Deze maand, twee jaar geleden, werd een Nederlands energiebedrijf getroffen door een aanval met zgn. gijzelsoftware. Het Nationaal Cyber Security Centrum (NCSC) maakte destijds niet bekend om welke energiemaatschappij het ging. Wel werd duidelijk dat het een bedrijf was dat van ‘vitaal belang’ is voor de Nederlandse energievoorziening.
Niet veel later, in mei 2017, werden bedrijven en organisaties in meer dan 150 landen slachtoffer van de Wannacry-aanval. Ook hier ging het om gijzelsoftware: slachtoffers moeten betalen in ruil voor het weer toegankelijk worden van hun ‘gegijzelde’ systemen en gegevens. En ook hier werden cruciale maatschappelijke sectoren geraakt, in dit geval onder meer de gezondheidszorg. Weliswaar niet in ons land. Maar in het Verenigd Koninkrijk konden 600 zorginstellingen niet langer functioneren. Talloze huisartspraktijken maar ook ziekenhuizen, waaronder 27 locaties voor spoedeisende hulp, werden geconfronteerd met systemen en data die op slot zaten. Nog geen maand later volgde opnieuw een cyberaanval. Naar verluid ditmaal verspreid door Russische militaire hackers, die daarmee de Oekraïense samenleving wilden treffen. En wederom verspreidde de ellende zich razendsnel over de grenzen van landen en sectoren en waren de cascade-effecten enorm. Een van de slachtoffers was de Deense containergigant Maersk. Ook de Rotterdamse terminals van het bedrijf werden geraakt, waardoor containertransport via niet alleen de haven, maar ook de snelweg en het spoor voor een belangrijk deel stil kwam te liggen. Het bedrijf wist simpelweg niet langer welke goederen in welke containers zaten, voor wie de lading was bedoeld en waarheen ze vervoerd moesten worden. Noodvoorzieningen – zoals een enorme parkeerplaats voor de tijdelijk opslag van containers – waren nodig. Het resulteerde in chaos, met de nodige gevolgen voor publieke voorzieningen in de stad Rotterdam.
Voor de gemeente Rotterdam vormde het incident naar eigen zeggen een ‘wake-up call’. Verantwoordelijken werden geconfronteerd met talloze vragen, dilemma’s en te doordenken scenario’s, waaronder kwesties die de openbare orde betroffen. Problematisch daarbij was dat men zich geen goed beeld kon vormen van de ernst van de situatie. De reden was dat de gemeentelijke crisisorganisatie – verantwoordelijk voor de omgang met problemen voor de openbare orde – aanvankelijk geen toegang kreeg tot de terminals en systemen van Maersk.
Met name dit laatste – het bedrijf weigerde publieke diensten de toegang tot systemen – is interessant. Stel dat het containerbedrijf niet was getroffen door een digitale aanval, maar een fors incident in de ‘gewone’ fysieke wereld. De politie, de brandweer of de ambulancedienst krijgt via derden een melding, gaat erop af, staat aan de poort, maar wordt de toegang geweigerd. Op z’n zachtst gezegd zou dat een nogal opmerkelijke situatie opleveren. Het roept de vraag op onder welke omstandigheden publieke instanties, zoals crisisorganisaties of de politie, al dan niet digitale toegang moeten krijgen bij een digitale verstoring. Die vraag is aan de orde nu cascade-effecten en daarmee escalatie reëel is, zo toonden de hiervoor genoemde aanvallen. Daarbij kunnen vitale sectoren worden getroffen, waarmee de openbare orde in het geding komt.
Bij Maersk wilde men toegang om een inschatting te maken of van escalatie sprake zou kunnen zijn. Voor de politie viel de bevoegdheid daartoe wellicht te ontlenen aan de taak handhaving openbare orde / publieke veiligheid, zoals neergelegd in de Politiewet. Maar dan moeten de openbare orde en publieke veiligheid wel concreet in het geding zijn. Problematisch wordt het als daar geen sprake van is of lijkt te zijn of dat juist niet te overzien valt zonder digitale toegang. Dan ligt een beroep op de algemene politietaak niet in de rede. De OvJ kan in dit geval wel een beroep doen op een doorzoekingsbevoegdheid, namelijk conform art. 96c Sv. De OvJ kan steeds ‘elke plaats, met uitzondering van een woning zonder toestemming van de bewoner of een kantoor van een verschoningsgerechtigde’ (art. 96c Sv) betreden en ‘in het belang van het onderzoek’ die plaats doorzoeken ter vastlegging van gegevens op gegevensdragers (art. 125i Sv) of zelfs ter inbeslagneming van de computers. Kortom, de doorzoekingsbevoegdheid geldt ook de locatie van slachtoffers, zoals die van containerbedrijf Maersk.
Onderliggend aan de bovenstaande argumentatie is overigens wel de wezenlijke vraag of de interventies zijn gerechtvaardigd als deze niet (ook) een opsporings- en vervolgingsdoel dienen. Over deze kwestie wordt – vanuit een bredere context dan alleen digitale interventies – al langer binnen het strafrecht gediscussieerd. In het vorig jaar gepresenteerde rapport van de Commissie Koops over de regulering van opsporingsbevoegdheden in een digitale omgeving, wordt hier een korte passage aan gewijd.1 De commissie meent dat overheidshandelingen die niet primair zijn gericht op waarheidsvinding en vervolging, maar op het verstoren van strafbare activiteiten, niet (althans niet uitsluitend) in Boek 2 van het gemoderniseerde Wetboek van Strafvordering moeten worden geregeld. “De commissie acht het mogelijk dat op langere termijn, als de inzet van opsporingsbevoegdheden met het uitsluitende doel het beëindigen van strafbare feiten of het beschermen van de belangen van slachtoffers meer regel dan uitzondering wordt, een nadere regeling (binnen of buiten Sv) aan de orde zou kunnen zijn.” (p. 26).
Kijkend naar het groeiend aantal cyberaanvallen en de noodzaak de escalatie daarvan zoveel als mogelijk te voorkomen, is het zaak de discussie over (digitaal) preventief binnentreden nu reeds te voeren. Op de agenda staan dan in ieder geval proportionaliteits- en subsidiariteitsvragen. Ook zal het moeten gaan over het noodzakelijk stelsel van waarborgen waarmee dit optreden omkleed dient te zijn, zoals eventuele toestemming vooraf en toetsing achteraf.
Dit Vooraf is gepubliceerd in NJB 2019/578
Afbeelding: Pixabay
