NEDERLAND HAASTIG MET INVOEREN WET CONTRA NETMISDAAD
Nog voordat het internationale 'cybercrime-verdrag' van kracht is geworden, deed minister Korthals al uitspraken over de implementatie ervan in Nederland. De brief die hij twee weken geleden naar de Tweede Kamer stuurde heeft een vloedgolf aan financiële, technische en juridische protesten veroorzaakt. De ontwikkeling van het cybercrimeverdrag gaat ondertussen gewoon verder.
Andere Europese landen zullen met verbazing hebben toegekeken hoe Nederland nu al de handen uit de mouwen heeft gestoken om de Nederlandse wetgeving aan te passen aan de Draft Convention on Cyber-crime, dat pas volgend jaar klaar is. Zoals Netkwesties twee weken geleden al meldde, schreef minister Korthals een brief aan de Tweede Kamer, waarin hij onder meer een aftapverplichting aankondigde. Providers moeten op bevel van de rechter-commissaris direct toegang kunnen bieden tot de surfgegevens van verdachte abonnees.
Hoewel het cybercrime-verdrag nog lang niet is afgerond, wijkt Korthals Altes er ook meteen al van af. Zo wil hij geen algemene verplichting voor providers om alle gegevens van alle abonnees te bewaren, alleen maar van verdachten. Niet alleen internetaanbieders, maar ook bedrijven zullen moeten meewerken aan het aftappen van hun netwerken. Maar in tegenstelling tot aanbieders van publieke netwerken hoeven ze hun netwerken daar niet technisch op voor te bereiden.
Kosten
Het belangrijkste gevolg voor internetgebruikers is dat providers waarschijnlijk hun kosten voor investeringen in het aftappen zullen doorberekenen. Aftappen kost naar verwachting veel geld. Hoeveel die extra kosten zullen bedragen, is voorlopig nog niet duidelijk. H. Leemans, ofschoon de directeur van de Nederlandse Vereniging voor Internetproviders (NLIP) tegenover het ANP al een bedrag van 1,5 miljoen gulden per aftapkastje noemde. Planet Internet twijfelt over dit bedrag, aldus de woordvoerder: 'Volgens onze berekeningen zijn de kosten nog minder dan de heflt. Wellicht dat die bedragen opgaan voor de kabelinternet-providers.'
Ook Casema denkt beneden een miljoen te kunnen blijven. Maar Danny ter Haar, directeur van Cistron, liet in de vorige Netkwesties juist weten dat de kosten nog veel hoger kunnen uitpakken, indien ook verkeer getapt moet worden bij centrales waarop ADSL-verbindingen worden aangeboden.
Al deze investeringen vloeien voort uit wettelijke verplichtingen. Daarom is de overheid niet verplicht om ze te vergoeden. Voor veel providers zit er dan weinig anders op dan de kosten door te berekenen aan de klanten. Een voorzichtige rekensom leert dat klanten 75 gulden per jaar extra moeten betalen, uitgaande van een provider met 100.000 abonnees en pakweg vijf aftapkastjes. Bij de meeste providers betekent dit uiteindelijk een prijsverhoging van zeker 25 procent. Hierbij zijn de mensuren om de aftapkastjes te installeren en te beheren nog niet meegerekend.
Vooral kleine internetaanbieders kunnen de dupe worden, omdat de kosten van een aftapkastje een veelvoud is van de kosten om een enkele server met elementaire voorzieningen in de lucht te houden. Nederland telt nu nog ongeveer 100 providers, maar Marcel Hooijmaijers, analist van
Julius Baer, verwacht dat dit aantal binnen twee jaar naar tien zal dalen, aldus Reuters.
Voor andere landen zullen de kosten wellicht nog hoger uitvallen. Nederland zal zich nu waarschijnlijk beperken tot het aftappen van verdachten, maar voor landen die het cybercrime-verdrag letterlijk nemen en álle klanten moeten aftappen, zullen de gevolgen enorm zijn - en dat in een branche waar de winstmarges toch al niet groot zijn.
Aan de andere kant zullen aftapkastjes waarschijnlijk een stuk goedkoper worden, naarmate meer landen ze aanschaffen.
Nederland mag dan een pioniersfunctie vervullen bij de implementatie van het cybercrime-verdrag, het moet dan ook onevenredig veel investeren.
Nog meer bezwaren
En is zo'n aftapverplichting technisch mogelijk? Cistron-directeur Ter Haar vindt van niet:
'Het is technisch niet haalbaar om op een willekeurig punt alle informatie van alle klanten voorbij te laten komen. Daardoor kunnen we gewoon niet alle verkeersgegevens verzamelen. Wel de simpele dingen zoals waar iemand vandaan belt en welke e-mails hij verstuurt.'
Andere providers als Zon en XS4ALL zitten eveneens nog met de technische gevolgen van het aftappen in hun maag.
Ook juridisch valt nog het een en ander uit te zoeken. Zoals welke wetgeving van toepassing is op het aftappen van surfgegevens. De vraag is namelijk of surf- en zoekgegevens tot 'verkeersgegevens' (Telecommunicatiewet) of 'persoonsgegevens' (Wet bescherming persoonsgegevens) moeten worden gerekend. Volgens de Wet bescherming persoonsgegevens (Wbp) is het niet toegestaan om strafrechtelijke persoonsgegevens te verzamelen, tenzij dit door organen gebeurt die officieel zijn belast met de toepassing van het strafrecht. Als het aftappen onder de Wbp valt, zouden internetaanbieders hiermee in feite de status van opsporingsambtenaren krijgen. En daar zullen weinig internetgebruikers blij mee zijn.
Internationaal perspectief
De Raad van Europa reageerde verheugd over de snelle ontwikkelingen in Nederland. Peter Csonka, hoofd van de afdeling economische misdaad, zei tegenover CNN:
'Nederland loopt duidelijk voorop. Het is de eerste keer dat ik meemaak dat een amendement zo vroeg in gang wordt gezet.'
Ook andere landen zullen hun wetgeving moeten aanpassen, bevestigde hij, maar voor nadere details vond hij het nog te vroeg.
Naar verwachting zal de conceptversie van het cybercrimeverdrag deze maand klaar zijn. In maart zal het stuk intern binnen de Raad van Europa worden bediscussieerd, waarna in juli een comité eventueel nog met wijzigingen komt. Pas in september 2001 zal de uiteindelijke versie worden ondertekend.
Dat het verdrag hard nodig is, blijkt wel uit recent onderzoek van bureau McConnell International, dat net vorige week werd gepresenteerd. Daaruit blijkt dat nog maar weinig landen hebben hun wetgeving aangepast aan computermisdaad. Van de 52 onderzochte landen hadden zeker 33 hun wetboek nog helemaal niet aangepast, waaronder Frankrijk, Italie en Bulgarije. En slechts negen landen hadden wel wetgeving paraat om zaken als hacking, het versturen van computervirussen en datadiefstal aan te pakken, maar dan slechts gedeeltelijk. Nederland behoorde niet tot de onderzochte landen.
McConnell keek naar tien verschillende soorten computercriminaliteit, waaronder datadiefstal, ongeoorloofde toegang, virussen en computerfraude. Opvallend genoeg bleken alleen de Filipijnen bij alle punten hun zaakjes goed op orde te hebben. Het is nog maar enkele maanden geleden dat de Filipijnse overheid de vermeende maker van het 'I Love You'-virus moest vrijlaten, omdat toen nog de juridische basis ontbrak voor een vervolging. De Filipijnen hebben er duidelijk van geleerd. Inmiddels is er adequate wetgeving waarmee computermisdaad veel beter kan worden aangepakt.
