Indignatie redactie 
Een doorbraak in de Europese cybercriminaliteit is goed nieuws, maar slechts het halve werk.
Cybercriminaliteit Hoewel het kader voor elektronisch bewijsmateriaal een belangrijke stap is, moeten grote verschillen met andere delen van de wereld worden overwonnen om echte vooruitgang te boeken in de strijd tegen cybercriminaliteit.
Cybercriminaliteit is een mondiale uitdaging op grote schaal. Als cybercriminaliteit een land zou zijn, zou het een van de grootste economieën ter wereld hebben. Statista schat dat de kosten vancybercriminaliteitbedroeg $8,15 biljoen in 2023. Ondertussen 37 percentvan de grote bedrijven in Groot-Brittannië zegt het afgelopen jaar te maken te hebben gehad met cybercriminaliteit. Waarom zijn de kosten van cybercriminaliteit zo hoog? Omdat de eerste regel van cybercriminaliteit is dat niemand naar de gevangenis gaat.
Cybercriminelen hebben de vruchten geplukt van een decennium van virtuele straffeloosheid, grotendeels als gevolg van de uitdagingen bij het delen van gegevens tussen wetshandhavingsinstanties die hard werken om cyberspace te controleren binnen de beperkingen van de wetten in de echte wereld.
De moeilijkheid om gegevens te delen tussen de VS en de EU heeft in belangrijke mate bijgedragen aan deze straffeloosheid. Maar de dingen kunnen eindelijk ten goede veranderen. Na acht jaar onderhandelen heeft de EU een nieuw juridisch kader aangenomen – bekend als de e-Evidence-verordening – om het bewaren en delen van elektronisch bewijsmateriaal tussen Amerikaanse platforms en EU-wetshandhavingsinstanties, maar ook tussen de EU-lidstaten mogelijk te maken.
Het delen van elektronisch bewijsmateriaal – of welke gegevens dan ook – tussen de VS en de EU is verrassend moeilijk. En het gaat niet alleen om cybercriminaliteit: meer dan 80 procent van de strafrechtelijke vervolgingen, waaronder moord, mensenhandel en andere ‘offline’ misdaden, is gebaseerd op elektronisch bewijsmateriaal. Meestal worden die gegevens bewaard door platforms in de VS, zoals Facebook, Google en Microsoft.
De EU-lidstaten en de VS zijn nauwe bondgenoten en gelijkgestemde democratieën met een gedeeld respect voor de rechtsstaat en de mensenrechten, maar de spanningen zijn sinds de onthullingen van Edward Snowden verder opgelopen en hebben geresulteerd in een zeer beperkte uitwisseling van gegevens over de Atlantische Oceaan. Natuurlijk is er ook de Algemene Verordening Gegevensbescherming (AVG), die omzetgebaseerde boetes en lange-arm jurisdictie introduceerde, wat de complexiteit en spanningen nog groter maakte.
Ook in de domeinnamenwereld zijn er spanningen, vooral via de WHOIS, een gratis dienst die direct informatie geeft over domeinnaamregistraties, inclusief de naam en het adres van de domeinnaamhouder of registrant. Deze kwestie woedt al meer dan twintig jaar binnen het bestuursorgaan van het domeinnaamsysteem, de Internet Corporation for Assigned Names and Numbers (ICANN), en schommelt wild tussen twee uitersten.
In eerste instantie benadrukten deskundigen op het gebied van de mensenrechten en gegevensbescherming de risico’s voor personen wier naam, adres, telefoon- en faxnummers (ja, faxnummers) aan het publiek openbaar werden gemaakt zonder enige opt-out. Nadat de AVG in 2018 van kracht werd, werden alle persoonlijke gegevens – om privacyredenen – geredigeerd tot ongenoegen van de openbare veiligheid en merken.
WHOIS illustreert hoe pijnlijk het kan zijn om over te stappen van vrijwillige systemen naar gereguleerde raamwerken. WHOIS begon als een technisch protocol, maar het onbedoelde nut ervan voor merkbescherming en wetshandhaving leidde tot privaatrechtelijke contracten die registers en registrars verplichtten een openbare WHOIS-dienst aan te bieden.
Naast de contractuele vereisten waren het grotendeels vrijwillige maatregelen die ervoor zorgden dat het geheel functioneerde – zoals de ‘onthulling’ van registratiegegevens die verborgen waren achter proxy’s, of de snelle verwijdering van slechte domeinen waar er sprake was van levensbedreiging.
Ondanks de juridische risico’s die inherent zijn aan het publiceren van persoonlijke gegevens aan de wereld, bleef dit systeem in Europa twintig jaar lang functioneren onder het vorige gegevensbeschermingskader. Zelfs nadat de AVG was ingevoerd, waren er respectabele meningen dat WHOIS zou kunnen blijven: de gegevensbeschermingsautoriteiten hadden nooit boetes opgelegd aan in de EU gevestigde domeinproviders voor het publiceren van persoonlijke gegevens onder WHOIS; en regelgeving voor het .eu-register – onder toezicht van de Europese Commissie zelf – vereiste specifiek openbare WHOIS-voorziening.
Maar de risicoanalyse veranderde met de AVG. Geconfronteerd met een nieuwe enorme wettelijke aansprakelijkheid, hebben bedrijven eenvoudigweg persoonlijke gegevens uit de dienst verwijderd.
Er moet een voor de hand liggende vraag worden gesteld: als iedereen het eens is over de noodzaak om gegevens te delen om echte misdaden aan te pakken, waarom is het dan zo moeilijk gebleken om overeenstemming te bereiken en vooruitgang te boeken? Acht jaar onderhandelen over de e-Evidence Act klinkt als het ergste soort bureaucratische melasse.
Mijn jarenlange vrijwilligerswerk in het doorbreken van de twintig jaar durende patstelling op het gebied van WHOIS binnen de ICANN-gemeenschap heeft mij enig inzicht gegeven in waarom het zo lang heeft geduurd. Het is, simpel gezegd, het narcisme van kleine verschillen.
De term, bedacht door Sigmund Freud, is het idee dat hoe meer een gemeenschap overeenkomsten deelt, hoe groter de kans is dat mensen in de gemeenschap ruzie met elkaar krijgen vanwege hun overgevoeligheid voor kleine verschillen. De meeste mensen in de ICANN-gemeenschap zijn het over de grondbeginselen eens, maar de WHOIS-debatten zijn verworden tot de ergste soort hardnekkige familievete.
De rechtsstaat is hard. Voor democratieën is respect voor de mensenrechten geen ongemak maar een noodzaak; een verzekeringspolis. Waarborgen en toezicht moeten op elk niveau in het openbare veiligheidsapparaat worden ingebed, en deze mechanismen zijn meestal lokaal en weerspiegelen nauw hun samenleving en cultuur.
De overgang van het intens lokale naar het inherent internationale karakter van de digitale omgeving is moeilijk. Het kost tijd, vooral in democratieën waar respect voor de grondrechten een integraal onderdeel is.
Het is nu een half decennium geleden sinds het verlies van WHOIS-gegevens en het verdriet dat wordt ervaren door wetshandhavers en merken vertoont geen tekenen van afname. Maar oplossen, het moet. Privacywetgeving zal niet verdwijnen, en dat hoeft ook niet. De enige oplossing is het vinden van een manier om bewijsmateriaal over de grenzen heen te delen op een manier die de rechten respecteert – en dat betekent dat de nadruk moet liggen op waarborgen, toezicht en een eerlijk proces.
Het bereiken van overeenstemming tussen de EU-lidstaten op het gebied van elektronisch bewijsmateriaal is een belangrijke stap, die past naast andere regelgeving en internationale overeenkomsten, zoals de OESO-principes, het Tweede Aanvullend Protocol bij het Verdrag van Boedapest en de NIS2-richtlijn.
Het OESO-proces overwon een groot obstakel tussen de EU en de VS over de vorm van toezicht die nodig was om het vrije verkeer van gegevens mogelijk te maken. Door de nadruk te leggen op effectief en onpartijdig toezicht op de relevante openbare veiligheidsinstanties creëren de OESO-principes een op resultaten gebaseerde maatregel, in plaats van de voorkeursstructuur van het ene blok aan anderen op te leggen. Deze pragmatische aanpak zou een uitweg kunnen bieden, tenminste tussen nauwe bondgenoten als de EU en de VS.
Maar er is een breder probleem. Dit zijn instrumenten tussen gelijkgestemde deelnemers en veel van de georganiseerde criminele bendes die betrokken zijn bij cybercriminaliteit bevinden zich buiten dergelijke kaders en exploiteren het beperkte geografische bereik van de bestaande internationale overeenkomsten over samenwerking op het gebied van cybercriminaliteit. Cybercriminaliteit is mondiaal van aard, maar het strafrecht is nog steeds sterk lokaal.
Terwijl gelijkgestemde mensen en naties verstrikt raken in het narcisme van kleine verschillen, zijn er ontzagwekkende verschillen, geopolitieke concurrentie en diepgaande ideologische botsingen met andere delen van de wereld die moeten worden aangepakt om echte vooruitgang te bereiken. Bij het huidige oplossingstempo kunnen cybercriminelen er zeker van zijn dat ze niet snel een gevangeniscel zullen zien.
