Indignatie redactie 
“Het contract is bedoeld om uitgebreide toegang tot gegevens te creëren”
cybercriminaliteit – Met het Cybercrimeverdrag wil de VN computercriminaliteit in de toekomst internationaal bestraffen. Er bestaat geen erkende definitie van welke misdaden hieronder vallen. Niettemin zijn de aanklagers al bezig met het opstellen van een uitgebreide surveillancewensenlijst. Tanja Fachathaler doet verslag van de VN-onderhandelingen.
Sinds maart 2022 onderhandelen de Verenigde Naties over een verdrag ter bestrijding van cybercriminaliteit: het Cybercrimeverdrag. Eigenlijk zou het begin 2024 klaar moeten zijn. Maar er zijn een aantal inhoudelijke twistpunten en er wordt ook opgeroepen tot uitgebreide surveillancemaatregelen, die op weerstand stuiten van degenen die pleiten voor de mensenrechten. Ze vrezen dat het internationale verdrag, in plaats van cybercriminaliteit te bestrijden, bedoeld is om nieuwe, brede toegang tot data te creëren.
Tanja Fachathaler is als onderdeel van het maatschappelijk middenveld betrokken bij epicenter.works bij de VN-onderhandelingen. In het podcastgesprek legt ze uit welke problematische aspecten de huidige status van de onderhandelingen over het akkoord bevat.
Computercriminaliteit internationaal reguleren
Constanze Kurz : Vandaag hebben we het over de geplande VN-conventie genaamd “International Convention on Countering the Use of Information and Communication Technologies for Criminal Purposes”. In het gewone taalgebruik zou je zeggen dat het om cybercriminaliteit gaat, dat wil zeggen onlinecriminaliteit en computercriminaliteit. De onderhandelingen over dit verdrag zijn momenteel aan de gang. Maar er is discussie over de definitie van cybercriminaliteit.
Elina Eickstädt : Waar gaat de Cybercrime Convention over, uit welk idee komt deze voort? En wat probeert het aan te pakken?
Tanja Fachathaler : In 2017 kwam Rusland oorspronkelijk met het idee om computercriminaliteit internationaal te reguleren, te criminaliseren en overeenkomstige regelgeving te creëren voor strafrechtelijke vervolging en juridische bijstand tussen staten.
Maar dit kreeg weinig bijval. Veel staten hadden aanvankelijk grote zorgen. Dit verdrag is niet nodig omdat er in 2001 op het niveau van de Raad van Europa een verdrag over precies dit onderwerp is aangenomen: het zogenaamde Verdrag van Boedapest . Het was het eerste internationale verdrag, d.w.z. een bindend verdrag onder internationaal recht, dat computercriminaliteit reguleert, criminaliseert en ook voorziet in passende procedurele en juridische bijstandsmaatregelen.
Naast de staten van de Raad van Europa hebben inmiddels ook landen als Argentinië, Australië, Brazilië, Chili, Colombia, Costa Rica, Peru, Mauritius, Japan, Sri Lanka, Tonga en de VS zich bij dit verdrag aangesloten. Dit is geen volledige lijst, maar je kunt zien dat de staten wereldwijd wijd verspreid zijn. Het feit dat zoveel staten zich bij dit verdrag hebben aangesloten, wordt als een succes beschouwd.
Niettemin heeft de Algemene Vergadering van de VN, als orgaan dat over deze kwestie beslist, zich uitgesproken vóór het starten van onderhandelingen. Dit was geen verpletterende overwinning: de stemmen waren 79 voor, 60 tegen en 33 onthoudingen. Dit laat duidelijk zien hoe verdeeld de meningen zijn onder de staten over de vraag of er onderhandelingen moeten worden gestart of niet. Of het überhaupt nodig is om een nieuw contract over dit onderwerp te sluiten.
Elina Eickstädt : Wat zijn de kernpunten van deze onderhandelingen? En wat zijn de punten die bijzonder controversieel zijn?
Tanja Fachathaler : We hebben eigenlijk veel inspiratie gehaald uit de Conventie van Boedapest. Daarnaast zijn nog twee andere VN-documenten gebruikt, namelijk het VN-verdrag tegen corruptie en het Verdrag tegen transnationale georganiseerde misdaad.
Enerzijds heeft het nieuwe verdrag tot doel computercriminaliteit internationaal te criminaliseren. Benadrukt moet worden: Er bestaat geen internationaal erkende definitie van computercriminaliteit, dat wil zeggen welke strafbare feiten daaronder vallen. Dit is een onderwerp van discussie, het is controversieel. Aan de andere kant gaat het om de uitgebreide procedurele bevoegdheden die aan de wetshandhavingsautoriteiten worden toegekend, namelijk toezichtmaatregelen. Ze zijn grotendeels overgenomen uit het Verdrag van Boedapest.
Maar we mogen niet vergeten: het Verdrag van Boedapest is ontworpen voor Europese leden van de Raad van Europa, dat wil zeggen voor Europese staten waarvan kan worden aangenomen dat ze een gemeenschappelijke historische en juridische traditie delen, die allemaal de jurisprudentie van het Europees Hof voor de Rechten van de Mens aanvaarden. ze hebben allemaal het Europees Verdrag voor de Rechten van de Mens geratificeerd.
Ze willen deze bepalingen nu in deze nieuwe verdragstekst overplanten, waarbij ze vergeten dat deze tekst overal ter wereld toepasbaar zou moeten zijn, ook in staten die uit een heel andere rechtstraditie komen en waar de mensenrechtennormen anders zijn dan die we in Europa kennen.
Elina Eickstädt : Welke toezichtmaatregelen zijn tot nu toe voorzien in het Verdrag van Boedapest? Welke nieuwe voorstellen komen er van de internationale gemeenschap?
Tanja Fachathaler : In de eerste vier onderhandelingsrondes deed het een beetje denken aan de brief aan het Christuskind: verschillende staten wilden maatregelen of strafbare feiten die ze graag in dit verdrag terug zouden zien. Onder de monitoringmechanismen werd bijvoorbeeld het bewaren van gegevens genoemd. Het stond eigenlijk al een tijdje in de vroege versies, maar is er niet meer.
We beschikken echter over de volgende controlemechanismen: snelle back-up van opgeslagen computergegevens, snelle back-up en gedeeltelijk delen van verkeersgegevens, zoeken en in beslag nemen van opgeslagen computergegevens, real-time verzameling van verkeersgegevens en real-time verzameling van inhoudsgegevens…
Constanze Kurz : … een hele mooie lijst!
Tanja Fachathaler : Dat klopt. Het Verdrag van Boedapest was gebaseerd op de bepalingen van het Verdrag van Boedapest, waarvan sommige woordelijk werden overgenomen. Er worden echter ook wijzigingen aangebracht of nieuwe artikelen toegevoegd door staten die willen dat het een of het ander wordt opgenomen of specifieker wordt gemaakt.
Eén paragraaf voorziet bijvoorbeeld in de uitbreiding van het zoeken en in beslag nemen van opgeslagen computergegevens. Momenteel stormen wij hier samen tegenaan. De paragraaf gaat in de richting van het afdwingen van de openbaarmaking van encryptiemaatregelen en beveiligingslacunes.
Een persoon die kennis heeft van het functioneren van een computersysteem of een informatie- of telecommunicatienetwerk of de componenten ervan, moet door een staat via zijn onderzoeksautoriteiten kunnen worden bevolen hem de redelijkerwijs vereiste informatie te verstrekken. Dit betekent dat van deze persoon soms wordt verwacht dat hij versleutelingsmaatregelen of beveiligingslekken openbaar maakt. Dit zijn momenteel opgenomen bepalingen die bij ons de alarmbellen doen rinkelen.
De naam van het verdrag als verdrag tegen cybercriminaliteit is enigszins misleidend. Omdat het pas het eerste deel van dit verdrag is dat zogenaamde cybercriminaliteit omvat. Als je naar het resterende deel, dat wil zeggen de overige hoofdstukken, kijkt, krijg je heel sterk de indruk dat het om een contract gaat dat bedoeld is om alomvattende toegang tot data te creëren.
Het grote probleem
Constanze Kurz : Bij de genoemde toezichtmaatregelen zou de conventie het bijvoorbeeld mogelijk moeten maken voor aanklagers om deze gegevens bij elkaar op te vragen als onderdeel van juridische bijstand, toch?
Tanja Fachathaler : De bevoegdheden zijn gericht op de wetshandhavingsautoriteiten. Wanneer een internationaal verdrag in werking treedt, zijn de staten die het verdrag hebben geratificeerd verplicht om in hun wetgeving passende maatregelen te nemen zodat het kan worden toegepast.
Constanze Kurz : Laten we aannemen dat bepaalde toezichtsmaatregelen moeten worden ingevoerd in de landen die het ratificeren. Zouden bepaalde maatregelen ter bescherming van de grondrechten, zoals het toezicht op wetshandhavingsautoriteiten, ook ten uitvoer moeten worden gelegd?
Tanja Fachathaler : Dat is het grote probleem met het contract. We zien enorme tekorten als het gaat om de bescherming van fundamentele rechten en mensenrechten. Samen met de partnerorganisaties hebben we verbetervoorstellen gedaan , ook herhaaldelijk in de onderhandelingsrondes.
Maatschappelijke organisaties krijgen daar de kans om te spreken. Met zeer specifieke voorbeelden en verwijzingen naar de huidige wetgeving in verschillende landen hebben we erop gewezen hoe het Verdrag kan worden misbruikt als er geen passende beschermende maatregelen zijn getroffen. We zijn nog niet gehoord en onze zorgen zijn niet terug te vinden in de tekst van het contract.
Elina Eickstädt : Hoe verlopen de onderhandelingen over internationale verdragen, wie onderhandelt er eigenlijk?
Tanja Fachathaler : Op VN-niveau zitten de staten samen en onderhandelen ze over de verdragen. Het is interessant om te zien wie de werkelijke betrokkenen zijn. Ambassadeurs en diplomaten spreken meestal aan het begin als het gaat om algemene verklaringen. Over de details en wettelijke bepalingen wordt vervolgens onderhandeld door vertegenwoordigers van de wetshandhavingsautoriteiten. Het zijn veelal vrouwen en mannen die bij de ministeries van Justitie in verschillende landen werken, die vaak aan het begin van hun carrière als aanklager hebben gewerkt of afkomstig zijn van parketten.
Constanze Kurz : Dus dit getuigt van een bepaalde mentaliteit, een bepaalde manier van denken?
Tanja Fachathaler : Zo is het. Een officier van justitie heeft bijvoorbeeld oog voor de efficiëntie van de strafrechtelijke vervolging. Het gaat om het opsporen van misdaden. En een aanklager zal altijd de neiging hebben om meer instrumenten te willen dan minder.
Natuurlijk zijn de aanklagers ook toegewijd aan de mensenrechten. In Europa hebben bijvoorbeeld alle staten het Europees Verdrag voor de Rechten van de Mens geratificeerd.
Constanze Kurz : Maar je moet het globaal bekijken. Iran zou bijvoorbeeld in een andere categorie vallen, nietwaar?
Tanja Fachathaler : Dat is precies hoe het is. Maar je ziet het ook bij Europese aanklagers die bijvoorbeeld denken dat de mensenrechten sowieso van toepassing zijn en dat we nu op zoek zijn naar goede surveillance-instrumenten. Dat is een beetje overdreven, maar helemaal niet ongebruikelijk om te horen.
Ze zijn ook van mening dat het bangmakerij is als sommige staten zich bijzonder luid uitspreken voor meer bescherming van de mensenrechten of tegen buitensporige toezichtmaatregelen. Dit hoor je ook uit de westerse landen, voor wie het vooral mensen van de wetshandhavingsinstanties zijn die over dit contract onderhandelen.
Geen internationale consensus over wat cybercriminaliteit is
Elina Eickstädt : Wat staat er momenteel op het verlanglijstje, wat is cybercriminaliteit eigenlijk…
Constanze Kurz : … en waar ligt de grens? De kern van wat cybercriminaliteit is lijkt niet zo controversieel, maar eerder de randen, toch?
Tanja Fachathaler : Er bestaat hierover geen internationale consensus. Het Verdrag van Boedapest noemt strafbare feiten en maakt een sterk onderscheid tussen zogenaamde ‘cyberafhankelijke misdaden’ en ‘cyber-enabled misdaden’.
Vrijwel elk misdrijf kan tegenwoordig worden uitgevoerd met behulp van computers en digitale maatregelen. Maar dat is precies het punt: waar zijn de randen? Wij zijn van mening dat alleen ‘cyberafhankelijke misdaden’ in het verdrag moeten worden opgenomen. Dit zijn strafbare feiten die bijvoorbeeld een computersysteem als doel hebben, erop gericht zijn deze te beschadigen, of die zonder een computersysteem helemaal niet mogelijk zouden zijn.
Constanze Kurz : Kun jij hiermee de overwinning behalen?
Tanja Fachathaler : Dat is moeilijk. Illegale toegang tot computersystemen, het onrechtmatig onderscheppen van gegevens via een computer of bijvoorbeeld interferentie met een computersysteem zouden deze ‘cyberafhankelijke misdrijven’ zijn.
Ze behoren daarom tot de kern die volgens ons moet worden geregeld in een cybercriminaliteitsverdrag. Maar nu is het zo dat er geen overeenstemming kon worden bereikt over het elimineren van een aantal “door cyber mogelijk gemaakte misdaden”. Dit komt omdat ze ook zijn opgenomen in het Verdrag van Boedapest. Concreet gaat het bij de ene om computergerelateerde vervalsing en de andere om computergerelateerde fraude.
Het huidige ontwerp bevat ook enkele verontrustende toevoegingen. Denk hierbij aan strafbare feiten waarbij sprake is van kinderpornografisch materiaal, maar ook aan cybergrooming of bijvoorbeeld het onrechtmatig verspreiden van intieme beelden. Deze misdrijven zullen hoogstwaarschijnlijk onderdeel blijven van het Verdrag.
We willen niet dat de indruk wordt gewekt dat dit geen ernstige misdaden zijn. Integendeel, het is heel erg belangrijk om actie te ondernemen tegen kindermisbruik, ook online. Maar wij vragen ons af of dit verdrag daarvoor het juiste kader is.
Elina Eickstädt : Zijn deze strafbare feiten gekoppeld aan geschikte onderzoeksinstrumenten voor wetshandhavingsautoriteiten? Als het gaat om de verspreiding van beelden van kindermisbruik, zijn er dan specifieke monitoringmaatregelen getroffen?
Tanja Fachathaler : Ze zijn niet specifiek gericht op kindermisbruik. De monitoringmechanismen en alle hoofdstukken die te maken hebben met monitoring en het bieden van internationale juridische bijstand en samenwerking gaan verder dan de door het Verdrag genormeerde strafbare feiten. Deze verregaande toezichtmaatregelen en internationale samenwerking, dat wil zeggen de uitwisseling van gegevens verkregen via deze toezichtmechanismen, moeten worden toegepast op elk strafbaar feit waarbij een computersysteem wordt gebruikt. Dat zijn nog veel meer misdaden.
Er zijn geen specifieke strafmechanismen uiteengezet in specifieke paragrafen voor afbeeldingen van kindermisbruik. Wat we wel hebben – en dit is iets dat ons momenteel veel zorgen baart – is een mogelijk verbod op op consensueel geproduceerde ‘sexting’-materialen onder jongeren.
Jongeren vervolgd
Constanze Kurz : In Duitsland is de wetgeving met betrekking tot dergelijke materialen problematisch. Momenteel worden pogingen ondernomen om het strafbare feit te veranderen, omdat er sprake is van een grote criminalisering van kinderen en jongeren.
Tanja Fachathaler : We hebben het probleem ook in Oostenrijk. Als je naar de statistieken kijkt, zie je dat jongeren heel vaak daadwerkelijk worden vervolgd. De reden is ‘sexting’, d.w.z. de overdracht van verklaringen die met consensus zijn gedaan.
Natuurlijk zijn er ook culturele verschillen in een mondiale conventie. Wij staan echter zeer kritisch tegenover een algemeen verbod hier.
Constanze Kurz : Dit waren een paar voorbeelden waar je kritisch naar kijkt. Maar er zijn nog meer strafbare feiten waarbij gevreesd werd, bijvoorbeeld op het gebied van desinformatie of haatzaaiende uitlatingen, ook op het gebied van de wetgeving inzake de exploitatie van auteursrechten of op het gebied van terrorisme. Hoe kom je erachter wat de actuele status van de afzonderlijke kritische vragen is?
Tanja Fachathaler : Deze mogelijke strafbare feiten waar u het over heeft, noemde ik de wensbrief aan het Christuskind. Sommige staten wilden oppositiegroepen het zwijgen opleggen met de zegen van de VN, onder het mom van terrorismebestrijding. Het zijn tenslotte allemaal cybercriminelen. In het begin was de tekst ongelooflijk opgeblazen, dat wil zeggen in de eerste vier onderhandelingsronden. We zijn dit proces pas afgelopen winter begonnen, tijdens de vierde onderhandelingsronde in Wenen. En toen we de tekst voor het eerst bekeken, kon ik mijn ogen niet geloven.
Er waren vage, vage bewoordingen over terrorismegerelateerde misdaden. Er bestaat geen internationaal erkende definitie van terrorisme die juridisch bindend is. Andere voorbeelden waren: Wat is subversie? Wat is extremisme? Godslastering was aanvankelijk ook inbegrepen. Pakistan wilde dit; het ging over het beledigen van de Profeet. We hadden het hele spectrum…
Al deze overtredingen hebben de zogenaamde “Zero Draft” niet gehaald.
Wat wel is afgesproken is artikel 17. Het heeft betrekking op strafbare feiten die in andere internationale verdragen zijn opgenomen en die met behulp van een computersysteem worden gepleegd. Deze strafbare feiten mogen niet van het toepassingsgebied worden uitgesloten.
Dit zou bijvoorbeeld een achterdeur of een toegangspoort kunnen zijn voor vage terrorismetermen. Daarom is er momenteel een verhitte discussie losgebarsten: we moeten de term internationale verdragen uitwisselen en ons verbinden aan VN-conventies. Dit zou in ieder geval duidelijk maken en een referentiekader scheppen dat alleen die strafbare feiten mogen worden gebruikt die in een VN-document zijn erkend.
Als je wilt weten wat er momenteel in zit en wat niet, is dat een beetje lastig. Er is een website voor de ad-hoccommissie die verantwoordelijk is voor deze onderhandelingen. De Algerijnse VN-ambassadeur zit de commissie voor. Zij leidt deze onderhandelingen samen met haar team en is tevens nauw betrokken bij de ontwikkeling van de respectievelijke ontwerpen.
Updates over de individuele onderhandelingsrondes en de bijbehorende documenten worden regelmatig op de website geplaatst. Op dit moment kunt u de huidige contracttekst van de zevende onderhandelingsronde bekijken. Wanneer de onderhandelingen in januari en februari weer beginnen, wordt deze dagelijks bijgewerkt. Dan kun je heel precies zien waar het verdrag is gewijzigd en welke staten waarvoor pleiten. Je kunt het elke dag bekijken zonder urenlang voor de livestream van de VN-televisie te hoeven zitten. Ik geef toe dat deze sessies niet bepaald spannend zijn.
Ik zou graag veel meer publiciteit zien voor het hele onderhandelingsproces. Ik denk dat het grote publiek zich ervan bewust moet zijn dat deze onderhandelingen nog gaande zijn en deze winter mogelijk tot een conclusie zullen komen.
Constanze Kurz : Wat zijn, gezien de huidige status van de onderhandelingen, de drie meest kritische punten waarop je absoluut de steun van een kritisch publiek nodig hebt?
Tanja Fachathaler : Ik zou allereerst willen zeggen: een zeer beperkt toepassingsgebied van de verdragen, namelijk alleen toegesneden op “cyberafhankelijke misdaden”, dat wil zeggen eigenlijk alleen op een zeer beperkt toepassingsgebied. Strafbare feiten moeten nauwkeurig worden geformuleerd, ook qua opzet. In de huidige stand van zaken omvatten deze resoluties ethische hackers, journalisten en activisten. Dit zou hun werk bemoeilijken en mogelijk het risico van vervolging met zich meebrengen.
Het tweede wat ik graag zou willen zien zijn sterkere, uitgebreidere waarborgen. Als je nu naar de conventie kijkt, moet je je realiseren dat de afzonderlijke onderdelen een beetje in elkaar geflanst zijn en dat er geen rode draad is over welke beschermende maatregelen waar van toepassing zijn.
Er moeten zeer specifieke specificaties komen over het minimale niveau van beschermende maatregelen, vooral met betrekking tot de zeer verreikende monitoringmechanismen. Ik zou graag veel strengere regels voor gegevensbescherming zien. De manier waarop het ontwerp nu is geformuleerd, blijft vaag en is absoluut niet geschikt om een passende bescherming van onze gegevens te garanderen.
De derde zou zijn het beperken van de mogelijke monitoringmechanismen. Met name real-time monitoring moet worden uitgesloten. En er moet worden verduidelijkt dat niets in de richting van het verzwakken van de encryptie of het toestaan van spyware via de achterdeur mag worden gelezen.
Elina Eickstädt : Bedankt dat je te gast was.
