Blog

De grote finale: Belgische justitie kan rechtstreeks informatie opvragen van Amerikaanse techreuzen

Geschreven door Ruben Roex op zondag 6 december 2015 in de categorie Cybercrime met de tags , , , .

In een acht jaar aanslepend dispuut tussen de Belgische justitie en het Amerikaans internetbedrijf Yahoo! heeft het Hof van Cassatie definitief geoordeeld dat het Belgische gerecht rechtstreeks bij Yahoo! mocht aankloppen voor identificatiegegevens in het kader van een onderzoek. De Belgische magistraten moesten dus niet de omslachtige weg van de internationale rechtshulpverzoeken volgen en konden zich terecht beroepen op de bevoegdheden vervat in het Belgisch recht.

Lees meer

Apple verwijdert Apps uit App Store na hack

Geschreven door Edwin Jacobs op maandag 21 september 2015 in de categorie Cybercrime met de tags , , , .

Vandaag was in het nieuws dat de App Store, de webwinkel van Apple waar je app’s voor je iphone of ipad kan downloaden is gehackt. Chinese en Amerikaanse veiligheidsspecialisten vonden besmette apps die wachtwoorden van gebruikers proberen te stelen. Apple is bezig met het verwijderen van deze apps.

Hoe zit het eigenlijk met de aansprakelijkheid van Apple en van de app-bouwers? 

Lees meer

Nieuwe Richtlijn Over Aanvallen op Informatiesystemen

Geschreven door Hans Graux op woensdag 16 oktober 2013 in de categorie Cybercrime

Op EU-niveau zijn er verscheidene pogingen ondernomen om de wetgeving inzake computercriminaliteit over de hele regio te harmoniseren.

In 2001 maakte de Raad van het Europees Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken een eerste uitstapje in dit beleidsgebied. In 2005 werd het gevolgd door het Europees Kaderbesluit over Aanvallen op Informatiesystemen.

Met het evolueren van computercriminaliteit was een herzien kader nodig. Nu vervangt een nieuwe EU-richtlijn over Aanvallen op Informatiesystemen het Kaderbesluit en zorgt zij voor een update van de regels.

Achtergrond

De eerste Europese poging om te voorzien in een geharmoniseerd wettelijk kader ter bestrijding van computercriminaliteit vond plaats in 2001, op de Raad van het Europees Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (ook gekend als het “Verdrag van Boedapest”). Het definieerde een reeks misdaden (zoals illegale toegang, systeem- en gegevensinterferentie en illegale onderschepping) en stelde regels betreffende jurisdictie en strafrechtelijke onderzoeksmaatregelen. Het was behoorlijk succesvol in haar doelen: het was één van de weinige initiatieven van de Raad van Europa die ook werd ondertekend en geratificeerd door niet-lidstaten, waaronder de VS, Japan en Canada.

Het eerste wettelijke initiatief binnenin de EU was het Europees Kaderbesluit over Aanvallen op Informatiesystemen uit 2005. Dit besluit had een iets ander toepassingsgebied dan het Verdrag van Boedapest. Aan de ene kant was het meer gericht: haar toepasbaarheid was beperkt tot enkel de EU-lidstaten, en het bevatte geen regels over onderzoeksmaatregelen (gezien dit het toepassingsgebied van de regelgevende bevoegdheden van de EU te buiten ging). Aan de andere kant specificeerde het wel minimumstraffen en vereiste het dat de Lidstaten permanente contactnetwerken (24/7) zouden creëren om elkaar bij te staan in strafrechtelijke onderzoeken; geen van beide zaken werd in het Verdrag van Boedapest opgenomen. Op deze manier werd de EU-wetgeving omtrent computercriminaliteit al tot op een zekere hoogte geharmoniseerd.

Nieuwe uitdagingen vereisen nieuwe regels

Computercriminaliteit stopte echter niet met evolueren. Er kwamen nieuwe trends op, zoals georganiseerde misdaad, botnet aanvallen (waarbij computers worden aangevallen door een zeer groot aantal besmette computersystemen) en identiteitsdiefstal (waarbij informatie over iemands identiteit wordt gebruikt door een derde partij, voornamelijk om fraude te plegen, of om op een andere manier kwaad te doen). In het licht van deze uitdagingen was een herzien kader nodig.

In 2010 publiceerde de Europese Commissie een wetsvoorstel dat, na beraadslaging, op 22 juli 2013 eindelijk door het Europese Parlement werd aangenomen. De nieuwe wetgeving werd op 14 augustus 2013 gepubliceerd in het Publicatieblad van de Europese Unie als de Richtlijn 2013/40/EU over Aanvallen op Informatiesystemen en werd van kracht op 4 september 2013. De Richtlijn schaft het Kaderbesluit af en Lidstaten moeten het in nationale wet omzetten tegen 4 september 2015.

Belangrijkste veranderingen en uitdagingen

Veel van de Richtlijn spiegelt de inhoud van het eerdere Kaderbesluit en behoeft om die reden geen betekenisvolle verandering. Bij wijze van voorbeeld: alle definities van computercriminaliteit werden weerhouden (hoewel soms met hogere straffen), evenals de regels omtrent jurisdictie, aansprakelijkheid van rechtspersonen, en medewerking via contactnetwerken die de klok rond open blijven. Daarbovenop werden een aantal elementen van het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken, geïntegreerd die tot dusver in de EU regelgeving ontbraken, zoals de misdaad van illegale onderschepping en het misbruik van tools. Gezien de meeste Lidstaten hun wetten al op één lijn hadden gezet met zowel het Kaderbesluit als met het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken, zullen deze elementen in de meeste EU-landen weinig wetgevende veranderingen behoeven.

Meerdere elementen uit de Richtlijn zijn echter compleet nieuw. De Richtlijn introduceert nieuwe verzwarende omstandigheden, inbegrepen het plegen van misdaden waar “een aanzienlijk aantal informatiesystemen werden aangetast door middel van het gebruik van tools (dwz botnetaanvallen), en misdaden “begaan door het misbruiken van persoonsgegevens van een andere persoon, met als doel het vertrouwen te winnen van een derde partij, hierbij schade veroorzakend aan de rechtmatige eigenaar van de identiteit” (dwz identiteitsdiefstal). Meer nog, Lidstaten moeten in de toekomst  in staat zijn om dringende informatieverzoeken te beantwoorden binnen een antwoordtijd van niet meer dan 8 uur, en zij zullen vereist worden statistische gegevens te verzamelen en de heersende computercriminaliteit en criminele veroordelingen binnen de eigen grenzen aan te geven.

Deze nieuwe elementen zijn niet altijd makkelijk te implementeren. Het zal een uitdaging vormen om het aantal systemen te beoordelen dat vereist is om een botnet te creëren (een “aanzienlijk aantal”), net als de vraag wat precies “schade” veroorzaakt aan de “eigenaar van een identiteit”. Op deze punten de jurisprudentie begeleiden, zal in vele Lidstaten tijd in beslag nemen. Gelijkaardig kan het verzamelen van statistische gegevens moeilijkheden opleveren, gezien de meeste Lidstaten geen overheidsinstantie hebben die bevoegd is om alle gegevens te verzamelen, zoals gecategoriseerd in de Richtlijn, aangaande prevalentie van incidenten, arrestaties, vervolgingen en veroordeling.

Het is duidelijk dat de Richtlijn de inspanningen en de samenwerking van de EU inzake de strijd tegen computercriminaliteit verder wil stroomlijnen, en bedoeld is om het wapenarsenaal van de Lidstaten van nieuwe wapens te voorzien. Het is te hopen dat deze verandering een positieve ontwikkeling zal blijken te zijn.

Hans Graux licht nader toe:

“De nieuwe Richtlijn stroomlijnt en verbetert de Europese regels in de strijd tegen computercriminaliteit. Hoewel sommige van de nieuwe bepalingen duidelijk een uitdaging zullen vormen om te implementeren en correct toe te passen, voorzien zij in een gezamenlijke weg naar een meer effectieve misdaadbestrijding.”

Voor meer informatie over deze juridische ontwikkeling gelieve Hans Graux te contacteren op (hans.graux@timelex.eu).

Deze publicatie behandelt niet noodzakelijk ieder belangrijk onderwerp, noch ieder aspect van de behandelde onderwerpen en is niet bedoeld als juridisch of ander advies.

Lees meer

Belgium ratifies Budapest Convention on Cybercrime

Op vrijdag 7 september 2012 in de categorie Cybercrime met de tags , .

Belgium has ratified the 2001 Convention of the Council of Europe on Cybercrime and joins herewith the 35 other Membser States who have already ratified the Convention. The Cybercrime Convention establishes not only principles of co-operation, but also rules of extradition.

Lees meer