VERSLAG over het voorstel van de Commissie met het oog op de goedkeuring van een kaderbesluit van de Raad over aanvallen op informatiesystemen
(COM(2002) 173 – C5‑0271/2002 – 2002/0086(CNS))
4 oktober 2002 - *
Commissie vrijheden en rechten van de burger, justitie en binnenlandse zaken
Rapporteur: Charlotte Cederschiöld
PROCEDUREVERLOOP
Bij schrijven van 12 juni 2002 verzocht de Raad, overeenkomstig artikel 39, lid 1 van het EU‑Verdrag, het Parlement om advies inzake het voorstel van de Commissie met het oog op de goedkeuring van een kaderbesluit van de Raad over aanvallen op informatiesystemen (COM(2002) 173 – 2002/0086(CNS)).
Op 13 juni 2002 gaf de Voorzitter van het Parlement kennis van de verwijzing van dit voorstel naar de Commissie vrijheden en rechten van de burger, justitie en binnenlandse zaken als commissie ten principale en naar de Commissie juridische zaken en interne markt en de Commissie industrie, externe handel, onderzoek en energie als medeadviserende commissies (C5‑0271/2002).
De Commissie vrijheden en rechten van de burger, justitie en binnenlandse zaken benoemde op haar vergadering van 23 mei 2002 Charlotte Cederschiöld tot rapporteur.
De commissie behandelde het Commissievoorstel en het ontwerpverslag op haar vergaderingen van 17 juni,11 september en 3 oktober 2002.
Op dezelfde/laatstgenoemde vergadering hechtte zij met 27 stemmen voor en 5 tegen bij 2 onthoudingen haar goedkeuring aan de ontwerpwetgevingsresolutie.
Bij de stemming waren aanwezig: Jorge Salvador Hernández Mollar (voorzitter), Giacomo Santini (ondervoorzitter), Charlotte Cederschiöld (rapporteur), Giuseppe Brienza, Marco Cappato (verving Maurizio Turco), Ozan Ceyhun, Carlos Coelho, Gérard M.J. Deprez, Giuseppe Di Lello Finuoli, Enrico Ferri (verving Bernd Posselt), Adeline Hazan, Pierre Jonckheer, Timothy Kirkhope, Eva Klamt, Ole Krarup, Jean Lambert (verving Alima Boumediene-Thiery), Baroness Sarah Ludford, Lucio Manisco (verving Fodé Sylla), Bill Newton Dunn, Marcelino Oreja Arburúa, Elena Ornella Paciotti, Paolo Pastorelli (verving Marcello Dell'Utri), Hubert Pirker, Martine Roure, Heide Rühle, Olle Schmidt (verving Lousewies van der Laan), Ilka Schröder, Miet Smet (verving Mary Elizabeth Banotti), Ole Sørensen (verving Francesco Rutelli), Patsy Sörensen, The Earl of Stockton (verving The Lord Bethell), Anna Terrón i Cusí, Christian Ulrik von Boetticher en Christos Zacharakis (verving Thierry Cornillet).
Het advies van de Commissie industrie, externe handel, onderzoek en energie is bij dit verslag gevoegd. De Commissie juridische zaken en interne markt heeft op 28 mei 2002 besloten geen advies uit te brengen.
Het verslag werd ingediend op 4 oktober 2002.
De termijn voor de indiening van amendementen wordt bekendgemaakt in de ontwerpagenda voor de vergaderperiode waarin het verslag wordt behandeld.
ONTWERPWETGEVINGSRESOLUTIE
Wetgevingsresolutie van het Europees Parlement over het voorstel van de Commissie met het oog op de goedkeuring van een kaderbesluit van de Raad over aanvallen op informatiesystemen (COM(2002) 173 – C5‑0271/2002 – 2002/0086(CNS))
(Raadplegingsprocedure)
Het Europees Parlement,
– gezien het voorstel van de Commissie aan de Raad (COM(2002) 173[1]),
– gelet op artikel 34, lid 2, letter b) van het EU-Verdrag,
– geraadpleegd door de Raad overeenkomstig artikel 39, lid 1 van het EU‑Verdrag (C5‑0271/2002),
– gelet op de artikelen 106 en 67 van zijn Reglement,
– gezien het verslag van de Commissie vrijheden en rechten van de burger, justitie en binnenlandse zaken en het advies van de Commissie industrie, externe handel, onderzoek en energie (A5‑0328/2002),
1. hecht zijn goedkeuring aan het Commissievoorstel, als geamendeerd door het Parlement;
2. verzoekt de Raad, wanneer deze voornemens is af te wijken van de door het Parlement goedgekeurde tekst, het Parlement hiervan op de hoogte te stellen;
3. wenst opnieuw te worden geraadpleegd ingeval de Raad voornemens is ingrijpende wijzigingen aan te brengen in het voorstel van de Commissie;
4. verzoekt zijn Voorzitter het standpunt van het Parlement te doen toekomen aan de Raad en de Commissie.
| Door de Commissie voorgestelde tekst | Amendementen van het Parlement |
| Amendement 1 Overweging 5 bis (nieuw) | |
|
(5 bis) Het onderhavige kaderbesluit en de definities als vermeld in artikel 2 dienen met elkaar overeen te komen en waar nodig te worden uitgebreid om ze in overeenstemming te brengen met de nieuwe OESO-richtlijnen inzake de veiligheid van informatiesystemen en -netwerken, die zijn aangenomen op 25 juli 2002. | |
Motivering Spreekt voor zich. | |
| Amendement 2 Overweging 9 | |
|
(9) Alle lidstaten hebben het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens geratificeerd. De persoonsgegevens die worden verwerkt in het kader van de tenuitvoerlegging van dit kaderbesluit, worden beschermd overeenkomstig de beginselen van genoemd Verdrag. |
(9) Alle lidstaten hebben het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens geratificeerd. De persoonsgegevens die worden verwerkt in het kader van de tenuitvoerlegging van dit kaderbesluit, worden beschermd overeenkomstig de beginselen van genoemd Verdrag. Op Europees niveau ontbreekt het momenteel nog steeds aan adequate wettelijke voorschriften inzake gegevensbescherming binnen het kader van de derde pijler. Er is derhalve specifiek met het oog op de rechtshandhaving dringend behoefte aan een in het kader van de derde pijler in te stellen EU-instrument voor de bescherming van persoonsgegevens. |
Motivering Het Verdrag van de Raad van Europa kan niet in de plaats treden van een rechtsinstrument voor databescherming op Europees niveau en maakt de invoering van een dergelijk instrument ook beslist niet minder noodzakelijk. Het Europees Parlement heeft herhaaldelijk gewezen op de noodzaak tot invoering van een instrument voor gegevensbescherming in het kader van de derde pijler. | |
| Amendement 3 Overweging 13 bis (nieuw) | |
|
(13 bis) 1. De bescherming van informatiesystemen is van wezenlijk belang voor de totstandbrenging van een ruimte van vrijheid, veiligheid en rechtvaardigheid, maar er moet rekening mee worden gehouden dat dergelijke systemen ook kunnen worden misbruikt. Binnen het kader van de nationale wetgevingen moet derhalve zorgvuldig toezicht worden gehouden op aanvallen en onrechtmatige inbreuken op informatiesystemen wanneer deze erop gericht zijn doelen na te streven die in strijd zijn met de grondrechten en fundamentele vrijheden, in afwachting dat Europese mensenrechtenkwesties onder het Gemeenschapsrecht zullen vallen en daarmee op een democratischer manier kunnen worden behandeld doordat ze tevens worden betrokken bij de bepaling van Europese standpunten. 2. Bovendien moeten gedragingen die volgens de nationale wetgevingen als onbeduidend worden beschouwd, expliciet van strafbaarstelling worden uitgesloten en derhalve uit de werkingssfeer van dit kaderbesluit worden gelicht.. | |
Motivering Aangezien de eerbiediging van de mensenrechten in de EU niet dezelfde democratische bescherming geniet als de interne markt, moet de democratische verantwoordelijkheid op dit terrein nader worden bepaald. Gedragingen die als onbeduidend kunnen worden beschouwd zouden van strafbaarstelling moeten kunnen worden uitgesloten, waarbij tevens de jonge leeftijd van de dader in aanmerking moet worden genomen, zoals in het verslag wordt voorgesteld en ook op nationaal niveau in de strafwetgeving van de meeste lidstaten terug te vinden is. De mogelijkheid om geringe overtredingen van de toepassing van het kaderbesluit uit te sluiten komt ook uit de toelichting bij het Commissievoorstel naar voren. | |
| Amendement 4 Overweging 16 | |
|
(16) Er moeten ook maatregelen worden genomen met het oog op de samenwerking tussen de lidstaten teneinde een doeltreffend optreden tegen aanvallen op informatiesystemen mogelijk te maken. Er moeten operationele meldpunten worden ingesteld voor de uitwisseling van informatie. |
(16) Er moeten ook maatregelen worden genomen met het oog op de samenwerking tussen de lidstaten teneinde een doeltreffend optreden tegen aanvallen op informatiesystemen mogelijk te maken. Er moeten operationele meldpunten worden ingesteld voor de uitwisseling van informatie. Deze moeten in gebruik worden genomen zodra een geschikt instrument voor databescherming in het kader van de derde pijler op Europees niveau is ingevoerd. |
Motivering Het Europees Parlement heeft herhaaldelijk gewezen op de noodzaak tot invoering van een instrument voor databescherming in het kader van de derde pijler. Pas wanneer een dergelijk instrument voor databescherming effectief beschikbaar is, kan tot intensievere uitwisseling van strafrechtelijke informatie op Europees niveau worden overgegaan. | |
| Amendement 5 Overweging 19 | |
|
(19) In dit kaderbesluit worden de grondrechten in acht genomen en de beginselen nageleefd die in het bijzonder zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie, met name in de hoofdstukken II en VI. |
(19) In dit kaderbesluit worden de grondrechten en fundamentele vrijheden in acht genomen en de beginselen nageleefd die in het bijzonder zijn vastgelegd in het Europees Verdrag tot bescherming van de rechten van de mens en van de fundamentele vrijheden en in de jurisprudentie van het Europese Hof voor de rechten van de mens, in het Handvest van de grondrechten van de Europese Unie, met name in de hoofdstukken II en VI, alsmede in het nationale en internationale recht op het gebied van mensenrechten en fundamentele vrijheden. In die zin mogen het onderhavige kaderbesluit en de nationale maatregelen ter uitvoering daarvan niet worden gebruikt om met name de vrijheid van mening en meningsuiting, van demonstratie en vereniging te onderdrukken. |
Motivering Spreekt voor zich. | |
| Amendement 6 Artikel 1 | |
|
Dit kaderbesluit heeft ten doel de samenwerking tussen de justitiële en andere bevoegde autoriteiten van de lidstaten, zoals de politie en andere gespecialiseerde rechtshandhavingsinstanties, te verbeteren door middel van de onderlinge afstemming van de strafrechtelijke regels van de lidstaten inzake aanvallen op informatiesystemen. |
Dit kaderbesluit heeft ten doel de samenwerking tussen de justitiële en andere bevoegde autoriteiten van de lidstaten, zoals de politie en andere gespecialiseerde rechtshandhavingsinstanties, te verbeteren door middel van de onderlinge afstemming van de strafrechtelijke regels van de lidstaten inzake aanvallen op informatiesystemen. Dit kaderbesluit dient de grondrechten en fundamentele vrijheden te eerbiedigen en dient in overeenstemming te zijn met de beginselen van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, van de jurisprudentie van het Europees Hof voor de rechten van de mens, van het Handvest van de grondrechten van de Europese Unie, en van het nationaal en internationaal recht op het gebied van de mensenrechten en fundamentele vrijheden. |
Motivering Aangezien de eerbiediging van de mensenrechten in de EU niet dezelfde democratische bescherming geniet als de interne markt, moet de democratische verantwoordelijkheid op dit terrein nader worden bepaald. | |
| Amendement 7 Artikel 1 bis (nieuw) | |
|
(1 bis) Naast het strafbaar stellen van gedragingen zoals vermeld in de artikelen 3, 4 en 5, dient ook de preventie niet onderbelicht te blijven en dienen de lidstaten daaraan mee te werken door de actoren van de informatiemaatschappij ertoe aan te zetten steeds meer toe te werken naar een cultuur van veiligheid, met name door het opzetten van voorlichtingscampagnes in samenwerking met de betrokken werkgevers, organisaties en andere spelers, een en ander ter bevordering van de bewustwording omtrent de risico´s voor informatienetwerken. | |
|
2. De Europese Commissie neemt adequate initiatieven om de bewustwording omtrent de risico´s voor elektronische communicatienetwerken bij burgers, bedrijven en overheid te vergroten en draagt bij tot de coördinatie en inhoudelijke afstemming van voorlichtingscampagnes in de lidstaten over de veiligheidsaspecten en -risico´s van elektronische communicatienetwerken. | |
Motivering Als het gaat om het vergroten van de bewustwording omtrent de veiligheid op onze informatienetwerken heeft preventie de eerste prioriteit. Daarom is het van belang dat er een veiligheidscultuur wordt ontwikkeld bij burgers, bedrijven, overheden, scholen en andere instellingen, kortom bij allen die deel uitmaken of gaan uitmaken van de informatiemaatschappij, en wel in de vorm van voorlichting, risicobeoordeling, het op zijn verantwoordelijkheid aanspreken van eenieder die van informatienetwerken gebruik maakt, het treffen van voorzorgsmaatregelen en het op een adequate wijze reageren op aanvallen die zijn gericht tegen informatiesystemen. | |
| Amendement 8 Artikel 2, letter f) | |
|
f) "Bevoegde persoon": elke natuurlijke of rechtspersoon die contractueel of wettelijk het recht heeft, of de rechtmatige toestemming, om een informatiesysteem te gebruiken, te beheren, te controleren, te testen, er rechtmatig wetenschappelijk onderzoek mee te doen of op een andere manier te exploiteren, en die in overeenstemming met dat recht of die toestemming handelt. |
Schrappen |
Motivering Aangezien het begrip "bevoegde persoon" niet in de tekst van het kaderbesluit voorkomt, maar alleen gebruikt wordt voor het commentaar op de rechtmatigheid ervan, is er geen behoefte aan een specifieke definitie. | |
| Amendement 9 Artikel 2, letter g), alinea 1 bis (nieuw) | |
|
Handelingen die worden gepleegd door natuurlijke personen of rechtspersonen zijn in geen geval onrechtmatig wanneer dezen op grond van een overeenkomst of wet dan wel van een wettige autorisatie recht hebben op het gebruik of het beheer van, het toezicht op of het testen van een informatiesysteem, dan wel op het verrichten van legitiem wetenschappelijk onderzoek naar of het anderszins benutten van een dergelijke systeem overeenkomstig dit recht of deze autorisatie. | |
Motivering Omdat de definitie van het begrip "bevoegde persoon" zoals voorgesteld door de Commissie alleen dient om aanwijzingen te geven omtrent de rechtmatigheid van de uitgevoerde handelingen, moet deze definitie hier worden ingelast. | |
| Amendement 10 Artikel 3, lid 1 bis (nieuw) | |
|
1 bis. Vallen niet onder de toepassing van dit kaderbesluit en ressorteren derhalve onder het nationale recht van de lidstaten: | |
|
- onbeduidende gedragingen (minor or trivial behaviour); | |
Motivering De verplichting om onrechtmatige verstoringen van informatiesystemen als een "strafbaar feit" aan te merken mag niet worden uitgebreid tot onbeduidende gedragingen (die niet strafbaar zouden zijn indien ze "offline" zouden worden begaan, d.w.z. zonder gebruikmaking van nieuwe technologieën). Het subsidiariteitsbeginsel impliceert dat het gevaar van een al te ver doorgedreven criminalisering op Europees niveau moet worden tegengegaan. | |
| Amendement 11 Artikel 4, lid 1 bis (nieuw) | |
|
1 bis. Vallen niet onder de toepassing van dit kaderbesluit en ressorteren derhalve onder het nationale recht van de lidstaten: | |
|
- onbeduidende gedragingen (minor or trivial behaviour); | |
Motivering De verplichting om onrechtmatige verstoringen van informatiesystemen als een "strafbaar feit" aan te merken mag niet worden uitgebreid tot onbeduidende gedragingen (die niet strafbaar zouden zijn indien ze "offline" zouden worden begaan, d.w.z. zonder gebruikmaking van nieuwe technologieën). Het subsidiariteitsbeginsel impliceert dat het gevaar van een al te ver doorgedreven criminalisering op Europees niveau moet worden tegengegaan. | |
| Amendement 12 Artikel 9, lid 2 | |
|
2. Afgezien van de in lid 1 genoemde gevallen, zorgen de lidstaten ervoor dat de rechtspersoon aansprakelijk kan worden gesteld wanneer, bij gebreke van toezicht of controle door een in lid 1 bedoelde persoon, strafbare feiten in de zin van de artikelen 3, 4 en 5 konden worden gepleegd ten voordele van die rechtspersoon door een onder het gezag van die rechtspersoon staande persoon. |
2. Afgezien van de in lid 1 genoemde gevallen, zorgen de lidstaten ervoor dat de rechtspersoon aansprakelijk kan worden gesteld wanneer, bij gebreke van toezicht of controle, voorzover mogelijk, door een in lid 1 bedoelde persoon, strafbare feiten in de zin van de artikelen 3, 4 en 5 konden worden gepleegd ten voordele van die rechtspersoon door een onder het gezag van die rechtspersoon staande persoon. |
Motivering De rechtspersoon voert controle uit binnen de door de wetgever aangegeven grenzen, met name voor wat betreft de aansprakelijkheid en de eerbiediging van de privésfeer. | |
| Amendement 13 Artikel 10, lid 1, inleidende zin | |
|
1. De lidstaten zorgen ervoor dat een rechtspersoon die volgens artikel 9, lid 1, aansprakelijk is, straffen kunnen worden opgelegd die doeltreffend, evenredig en afschrikkend zijn. Deze straffen omvatten al dan niet strafrechtelijke geldboetes en kunnen andere maatregelen omvatten zoals: |
1. De lidstaten zorgen ervoor dat een rechtspersoon die volgens artikel 9, lid 1, aansprakelijk is, straffen kunnen worden opgelegd die doeltreffend, evenredig en afschrikkend zijn. Deze straffen kunnen al dan niet strafrechtelijke geldboetes of andere maatregelen omvatten zoals: |
Motivering De rapporteur is van mening dat rechtspersonen principieel niet strafrechtelijk aansprakelijk kunnen worden gesteld. De maatregelen die in dit verband worden voorgesteld, zijn echter grotendeels van administratieve en financiële aard. Het fundamentele en algemene gevaar dat van vergrijpen op dit gebied uitgaat voor de gehele samenlevingsstructuur is echter toch een reden om vast te houden aan de voorgestelde formulering, zij het onder inachtneming van de in dit amendement aangegeven correcties. | |
| Amendement 14 Artikel 11, lid 2, letter a) | |
|
(a) de dader het strafbare feit pleegt terwijl hij zich fysiek op het grondgebied van die lidstaat bevindt, ongeacht of het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied; of |
(a) de dader het strafbare feit pleegt terwijl hij zich feitelijk op het grondgebied van die lidstaat bevindt, ongeacht of het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied; of |
Motivering Er zijn omstandigheden denkbaar waarin de dader zich niet op het grondgebied van een lidstaat bevindt en zijn daad evenmin tegen een informatiesysteem in een lidstaat is gericht, maar waarin hij gebruik maakt van een zich op het grondgebied van een lidstaat bevindend informatiesysteem om een vergrijp te plegen buiten het grondgebied van die lidstaat. | |
| Amendement 15 Artikel 11, lid 2, letter b) | |
|
(b) het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied, ongeacht of de dader het strafbare feit pleegt terwijl hij zich fysiek op het grondgebied van de betrokken lidstaat bevindt. |
(b) het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied, ongeacht of de dader het strafbare feit pleegt terwijl hij zich feitelijk op het grondgebied van de betrokken lidstaat bevindt, of |
Motivering Er zijn omstandigheden denkbaar waarin de dader zich niet op het grondgebied van een lidstaat bevindt en zijn daad evenmin tegen een informatiesysteem in een lidstaat is gericht, maar waarin hij gebruik maakt van een zich op het grondgebied van een lidstaat bevindend informatiesysteem om een vergrijp te plegen buiten het grondgebied van die lidstaat. | |
| Amendement 16 Artikel 11, lid 2, letter b bis) (nieuw) | |
|
b bis) het strafbare feit op enigerlei wijze in nauw verband staat met het grondgebied van een lidstaat. | |
Motivering Er zijn omstandigheden denkbaar waarin de dader zich niet op het grondgebied van een lidstaat bevindt en zijn daad evenmin tegen een informatiesysteem in een lidstaat is gericht, maar waarin hij gebruik maakt van een zich op het grondgebied van een lidstaat bevindend informatiesysteem om een vergrijp te plegen buiten het grondgebied van die lidstaat. | |
| Amendement 17 Artikel 13, lid 1 | |
|
1. De lidstaten treffen de noodzakelijke maatregelen om uiterlijk op 31 december 2003 aan dit kaderbesluit te voldoen. |
1. De lidstaten treffen de noodzakelijke maatregelen om uiterlijk op 31 december 2003 uitvoering te geven aan de artikelen 1 t/m 11 van dit kaderbesluit en aan artikel 12 binnen een jaar na inwerkingtreding daarvan. |
Motivering Zie motivering bij amendement 18 op artikel 14. | |
| Amendement 18 Artikel 14 | |
|
Dit kaderbesluit treedt in werking op de twintigste dag na de bekendmaking ervan in het Publicatieblad van de Europese Gemeenschappen. |
De artikelen 1 t/m 11 van dit kaderbesluit treden in werking op de twintigste dag na de bekendmaking ervan in het Publicatieblad van de Europese Gemeenschappen. Artikel 12 treedt in werking op dezelfde dag waarop in het kader van de derde pijler een instrument voor gegevensbescherming in werking treedt. In het Publicatieblad van de Europese Gemeenschappen wordt hiernaar een speciale verwijzing opgenomen. |
Motivering Het Europees Parlement heeft herhaaldelijk gewezen op de noodzaak tot invoering van een instrument voor databescherming in het kader van de derde pijler. Pas wanneer een dergelijk instrument effectief beschikbaar is, kan meer werk worden gemaakt van de strafrechtelijke informatie-uitwisseling op Europees niveau. Zelfs al houdt artikel 12 van het voorstel slechts in dat er meldpunten worden ingericht en zelfs indien zowel de werkzaamheden aldaar als de overdracht en bescherming van informatie onder de nationale wetgeving valt, heeft het artikel niettemin ten doel uitvoering te geven aan de aanbeveling van de Raad inzake de toegang tot het G8-netwerk van meldpunten en de daaruit voortvloeiende verplichtingen. Een uniforme Europese wetgeving inzake databescherming lijkt dan ook onontkoombaar. | |
- [1] PB C 203 E van 27.8.2002, blz. 109.
TOELICHTING
Inleiding
Elektronische communicatie- en informatienetwerken worden steeds belangrijker in het leven van alledag. Het steeds intensievere gebruik ervan in zowel de particuliere als professionele sfeer heeft echter ook tot steeds grootschaliger misbruik van informatienetwerken en steeds meer aanvallen op netwerken geleid. Bijzonder onrustbarend zijn in dit verband de internationale aanvallen op informatiesystemen door onrechtmatige toegang, het verspreiden van destructieve programma's en het stelen van informatie. Dit is niet alleen een bedreiging voor netwerkoperators, internetproviders en e-handelsondernemingen, maar ook voor particulieren die geen handel drijven. Omdat moderne communicatiemedia op praktisch alle terreinen worden gebruikt, bevinden zich grote hoeveelheden persoonsgegevens in een groot aantal verschillende databanken: klantenprofielen worden bijvoorbeeld samengesteld op basis van verbruikspatronen. Ook meer persoonlijke gegevens, bijvoorbeeld informatie over ziektes, voorgeschreven geneesmiddelen en doktersbezoek worden geregistreerd. Hacking vormt derhalve niet alleen een economisch risico en een aantasting van het vertrouwen in de e-handel, maar is ook een gevaar voor de bescherming van de privésfeer. Reeds nu bestaan er echte groepen hackers, hetgeen betekent dat hacking bezig is zich tot een vorm van georganiseerde misdaad te ontwikkelen. Dat ook deze vorm van georganiseerde misdaad bestreden moet worden staat als een paal boven water, en hier moet dan ook worden gewerkt aan een internationale aanpak voor dit probleem, omdat een van de aspecten van deze vorm van criminaliteit juist het grensoverschrijdende karakter ervan is.
Inhoud van het voorstel
Het voorstel dat hier wordt behandeld, beoogt de toenemende gevaren van het hacken op twee niveaus aan te pakken, hetgeen wordt weerspiegeld in de keuze van een dubbele rechtsgrondslag (artikelen 29 en 30 van het EU-Verdrag). Enerzijds moet gezorgd worden voor een onderlinge aanpassing van de strafrechtelijke bepalingen van de lidstaten om de algehele strafbaarstelling van aanvallen op informatiesystemen te waarborgen en uiting te geven aan een duidelijke, de gehele EU omvattende en uniforme afkeuring door de samenleving van dergelijke aanvallen op informatiesystemen. Anderzijds moet ook de politiële en justitiële samenwerking op dit gebied worden bevorderd.
De onderlinge aanpassing van het materiële strafrecht geschiedt door vaststelling van de elementen die strafbaar moeten worden gesteld, de bepaling van minimumstraffen en verzwarende omstandigheden en het regelen van de aansprakelijkheid van rechtspersonen en van de vraag welke rechterlijke instantie bevoegd is.
Een dergelijke onderlinge aanpassing van de strafrechtsbepalingen is ook van fundamenteel belang voor een doeltreffende politiële en juridische samenwerking, omdat dit de enige manier is om te garanderen dat de lidstaten elkaar op passende wijze gerechtelijk bij kunnen staan. Bovendien moeten de lidstaten hun samenwerking bij de bestrijding van internet-gerelateerde misdaad verbeteren door het instellen van meldpunten waarmee gedurende het gehele etmaal in contact kan worden getreden als het gaat om de bestrijding van geavanceerde technologische criminaliteit.
Beoordeling
In het voorstel wordt rekening gehouden met het feit dat alle lidstaten, behalve Luxemburg en Denemarken, het Verdrag van de Raad van Europa inzake cybercriminaliteit[1] hebben ondertekend, dat formeel in november 2001 werd aangenomen en waarin ook de kwestie aan de orde komt van een onderlinge aanpassing van de voorwaarden waaraan moet worden voldaan alvorens op dit gebied van een strafbaar feit kan worden gesproken. In het onderhavige voorstel voor een kaderbesluit worden voor een wezenlijk deel de voorwaarden overgenomen die zijn vermeld in de artikelen 2, 4 en 5 van het Verdrag m.b.t. aanvallen op informatiesystemen, en daardoor wordt m.a.w. ook de uitvoering van het Verdrag ingeleid. In het voorstel wordt echter gepleit voor een verdergaande onderlinge aanpassing, omdat alle onopzettelijke en onrechtmatige vormen van toegang tot informatiesystemen als strafbaar worden beschouwd, zowel wanneer het gaat om onrechtmatige toegang tot speciaal beschermde delen van het informatiesysteem als om het opzettelijk binnendringen van systemen met het doel schade aan te richten of financieel gewin te behalen. Op grond van het Verdrag van de Raad van Europa hebben de lidstaten een keuzemogelijkheid: zij kunnen de eis stellen dat tegelijkertijd aan een aantal verschillende voorwaarden moet zijn voldaan voordat van een strafbaar feit sprake kan zijn.
Artikel 4, dat de onrechtmatige verstoring van informatiesystemen regelt, komt in grote trekken overeen met de artikelen 4 en 5 van het Verdrag. De lidstaten hebben echter geen mogelijkheid hun wetgeving zo in te richten dat de verstoring van informatiesystemen met als doel schade te berokkenen strafbaar wordt gesteld, behalve wanneer uitgebreide schade is veroorzaakt.
Samenvattend kan derhalve worden geconstateerd dat het voorstel vrijwel geheel overeenkomt met het Verdrag inzake cybercriminaliteit, maar dat er tegelijkertijd naar is gestreefd de elementen die aanwezig moeten zijn om van een strafbaar feit te kunnen spreken nader tot elkaar te brengen dan in het Verdrag het geval is, een onderlinge aanpassing die voor alle lidstaten moet gelden, hetgeen ongetwijfeld een voordeel is.
Uw rapporteur wil erop wijzen dat rechtspersonen in principe niet strafrechtelijk aansprakelijk kunnen worden gesteld. De maatregelen die in dit verband worden voorgesteld, hebben echter grotendeels een administratief en financieel karakter. Op grond van de fundamentele en alomvattende bedreiging die van strafbare feiten op dit terrein uitgaat voor de gehele structuur van de samenleving, moeten echter de in de tekst voorgestelde formuleringen worden gehandhaafd, maar dan wel met de amendementen die de rapporteur daarop heeft ingediend.
Uw rapporteur heeft verder bepaalde bezwaren tegen de omschrijving van een strafbaar feit in artikel 3, onder i). In dit artikel wordt voorgeschreven dat het reeds strafbaar is als iemand zich toegang heeft verschaft tot een informatiesysteem door de beveiligingsmaatregelen te doorbreken, ook als er in verband daarmee geen sprake is van het oogmerk zich economisch voordeel te verschaffen of schade aan te richten. Nu is het een feit dat veel jonge computerfans het binnendringen in informatiesystemen als een soort sport beschouwen. Men kan zich afvragen of het normaal is dat mensen geschokt zijn als ze te horen krijgen dat bevriende jongeren of familieleden een inbraak in een winkel hebben gepleegd, maar vaak bewondering hebben voor degenen die in databanken van het Pentagon of bij Microsoft zijn ingebroken. In de huidige samenleving is het echter in de praktijk nu eenmaal zo dat deze beide vormen van inbraak niet op dezelfde manier worden beoordeeld en het resultaat is dan ook dat jongeren niet echt het gevoel hebben iets verkeerds te doen als ze zich toegang tot informatiesystemen verschaffen.
Volgens uw rapporteur wordt in het voorstel geen rekening gehouden met deze realiteit, hetgeen een zeker risico inhoudt. Daarnaast zou echter wellicht een onjuist signaal worden afgegeven indien het doorbreken van de specifieke beveiligingsvoorzieningen van een informatiesysteem helemaal niet strafbaar zou worden gesteld. Daarom is zij van mening dat hiermee ook op nationaal niveau rekening moet worden gehouden. Er kan wat dat betreft een parallel worden getrokken met de wijze waarop jongeren op andere punten in de nationale strafwetgeving enigszins worden ontzien. Daarom worden de lidstaten verzocht om in hun nationale rechtsstelsel de rechter de mogelijkheid te bieden geen straf op te leggen aan minderjarigen die voor het eerst terecht moeten staan omdat zij zich onrechtmatig toegang tot een informatiesysteem hebben verschaft, voor zover zij daarbij niet het oogmerk hadden anderen schade te berokkenen of economisch voordeel te behalen, dan wel in de toekomst profijt voor een criminele organisatie te creëren. Op deze manier kan worden voorkomen dat grote aantallen jongeren een strafregister krijgen, vooral wanneer men bedenkt dat ook pogingen en aanstichting tot onrechtmatige toegang strafbaar worden gesteld.
Omdat de eerbiediging van de mensenrechten in de EU niet dezelfde democratische bescherming geniet als de interne markt, moet de democratische verantwoordelijkheid op dit terrein nader worden gepreciseerd. Er moet een mogelijkheid tot strafvermindering worden gevonden voor onbeduidende zaken, in aanvulling op de consideratie met jongeren die in dit verslag wordt voorgesteld en waarvan in de strafwetgevingen van de meeste lidstaten ook effectief sprake is.
Tevens moet een kritische opmerking worden gemaakt omtrent de inrichting van operationele meldpunten in de lidstaten voor de uitwisseling van informatie over strafbare feiten in de zin van het kaderbesluit. De basisprincipes voor het G8-netwerk van operationele meldpunten ter bestrijding van de misdaad in de sfeer van de geavanceerde technologie werden op de op 9 en 10 december 1997 gehouden G8-bijeenkomst van de ministers van Binnenlandse Zaken en Justitie in Washington DC vastgesteld. Deze beginselen werden aangevuld met een actieplan voor de instelling van een netwerk en met een lijst van de verplichtingen die iedere individuele lidstaat op zich neemt bij aansluiting op het netwerk. Via het actieplan spoort de G8 ook landen buiten de G8-groep ertoe aan zich bij het netwerk aan te sluiten. De EU-landen die niet zijn toegetreden tot het G8-netwerk zijn wel aangesloten op het "National Central Reference Point System" (NCRP) van Interpol, dat echter niet 24 uur per dag en 7 dagen in de week operationeel is. In een aanbeveling[2] beveelt de Raad lidstaten die dit nog niet hebben gedaan, aan zich aan te sluiten op het G8-netwerk van meldpunten die zijn ingericht ter bestrijding van hightech-criminaliteit. In de zin van artikel 12 van het voorstel zal de inrichting van dergelijke meldpunten verplicht worden gesteld. Uw rapporteur onderkent de voordelen van een dergelijk wereldomspannend netwerk voor politiële en justitiële samenwerking, maar is tevens van mening dat er risico's kleven aan een dergelijke informatie-uitwisseling tussen landen over criminaliteit en strafrechtelijk onderzoek. Hier is voorzichtigheid geboden omdat overdracht van informatie een bijzonder gevoelig terrein is waarbij risico’s voor de bescherming van de privésfeer bestaan. Juist omdat in het kader van de derde pijler sprake is van een uitgesproken democratische leemte, moet de EU wat dit betreft blijk geven van dezelfde zorgvuldigheid als de nationale parlementen. Daarom doet de EU er goed aan er, naarmate er intensievere overdracht van informatie plaatsvindt, op toe te zien dat er relevante voorschriften op het gebied van de gegevenbescherming bestaan zodat de daaraan verbonden risico's kunnen worden bezworen.
Men kan weliswaar betogen dat het bij artikel 12 van het voorstel om niets anders gaat dan de inrichting van meldpunten en dat daarom zowel de aldaar uitgevoerde werkzaamheden als de overdracht van informatie plus de gegevensbescherming onder de nationale wetgeving vallen. Maar er schuilt nog een ander element achter dit artikel - naar ook blijkt uit de toelichting bij het voorstel - namelijk dat de aanbeveling van de Raad inzake de aansluiting op het G8-netwerk van meldpunten ook effectief in praktijk moet worden gebracht, met alle verplichtingen van dien. Als de EU via wetgevingsmaatregelen - dus maatregelen van dwingende aard - wil ijveren voor de invoering van dit netwerk in heel Europa, is zij er tegenover de burgers van de Gemeenschap ook toe verplicht iets te ondernemen om de negatieve gevolgen daarvan weg te nemen.
De enigszins onomwonden formulering in artikel 12 dat de uitwisseling van informatie zal geschieden "met inachtneming van de regels inzake gegevensbescherming" houdt in dat men er niet omheen kan dat er op EU-niveau geen voorschriften bestaan voor de gegevensbescherming in het kader van de derde pijler, ondanks het feit dat het Europees Parlement daarop herhaaldelijk heeft aangedrongen. Het Verdrag van de Raad van Europa van 28 januari 1981 inzake de bescherming van het individu bij de automatische verwerking van persoonsgegevens biedt daarvoor in ieder geval geen toereikende compensatie, hoewel dit verdrag door alle lidstaten is geratificeerd.
Uw rapporteur pleit er dan ook voor artikel 12 met het oog op de bijbehorende context pas van kracht te laten worden nadat op EU-niveau een dienovereenkomstig instrument voor gegevensbescherming in het kader van de derde pijler is ingevoerd.
Op voorwaarde dat met deze beide wijzigingen rekening wordt gehouden - d.w.z. de mogelijkheid van een mildere straf voor jongeren die voor het eerst in een systeem binnendringen en de inrichting van een G8-netwerk voor de EU in combinatie met fundamentele gegevensbescherming - kan de rapporteur met het voorstel akkoord gaan.
Minderheidsstandpunt
van Marco Cappato
De rapporteur heeft het Commissievoorstel op een aantal belangrijke punten verbeterd door verwijzingen aan te brengen naar de bescherming van de mensenrechten en de fundamentele vrijheden, alsmede naar de privésfeer. De radicale leden van het EP hebben de amendementen van de rapporteur dan ook grotendeels gesteund, maar hebben niettemin tegen de wetgevingsresolutie gestemd omdat ze ernstige problemen doet rijzen met betrekking tot de vrijheid van meningsuiting en het uiten van afwijkende meningen op het internet.
Het Commissievoorstel schiet op vijf essentiële punten tekort: het feit dat per se wordt aangestuurd op een specifieke reglementering en op een al te strenge regelgeving voor het internet; de harmonisatie van de strafwetgeving door voor de gehele Unie hetzelfde aantal jaren hechtenis op te leggen; de repressieve invalshoek waardoor alle gedragingen die gelijk kunnen worden gesteld met aanvallen op informatiesystemen noodzakelijkerwijs strafbaar worden gesteld; de illusie dat het beteugelen van strafbare feiten veeleer door strafverzwaring dan door betere controles kan worden bewerkstelligd, en het feit dat het strenger bestraffen van vergrijpen ten koste gaat van de beperking van fundamentele rechten en vrijheden zoals de vrijheid van meningsuiting en het uiten van afwijkende meningen op het internet.
Derhalve zijn wij van mening dat inbraken in netwerken beter met behulp van het bestaande strafrechtelijke instrumentarium kunnen worden bestreden dan door invoering van een uitgebreide, op technologische leest geschoeide wetgeving die gebukt gaat onder de hierboven omschreven tekortkomingen.
Minderheidsstandpunt
van Ilka Schröder
Ik zal tegen het verslag over het kaderbesluit inzake aanvallen op informatiesystemen stemmen omdat in het bewuste voorstel een relatie wordt gelegd met het verdrag inzake cybercriminaliteit en internetgebruikers daardoor in absolute zin worden gecriminaliseerd.
Tevens wordt gewag gemaakt van het Europees arrestatiebevel, waardoor het voor strafpleiters een stuk moeilijker wordt hun cliënten op Europees niveau te verdedigen. Een en ander kan verstrekkende gevolgen hebben voor de verdediging van de grondrechten wanneer mensen op grond van de nieuwe antiterrorismewetgeving worden veroordeeld. Volgens die wetgeving worden namelijk zowel openbare geweldpleging als geweldloze acties tegen overheidsgebouwen als terrorisme beschouwd.
Het onderhavige voorstel sluit aan bij de nieuwe wetgeving tot instelling van een Europese ruimte van vrijheid, veiligheid en rechtvaardigheid, waarbij onder veiligheid niet sociale zekerheid moet worden verstaan, maar veeleer de vorming van een autoritaire veiligheidsstaat, en onder vrijheid de vrijheid van de machthebbers om toezicht en controle uit te oefenen op alles wat hen als gevaarlijk voorkomt. Uiteindelijk zal dit nieuwe EU-recht erop uitlopen dat de politie naar eigen goeddunken kan optreden en dat wij ons daarbij moeten neerleggen.
Bovendien ligt het voorstel in de lijn van eerdere initiatieven op het gebied van de zogenaamde computercriminaliteit. Ook in dit verslag wordt gretig gebruik gemaakt van de mogelijkheid om na de gebeurtenissen van 11 september 2001 zonder al teveel protest over te gaan tot inperking van grondrechten in de zin van verregaande politiële en strafrechtelijke vervolging van mensen die kritiek uitbrengen op of zich verzetten tegen het gevoerde beleid.
De Commissie geeft zelf aan dat voorlichting en preventie de beste bescherming biedt tegen aanvallen op computersystemen, maar er in de praktijk op neerkomen dat alle aan aanvallen blootgestelde computers van het internet zouden moeten worden losgekoppeld. Maar daarover wordt bij de voorgestelde maatregelen met geen woord gerept.
Het voorstel heeft dan ook, evenals de naar aanleiding van de gebeurtenissen van 11 september in de EU en de lidstaten ingevoerde wetgeving niet ten doel bescherming te bieden tegen aanvallen op computersystemen, maar de grondrechten af te breken en voor de controle-instanties meer bevoegdheden te creëren.
ADVIES VAN DE COMMISSIE INDUSTRIE, EXTERNE HANDEL, ONDERZOEK EN ENERGIE
11 september 2002
aan de Commissie vrijheden en rechten van de burger, justitie en binnenlandse zaken
inzake het voorstel voor een kaderbesluit van de Raad over aanvallen op informatiesystemen
(COM(2002) 173 – C5‑0271/2002 – 2002/0086(CNS))
Rapporteur voor advies: Marco Cappato
PROCEDUREVERLOOP
De Commissie industrie, externe handel, onderzoek en energie benoemde op haar vergadering van 4 juni 2002 Marco Cappato tot rapporteur voor advies.
De commissie behandelde het ontwerpadvies op haar vergaderingen van 8 juli, 26 augustus en 11 september 2002.
Op laatstgenoemde vergadering hechtte zij met algemene stemmen haar goedkeuring aan de hierna volgende amendementen.
Bij de stemming waren aanwezig: Carlos Westendorp y Cabeza (voorzitter), Peter Michael Mombaur, Yves Piétrasanta en Jaime Valdivielso de Cué (ondervoorzitters), Marco Cappato (rapporteur voor advies), Sir Robert Atkins, Guido Bodrato, Gérard Caudron, Giles Bryan Chichester, Nicholas Clegg, Willy C.E.H. De Clercq, Harlem Désir, Concepció Ferrer, Colette Flesch, Christos Folias (verving Bashir Khanbhai), Per Gahrton (verving Nuala Ahern), Norbert Glante, Alfred Gomolka (verving Angelika Niebler), Michel Hansenne, Roger Helmer (verving Paul Rübig), Hans Karlsson, Werner Langen, Peter Liese (verving Konrad K. Schwaiger), Rolf Linkohr, Caroline Lucas, Hans-Peter Martin (verving Massimo Carraro), Eryl Margaret McNally, Elizabeth Montfort, Seán Ó Neachtain, Reino Paasilinna, Paolo Pastorelli, Elly Plooij-van Gorsel, John Purvis, Godelieve Quisthoudt-Rowohl, Imelda Mary Read, Mechtild Rothe, Christian Foldberg Rovsing, Jacques Santer (verving di Marjo Matikainen-Kallström), Umberto Scapagnini, Esko Olavi Seppänen, Claude Turmes, W.G. van Velzen, Alejo Vidal-Quadras Roca, Dominique Vlasto en Olga Zrihen Zaari.
BEKNOPTE MOTIVERING
Het voorstel voor een kaderbesluit inzake aanvallen op informatiesystemen heeft ten doel dergelijke gedragingen strafbaar te stellen met maximumgevangenisstraffen van niet minder dan één jaar hechtenis, zodat gebruik kan worden gemaakt van de in Europees verband bestaande politiële en justitiële samenwerkingsinstrumenten in combinatie met bepaalde vormen van extraterritoriale rechtsbevoegdheid.
Als dergelijke gerichte maatregelen worden genomen, moet er echter voor worden gewaakt dat harmonisatie van het strafrecht niet neerkomt op schending van de grondbeginselen van het recht en dat individuele gedragingen niet worden afgestraft alleen omdat gebruik is gemaakt van nieuwe technologieën. Het beginsel van technologische neutraliteit, dat reeds in het EU-recht aanwezig is, moet niet slechts zo worden opgevat dat discriminatie tussen het gebruik van de ene of de andere technologie wordt verboden, maar ook zo dat een bepaalde handeling niet strafbaar wordt alleen maar omdat deze is verricht met gebruikmaking van technologische instrumenten. De wetgever moet ervoor zorgen dat vooral het strafbare feit (terroristische aanslag, diefstal, aantasting van de particuliere eigendom, vandalisme, enz.) wordt bestraft en niet het gebruikte instrument.
De wetgeving maakt tevens een duidelijk onderscheid tussen vormen van politiek activisme via een netwerk, burgerlijke ongehoorzaamheid, demonstratieve acties en onbeduidende gedragingen enerzijds (gedragingen die wel aangeduid worden met de term "hacking") en anderzijds acties die wel "cracking" worden genoemd - gewelddadige handelingen die schade toebrengen aan eigendommen, maar ook aan natuurlijke personen. Om dit onderscheid te kunnen maken zonder gedwongen te zijn de technologische vooruitgang af te straffen moet de wetgever zich beperken tot enkele specifieke regels die zoveel mogelijk verwijzen naar algemene rechtsbeginselen en regelgeving die geldt voor gedragingen "offline".
Het is niet aanvaardbaar dat lidstaten worden verplicht gedragingen strafbaar te stellen die al ruimschoots inhoudelijk zijn geregeld (b.v. schending van de privacy) of die in elk democratisch land geaccepteerd en geduld worden, dan wel gedragingen die erkend zouden moeten worden vanwege hun grote waarde voor de samenleving, maar die plaatsvinden in de vorm van acties die als "aanvallen op informatiesystemen" gedefinieerd zouden kunnen worden. Te denken valt bijvoorbeeld aan acties tegen censuur en misleidende informatie door middel van het storen en saboteren van instrumenten ter onderdrukking van individuen en hele bevolkingen.
Als de lidstaten verplicht zijn aanvallen op informatiesystemen als misdrijven te beschouwen, dan mag het niet aan de afzonderlijke rechter worden overgelaten om te beslissen over de feiten en specifieke omstandigheden van elk geval. In het voorstel voor een kaderbesluit moeten daarom expliciete verwijzingen naar de vrijheden en grondrechten worden opgenomen waarbij lidstaten overeenkomstig het subsidiariteitsbeginsel de mogelijkheid wordt gegeven vrijwaringsclausules in te bouwen zonder dat daardoor de Gemeenschapswetgeving geweld wordt aangedaan.
Indien de voorgestelde wijzigingen, met name op de artikelen 1, 3 en 4 niet aangenomen zouden worden, dan zou het voorstel voor een kaderbesluit naar het oordeel van de rapporteur voor advies geen stap vooruit zijn en er niet toe bijdragen dat de "ruimte van vrijheid, veiligheid en rechtvaardigheid" die het doel is van de samenwerking op het gebied van justitie en binnenlandse zaken in de Europese Unie, zich ook tot de "cyberruimte" uitstrekt.
.
AMENDEMENTEN
De Commissie industrie, externe handel, onderzoek en energie verzoekt de ten principale bevoegde Commissie vrijheden en rechten van de burger, justitie en binnenlandse zaken onderstaande amendementen in haar verslag op te nemen:
| Door de Commissie voorgestelde tekst[1] | Amendementen van het Parlement |
| Amendement 1 Overweging 5 bis (nieuw) | |
|
(5 bis) Het onderhavige kaderbesluit en de definities als vermeld in artikel 2 dienen met elkaar overeen te komen en waar nodig te worden uitgebreid om ze in overeenstemming te brengen met de nieuwe OESO-richtlijnen inzake de veiligheid van informatiesystemen en -netwerken, die zijn aangenomen op 25 juli 2002. | |
Motivering Spreekt voor zich. | |
| Amendement 2 Artikel 1 | |
|
Dit kaderbesluit heeft ten doel de samenwerking tussen de justitiële en andere bevoegde autoriteiten van de lidstaten, zoals de politie en andere gespecialiseerde rechtshandhavingsinstanties, te verbeteren door middel van de onderlinge afstemming van de strafrechtelijke regels van de lidstaten inzake aanvallen op informatiesystemen. |
Aangezien de bescherming van informatiesystemen essentieel is voor het totstandbrengen van een ruimte van vrijheid, veiligheid en rechtvaardigheid, heeft dit kaderbesluit ten doel de samenwerking tussen de betrokken justitiële en andere bevoegde autoriteiten van de lidstaten, zoals de politie en andere gespecialiseerde rechtshandhavingsinstanties, te verbeteren door middel van de onderlinge afstemming van de strafrechtelijke regels van de lidstaten inzake aanvallen op informatiesystemen. |
Motivering Dat het kaderbesluit de grondrechten van de burger dient te respecteren moet eveneens worden vermeld. | |
| Amendement 3 Artikel 1 bis (nieuw) | |
|
(1 bis) Naast het strafbaar stellen van gedragingen zoals vermeld in de artikelen 3, 4 en 5, dient ook de preventie niet onderbelicht te blijven en dienen de lidstaten daaraan mee te werken door de actoren van de informatiemaatschappij ertoe aan te zetten steeds meer toe te werken naar een cultuur van veiligheid, met name door het opzetten van voorlichtingscampagnes in samenwerking met de betrokken werkgevers, organisaties en andere spelers, een en ander ter bevordering van de bewustwording omtrent de risico´s voor informatienetwerken. | |
|
2. De Europese Commissie neemt adequate initiatieven om de bewustwording omtrent de risico´s voor elektronische communicatienetwerken bij burgers, bedrijven en overheid te vergroten en draagt bij tot de coördinatie en inhoudelijke afstemming van voorlichtingscampagnes in de lidstaten over de veiligheidsaspecten en -risico´s van elektronische communicatienetwerken. | |
Motivering Als het gaat om het vergroten van de bewustwording omtrent de veiligheid op onze informatienetwerken heeft preventie de eerste prioriteit. Daarom is het van belang dat er een veiligheidscultuur wordt ontwikkeld bij burgers, bedrijven, overheden, scholen en andere instellingen, kortom bij allen die deel uitmaken of gaan uitmaken van de informatiemaatschappij, en wel in de vorm van voorlichting, risicobeoordeling, het op zijn verantwoordelijkheid aanspreken van eenieder die van informatienetwerken gebruik maakt, het treffen van voorzorgsmaatregelen en het op een adequate wijze reageren op aanvallen die zijn gericht tegen informatiesystemen. | |
| Amendement 4 Artikel 2, letter g) | |
|
(g) "Onrechtmatig" betekent dat gedragingen door bevoegde personen of andere gedragingen die in het nationale recht als rechtmatig worden erkend, zijn uitgesloten. |
(g) "Onrechtmatig": onrechtmatig handelt degene die zich zonder daartoe bevoegd of gerechtigd te zijn toegang verschaft tot informatiesystemen of deze systemen aanvalt in de zin als bedoeld in dit kaderbesluit. |
Motivering De definitie is niet erg duidelijk. Bovendien kan de toepasbaarheid van strafrechtelijke bepalingen gemakkelijk in het gedrang komen doordat bepaalde gedragingen worden gelegaliseerd. Daar komt nog bij dat ofschoon dergelijke handelingen intrinsiek onrechtmatig kunnen zijn, ze niettemin wel degelijk gerechtvaardigd zijn. | |
| Amendement 5 Artikel 3, inleiding en letters i) en ii) | |
|
De lidstaten zorgen ervoor dat de opzettelijke, onrechtmatige toegang tot een informatiesysteem of enig onderdeel daarvan, strafbaar wordt gesteld indien het feit is gepleegd: |
De lidstaten zorgen ervoor dat de opzettelijke, ongeoorloofde toegang tot een informatiesysteem of enig onderdeel daarvan, strafbaar wordt gesteld indien het feit is gepleegd: |
|
(i) tegen een deel van een informatiesysteem waarvoor specifieke beveiligingsmaatregelen gelden; of |
(i) tegen een deel van een informatiesysteem waarvoor specifieke adequate, op waarborging van de legitieme rechten en belangen gebaseerde beveiligingsmaatregelen gelden; of |
|
(ii) met het oogmerk een natuurlijke of een rechtspersoon schade te berokkenen; of |
(ii) met het oogmerk de legitieme rechten en belangen van een natuurlijke of een rechtspersoon schade te berokkenen; of |
Motivering De verplichting om de onrechtmatige toegang tot informatiesystemen als een strafbaar feit te beschouwen, mag niet worden uitgebreid tot onbeduidende gedragingen (die "offline", dus zonder gebruikmaking van nieuwe technologieën, niet bestraft zouden worden) of gedragingen die op te vatten zijn als noodweer of burgerlijke ongehoorzaamheid ten aanzien van systemen die in strijd met de grondrechten en fundamentele vrijheden worden gebruikt. Het subsidiariteitsbeginsel impliceert dat het gevaar van een al te ver doorgedreven criminalisering op Europees niveau moet worden tegengegaan. | |
| Amendement 6 Artikel 3, letter (iii) | |
|
(iii) met het oogmerk economisch voordeel tot gevolg te hebben. |
Schrappen |
Motivering De enkele omstandigheid dat de dader het oogmerk heeft zich een economisch voordeel te verschaffen, voegt geen extra element toe aan de onrechtmatigheid van de daad zelf en is bovendien te vaag geformuleerd: bij wie of voor wie zou een economisch voordeel moeten worden bewerkstelligd? | |
| Amendement 7 Artikel 6, lid 2 bis (nieuw) | |
|
2 bis. De lidstaten zorgen ervoor dat bij de bepaling van de strafmaat evenredig rekening wordt gehouden met de mate van beveiliging of de voorzorgsmaatregelen die zijn getroffen door het slachtoffer. | |
Motivering Het niveau van de getroffen voorzorgsmaatregelen ter beveiliging van het informatiesysteem van een instantie (bedrijf, instelling, burger, etc.) dient meegewogen te worden in het bepalen van de strafmaat. Zo zal de eigenaar van een informatiesysteem bijvoorbeeld ongeacht de vitaliteit van zijn systeem geleidelijk steeds drastischer voorzorgsmaatregelen treffen, welke als zodanig ook een negatief signaal zouden moeten afgeven aan onbevoegden. | |
| Amendement 8 Artikel 7, lid 1, letters b) en c) | |
|
(b) indien door het strafbare feit rechtstreeks of onrechtstreeks aanzienlijke economische schade of lichamelijk letsel werd toegebracht of aanzienlijke schade aan een deel van de kritische infrastructuur van de lidstaat werd veroorzaakt; |
(b) indien door het strafbare feit lichamelijk letsel werd toegebracht of aanzienlijke schade aan een deel van de kritische infrastructuur van de lidstaat werd veroorzaakt; |
|
(c) indien door het strafbare feit aanzienlijke opbrengsten werden verkregen. |
Schrappen |
Motivering Het beginsel dat een strafbaar feit dat aanzienlijke economische schade toebrengt of aanzienlijke opbrengsten oplevert als een apart misdrijf wordt beschouwd (waarop tot vier keer strengere straffen staan) zou een absoluut novum zijn in het strafrecht. Dit is des te gevaarlijker omdat daarbij een onderscheid gemaakt zou worden tussen de economische situatie van degene die de daad begaat en die van het slachtoffer. Een ander punt is dat de te vergoeden schade natuurlijk samenhangt met de geleden economische schade en het verkregen profijt. | |
| Amendement 9 Artikel 9, lid 2 | |
|
2. Afgezien van de in lid 1 genoemde gevallen, zorgen de lidstaten ervoor dat de rechtspersoon aansprakelijk kan worden gesteld wanneer, bij gebreke van toezicht of controle door een in lid 1 bedoelde persoon, strafbare feiten in de zin van de artikelen 3, 4 en 5 konden worden gepleegd ten voordele van die rechtspersoon door een onder het gezag van die rechtspersoon staande persoon. |
2. Afgezien van de in lid 1 genoemde gevallen, zorgen de lidstaten ervoor dat de rechtspersoon aansprakelijk kan worden gesteld wanneer, bij gebreke van toezicht of controle, voorzover mogelijk, door een in lid 1 bedoelde persoon, strafbare feiten in de zin van de artikelen 3, 4 en 5 konden worden gepleegd ten voordele van die rechtspersoon door een onder het gezag van die rechtspersoon staande persoon. |
Motivering De rechtspersoon voert controle uit binnen de door de wetgever aangegeven grenzen, met name voor wat betreft de aansprakelijkheid en de eerbiediging van de privésfeer. | |
| Amendement 10 Artikel 10, lid 1, letter a) | |
|
(a) uitsluiting van uitkeringen of steun van de overheid; |
Schrappen |
Motivering Een strafrechter kan dit soort sancties gewoonlijk niet opleggen, alleen de administratieve rechter. | |
| Amendement 11 Artikel 11, lid 1, letter c) | |
|
(c) zijn gepleegd ten voordele van een rechtspersoon die zijn hoofdkantoor op het grondgebied van die lidstaat heeft. |
(c) zijn gepleegd ten voordele van een rechtspersoon die zijn hoofdkantoor of een vestiging op het grondgebied van die lidstaat heeft. |
Motivering Uitbreiding tot vestigingen is wenselijk om leemten in de strafwetgeving uit te sluiten. | |
| Amendement 12 Artikel 11, lid 2, letter a) | |
|
(a) de dader het strafbare feit pleegt terwijl hij zich fysiek op het grondgebied van die lidstaat bevindt, ongeacht of het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied; of |
(a) de dader het strafbare feit pleegt terwijl hij zich feitelijk op het grondgebied van die lidstaat bevindt, ongeacht of het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied; of |
Motivering Er zijn omstandigheden denkbaar waarin de dader zich niet op het grondgebied van een lidstaat bevindt en zijn daad evenmin tegen een informatiesysteem in een lidstaat is gericht, maar waarin hij gebruik maakt van een zich op het grondgebied van een lidstaat bevindend informatiesysteem om een vergrijp te plegen buiten het grondgebied van die lidstaat. | |
| Amendement 13 Artikel 11, lid 2, letter b) | |
|
(b) het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied, ongeacht of de dader het strafbare feit pleegt terwijl hij zich fysiek op het grondgebied van de betrokken lidstaat bevindt. |
(b) het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied, ongeacht of de dader het strafbare feit pleegt terwijl hij zich feitelijk op het grondgebied van de betrokken lidstaat bevindt, of |
Motivering Er zijn omstandigheden denkbaar waarin de dader zich niet op het grondgebied van een lidstaat bevindt en zijn daad evenmin tegen een informatiesysteem in een lidstaat is gericht, maar waarin hij gebruik maakt van een zich op het grondgebied van een lidstaat bevindend informatiesysteem om een vergrijp te plegen buiten het grondgebied van die lidstaat. | |
| Amendement 14 Artikel 11, lid 2, letter b bis) (nieuw) | |
|
b bis) het strafbare feit op enigerlei wijze in nauw verband staat met het grondgebied van een lidstaat.. | |
Motivering Er zijn omstandigheden denkbaar waarin de dader zich niet op het grondgebied van een lidstaat bevindt en zijn daad evenmin tegen een informatiesysteem in een lidstaat is gericht, maar waarin hij gebruik maakt van een zich op het grondgebied van een lidstaat bevindend informatiesysteem om een vergrijp te plegen buiten het grondgebied van die lidstaat. | |
- [1] PB C 203 E van 27.8.2002, blz. 109.