Hoorcollege 1 (week 44): Inleiding, criminologisch en juridisch kader
Boek hoofdstuk 1: Computercriminaliteit in historisch perspectief
1.2 Definities en typen computercriminaliteit
De term cybercrime lijkt de voorheen veelgebruikte term computercriminaliteit te hebben
overgenomen. Voor het algemene fenomeen is, vooral vanuit wetgevingsperspectief,
‘computercriminaliteit’ nog steeds een geschikte term, omdat strafbaarstellingen in beginsel niet
beperkt zijn tot met een netwerk verbonden computers. Waar specifiek netwerkgerelateerde
criminaliteit wordt bedoeld, kan de term ‘cybercriminaliteit’ worden gehanteerd. In dit boek wordt
cybercriminaliteit als volgt gedefinieerd: “Strafbare feiten gepleegd door gebruikmaking van
elektronische communicatienetwerken en informatiesystemen of tegen dergelijke netwerken en
systemen”. De nadruk ligt hierbij op met netwerken verbonden computers. Computercriminaliteit kan
worden gedefinieerd als “criminaliteit waarbij computer(gegevens) een substantiële rol spelen”.
Parker deed al vroeg onderzoek naar computercriminaliteit en onderscheidde in 1973 drie soorten
computer crime, afhankelijk van de rol die het computersysteem in de desbetreffende gedraging
speelt:
1) De computer en zijn inhoud als object van strafbare gedragingen → de dader heeft het oog op
beïnvloeding of verstoring van geautomatiseerde proces of op aantasten of verkrijgen van
opgeslagen gegevens, waaronder programma’s.
2) De computer als instrument van strafbare gedragingen → de dader zet computersysteem en
bijbehorende functionaliteit door logische manipulatie naar zijn hand om een (traditioneel)
strafbaar feit te kunnen plegen.
3) De computer als omgeving van de strafbare gedraging → de strafbare daad wordt deels in verband
met computersysteem gepleegd, waarbij computer niet wordt gemanipuleerd (maar bijv. wordt
gebruikt om informatie op te zoeken over beoogd slachtoffer of modus operandi). Het
computersysteem is hierbij het onderdeel van de bredere omgeving waarbinnen het strafbare feit
wordt gepleegd.
Een andere categorisering kan gemaakt worden tussen computercriminaliteit in enge zin en in brede
zin. Bij computercriminaliteit in enge zin gaat het er om dat de computer voor het plegen van
criminaliteit een substantiële rol speelt. Dat is het geval bij de eerste twee categorieën van Parker. Als
men de derde categorie er aan toevoegt, dan is er sprake van computercriminaliteit in brede zin; de
computer speelt hierbij geen substantiële rol (het feit is ook zonder computers mogelijk), maar is wel
onderdeel van de omgeving waarin potentieel bewijsmateriaal te vinden is. Computercriminaliteit in
enge zin zal meestal herkenbaar zijn aan een modus operandi die bestaat uit ingrepen in functioneren
van computer of manipulatie van computergegevens. In dat geval speelt de computer immers een
substantiële rol bij plegen van delict. Bij computercriminaliteit in brede zin worden geautomatiseerde
voorzieningen meestal gebruikt zonder ingrepen in functioneren van computer of data als zodanig. In
deze benadering (net zoals in Parkers categorisering) vallen klassieke delicten onder
computercriminaliteit in enge zin als ze op een nieuwe manier gepleegd worden door misbruik van
functionaliteit van computers; ze vallen onder computercriminaliteit in brede zin als geen
computermanipulatie plaatsvindt.
1.3 Strafbaarstelling van computercriminaliteit
Het werd de vraag in hoeverre de gedragingen die worden aangeduid als computercriminaliteit door
het bestaande strafrecht werden bestreken of in hoeverre de bestaande regelgeving aanpassing
1
,diende. De OESO was in 1986 de eerste die in internationaal verband tot harmonisatie van
strafwetgeving trachtte te komen. Daartoe werd het begrip computer-related crime geïntroduceerd.
De integratie van informatietechnologie, computernetwerken en telecommunicatienetwerken werd
erkend. Als vormen van computer-related crime werden 5 gedragingen voorgesteld om door de
lidstaten in hun nationale wetgeving strafbaar te worden gesteld. Deze hebben met elkaar gemeen dat
zij ‘iets met computersystemen en computergegevens’ te maken hebben. Noch naar hun modus
operandi, noch naar het te beschermen rechtsbelang, vertonen zij echter duidelijke verwantschap. Het
werk van de OESO werd overgenomen door de Raad van Europa, die in een aanbeveling van 1989
kwam tot een lijst van 8 gedragingen, naar eigen keuze door lidstaten uit te breiden met één of meer
van vier andere strafwaardig geachte gedragingen. De lijst bevat: computer-related fraud, computer
forgery, damage to computer data and computer programs, computer sabotage, unauthorized access,
unauthorized interception, unauthorized reproduction of a protected computer program en
unauthorized reproduction of a topography. Het voordeel van het rapport is dat verschillende
gedragingen precies gedefinieerd zijn; het nadeel is de weinig systematische aanpak. De aanbeveling
was echter niet bindend en bleek onvoldoende prikkel om wetgeving te actualiseren. De Raad van
Europa besloot toen een bindend instrument op te stellen om wetgeving rond cybercriminaliteit te
stimuleren en tot op zekere hoogte te harmoniseren. Dit leidde tot het Cybercrimeverdrag dat in 2004
in werking trad. Omdat de VS ook lid wilden worden (gebeurde in 2007), werd strafbaarstelling van
racistische uitlatingen niet in het Verdrag opgenomen (want VS wilde dit niet wegens Eerste
Amendement over vrije meningsuiting), maar in een Aanvullend Protocol. Het seksueel misbruiken van
minderjarigen (met belangrijke cyberdimensie) werd geregeld in het Verdrag van Lanzarote, dat in
2010 in werking trad. Het Cybercrimeverdrag is niet door alle EU-landen geratificeerd en daarom werd
behoefte gevoeld om voor EU-lidstaten bindende regels te stellen voor computercriminaliteit. Er kwam
de Richtlijn aanvallen op computersystemen, die de strafbaarstelling van computergerichte
criminaliteit binnen de EU harmoniseert en een minimumniveau van maximumstraffen vaststelt met
bepaalde strafverzwarende omstandigheden. Sommige specifieke onderwerpen zijn geregeld in
instrumenten betreffende fraude met niet-chartaal geld, seksuele uitbuiting van kinderen en
kinderpornografie.
1.4 Statistieken
Gezien het gebrek aan eenduidigheid over terminologie, zou het niet zinvol zijn uitgebreid in te gaan
op statistieken over computercriminaliteit: de uiteenlopende vormen worden lang niet altijd als
zodanig (dus met het etiket ‘computercriminaliteit’) geregistreerd. Het aantal gevallen dat ter kennis
van politie en justitie komt, is slechts een fractie van het daadwerkelijke aantal gepleegde delicten.
Veel bedrijven doen geen aangifte wegens de pragmatische instelling van bedrijven; als de schade
beperkt blijft, neemt men zijn verlies en gaat men over tot herstel en heeft men geen belang bij
justitieel onderzoek. Organisaties hebben bovendien vaak niet eens door dat ze slachtoffer zijn
(geweest). Bovendien vinden organisaties het niet fijn als hun bedrijf door aangifte in het openbaar
komt, want dat laat de kwetsbaarheid van hun organisatie zijn. Een andere reden voor geringe
aangiftebereidheid is mogelijkheid voor bedrijven om zelf tot bevredigende oplossing te komen, vooral
als boosdoener een eigen werknemer is (dat is vaak het geval).
Er is enorme groei van zowel computercriminaliteit in enge zin als in brede zin en zelfs van andere
delicten, waarvoor door creatieve daders steeds nieuwe elektronische varianten bedacht worden. Een
overzicht van (oude maar persistente evenals nieuwe) bedreigingen is te vinden in Cybersecuritybeeld
Nederland dat het Nationaal Cyber Security Centrum jaarlijks opstelt. Hierin worden tendensen
weergegeven en inschattingen van aard en omvang van belangrijkste actuele bedreigingen. Bovendien
publiceert Europol regelmatig overzichten en nieuwe over veelvoorkomende of nieuwe vormen van
cybercrime, o.a. in de jaarlijks geautomatiseerde Internet Organised Crime Threat Assessment (IOCTA).
2
,Ondanks deze rapporten, die vooral inzicht bieden in aard van computercriminaliteit en nieuwe
vormen daarvan, blijft er een hoog dark number (onzichtbare/onbekende criminaliteit).
Slachtofferenquêtes bieden hier meer inzicht in dan aangiftecijfers, maar het blijft eigenlijk onduidelijk.
De cijfers geven echter wel een indicatie dat computercriminaliteit inmiddels niet alleen de in de media
benadrukte hightech criminaliteit met miljardenschade omvat, maar ook huis-tuin-en-keuken-
criminaliteit betreft die iedereen kan overkomen en plegen.
1.5 Geschiedenis van de wetgeving in Nederland
1.5.1 De Commissie Computercriminaliteit
Om te bekijken of de Nederlandse wetgeving i.v.m. bestrijding van computercriminaliteit aangepast
moest worden, werd in 1985 door minister van Justitie de Commissie computercriminaliteit
(Commissie-Franken) ingesteld. Ten behoeve van de in het rapport uitgevoerde leemteanalyse werden
i.v.m. de beoogde strafrechtelijke beschermingen van toepassingen van informatietechniek (nu zeggen
we: ICT) een drietal belangen onderscheiden:
1) Beschikbaarheid van middelen → heeft betrekking op opslag, verwerking en overdracht van
gegevens en op die gegevens (waaronder programmatuur) zelf. De afhankelijkheid van die
middelen is zo groot geworden dat het belang om die middelen en gegevens te gebruiken,
evenredig groot is.
2) Integriteit van systemen en daarin vervatte gegevens → de gegevens en programma’s moeten
volledig zijn. Als verkeerde gegevens worden ingevoerd, gegevens gemanipuleerd worden of
ondeugdelijke apparatuur wordt gebruikt, kan dat verstrekkende gevolgen hebben.
3) Exclusiviteit van middelen en gegevens → men wenst niet dat onbevoegden kennisnemen van als
geheim of vertrouwelijk gekenmerkte gegevens of gebruikmaken van middelen (apparatuur e.d.)
waarmee deze gegevens zijn opgeslagen.
Men ging er vanuit dat het bij computercriminaliteit gaat om aantasting van genoemde
beschikbaarheid, integriteit en exclusiviteit en de Commissie computercriminaliteit analyseerde
bestaande wetgeving en deed veel voorstellen voor aanvullingen en aanpassingen in WvSr en WvSv.
1.5.2 Zijn gegevens ‘goederen’?
Het vertrekpunt van de Commissie computercriminaliteit was dat computergegevens als zelfstandig
object van strafbare handelingen dienden te worden aangemerkt. Deze computergegevens kunnen
volgens de Commissie niet worden vereenzelvigd met strafrechtelijke vermogensobject ‘goed’. Er was
veel discussie over of gegevens al dan niet goederen zijn. Men moet zich afvragen of het wegnemen
of toe-eigenen van computergegevens ten gronde wel mogelijk is. Computergegevens verlaten bij
kopiëren immers niet de feitelijke heerschappij van het slachtoffer; hooguit verliest het slachtoffer de
exclusiviteit van de beschikbaarheid. Voorts zijn gegevens in beginsel het product van geestelijke
arbeid, terwijl goederen (net als elektriciteit) het product zijn van fysieke arbeid. Wegens deze redenen
concludeerde de commissie dat gegevens geen strafrechtelijk goed kunnen vormen. Men hield echter
nog een tijdje vast aan het Elektriciteitsarrest, waarbij elektriciteit wel als een goed werd gezien. De
HR wijzigde dit echter in 1996 en stelde het definitief vast dat gegevens geen goederen zijn. Met het
Runescape-arrest is deze opvatting deels weer verlaten, althans voor gegevens die wel exclusieve
beschikkingsmacht lijken te kennen, maar dat doet aan het algemene uitgangspunt (gegevens zijn als
zodanig geen goed) niet af.
1.5.3 De Wet Computercriminaliteit (1993)
Het wetsvoorstel werd in 1990 aangeboden aan de TK en was gebaseerd op rapport van Commissie
computercriminaliteit. Het wetsvoorstel volgde dit rapport voor wat betreft het materiële strafrechten
3
, grotendeels, maar bij voorstellen op gebied van formele strafrecht werd voor andere vormgeving
gekozen. Naar mening van de minister rechtvaardigden internationale harmonisatie, mogelijke
bedreigingen die onder ogen moeten worden gezien en feitelijke ontwikkelingen in het buitenland, de
ingrijpende wijzigingen voldoende. De Wet Computercriminaliteit bevatte drie onderdelen:
1) Er werden nieuwe definities en strafbepalingen in WvSr geïntroduceerd.
2) Nieuwe bepalingen en aanpassingen in regeling van opsporingsbevoegdheden in WvSv. Deze
nieuwe bevoegdheden kunnen in beginsel toegepast worden bij alle (ook niet-
computergerelateerde) strafbare feiten.
3) Wijziging in Burgerlijk Wetboek. Art. 2:393 BW (in titel over jaarrekening en jaarverslag) bevat
bepaling dat accountant moet onderzoeken of jaarrekening en jaarverslag aan de daaraan te
stellen eisen voldoen. Daaraan is vierde lid toegevoegd dat bepaald dat accountant in zijn niet-
openbare verslag dat hij aan de raad van commissarissen en bestuur moet uitbrengen, ten minste
melding maakt van zijn bevindingen m.b.t. betrouwbaarheid en continuïteit van geautomatiseerde
gegevensverwerking. Hij moet opgemerkte tekortkomingen in beveiliging tegen beïnvloeding en
verstoring van geautomatiseerde gegevens van rechtspersoon in verslag signaleren, al hoeft hij
daarnaar geen zelfstandig onderzoek te verrichten.
1.5.4 De Wet Computercriminaliteit II (2006)
Rekening houdend met allerlei ontwikkelingen, werd in 1999 wetsvoorstel Computercriminaliteit II bij
TK ingediend. Hierin werden materiële en formele strafrecht nader geactualiseerd en werden
verschillende wetstechnische fouten/onduidelijkheden verbeterd. Het wetsvoorstel moet mede
worden bezien in context van verschillende internationale initiatieven:
1) Totstandkoming in 1995 van aanbeveling van Raad van Europa over procedurele onderwerpen en
internationale samenwerking op gebied van IT-criminaliteit. Grootste deel van deze aanbeveling
was via de Wet Computercriminaliteit reeds in Nederlandse wetgeving gerealiseerd.
2) Lopende onderhandelingen in Straatsburg rond Cybercrimeverdrag. Onderdelen van
conceptverdrag waarvoor geen wijzigingen meer behoefden te worden verwacht, werden
opgenomen in genoemde wetsvoorstel.
3) Europese (destijds concept-)Richtlijn elektronische handel. Belangrijk onderdeel van dat
wetsvoorstel was regeling van strafrechtelijke aansprakelijkheid van tussenpersonen, waaronder
internetaanbieders. Bij nota van wijziging is in dit gedeelde evenwel ingetrokken wegens
onverenigbaarheid met de Richtlijn, die ook gevolgen had voor het strafrecht.
Tussen 1999 en 2006 werden overigens wel andere wetten al aangenomen die ook onderdelen van
het Cybercrimeverdrag implementeerden.
1.5.5 De Wet Computercriminaliteit III (2019)
In 2010 werd wetsvoorstel versterking bestrijding computercriminaliteit in consultatie gegeven, dat
enkele overgebleven onderwerpen zou regelen, zoals heling van gegevens en bevel tot verwijdering
van illegale inhoud van internet. Tegelijkertijd begonnen andere zaken, vooral rond
opsporingsbevoegdheden als hacken en decryptiebevel, op te spelen. In de parlementaire behandeling
van deze wet is sterke nadruk gelegd op nieuwe bevoegdheid voor opsporingsdiensten om op afstand
in computers binnen te dringen (hacken) en daarbij vooral op vraag hoe hierbij wordt omgegaan met
(onbekende) kwetsbaarheden die opsporingsinstantie moet benutten om binnen te kunnen dringen.
4