Cybercrime, de repressie voorbij?!

Ik was juist bezig met een column over cybercrime, toen de wereldwijde aanval met zogenaamde ransom software plaatsvond, die in ieder geval het eerste deel van wat ik wilde betogen, krachtig onderstreepte. Nederland bleef, min of meer toevallig, betrekkelijk buiten schot; verder dan wat problemen bij betaalautomaten van parkeergarages, die overigens wel vaker kuren vertonen, kwam het niet, maar elders in de wereld werden ook meer essentiële onderdelen van de samenleving, zoals ziekenhuizen getroffen.

Wat ik wilde beweren was het volgende. De toenemende complexiteit van onze samenleving en het daarmee verbonden elektronische dataverkeer heeft nieuwe vormen van criminaliteit doen ontstaan, waartegen het strafrecht niet of nauwelijks is opgewassen. Dat het, ook bij de recente cyberaanval, om criminaliteit gaat blijkt onder andere uit de reactie van Europol, dat onmiddellijk opriep tot het starten van een wereldwijd opsporingsonderzoek naar de mogelijke daders. Of die echter ooit zullen worden gevonden, waag ik ernstig te betwijfelen en velen doen dat met mij. En uiteraard kan in zo’n situatie, een misdrijf zonder dader, het strafrecht niet tot gelding komen. Gevreesd moet worden dat die situatie zich in toenemende mate zal voordoen. Wie het boek leest van de Amerikaanse hoogleraar Marc Goodman, getiteld “Future Crimes”, over de diverse vormen van cybercriminaliteit die ons nog te wachten staan, kan niet anders dan de schrik om het hart slaan.

Echter ook bij de meer alledaagse vormen van cybercriminaliteit, bijvoorbeeld die waarover de Fraudehelpdesk dagelijks vele meldingen ontvangt, lijkt de rol van het strafrecht steeds verder te worden geminimaliseerd. Ook de plegers van datingfraude, de producenten van valse e-mails, beleggingsfraude en mass marketing fraud, zitten meestal goed verscholen achter complexe BV-structuren die de opsporing van hun identiteit ernstig bemoeilijkt. Dikwijls opereren ze vanuit het buitenland, maar wat is nog buitenland in de geglobaliseerde wereld. En bij buitenlandse daders wordt de opsporing er bepaald niet eenvoudiger op. Rechtshulpverzoeken, als die al aan de orde zijn, kosten tijd, veel tijd dikwijls, als ze al tot een goed einde komen.

Maar ook als die daders zich in Nederland bevinden, zijn de onderzoeken om ze te achterhalen en tot een kansrijke vervolging te komen, vaak zodanig groot dat de politie er maar liever vanaf ziet vanwege gebrek aan capaciteit; en als dat niet het geval is duren ook die onderzoeken vaak zo lang dat een eventuele straf als niet veel meer dan mosterd na de maaltijd kan worden beschouwd. De daders zijn intussen doorgegaan met hun activiteiten of, onder een nieuwe dekmantel, opnieuw begonnen.
Ten slotte dient vermeld dat, gezien het feit dat de natuurlijke personen achter dit alles al helemaal nauwelijks in beeld komen, uiteraard nooit gevangenisstraffen worden opgelegd en een geldboete het hoogst haalbare is. Bij de rechter is dat maximaal 880.000 euro, geen bedrag waar de criminelen, als het al ooit zou (kunnen) worden opgelegd, wakker van liggen gezien de winsten die in deze branche worden gemaakt.

Natuurlijk, het OM schikt van tijd tot tijd voor veel grotere bedragen met gevestigde “fatsoenlijke” ondernemingen, die de publiciteit van een strafproces willen vermijden en er belang bij hebben hun naam te zuiveren, maar dan gaat het vooral om meer klassiek fraudezaken zoals corruptie en omkoping en niet om cybercrime als zodanig. De organisaties die dit soort misdrijven plegen zijn dikwijls speciaal voor dit doel opgericht en zijn derhalve criminele organisaties in de zin van het Wetboek van Strafrecht, maar te traceren zijn ze slechts zelden.

De conclusie moet dan ook luiden dat bij de bestrijding van deze vorm van criminaliteit, het levensgrote gevaar dreigt dat de repressie, van oudsher het terrein van het strafrecht, een bot en nutteloos instrument is geworden. Geen van doelen die het strafrecht doorgaans nastreeft ligt nog binnen bereik. De daders boezemt het geen ontzag in, de slachtoffers kunnen er niet mee worden geholpen etc. etc. Dat is voor burgers en bedrijven die ermee te maken krijgen – en wie krijgt dat niet – een bijzonder zorgwekkend perspectief en een aderlating voor het gezag van de strafrechtelijke overheid, die als het ware noodgedwongen, een in omvang snel groeiend terrein van criminaliteit moet abandonneren omdat het beschikbare instrument een zinloos werktuig is geworden.

Dat alles zou betekenen dat cybercrime slechts op die andere manier kan worden bestreden, namelijk de preventieve. Daarbij is, in hoofdzaak, een drietal benaderingen mogelijk. De eerste is om het gedrag in kwestie onmogelijk te maken. Denk bijvoorbeeld aan het zogenaamde alcoholslot, waarbij de auto van een bestuurder die te veel gedronken heeft niet wil starten.

Minder vergaand is het (ernstig) bemoeilijken van de betreffende vormen van criminaliteit. Zo is uit onderzoek van mijn oud-collega Van Dijk gebleken dat veel van de relatieve teruggang van woninginbraken niet te danken is aan het opsporingssucces van de politie, maar aan allerlei preventieve maatregelen zoals camerabewaking, beter hang- en sluitwerk of zelfs een geheel ander concept bij het ontwerpen van woningen.

De derde benadering is niet op (potentiële) daders gericht maar op de slachtoffers. Slachtoffers meer bewust maken van de gevaren waardoor ze worden bedreigd kan slachtofferschap voorkómen of verminderen. Een fiets zonder slot is vragen om moeilijkheden en bij de eerder genoemde valse e-mails weten veel computergebruikers intussen wel dat het onverstandig is om die te openen.

Hoe de preventie benadering bij cybercrime precies vorm moet krijgen, is niet zo eenvoudig te zeggen omdat de vormen waarin deze misdrijven zich manifesteren steeds veranderen. Bij de Fraudehelpdesk is men ieder geval tot de conclusie gekomen dat het uitwisselen van gegevens van slachtoffers over gebruikte methoden en over (typen) daders een belangrijke preventieve werking heeft. In navolging van Engeland is er daarom een begin gemaakt met het bijeenbrengen van bedrijven uit verschillende sectoren, die de gegevens over wat ze hebben ondervonden, doorgeven aan de zogenaamde fraude infodesk. Uit ervaringen in het Verenigd Koninkrijk is namelijk gebleken dat juist dit sector overschrijdende karakter een krachtig preventief middel oplevert om de schade van diverse vormen van cybercriminaliteit te beperken. Daarbij dient bedacht te worden dat slachtoffers, ook als het bedrijven zijn, heel wat aarzeling moeten overwinnen om zich “bloot te geven”: concurrentieoverwegingen, schaamte over de kwaliteit van hun ICT-systemen en -personeel, maken de stap om gegevens te delen moeilijk. Als ze niettemin over die drempels heenstappen zou dat krachtig door de overheid moeten worden ondersteunt. Op een bepaalde manier gebeurt dat ook wel. Zo heeft het Ministerie van Veiligheid en Justitie een soort startsubsidie verleend voor het verder ontwikkelen van dit concept.

Aan de andere kant echter zijn er nog tal van formele belemmeringen om het ook tot een echt succes te maken. Een heel belangrijke is de privacy wetgeving, die terecht strenge eisen stelt aan het verzamelen, bewerken en uitwisselen van persoonsgegevens. De Autoriteit Persoonsgegevens vervult hierbij een belangrijke waakhond functie. Die belemmeringen komen echter naar mening in een ander licht te staan wanneer het gaat om het uitwisselen van gegevens van “criminelen” en wanneer de overheid zelf geen middelen (meer) heeft om de genoemde vorm van criminaliteit het hoofd te bieden.

Let wel: ik bepleit niet dat de waakhond maar een oogje dicht moet knijpen; wat heb je aan zo’n hond? Maar net zoals de baas een opgeschrokken hond gerust stelt met de mededeling “Bello, (welke hond heet er overigens tegenwoordig nog Bello?), goed volk”, zou de wetgever, tegen de achtergrond van het bovenstaande opnieuw moeten nadenken over een evenwichtige inrichting van de Wet Bescherming Persoonsgegevens. Ik weet het: in 2018 wordt een nieuwe Europese regeling van kracht, maar dat mag geen alibi zijn om het geschetste probleem te negeren.

Een overheid die, om op zichzelf begrijpelijke gronden, de burger in de kou laat staan bij de bescherming van zijn privacy als slachtoffer van privacycriminelen, kan en mag diezelfde burger niet onevenredig belemmeren bij het treffen van tegenmaatregelen om zijn privacy langs andere wegen te beschermen.

Dato Steenhuis
Tot enkele jaren geleden Procureur-Generaal en lid van het College van Procureurs-Generaal Openbaar Ministerie