Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken

De landen die het verdrag geratificeerd hebben.
Informaticus en internetpionier Vinton Cerf had in 2001 zijn twijfels omtrent het internationale Cybercrimeverdrag. Maar ook over nationale regelgeving bleef hij sceptisch: "als elk land ervan uitgaat dat ze hun eigen wetgeving kunnen opstellen omtrent cybercrime en hun rechtbanken kunnen laten beslissen omtrent elk voorval dan zal het net stoppen te werken omdat geen enkele computergebruiker meer zal weten welke regels hij moet volgen en wanneer en hoe hij gearresteerd en veroordeeld zou kunnen worden".[1]
Phishing is een veel voorkomende vorm van cybercrime

Het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (Engels: Convention on Cybercrime), ook wel het cybercrimeverdrag of verdrag van Boedapest genoemd, is een verdrag dat de Raad van Europa in Boedapest op 23 november 2001 ondertekende om de wetgeving en de aanpak van computercriminaliteit mondiaal te benaderen en zo het opsporen en bestraffen van computercriminelen te vereenvoudigen. Het cybercrimeverdrag werd ondertekend door 38 staten: de Europese staten, de Verenigde Staten, Canada, Japan en Zuid-Afrika. Rusland is geen lid. Anno 2018 is het ledenaantal toegenomen tot 50.[2]

Inhoud en werking

[bewerken | brontekst bewerken]

Het verdrag is het eerste dwingende instrument van internationaal recht dat informaticacriminaliteit bestrijdt. Doelen zijn:

  • constitutieve elementen harmoniseren inzake misdrijven van het nationale materiële strafrecht
  • internationale samenwerking via grensoverschrijdende opsporingsbevoegdheden voor justitie en politie
  • alle verdragstaten te voorzien in de bestraffing van informaticamisbruiken.[3]

Definitie computercriminaliteit

[bewerken | brontekst bewerken]

Computercriminaliteit zijn "alle strafbare gedragingen die gericht zijn tegen de vertrouwelijkheid, de integriteit en de beschikbaarheid van geautomatiseerde processen en middelen (computercriminaliteit in enge zin) en de strafbare handelingen die zich richten op het verstoren of beïnvloeden van de werking van computersystemen of met die systemen onderhouden geautomatiseerde processen (computercriminaliteit in brede zin)". Voorbeelden van de eerste groep zijn het inbreken in pc-systemen, (D)DoS-aanvallen en het lanceren van computervirussen en -wormen. In de tweede groep situeren zich elektronische vermogensdelicten (betalingsverkeer, telefoonfraude, afpersing), inhoudgerelateerde delicten, (kinderpornografie, racisme en discriminatie, illegale diensten zoals internetcasino's en medische producten) en delicten op het gebied van intellectuele eigendom en de aantasting van de persoonlijke levenssfeer (zoals spionage, spam en internetstalking).

Het internationale karakter van internet bemoeilijkt het achterhalen van de identiteit en het bestraffen van informaticacriminelen. Sinds begin de jaren tachtig denkt de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) op initiatief van de VS hierover na. Na jaren discussie publiceerde de organisatie een rapport over 'computercrime', waarop de EU een voorbereidende commissie instelde. Aanvankelijk zou die haar werk tegen eind 1999 beëindigen, maar de termijn werd verlengd tot eind 2000.

Wet Informaticacriminaliteit (België)

[bewerken | brontekst bewerken]

Op 28 november 2000, nog voor het cybercrimeverdrag werd getekend, werd het Strafwetboek met de Wet inzake Informaticacriminaliteit aangepast aan de realiteit door handelingen zoals hacking, virussen en valsheid in informatica strafbaar te stellen.[4] Na de inwerkingtreding, op 13 februari 2001, presenteerde de Europese Commissie in de maand maart van dat jaar plannen om het internet veiliger te maken en online kinderpornografie en hackaanvallen aan te pakken. Die moesten het publieke vertrouwen in het online gebeuren stimuleren.[5] Het verdrag werd op 23 november 2001 ondertekend en verplichtte de ondertekenaars tot samenwerking, de invoering van informaticamisdrijven in de nationale regelgeving en een reeks onderzoeksmaatregelen om efficiënt op te treden.[3]

Regeringen verwachtten protest tegen het verdrag omwille van het mogelijke onderscheppen van de communicatie.[6] In 2001 geloofde 'Chief Internet Evangelist' voor Google Vinton Cerf dat het verdrag de privacyregels van de EU zou schenden en dat internettrafiek bijhouden over lange periodes technisch onmogelijk was. In sommige Europese landen bewaren providers voor drie maanden tot twee jaar internetlogs. Het verdrag zou die maatregel veralgemenen naar de EU. Duur en omslachtig, aldus Cerf, die dataretentie, het onderscheppen van mail of het monitoren van chatrooms beter vindt om internetmisdaad te bestrijden. Net voor de officiële voorstelling trokken ook belangenorganisaties in de VS aan de alarmbel. Die waren ontevreden omdat een deel regels in Amerika niet konden. Vooral de wetten over 'virtuele' huiszoekingen en inbeslagnames zorgden voor ongerustheid. Het Electronic Privacy Information Center (EPIC) verdacht hun 'United States Department of Justice' er van nieuwe bevoegdheden langs een achterpoortje te legaliseren. Langs de andere kant van de oceaan vreesde onder meer Gus Hosein van het Londense Privacy International dat een harmonisatie van de cyberwetten zou leiden tot een overdreven politiemacht. Anderen argumenteerden dat het verdrag onschuldigen als hackers ziet, omdat het bezit van apparatuur, dat als hackhulpmiddel dient, ook strafbaar is. Verder zouden white hat hackers in de gevangenis belanden zonder misdadige bedoelingen. Internetproviders waren verontrust door de verplichting om het surfgedrag van hun abonnees bij te houden. Gigabytes opslaan, betekende een zware investering. De opstellers wuifden de bezwaren als misverstand weg.[7] Jason Mahler (Computer and Communications Industry Association) vatte de kritiek samen:

De intenties achter het verdrag zijn goed, maar nu dat een eerste versie op tafel ligt, lijkt het meer problemen op te roepen dan wel op te lossen.

— Jason Mahler, CCIA

Na het verdrag

[bewerken | brontekst bewerken]

Aanvullend protocol

[bewerken | brontekst bewerken]

Het verdrag bevat geen regels over de bestrijding van racisme en xenofobie. Een aanvullend protocol vult dat hiaat.[8] Opdat België zou voldoen aan al deze verplichtingen waren wetsaanpassingen nodig. Die kwamen er met de wet van 15 mei 2006 tot wijziging van de artikelen 259bis, 314bis, 504quater, 550bis en 550ter van het Strafwetboek.[3] Er is geen onderscheid in de uitdrukkingswijze van het racisme of de xenofobie: schrift, beeld of geluid. Materiaal dat aanzet tot haat, discriminatie, geweld of deze reacties goedkeurt, wordt gesanctioneerd.[8] Ten slotte is er een exhaustieve lijst waarbij men van racisme of xenofobie spreekt: ras, huidskleur, afstamming, nationale of etnische afkomst en soms godsdienst. Een eerder nauwe omschrijving waaronder de discriminatie op basis van geslacht, seksualiteit, religieuze of politieke opvattingen niet vallen. Wellicht was dit een politieke keuze die het controversiële karakter van de bepalingen voor sommige staten moest reduceren.[8]

Conventie in Straatsburg

[bewerken | brontekst bewerken]

Drie jaar na de Europese conventie waren er zeven landen die de conventie ratificeerden en het in nationale wetten omzetten. Op 17 september 2004 werd in Straatsburg opnieuw een conventie gehouden omdat het vervolgen niet van de grond kwam. De politie kon namelijk niet in andere landen opereren. De conventie boog zich over fraudeurs, hackers, racistische pagina's en kinderporno. Dit maakte de belangstelling voor het verdrag groot.

Phishing en andere online fraude

[bewerken | brontekst bewerken]

In 2006 werd phishing en online fraude problematisch. Om dit aan te pakken, wilden de Europese providers en Microsoft samenwerken met Interpol. Een wereldwijde internetpolitie is weinig realistisch. Online fraudeurs werken over de grenzen heen en betrekken zo veel verschillende politiediensten. Phishing-sites zijn enkele uren open voor ze verhuizen naar een andere, nationale server. In een extreem voorbeeld werd er 'virtueel' verhuisd tussen 25 landen, waardoor 25 politiediensten betrokken werden.[9]

[bewerken | brontekst bewerken]