben voor de toestand in de landen die ons omringen en, anderzijds, voor de bescherming van de persoonlijke levenssfeer.
Spreekster pleit voor het vastleggen van een maximumtermijn zoals voorgesteld in het amendement van mevrouw Nyssens. Die oplossing is in overeenstemming met het advies dat door de voorzitter van de Commissie voor de bescherming van de persoonlijke levenssfeer aan de Kamer is uitgebracht (Stuk Kamer, nr. 50-213, blz. 29 en volgende).
Spreekster heeft begrip voor het argument van de ISPA volgens hetwelk de verplichting om de gegevens op het grondgebied te bewaren zeer zwaar is in een eengemaakte markt die verder geliberaliseerd wordt, in het bijzonder wat de telecommunicatiesector betreft.
Dit toont aan hoe belangrijk een betere samenwerking in strafzaken binnen de Europese Unie wel is.
De ISPA plaatst tegenover de verplichting om de gegevens op het grondgebied te bewaren, een toezegging om ter plaatse een steunpunt op te richten en elk verzoek van de gerechtelijke autoriteiten te beantwoorden.
De bevoegde gerechtelijke diensten wijzen er anderzijds op dat de rogatoire commissie een bijzonder omslachtige procedure is, die veel tijd vergt.
Hoe kan men met al die uiteenlopende overwegingen in één wet rekening houden ?
Een lid verklaart ongerust te zijn over het kraken van computers door jongeren voor educatieve privé-doeleinden. Zou men voor dit soort handelingen geen minder strenge straffen kunnen bepalen ?
Een commissielid verwijst naar artikel 9 dat een artikel 88quater invoegt, waarvan § 1 de onderzoeksrechter machtigt bepaalde personen te bevelen inlichtingen te verlenen over een computersysteem of over de wijze om er toegang toe te verkrijgen wanneer hij vermoedt dat die personen het betrokken systeem kennen.
Paragraaf 3 van hetzelfde artikel voorziet in een straf voor de persoon die weigert de aldus gevorderde medewerking te verlenen.
Spreker heeft vragen over de wenselijkheid van een dergelijke straf want hij ziet niet goed in hoe men in de praktijk degene die blijk geeft van slechte wil, moet onderscheiden van degene die werkelijk niet de vereiste kennis heeft.
Daarenboven zijn de gevorderde personen niet beëdigd, noch door enige overeenkomst met de gerechtelijke autoriteiten gebonden. In die omstandigheden kan men zich dus afvragen hoe betrouwbaar de inlichtingen zijn die zij meedelen.
De minister verklaart dat, bij de indiening van het wetsontwerp in de Kamer, de regering geen vooraf vastgesteld antwoord had op de vraag in verband met de toegankelijkheid van de gegevens.
Er is in de Kamer een amendement ingediend dat is aangenomen.
Mevrouw Nyssens dient vandaag een ander amendement in waarmee de regering het eens kan zijn aangezien terzake naar een evenwicht moet worden gezocht. Een maximumtermijn van 12 maanden lijkt werkbaar en zou iedereen in staat moeten stellen zijn verantwoordelijkheid te nemen.
Er is gezegd dat de bewaartermijn in sommige landen drie maanden bedraagt. Dit behoeft enige verduidelijking. De termijn van drie maanden moet in verband gebracht worden met de bescherming van de persoonlijke levenssfeer want een privé-instelling mag de gegevens niet bewaren nadat een bepaalde termijn verstreken is, noch een bestand beheren dat zij voor andere doeleinden zou kunnen gebruiken.
In het ontwerp heeft men het over gegevensbewaring voor eventueel gebruik door het gerecht.
In Duitsland is er voor de operatoren bijvoorbeeld een bewaringstermijn van 3 maanden voor privé-doeleinden. In de praktijk wordt de termijn van 90 dagen echter ruim overschreden en stellen de operatoren deze gegevens ter beschikking van de politie of het gerecht gedurende een langere, niet nader bepaalde termijn.
In Nederland is de situatie dezelfde. In Denemarken bestaat er een bewaringstermijn van 3 maanden in het kader van de bescherming van de persoonlijke levenssfeer, maar overweegt men die termijn te verlengen tot een jaar.
Wat artikel 7 betreft en de bevoegdheden van de procureur des Koning inzake bepaalde gegevensbestanden, moet men voorzichtig zijn met het begrip « gegevensbestand ».
Er zijn gegevensbestanden die erkend en goedgekeurd zijn door de Commissie voor de bescherming van de persoonlijke levenssfeer. De wet tot bescherming van de persoonlijke levenssfeer is hierop van toepassing, met alle verplichtingen en garanties die dat inhoudt. Hier kunnen dus geen problemen ontstaan.
Door internet te gebruiken kan men echter gegevensbestanden creëren die niet beantwoorden aan alle elementen waar de wet tot bescherming van de persoonlijke levenssfeer gewag van maakt.
In dat geval moeten de procureur des Konings en de onderzoeksrechter deze gegevensbestanden, die als bewijs van misdrijven kunnen dienen, in beslag kunnen nemen.
Men verbaast zich soms over de voorzorgen die de officieren van gerechtelijke politie of de magistraten moeten nemen wanneer zij dergelijke gegevens in beslag nemen. Die gegevens staan op een diskette. In de Kamer is reeds de vraag gesteld of deze diskettes, zoals andere voorwerpen die in beslag zijn genomen, bewaard worden op de griffies van de correctionele rechtbank. Het gerecht dient natuurlijk de nodige maatregelen te nemen opdat die computergegevens in de beste omstandigheden worden bewaard. Daarbij mogen noch de auteursrechten noch de rechten van de benadeelde aan wie het materiaal zal worden terugbezorgd in het gedrang komen en mag de strafvordering niet gehinderd worden.
Ook is er een vraag over de noodzaak om bij de federale politie een centraal orgaan op te richten.
De ISPA wilde van de NCCU het centrale orgaan maken. De minister van Justitie is echter niet de baas van de politiehervorming.
De NCCU en het CBO van de rijkswacht zullen deel uitmaken van de federale politie die een directie informaticacriminaliteit zal hebben. Zolang de politiehervorming niet in de praktijk is gebracht, kan men er echter niet op vooruitlopen en ook niet meer mensen vrijmaken voor deze taak, want dat zou het bereikte evenwicht over de hervorming opnieuw op de helling zetten.
Men mag niet uit het oog verliezen dat de NCCU zich op het commissariaat-generaal van de gerechtelijke politie bevindt. De leden zijn geen echte operationele officieren van gerechtelijke politie. De dossiers worden behandeld door de plaatselijke CCU.
De NCCU biedt technische hulp en fungeert als middelpunt. Zij verzamelt informatie en brengt de federale magistraat of de territoriaal bevoegde magistraat en de collega's van de plaatselijke brigades op de hoogte.
Het is niet mogelijk om het hele net te surveilleren.
De Verenigde Staten willen een wereldwijde computerpolitie oprichten, die voornamelijk een Amerikaanse aangelegenheid zal zijn waaraan de Europeanen mogen meewerken. De kans dat dit project zal slagen, is klein.
Toch moet de overheid zich een beeld kunnen vormen van de inhoud van webpagina's, omdat de vrijheid van meningsuiting grenzen heeft. De waarden die de Grondwet en de Belgische wetten bekrachtigen, staan bijvoorbeeld geen racistische uitlatingen toe.
Dat geldt ook voor het internet.
In België gaat men er dus van uit dat internetsites elementen of boodschappen kunnen bevatten waardoor de makers zich aan strafrechtelijke vervolgingen blootstellen.
In andere landen, zoals in de Verenigde Staten, hecht men zoveel belang aan de vrijheid van meningsuiting dat bijvoorbeeld racistische uitlatingen niet worden gestraft. Wij hoeven ons niet te richten naar de Amerikaanse opvattingen en kunnen streven naar een harmonisering op Europees vlak.
Een lid wijst erop dat er weinig betwisting bestaat over de beteugeling van racisme. Er zijn echter delicatere gevallen, zoals de Scientology Church, die in de Verenigde Staten is toegestaan maar bij ons als een sekte wordt beschouwd.
Een senator antwoordt dat men slechts kan optreden in zover men een aanknopingspunt met België heeft (bijvoorbeeld indien de server of de eigenaar van de onderneming Belgisch is).
De minister antwoordt dat er altijd een aanknopingspunt met België is zodra iemand zich in België op het internet begeeft.
Het probleem doet zich vooral voor bij de uitvoering van de beslissing (cf. de beslissing van de Franse overheid om de toegang tot een site op het eigen grondgebied te verbieden, terwijl de server Amerikaans is).
Men moet ervoor zorgen dat het mogelijk blijft volledig uitvoering te geven aan de waarden die door de nationale rechterlijke beslissingen bekrachtigd worden.
Het argument dat het internet geen geografische wereld meer is maar een virtuele wereld, gaat niet op. Er blijft altijd een band met de dagelijkse realiteit : de nationale wet is van toepassing tussen degene die op het net is en degene die daarop antwoordt, zelfs al is de toestand enigszins dubbelzinnig.
Terugkomende op de Scientology Church maakt een commissielid de opmerking dat er geen enkele reden is om de informatie die ze op elektronische wijze verspreidt, te bestraffen terwijl niet opgetreden wordt tegen de informatie die via gewone geschreven kanalen verspreid wordt, ook al kan men de aandacht vestigen op het sektarische karakter van die organisatie en op het gevaar dat eraan verbonden is.
Men moet de burger weliswaar beschermen maar men moet hem ook verantwoordelijkheid geven.
Het is niet eenvoudig een evenwicht te vinden tussen de bescherming van een aantal fundamentele waarden en de bescherming van de vrije meningsuiting.
De minister behandelt vervolgens het vraagstuk van de strafbaarstellingen, en met name de strafbaarstellingen bepaald in artikel 6, de toegang tot een informaticasysteem en de kennisname van gegevens.
In dit verband voorziet het wetsontwerp in een duidelijke gradatie van misdrijven, samen met een gradatie in de opgelegde straffen.
Men kan op verschillende manieren toegang verkrijgen tot een informaticasysteem.
Het is zeer goed mogelijk dat het om een gewone vergissing gaat. Maar er zijn ook mensen die het als een sport beschouwen zich toegang te verschaffen tot een informaticasysteem terwijl ze daartoe het recht niet hebben. Het is mogelijk dat ze niets anders doen dan de toegangspoort tot de site binnendringen, zonder schade te berokkenen, en dan weggaan. Ze plegen daadwerkelijk een misdrijf en zijn strafbaar. Ze kunnen zich ook toegang tot de site verschaffen en beslissen niets anders te doen, maar gewoon door hun ongepaste aanwezigheid kunnen ze het systeem verstoren. Dat wordt bedoeld met de termen « schade, zelfs onopzettelijk, veroorzaken ».
Volgens een commissielid gaat het hier niet echt om computercriminaliteit. Zoals een vorige spreker opmerkte, zou men op die basis een student kunnen vervolgen die niet anders doet dan « zich een beetje amuseren ».
De ondernemingen die zich willen beschermen, moeten maar een beroep doen op firma's die gespecialiseerd zijn in de beveiliging van systemen.
Een senator merkt op dat het binnendringen in een systeem in Nederland alleen maar strafbaar is indien men een veiligheidssysteem kraakt met de bedoeling schade te veroorzaken.
Paragraaf 1, eerste lid, van het ontworpen artikel 6 stelt geen van deze twee voorwaarden.
Zo zal een persoon strafbaar zijn indien een bedrijf voor bepaalde gegevens een toegangscode vergeet aan te brengen en indien deze persoon van de gegevens kennis neemt.
Dat is niet te rechtvaardigen. Spreker meent dat het bedrieglijk opzet ook vereist moet zijn in het kader van § 1, eerste lid, van het ontworpen artikel 6.
Een spreker betuigt zijn instemming met de vorige spreker. Het is duidelijk dat men per vergissing, of zelfs door spel op een bepaalde site kan belanden. Het is belangrijk uit te maken of er een oogmerk is om te schaden en of er schade veroorzaakt is. Deze laatste hypothese wordt reeds in de tekst vermeld. De aanhef van artikel 6 moet dus gewijzigd worden.
De minister antwoordt dat artikel 550bis in zijn context geplaatst moet worden, namelijk de context van titel IXbis die luidt als volgt : « Misdrijven tegen de vertrouwelijkheid, integriteit en beschikbaarheid van informaticasystemen en de gegevens die door middel daarvan worden opgeslagen, verwerkt of overgedragen ».
Men moet een onderscheid maken tussen open sites, waar mensen die dat wensen hun nieuwsgierigheid kunnen bevredigen, en de andere die beschermd zijn en waar het niet de bedoeling is aan om het even wie toegang te verlenen.
Dat geldt bijvoorbeeld voor de site van Landsverdediging, waar een code noodzakelijk is, zelfs om toegang te verkrijgen tot informatie die niet noodzakelijk geheim is.
Als men zonder de code in zo'n systeem binnendringt, kan men niet aanvoeren dat het om een rechtmatige toegang gaat.
Het is natuurlijk iets anders wanneer iemand toegang tot gegevens krijgt door de nalatigheid van een gebruiker die zijn werkpost open laat staan.
Het is waar dat men per vergissing toegang kan verkrijgen tot een beschermd systeem : indien dat het geval is en de persoon onmiddellijk vertrekt zonder een andere daad te stellen, gaat het niet om een strafbaar feit.
Degene die daarentegen vaststelt dat hij per vergissing toegang heeft verkregen en daarna verder gaat of bewust in het systeem blijft, pleegt een misdrijf.
Het onderscheid tussen hacking en cracking is betwistbaar.
Degene die belast wordt met de controle van de betrouwbaarheid van een systeem, werkt in een welbepaalde context. Het is zeer goed mogelijk dat hij daarna misbruik maakt van zijn bevoorrechte positie om zich gegevens toe te eigenen.
Het begrip hacking is niet in het ontwerp opgenomen. De hacker die te goeder trouw is, zal niet onder de wet vallen want tegen hem wordt geen klacht ingediend.
Een lid herhaalt dat de eigenaar volgens hem zijn systeem moet beschermen. In een niet of slecht beschermd systeem binnendringen moet niet strafbaar zijn. Alleen het gebruik moet strafbaar zijn.
Een senator verklaart dat in de meeste gevallen inderdaad geen klacht wordt ingediend tegen de hacker die te goeder trouw is.
Indien een klacht zou worden ingediend, zou de rechter echter geen enkele beoordelingsbevoegdheid hebben en zou hij alleen maar kunnen vaststellen dat het misdrijf zeer ruim gedefinieerd is, zonder onderscheid tussen de goede trouw en het oogmerk om te schaden.
Spreker kondigt dan ook aan dat hij een amendement zal indienen om in artikel 6, § 1, eerste lid, de begrippen « bedrieglijk opzet » en « oogmerk om te schaden » in te voegen en om het tweede lid te schrappen.
Paragraaf 2 heeft, in tegenstelling tot § 1, betrekking op de insiders en de vermelding van het bedrieglijk opzet of het oogmerk om te schaden zou behouden blijven.
Wat paragraaf 3 betreft, kan spreker zich vinden in het 3º, maar het 1º en het 2º zijn volgens hem niet duidelijk. Wat betekent « kennis nemen van gegevens » ?
Paragraaf 4 bestraft de poging, wat de werkingssfeer van dit ontwerp tot in het absurde uitbreidt. Bovendien wordt de poging op dezelfde manier gestraft als de misdrijven zelf.
Een commissielid vindt dat er nog misdrijven ontbreken die ondergebracht kunnen worden bij de georganiseerde criminaliteit.
Uiteraard moet de gewone burger worden beschermd, maar het moet ook mogelijk zijn om de georganiseerde criminaliteit te vervolgen, die immers ook gebruik maakt van computers.
De minister is het eens met de spreker die benadrukte dat inzake de termijn naar een evenwicht moet worden gezocht.
Hij bevestigt dat de wet tot bescherming van de persoonlijke levenssfeer van toepassing is.
Het advies van de Europese Commissie dat door minister Daems is gevraagd, betreft vooral artikel 14 van het ontwerp en wordt verwacht tegen 11 juli.
Momenteel weten we nog niets over dit advies.
Een probleem kan zijn dat de providers krachtens het ontwerp de gegevens op het Belgisch grondgebied moeten bewaren, wat misschien strijdig wordt geacht met de eengemaakte markt.
Wat het « kraken voor educatieve doeleinden » betreft, als men toegankelijke informatie van het internet haalt, dan heet dat gewoon downloaden en dat is geen misdrijf.
Computerkraak veronderstelt dat men informatica gebruikt met het oog op een commerciële activiteit. Om een code te kraken, maakt men vaak gebruik van aangekochte of zelfgemaakte software. Moet het verbod worden uitgebreid ? Hier zijn we terug bij het probleem van de formulering van artikel 550bis, § 1, die wellicht opnieuw moet worden bekeken.
Men mag niet vergeten dat bepaalde ondernemingen zoals Belgacom een dienst leveren aan een breed publiek, aan ziekenhuizen, enz. Binnendringen in hun systeem kan voor de gebruikers enorme schade meebrengen.
Het vermoeden uit artikel 9, §§ 1 en 3, is niet onweerlegbaar. Als de betrokken persoon opwerpt dat hij niet de nodige kennis heeft, houdt het op. Het openbaar ministerie moet het bewijs van de kennis leveren, aangezien het vermoeden niet tot doel heeft de bewijslast om te keren. Paragraaf 3 is niet alleen van toepassing op de personen bedoeld in § 1, maar ook op de personen bedoeld in § 2, die het systeem in kwestie kennen.
Het ontwerp staat bestrijding van de georganiseerde criminaliteit wel degelijk toe.
Uiteraard is niet artikel 550, § 1, van het ontwerp nuttig in de strijd tegen de criminele organisaties. Het gelijkstellen van de poging met het gepleegde misdrijf kan wel belangrijk zijn in die strijd zolang maar duidelijk is dat goedmenende personen niet geviseerd worden.
Met betrekking tot artikel 9 benadrukt een senator dat in een Nederlands wetsvoorstel de persoon die meewerkt aan het ontcijferen van een boodschap, de keuze wordt gelaten om de code al dan niet aan de politie mee te delen.
Bestaat die keuze ook in dit ontwerp ?
In Nederland gebruikt men ook de term « beschikbare kennis » in plaats van « bijzondere kennis ... » om te benadrukken dat degene wiens medewerking wordt geëist, niet gedwongen kan worden om bijkomende kennis of instrumenten te ontwikkelen of te verwerven. Hoe zit dat in dit ontwerp ?
De minister antwoordt dat dit ontwerp het probleem van het ontcijferen niet regelt, omdat dat een specifiek probleem is dat moet worden opgelost in overeenstemming met de bestaande Europese regelgeving. Momenteel is het coderen volledig vrij. De verplichte mededeling van de code aan de politiediensten lijkt in elk geval nogal gevaarlijk.
Voor het overige wil het ontwerp de onderzoeksrechter toestaan om alle nodige middelen te gebruiken om in het systeem binnen te dringen. In dat opzicht lijkt de tekst van het ontwerp afdoende.
Wat het tweede punt betreft, men kan uiteraard van de in § 1 van artikel 9 bedoelde persoon niet eisen dat hij bijkomende inspanningen levert om de gevraagde medewerking te kunnen verlenen. Met betrekking tot § 2 van dit artikel is het antwoord wellicht wel meer genuanceerd, maar men mag toch niet te ver gaan.
Een commissielid heeft drie bijkomende vragen over artikel 6, § 3, 1º :
1) Wat betekenen de woorden « hetzij kennis neemt van gegevens ... » ? Wanneer men een site binnengaat, neemt men onvermijdelijk kennis van een aantal gegevens.
Is het niet beter enkel te spreken van het gebruik van gegevens ?
2) Wat betekenen de woorden « hetzij enig gebruik maakt van een informaticasysteem » precies ?
3) Moeten de woorden « zelfs onopzettelijk » niet worden geschrapt aangezien, zoals hiervoor is uiteengezet, het opzet om te schaden aanwezig moet zijn ?
De minister antwoordt op de derde vraag onder voorbehoud van een juiste afbakening van de werkingssfeer van § 1 , dat aanwezigheid op zich in een informaticasysteem kan leiden tot storingen en schade (bijvoorbeeld omdat het systeem blokkeert of een andere gebruiker problemen heeft om binnen te raken).
Uiteraard is de schade veel erger als men gegevens vernietigt.
De woorden « hetzij enig gebruik maakt van een informaticasysteem » slaan op het gebruik van een informaticasysteem van iemand anders.
Enkele maanden geleden werden bepaalde Amerikaanse zoekprogramma's verstoord door de ontvangst van een aantal boodschappen van uiteenlopende herkomst. Een onderzoek naar de identiteit leidde naar verschillende universiteiten, vanwaar de boodschappen echter niet verstuurd bleken te zijn.
Uiteindelijk bleek dat een persoon erin geslaagd was op de sites van deze universiteiten binnen te dringen en er gebruik van te maken in zijn eigen voordeel.
Wat de eerste vraag betreft, als men een site binnentreedt, komt men eerst in een soort « ontvangstruimte » van waaruit men verder wordt verwezen, maar waar nog geen belangrijke informatie te vinden is.
Een senator vindt de formulering van de tekst toch te vaag.
Een lid herhaalt zijn opmerking dat kennisnemen van gegevens zonder opzet om te schaden niet strafbaar mag zijn.
De vorige spreker wijst erop dat wanneer het om strafrechtelijke materies gaat, de wetgever eigenlijk het domein van de ethiek betreedt. Men moet dus heel voorzichtig zijn met wat men precies strafbaar maakt.
De meeste mensen zullen het kennisnemen van gegevens uit nieuwsgierigheid en zonder opzet om te schaden, moreel wellicht niet verkeerd vinden.
De artikelen 1 tot 5 geven geen aanleiding tot opmerkingen.
Artikel 6
A. Bespreking
De heer Vandenberghe en mevrouw Nyssens dienen amendement nr. 5 in (Stuk Senaat, nr. 2-392/2) dat ertoe strekt in het voorgestelde artikel 550bis, § 1, eerste lid, de woorden « met bedrieglijk opzet of met het oogmerk om te schaden » in te voegen.
Een van de indieners legt uit dat het amendement voortvloeit uit de opmerking van de Raad van State in zijn advies van 31 mei 1999 (Stuk Kamer, nr. 50-213/1, 99/00, blz. 52). Er zijn geen objectieve redenen voorhanden om een verschil in behandeling te wettigen van de handeling bedoeld in artikel 550bis, § 1, eerste lid, volgens hetwelk het louter ongeoorloofd binnendringen in een computersysteem reeds een strafbaar feit oplevert ongeacht de bedoeling van de dader, en de handeling bedoeld in § 2 van hetzelfde artikel volgens welke een persoon met recht op toegang tot het informaticasysteem, die van dat recht misbruik maakt, slechts strafbaar zou zijn wanneer er sprake is van bedrieglijk opzet of wanneer hij het oogmerk heeft te schaden. Het amendement wil die discriminatie opheffen.
Spreker meent dat de strafbaarstelling in § 1, eerste lid, te ruim geformuleerd is. Dit komt neer op het creëren van een « onvoorzichtigheidsmisdrijf ». Hij stelt vast dat de voorgestelde oplossing er ongewild toe leidt dat de systeembeheerders niet veel moeite zullen doen om hun computersysteem te beveiligen daar zij toch weten dat elke ongeoorloofde toegang strafbaar is.
Voor de minister is de kritiek van de Raad van State niet gegrond omdat § 1 en § 2 van de besproken bepaling twee aparte gevallen beogen.
Paragraaf 1 beoogt de personen die binnendringen in een computersysteem van een organisatie waarmee ze niets te maken hebben (hackers). Die praktijk brengt de veiligheid van het systeem in gevaar maar ook de integriteit van het hele netwerk omdat de informaticasystemen met elkaar verbonden zijn. Het in gevaar brengen op zich is strafbaar en alleen algemeen opzet is vereist. Bedrieglijk opzet vormt een verzwarende omstandigheid die leidt tot een strengere straf.
In het in § 2 beoogde geval gaat de regering ervan uit dat wanneer een persoon die recht van toegang tot een computersysteem heeft (insiders), van zijn recht misbruik maakt, dit in eerste instantie een intern probleem van de betrokken organisatie is. In dergelijke gevallen zijn tuchtstraffen, arbeidsrechtelijke of burgerrechtelijke sancties meer op hun plaats. Alleen de zwaarste gevallen, wanneer er een oogmerk om te schaden is, worden strafrechtelijk vervolgd.
Een commissielid stelt vast dat het ontwerp past in het kader van internationale aanbevelingen die de Staten verzoeken minimumstraffen te stellen op cybercriminaliteit. Is het ontwerp te vergelijken met de wetgeving in de andere Europese landen ?
De minister bevestigt dat het ontwerp onder meer gebaseerd is op aanbeveling nr. R(89)9 van de Raad van Europa van 13 september 1989 inzake computergerelateerde criminaliteit. Door de snelle ontwikkelingen in de sector van de informatietechnologieën is die tekst ten dele verouderd. Er lopen thans onderhandelingen om ter zake een internationaal verdrag te sluiten, maar die zijn nog niet afgerond.
Op internationaal niveau is er een tendens om het louter ongeoorloofd binnendringen in een computersysteem strafbaar te stellen. Het staat de Staten evenwel vrij te bepalen welke aanvullende handelingen een strafbaar feit uitmaken, zoals bedrieglijk opzet of het oogmerk te schaden. Dat is niet de keuze die in het voorliggende ontwerp gemaakt wordt.
Mevrouw Nyssens dient een amendement in op amendement nr. 5 (Stuk Senaat, nr. 2-392/2, amendement nr. 16), dat ertoe strekt de woorden « terwijl hij weet dat hij daartoe niet gerechtigd is » te vervangen door de woorden « met bedrieglijk opzet of met het oogmerk om te schaden ». Die woorden maken de bewuste wederrechtelijke toegang tot het systeem strafbaar.
De heer Van Quickenborne merkt op dat zijn amendement nr. 3 (Stuk Senaat, nr. 2-392/2) hetzelfde doel heeft als het bovenvermelde amendement nr. 5. Hij stelt vast dat de ongeoorloofde toegang tot een computersysteem het enige misdrijf in het voorliggende ontwerp is waarvoor geen opzet is vereist. Hij ziet niet in welke objectieve reden dit verschil kan verantwoorden.
Een commissielid steunt dit amendement. Hij wil immers voorkomen dat iemand die uit onoplettendheid in een computernetwerk binnendringt zonder daartoe gerechtigd te zijn, strafrechtelijk vervolgd kan worden.
De minister merkt op dat een dergelijke handeling niet door het ontwerp beoogd wordt aangezien artikel 550bis, § 1, vereist dat de dader zich toegang verschaft tot een informaticasysteem « terwijl hij weet dat hij daartoe niet gerechtigd is ».
De heer Van Quickenborne dient de amendementen nrs. 9, 10 en 11 in (Stuk Senaat, nr. 2-392/2) die ertoe strekken de verzwarende omstandigheden vermeld in artikel 550bis, § 3, te preciseren. Volgens spreker is de tekst voorgesteld onder het 1º, 2º en 3º onduidelijk, wat ertoe leidt dat de verzwarende omstandigheden van § 3 automatisch van toepassing zullen zijn op een dader van een misdrijf gedefinieerd in de §§ 1 en 2. Dat kan de bedoeling niet zijn.
Amendement nr. 9 strekt ertoe de verzwarende omstandigheid van het 1º te beperken tot het overnemen van gegevens van een computersysteem. De voorgestelde tekst is te algemeen aangezien de loutere kennisneming van de gegevens reeds een verzwarende omstandigheid is.
De minister is het eens met dit amendement omdat het de wil van de regering verduidelijkt.
Amendement nr. 10 heeft tot doel te verduidelijken dat de verzwarende omstandigheid van het 2º het gebruik maken van een informaticasysteem van een derde veronderstelt.
De minister is het eens met dit amendement omdat het de wil van de regering verduidelijkt.
Amendement nr. 11 strekt ertoe het onbepaald lidwoord « een » te vervangen door het bepaald lidwoord « het » zodat de verzwarende omstandigheid impliceert dat de dader schade veroorzaakt aan het informaticasysteem waarin hij is binnengedrongen.
De minister deelt de bezorgdheid van de indiener van het amendement maar stelt vast dat de tekst, zoals hij geredigeerd is, niet de schade beoogt die veroorzaakt is aan het informaticasysteem dat gebruikt wordt als « brug » om in een ander systeem binnen te dringen, noch de trapsgewijs veroorzaakte schade terwijl amendement nr. 10 wel in die mogelijkheid voorziet.
De heer Van Quickenborne dient subamendement nr. 15 in (Stuk Senaat, nr. 2-392/2) dat ertoe strekt die indirecte schade eveneens als een verzwarende omstandigheid te beschouwen.
Mevrouw de T'Serclaes dient amendement nr. 13 in (Stuk Senaat, nr. 2-392/2) dat ertoe strekt in § 3, 3º, van het voorgestelde artikel 550bis de woorden « zelfs onopzettelijk » te doen vervallen. Volgens de indiener heeft de goedkeuring van een amendement dat « opzet » toevoegt als voorwaarde voor het misdrijf in § 1, tot gevolg dat de schade bedoeld in het 3º niet meer onopzettelijk kan zijn veroorzaakt.
De minister merkt op dat zelfs indien bijzonder opzet wordt ingevoegd als voorwaarde voor het misdrijf in artikel 550bis, § 1, eerste lid wat de regering niet wenst de woorden « zelfs onopzettelijk » ondanks alles behouden moeten blijven in § 3, 3º, van hetzelfde artikel. Er moet immers een onderscheid gemaakt worden naargelang het vereiste morele element slaat op de voorwaarden voor het misdrijf of op het veroorzaken van de schade.
Wordt amendement nr. 13 aangenomen, dan wordt de regeling van de verzwarende omstandigheden versoepeld aangezien de dader zowel de bedoeling moet hebben om in een informaticasysteem binnen te dringen zonder daartoe gerechtigd te zijn maar ook nog voornemens moet zijn schade te veroorzaken. De regering wil juist de dader die schade heeft veroorzaakt, zelfs onopzettelijk, zwaarder straffen. De minister pleit derhalve voor de verwerping van dit amendement.
B. Stemmingen
Het amendement nr. 5 van de heer Vandenberghe en mevrouw Nyssens wordt eenparig aangenomen door de 10 aanwezige leden.
De amendementen nrs. 9 en 10 van de heer Van Quickenborne worden eenparig aangenomen door de 10 aanwezige leden.
De amendementen nrs. 3 en 11 van de heer Van Quickenborne, en het subamendement nr. 16 van mevrouw Nyssens, worden ingetrokken.
Het subamendement nr. 15 van de heer Van Quickenborne wordt aangenomen met 8 stemmen bij 2 onthoudingen.
Het amendement nr. 13 van mevrouw de T' Serclaes wordt ingetrokken.
Artikel 7
A. Bespreking
De regering dient amendement nr. 4 in (Stuk Senaat, nr. 2-392/3) dat ertoe strekt de structuur van het artikel te verbeteren en de inhoud ervan te preciseren.
Een commissielid vraagt zich af wat men verstaat onder de « passende technische middelen » die de procureur des Konings moet aanwenden.
De minister wijst erop dat deze uitdrukking in het oorspronkelijk ontwerp stond. Gezien het vluchtige karakter van informaticagegevens lijkt het wenselijk gewoon te vermelden dat de procureur des Konings de specifieke maatregelen neemt met betrekking tot de bewaring, de toegang tot de gegevens ... zonder deze maatregelen technisch te beschrijven. De algemene formulering maakt het mogelijk dat de « passende middelen » de ontwikkeling van de technologie volgen.
Een lid stelt vast dat amendement nr. 4 van de regering een radicale wijziging inhoudt in vergelijking met het compromis dat tijdens de besprekingen in de Kamercommissie was bereikt. Artikel 39bis, § 4, van het oorspronkelijke ontwerp stond de procureur des Konings toe om gegevens uit een informaticasysteem ontoegankelijk te maken of zelfs te verwijderen. De heer Erdman verklaarde : « Vernietiging en verbeurdverklaring zijn beslissingen die aan de rechter ten gronde toebehoren en daarom moet in ieder geval de bevoegdheid van de procureur des Konings worden beperkt tot het verbieden van verdere toegang, in afwachting van een beslissing van de rechter ten gronde » (Stuk Kamer, 1999-2000, nr. 213/4, blz. 56).
De door de Kamer aangenomen tekst stond de procureur des Konings toe met alle middelen te verhinderen dat deze gegevens verder werden gebruikt, maar hij mocht niet beslissen om de gegevens te vernietigen.
Volgens spreker keert amendement nr. 4 terug naar de oplossing van het oorspronkelijke ontwerp. Het voorgestelde artikel 39bis, § 3, tweede lid, bepaalt inderdaad dat de gegevens uit het informaticasysteem worden verwijderd. Volgens spreker krijgt de procureur des Konings zo de bevoegdheid om de gegevens te vernietigen, precies wat de Kamer wou voorkomen.
Volgens de minister bestaat tussen de oplossing van amendement nr. 4 en de door de Kamer aangenomen tekst slechts een schijnbare tegenstrijdigheid. De bedoeling van amendement nr. 4 is de procureur des Konings toe te staan om alle middelen aan te wenden om de toegang tot de gegevens van een informaticasysteem te verhinderen. Wanneer deze gegevens strijdig zijn met de openbare orde of de goede zeden, moeten ze uit het systeem worden verwijderd nadat ze gekopieerd zijn. Het zou toch onbegrijpelijk zijn dat bijvoorbeeld een gevaarlijk virus na ontdekking ervan niet uit een informaticasysteem wordt verwijderd.
Aangezien de verwijderde gegevens gekopieerd moeten zijn, is er niet echt sprake van vernietiging. Als het om informatica gaat, stemt een kopie perfect overeen met het origineel.
Een lid meent dat amendement nr. 4 de basisgedachte van de door de Kamer aangenomen tekst niet aantast. Het amendement is technisch gezien bedoeld om de regels inzake inbeslagneming van computergegevens te verduidelijken. Zij vermeldt in dit verband de verklaring van de minister in verband met het amendement van de heer Erdman, namelijk dat hij « er geen bezwaar tegen (heeft) dat de logica van het artikel omgekeerd zou worden, maar hij blijft er echter bij dat de procureur in de mogelijkheid moet zijn om gegevens te wissen, zo bijvoorbeeld aanbiedingen voor kinderporno. De procureur zal daar natuurlijk een kopie van laten maken die dan als bewijsmateriaal zal worden gebruikt » (Stuk Kamer, 1999-2000, nr. 213/4, blz. 59).
De heer Van Quickenborne dient subamendement nr. 17 in (Stuk Senaat, nr. 2-392/2) dat ertoe strekt in het ontworpen artikel 39bis, § 3, tweede lid, het begrip « verwijderen van gegevens uit het informaticasysteem » te vervangen door het begrip « ontoegankelijkheid van de gegevens ». Dit begrip wordt gedefinieerd als « het treffen van maatregelen ter voorkoming dat de beheerder van dat geautomatiseerd netwerk of derden verder van die gegevens kennisnemen of gebruikmaken, alsmede ter voorkoming van de verdere verspreiding van die gegevens. Onder ontoegankelijkmaking wordt mede verstaan het verwijderen (wissen) van de betrokken bestanden, met behoud van een kopie voor justitie ».
De minister gaat in principe akkoord met dit amendement.
B. Stemmingen
Het amendement nr. 4 van de regering, gesubamendeerd door het amendement nr. 17 van de heer Van Quickenborne, wordt eenparig aangenomen door de 10 aanwezige leden.
Artikel 8
A. Bespreking
Mevrouw de T' Serclaes dient amendement nr. 18 (Stuk Senaat, nr. 2-392/2) in om de woorden « hetzij anderszins » in het ontworpen artikel 88ter, § 1, te schrappen. Spreekster ziet niet in welke andere onderzoeksdaad dan de huiszoeking in het wetsontwerp beoogd wordt.
Een lid waarschuwt tegen de misbruiken die de ontworpen tekst zou kunnen meebrengen. Een zoeking in een informaticasysteem, in het kader van een huiszoeking, is aan strikte voorwaarden gebonden. Het vluchtige karakter van de computergegevens rechtvaardigt niet dat men al deze waarborgen opgeeft en « quasi-huiszoekingen » mogelijk maakt.
Spreker waarschuwt voor het overige voor het niet zo theoretische gevaar dat er huiszoekingen worden uitgevoerd die, door de techniek van de uitbreiding van het onderzoek, in werkelijkheid als dekmantel gebruikt worden voor het vergaren van informatie in een ander dossier, hetgeen totaal onaanvaardbaar is.
De minister verklaart dat de tekst niet alleen betrekking heeft op computers die bijvoorbeeld in een gebouw staan maar ook op draagbare computers en telefoons. Hij meent bovendien dat het ontwerp waarborgen biedt door te bepalen onder welke voorwaarden de uitbreiding van het onderzoek mogelijk is.
Een commissielid merkt op dat de eerste voorwaarde, namelijk dat de uitbreiding noodzakelijk is om de waarheid aan het licht te brengen, een gemeenplaats is. Spreker ziet niet goed in hoe onderzoeksdaden niet tot doel zouden hebben de waarheid aan het licht te brengen.
Met betrekking tot de andere voorwaarden om het onderzoek uit te breiden tot een informaticasysteem dat zich op een andere plaats bevindt (artikel 88ter, § 1, in fine) dienen de heer Vandenberghe en mevrouw Nyssens amendement nr. 6 in dat deze voorwaarden cumulatief wil maken (Stuk Senaat, nr. 2-392/2).
Een commissielid deelt die mening en citeert de bewoordingen van advies nr. 33 van 13 december 1999 van de Commissie voor de bescherming van de persoonlijke levenssfeer (Stuk Kamer, nr. 213/4, 99/00, blz. 90), namelijk dat « de uitbreiding van de huiszoeking naar andere informaticasystemen slechts zou mogen plaatsvinden indien de drie in de voorgestelde bepaling genoemde voorwaarden cumulatief aanwezig zijn ».
De minister kan niet akkoord gaan met het voorgestelde amendement : de uitbreiding van het onderzoek naar systemen die zich elders bevinden, moet mogelijk zijn, hetzij wanneer er gevaar bestaat dat bewijselementen verloren gaan, hetzij omdat andere maatregelen als het uitvaardigen van verschillende huiszoekingsbevelen disproportioneel zouden zijn. Het gaat dus om twee verschillende gevallen.
De heer Vandenberghe en mevrouw Nyssens dienen amendement nr. 7 in (Stuk Senaat, nr. 2-392/2) dat de opheffing van het voorgestelde artikel 88ter, § 3, beoogt.
Een van de indieners verwijst naar het advies van de Raad van State (Stuk Kamer, nr. 213/1, 99/00, blz. 45 en volgende). Hij is van mening dat de voorgestelde bepaling het territorialiteitsbeginsel schendt omdat de onderzoeksrechter de mogelijkheid wordt verleend om onderzoek te verrichten naar gegevens die zich in het buitenland bevinden. Spreker stelt zich vragen bij de uitvoerbaarheid van de voorgestelde procedure : waartoe dient het immers om het ministerie van Justitie op te dragen de buitenlandse Staat op de hoogte te stellen terwijl het niet zeker is dat het ten laste gelegde gedrag in die Staat strafbaar is ? Hij pleit er dan ook voor deze bepaling te schrappen.
De minister merkt op dat computercriminaliteit niet aan de grenzen stopt. Gelet op de onderlinge verbindingen tussen de informaticasystemen, zullen in het onderzoek vrij vlug elementen van buitenlandse oorsprong naar boven komen (gegevens die in het buitenland opgeslagen zijn, een aantal bestanddelen van het misdrijf die zich in verschillende Staten voordoen, ...). Aangezien er voor het overige geen internationale verdragen bestaan die de criteria voor de territoriale aanknoping bepalen, is het niet gemakkelijk de beginselen van territorialiteit en soevereiniteit op de computercriminaliteit toe te passen.
Volgens spreker schendt de voorgestelde oplossing het territorialiteitsbeginsel niet wat de vaststelling van de plaats van het misdrijf betreft. Om de rechtsmacht van de Belgische rechter te bepalen, hoeven immers niet alle bestanddelen van het misdrijf zich in België te bevinden : het is voldoende dat een van de bestanddelen zich in België voordoet.
Wat het soevereiniteitsbeginsel betreft, beperkt de voorgestelde procedure om het onderzoek uit te breiden zich tot een kennisgevingsplicht ten aanzien van de buitenlandse overheden wanneer de Belgische speurders vaststellen dat de resultaten van hun speurwerk betrekking hebben op gegevens die zich in het buitenland bevinden. Deze soevereine Staat moet dan bepalen welk gevolg hij aan deze kennisgeving zal geven.
Een lid deelt deze mening niet : in artikel 88ter, § 3, tweede lid, gaat het duidelijk om gegevens waarvan men weet dat ze zich in het buitenland bevinden. De formulering is veel ruimer dan gewoon het toevallig verkrijgen van gegevens die zich niet op het grondgebied van het Rijk bevinden.
Een senator sluit zich aan bij de verklaring van de vorige spreker : de ontworpen tekst gaat veel te ver ten opzichte van het territorialiteitsbeginsel omdat het mogelijk wordt bewust onderzoek te verrichten naar gegevens die zich in het buitenland bevinden.
De minister merkt op dat de tekst van artikel 88ter, § 3, tweede lid, bepaalt dat de procedure van toepassing is « wanneer blijkt dat deze gegevens zich niet op het grondgebied van het Rijk bevinden ». Indien het element van vreemde oorsprong a priori bewezen is, zijn de verdragen inzake internationale rechtsbijstand in strafzaken van toepassing.
B. Stemmingen
Het amendement nr. 6 van de heer Vandenberghe en mevrouw Nyssens wordt verworpen met 7 tegen 2 stemmen bij 1 onthouding.
Het amendement nr. 18 van mevrouw de T'Serclaes wordt eenparig aangenomen door de 10 aanwezige leden.
Het amendement nr. 7 van de heer Vandenberghe en mevrouw Nyssens wordt verworpen met 7 tegen 3 stemmen.
Over de artikelen 9 tot 13 zijn geen opmerkingen gemaakt.
Artikel 14 Bewaring van de gegevens
Voor de bespreking van de problematiek van de bewaringstermijn kan ook worden verwezen naar de algemene bespreking, waar deze problematiek ruimschoots aan bod kwam.
A. Bespreking
Mevrouw Nyssens dient amendement nr. 1 in (Stuk Senaat, nr. 2-392/2) dat ertoe strekt in artikel 14, 1º, een maximumtermijn van 12 maanden in te voeren voor de bewaring van de oproepgegevens en de identificatiegegevens van gebruikers van telecommunicatiediensten.
De heer Van Quickenborne dient amendement nr. 12 in dat ertoe strekt de bewaartermijn tot zes maanden terug te brengen. Volgens spreker gelden in de buurlanden bewaartermijnen van drie maanden. Het is onbillijk om de Belgische operatoren langere bewaartermijnen op te leggen met alle extra-kosten vandien. De termijn van zes maanden volstaat ruimschoots als men ziet hoe snel de daders van informaticamisdrijven kunnen worden opgespoord.
De minister wijst erop dat de bewaartermijnen momenteel overal worden verlengd. Bepaalde buurlanden die termijnen van drie maanden hanteren, hebben allemaal herzieningsprocedures gestart om de bewaartermijnen van de gegevens te verlengen.
Mevrouw Kaçar stelt voor om, met het oog op de rechtszekerheid, in de wet een bewaartermijn van 12 maanden vast te stellen. Daartoe strekt haar amendement nr. 14 (Stuk Senaat, nr. 2-392/2).
De minister sluit zich aan bij amendement nr. 1 van mevrouw Nyssens. Volgens hem is een maximumtermijn van 12 maanden een eervol compromis tussen het standpunt van de operatoren die een zo kort mogelijke termijn willen en dat van de gerechtelijke instanties die een termijn van 3 jaar willen. Dit is ook de meest soepele oplossing omdat de Koning een kortere termijn kan vaststellen na overleg met de betrokkenen.
De heer Van Quickenborne dient amendement nr. 2 in (Stuk Senaat, nr. 2-392/2) dat ertoe strekt de Koning te verplichten om de Commissie voor de bescherming van de persoonlijke levenssfeer te raadplegen bij de redactie van de uitvoeringsbesluiten waarin wordt bepaald welke gegevens de operatoren van telecommunicatienetwerken en de verstrekkers van telecommunicatiediensten moeten bewaren. Het gaat immers om delicate gegevens en in de uitvoeringsbesluiten moet worden gelet op de eerbiediging van de persoonlijke levenssfeer.
De minister bevestigt dat de regering bij de redactie van de uitvoeringsbesluiten de Commissie voor de bescherming van de persoonlijke levenssfeer zal raadplegen en ook mensen uit de telecommunicatiesector. Hij is het dus eens met amendement nr. 2.
Mevrouw Taelman trekt haar amendement nr. 8 in (Stuk Senaat, nr. 2-392/2) en vervangt het door amendement nr. 19 (Stuk Senaat, nr. 2-392/2) dat tot doel heeft het vereiste af te schaffen dat de operatoren en verstrekkers van telecommunicatiediensten gegevens bewaren binnen de grenzen van het Rijk. De plaats waar de gegevens worden bewaard heeft geen belang.
De regering steunt dit amendement omdat daardoor alle discussie wordt voorkomen over eventuele beperkingen die België zou invoeren op de Europese concurrentieregels inzake vrije dienstverlening. Doordat de operatoren en de verstrekkers van telecommunicatiediensten verplicht waren om de gegevens op het Belgisch grondgebied te bewaren, stond de tekst van het ontwerp bloot aan kritiek.
Een aantal commissieleden vraagt zich af over welke middelen het gerecht nog beschikt om de verstrekkers van informaticadiensten te dwingen mee te werken aan een onderzoek als men hen, zoals in amendement nr. 19, toestaat om de gegevens overal ter wereld te bewaren.
Een commissielid is van mening dat uit de hoorzittingen blijkt dat er geen problemen zijn op het niveau van de samenwerking tussen de verstrekkers van informaticadiensten of de operatoren en de gerechtelijke autoriteiten. Er is op vrijwillige basis een samenwerkingsakkoord gesloten over de mededeling van informatie.
Een senator deelt dit standpunt niet. De gerechtelijk politie heeft er immers op gewezen dat bepaalde Amerikaanse verstrekkers van informaticadiensten systematisch weigerden samen te werken met de gerechtelijke autoriteiten.
Voor een ander commissielid zijn er twee keuzes mogelijk : ofwel is de bewaring van de gegevens op het grondgebied van het Rijk strijdig met het Europees recht en moet gekozen worden voor de oplossing die wordt voorgesteld in amendement nr. 8 (bewaring op het grondgebied van de Europese Unie) ofwel wordt de bewaring van de gegevens op het grondgebied van het Rijk door de Europese Commissie toegestaan en kan de ontwerptekst ongewijzigd blijven.
Daar de termijn waarbinnen de Europese Commissie moet antwoorden op de vraag die haar gesteld werd over de overeenstemming van artikel 14, 1º, van het ontwerp met het Europees recht, verstrijkt op 11 juli 2000, besluit mevrouw Taelman haar amendement nr. 19 in te trekken.
De commissie besluit derhalve de tekst van het ontwerp te behouden in afwachting van aanvullende informatie.
Een senator stelt zich vragen over de manier waarop de verantwoordelijkheid zal worden gedeeld, bijvoorbeeld tussen de student die schade veroorzaakt door de verspreiding van een virus en de universiteit waartoe hij behoort.
Dezelfde spreker verwijst naar de definitie die in Nederland gegeven wordt aan de begrippen « gegevens » en « informaticasysteem ».
Kan dat ook in dit ontwerp ?
Over welke instrumenten beschikt men tenslotte wanneer misdrijven gepleegd worden bij het versturen van e-mails ? Het gebeurt immers dat het massaal versturen van e-mails de blokkering tot gevolg heeft van het systeem van degene die ze ontvangt, waardoor elke communicatie met derden verhinderd wordt.
De minister verwijst, wat het eerste punt betreft, naar de wet op de strafrechtelijke verantwoordelijkheid van rechtspersonen. Er wordt eveneens verwezen naar de algemene regels inzake strafrechtelijke verantwoordelijkheid en deelneming.
Wat de definitie van bepaalde begrippen betreft, lijkt het verkieslijk in de wettekst geen definities op te nemen want ze zouden wel eens snel verouderd kunnen zijn ingevolge de technologische ontwikkelingen.
Wat het massaal versturen van e-mails betreft die het systeem van de geadresseerde blokkeren, moet verwezen worden, indien het gaat om een commerciële context, naar de wet van 14 juli 1991 op de handelspraktijken.
Deze wet beoogt daarenboven in artikel 550ter, § 3, het geval van de computersabotage.
Heeft het massale versturen van e-mails de hierboven beschreven gevolgen, dan wordt daardoor de correcte werking van een computersysteem waarvan de communicatie met derden een belangrijke functie is verhinderd en is het bovenvermelde artikel van toepassing.
Stemmingen
De amendementen nrs. 8 en 19 van mevrouw Taelman worden ingetrokken.
Amendement nr. 1 van mevrouw Nyssens wordt aangenomen met 9 stemmen bij 1 onthouding.
Amendement nr. 2 van de heer Van Quickenborne wordt door de 10 aanwezige leden eenparig verworpen.
Amendement nr. 14 van mevrouw Kaçar wordt met 9 stemmen tegen 1 stem verworpen.
Het geamendeerde wetsontwerp in zijn geheel is eenparig aangenomen door de 10 aanwezige leden.
Vertrouwen werd geschonken aan de rapporteurs voor het uitbrengen van dit verslag.
| De rapporteurs, Jean-François ISTASSE. Meryem KAÇAR. | De voorzitter, Josy DUBIÉ. Josy DUBIÉ. |
(1) Oscar Vandemeulebroecke, « Le droit pénal et la procédure pénale confrontés à internet », in « internet sous le regard du droit », Éditions du jeune barreau de Bruxelles, 1997, blz. 151 en volgende.