De minister heeft op 1 december 2010 gereageerd.

De commissies brengen bijgaand verslag uit van het gevoerde schriftelijk overleg.

BRIEF AAN DE MINISTER VAN VEILIGHEID EN JUSTITIE

Den Haag, 3 november 2010

De vaste commissies voor de JBZ-Raad en voor Justitie hebben met belangstelling kennis genomen van een voorstel van de Europese Commissie voor een richtlijn over aanvallen op informatiesystemen en tot intrekking van Kaderbesluit 2005/222/JBZ.3 De commissies beoordelen het positief dat de strafbaarstelling van cybercrime-gedragingen wordt uitgebreid en dat het materiële strafrecht van de lidstaten en procedureregels onderling beter worden afgestemd. Preventieve maatregelen in de Europese Unie worden doeltreffender en daardoor zal ook de internationale samenwerking worden versterkt.

De commissies beoordelen dit alles als positief. Wel vragen zij zich af in hoeverre vooral de – ten opzichte van het Kaderbesluit 2005 – nieuwe strafbare feiten effectief zijn op te sporen en te vervolgen, zeker nu de daders van bijvoorbeeld botnets er veelal goed voor zullen zorgen anoniem te blijven. Mede in verband hiermee vragen de commissies zich af of de strafbaarstelling van het beschikbaar stellen van instrumenten om de strafbare feiten mee te kunnen plegen (artikel 7 van de voorgestelde richtlijn), bedrijven er niet van zal weerhouden om hun gegevensverwerkingen en het beheer van hun systemen uit te besteden aan derden, te kiezen voor service oriented architectures of cloud computing. Juist nieuwe technologische ontwikkelingen als service oriented architectures en cloud computing zorgen voor productiviteitswinsten en zijn belangrijk voor de concurrentiekracht van het Europese bedrijfsleven. Welke maatregelen ziet de regering voor zich om dergelijke effecten te voorkomen?

In artikel 9 van de voorgestelde richtlijn wordt de lidstaten opgedragen om te komen tot een strafbaarstelling verzwaard met sancties die «doeltreffend, evenredig en afschrikkend» zijn. Zijn de kwalificaties «evenredig en afschrikkend» naar het oordeel van de regering nationaal bedoeld of Europees? Anders gezegd, meent de regering dat zij op het moment dat de voorgestelde richtlijn inclusief deze bepaling is aanvaard dient te zorgen voor een strafbaarstelling voor de genoemde feiten die proportioneel is binnen het stramien van het Nederlandse Wetboek van Strafrecht of binnen het grotere geheel van strafbepalingen in alle EU-lidstaten?

De commissies vernemen ten slotte graag van de regering hoe zij denkt dat de uniformiteit van de implementatie van de bepalingen over strafbare feiten in alle lidstaten het beste gegarandeerd kan worden.

Hoogachtend, mede namens de voorzitter van de vaste commissie voor Justitie,

BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 1 december 2010

De leden van de vaste commissies voor de JBZ-Raad en voor Justitie hebben enkele vragen gesteld over een voorstel van de Europese Commissie voor een richtlijn over aanvallen op informatiesystemen en tot intrekking van Kaderbesluit 2005/222/JBZ (COM(2010)517). Graag beantwoord ik deze vragen in het onderstaande. Ik stel daarbij voorop dat het mij verheugt dat de leden van de genoemde commissies de inhoud van de Ontwerprichtlijn positief beoordelen. Ook de regering staat positief tegenover de Ontwerprichtlijn. De aanpak van cybercriminaliteit op het niveau van de Europese Unie is een uit het Stockholm Programma voortvloeiende prioriteit. Ondersteuning daarvan ligt in het verlengde van de in het regeerakkoord opgenomen ambitie inzake de totstandkoming van een integrale aanpak op het gebied van cybercrime.

De leden van de genoemde commissies vroegen in hoeverre de – ten opzichte van Kaderbesluit 2005/222/JBZ nieuwe – strafbare feiten effectief zijn op te sporen en te vervolgen. Allereerst merk ik op dat het gros van de bepalingen die ten opzichte van Kaderbesluit 2005/222/JBZ nieuw zijn, ook in het Cybercrimeverdrag van de Raad van Europa zijn opgenomen. Dat verdrag heeft Nederland ondertekend, geratificeerd en geïmplementeerd in de Nederlandse wetgeving. De vraag van deze leden raakt aan de omstandigheid dat de opsporing van cybercriminaliteit – zeker als het gaat om het gebruik van informatie- en communicatietechnologie gericht tegen informatiesystemen – steeds moeilijker wordt. De oorzaak kan worden gevonden in de relatieve anonimiteit van de internetgebruiker, het gegeven dat dergelijke criminaliteit veelal grensoverschrijdend is en het accent van internet en informatie- en communicatietechnologie steeds meer komt te liggen op toegankelijkheid van informatie ongeacht plaats en tijdstip. Een voorbeeld daarvan is cloud computing. Een andere gesignaleerde trend is een globale inzet van botnets, waaraan de daarin opgenomen bots («eindcomputers») vaak ongemerkt en ongewenst deelnemen, en die centraal maar steeds vaker decentraal worden aangestuurd. Die aansturing kan door nieuwe technieken, zoals fast flux netwerken, voortdurend van plaats wisselen. Het probleem van grensoverschrijdende opsporing is een moeilijk probleem waar ook internationale deskundigen nog niet uit zijn. Inmiddels wordt hierover een voorzichtige discussie in het verdragscomité van ondertekenende staten van het Cybercrimeverdrag van de Raad van Europa gevoerd. Het lijkt mij verstandig om ook nationaal te bezien hoe de grensoverschrijdende opsporing van cybercriminaliteit verder kan worden versterkt. Het Openbaar Ministerie heeft daar langs verschillende wegen – onder andere in het kader van de ontmanteling van het zogenaamde Bredolab botnet – aandacht voor gevraagd.

Voorts stelden de leden van de genoemde commissies een vraag over artikel 7 van de Ontwerprichtlijn in relatie tot de activiteiten van bedrijven. Ik stel voorop dat een plicht tot strafbaarstelling van het beschikbaar stellen van instrumenten ook al is voorzien in het Cybercrimeverdrag van de Raad van Europa, welk verdragsonderdeel wat Nederland betreft in artikel 139d van het Wetboek van Strafrecht is uitgewerkt. Voor terughoudendheid aan de kant van bedrijven behoeft niet te worden gevreesd omdat het beschikbaar stellen van instrumenten pas strafbaar is als dit gebeurt met het oog op het begaan van de strafbare feiten uit de Ontwerprichtlijn.

Voorts vroegen de leden van de genoemde commissies of het vereiste in artikel 9 van de Ontwerprichtlijn dat de straffen doeltreffend, evenredig en afschrikwekkend moeten zijn, naar nationale maatstaven moet worden beoordeeld of binnen het grotere geheel van strafbepalingen in de lidstaten van de Europese Unie. Graag beantwoord ik deze vraag als volgt. Lidstaten moeten op grond van de artikelen 9, tweede lid, en 10 van de Ontwerprichtlijn voorzien in gevangenisstraffen met een maximum van ten minste twee onderscheidenlijk vijf jaren. De hoogte die de maximale gevangenisstraffen ten minste moeten hebben, wordt dus Europees bepaald. Met inachtneming daarvan mogen lidstaten de maximale gevangenisstraffen inpassen in hun nationale systeem. Artikel 9, eerste lid, bepaalt in het algemeen dat lidstaten moeten voorzien in doeltreffende, evenredige en afschrikwekkende straffen. Omdat richtlijnen verbindend zijn voor het resultaat en de lidstaten zelf de middelen mogen kiezen om dat resultaat te bereiken (artikel 288 Verdrag betreffende de werking van de Europese Unie), kunnen doeltreffende, evenredige en afschrikwekkende straffen volgens het nationale recht worden vormgegeven. Een met artikel 9, eerste lid, vergelijkbare bepaling kwam al voor in het Cybercrimeverdrag van de Raad van Europa en in het Kaderbesluit 2005/222/JBZ welke instrumenten in het Nederlandse recht zijn geïmplementeerd.

Ten slotte vroegen de leden van de genoemde commissies hoe uniformiteit van de implementatie van bepalingen over strafbare feiten in de lidstaten het beste kan worden gegarandeerd. In antwoord op deze vraag stel ik voorop dat de Ontwerprichtlijn erop is gericht om wat betreft de strafbare feiten en de straffen waar de Ontwerprichtlijn op ziet tot minimumharmonisatie te komen. Dat de implementatie van de minimumvoorschriften uit de richtlijn op uniforme wijze zal kunnen plaatsvinden, wordt bevorderd doordat de beoogde richtlijn voortbouwt op het Kaderbesluit 2005/222/JBZ en op het Cybercrimeverdrag van de Raad van Europa. Ook kan worden gewezen op artikel 18 van de Ontwerprichtlijn betreffende periodieke rapportage door de Europese Commissie over de implementatie van de richtlijn in de lidstaten.