Het belangrijkste onderdeel van de voorstellen is dat de definitie van ‘hacking’ wordt verruimd. Door het wetsvoorstel Computercriminaliteit-II kan het ‘opzettelijk binnendringen van een computer(systeem)’ voldoende zijn voor een veroordeling.

Nu is voor strafbaarstelling nog vereist dat de beveiliging van een computer wordt gekraakt, een technische ingreep wordt gedaan of van een valse identiteit gebruik wordt gemaakt om toegang te krijgen.

Mensen die opzettelijk een computer(systeem) binnendringen, kunnen bestraft worden met maximaal één jaar gevangenisstraf. Als de binnendringer ook nog informatie steelt, dan bedraagt de maximumgevangenisstraf straks vier jaar.

Verkeerde verwachtingen

De digitale-burgerrechtenorganisatie Bits of Freedom (BoF) heeft forse kritiek op de gewijzigde definitie van hacking. Omdat het doorbreken van een beveiliging niet meer noodzakelijk is om te worden veroordeeld, wordt de intentie van de ‘hacker’ belangrijk. “Hoe kun je aantonen of iemand met opzet ergens is binnengedrongen? En bij wie komt de bewijslast te liggen?”, vraagt Maurice Wessling van BoF zich af.

Wessling vindt dat het wetsvoorstel indruist tegen de huidige praktijk op internet. Het is nu de gewoonste zaak van de wereld om andermans computer(systeem) ‘binnen te dringen’, bijvoorbeeld bij het gebruik van uitwisselsoftware zoals Kazaa.

“Bovendien wekt Justitie met dit voorstel verkeerde verwachtingen bij het publiek”, stelt Wessling. “Door dit wetsvoorstel kun je het idee krijgen dat het niet meer nodig is om zelf voor de beveiliging van je computer te zorgen. Het aanpakken van binnendringers wordt immers geregeld in het strafrecht.”

DDoS

Het wetsvoorstel zet een maximumstraf van één jaar op het uitvoeren van distributed denial of service (DDoS) aanvallen. Justitie omschrijft dit vergrijp als het ‘opzettelijk verstoren van de toegang tot of het gebruik van een computersysteem door er gegevens naartoe te sturen’. “Het moet gaan om ernstige vormen van hinder voor de gebruiker.”

Het platleggen van computer(systemen) met ‘ernstige vormen van spam’ wordt eveneens strafbaar, als het aan Donner ligt. Anderhalf jaar geleden was dezelfde Donner nog tegen een voorstel om het versturen van spam in het strafrecht op te nemen.

Ook het treffen van bepaalde voorbereidingshandelingen van typische computermisdrijven, zoals computervredebreuk en het onrechtmatig aftappen van informatie, wordt strafbaar. “Het gaat om de verkoop, het vervaardigen of het voorhanden hebben van geschikte ’technische hulpmiddelen’ waarmee een computermisdrijf gepleegd wordt.”

“Onder technische hulpmiddelen worden zowel de gegevensdragers verstaan (floppy’s en cd’s) als de gegevens zelf. Een voorbeeld van het laatste is een programma dat een computersysteem kan ontregelen.”

Bevriezingsbevel

Het wetsvoorstel maakt ook een zogeheten bevriezingsbevel mogelijk. Daarmee kan een officier van justitie een internetaanbieder bevelen om bepaalde gegevens van klanten ‘beschikbaar te houden’ in afwachting van een definitieve beslissing over de verstrekking van de gegevens voor een onderzoek.

“Een dergelijke bevriezingsbevel zou gunstig kunnen zijn als het in de plaats zou komen van de bewaarplicht”, meent Wessling. “Dat lijkt bij Donner echter niet de bedoeling te zijn.”

Een bevriezingsbevel is veel gerichter dan de bewaarplicht die voor iedereen geldt, vindt Wessling. De Europese regeringen werken op dit moment aan een voorstel om telecom- en internetgegevens (de zogeheten verkeersgegevens) van alle burgers te bewaren.

Verkeersgegevens zijn bijvoorbeeld de telefoonnummers die iemand belt, de plaatsgegevens van de eigenaar van een mobiele telefoon, de adressen waarnaar iemand mailt of de url’s van de webpagina’s die iemand bezoekt.

Als het aan Donner en de andere Europese ministers van Justitie ligt, worden telecom- en internetaanbieders verplicht om dergelijke informatie voor minimaal één jaar en maximaal drie jaar (de exacte termijn moet nog worden vastgesteld) op te slaan.

Cybercrimeverdrag

Het wetsvoorstel Computercriminaliteit-II is volgens Justitie een uitvloeisel van het internationale Cybercrimeverdrag dat in november 2001 is gesloten. Nederland voldoet al aan een ‘zeer groot deel’ van de eisen van dit verdrag, zo stelt Justitie.

Het wetsvoorstel moet de laatste lacunes in de Nederlandse wetgeving dichten. Al bij het opstellen van het Cybercrimeverdrag klaagden diverse organisaties dat de voorstellen te ver doorschoten.