Goh, Nederland heeft knappe inzichten over soevereiniteit in cyberspace

De brief van minister Blok aan de Tweede Kamer over soevereiniteit in cyberspace is een tour de force op juridisch gebied. Dat hoor je ook niet vaak van Kamerstukken, dus daar gaan we eens goed voor zitten. De brief werd van de zomer verstuurd en onlangs publiek gemaakt. Het doet me goed te zien dat het concept cyberspace als zodanig kennelijk juridisch erkend wordt, maar je maakt dingen wel een stuk ingewikkelder op die manier. De uitkomsten zijn overigens zeker wel verrassend en vernieuwend.

Het grootste probleem met cybervraagstukken is dat het de nationale soevereiniteit doorbreekt. Als een botnet met Europese slachtoffercomputers wordt gecommandeerd door een Braziliaan via een vpn een command&controlserver in Korea om een Nederlandse bank plat te leggen, welke actie neem je dan als Nederlandse politie? In hoeverre zou bijvoorbeeld de soevereiniteit van Korea worden aangetast als je die server terughackt en uitzet? Of die van Brazilië omdat ze die dader daar wilden aanpakken? (Dit is belangrijk omdat uit internationaal recht volgt dat je andermans soevereiniteit niet schendt; je komt dan richting de oorlogsdaden.)

Wanneer doorkruist een cyberactie nu de soevereiniteit? Het antwoord zou volgens Nederland liggen in het effect in het land waar dit gebeurt. Hoe ernstiger dat effect, hoe meer je aan iemands soevereiniteit knabbelt. Effecten die gelijk zijn aan ingrijpen met fysiek geweld zijn het extreemste voorbeeld: dat is eigenlijk gewoon keihard verboden. Het lamleggen van die Nederlandse bank is dus een schending van internationaal recht als dat door een staat zou gebeuren, bijvoorbeeld.

Minstens zo interessant is het zorgvuldigheidsbeginsel: dat je rekening houdt met andere landen wanneer je als soevereine staat handelt. Je opereert weliswaar soeverein maar niet volledig in isolatie, immers. Dat beginsel werkt een-op-een ook in de cyberwereld:

In de cybercontext betekent het zorgvuldigheidsbeginsel dat staten moeten optreden tegen: (1) cyberactiviteiten die worden uitgevoerd door personen op hun grondgebied of waarbij gebruik wordt gemaakt van zaken of netwerken op hun grondgebied of waar zij anderszins controle over hebben; (2) die inbreuk maken op een recht van een andere staat; en (3) waarvan zij op de hoogte zijn of zouden moeten zijn.

Brazilië of Korea zou dus moeten ingrijpen als die Nederlandse bank wordt platgelegd. En niet “dat zou leuk zijn” maar “dat moeten ze van het internationaal recht”. Wel moet het dan gaan om een ernstige inbreuk op de rechten van in dit geval Nederland. Eén enkele phishmail uit Nigera schept dus nog niet meteen zo’n verplichting.

Wat nu als zo’n land daar niet meteen gehoor aan geeft? Want dan komen we bij waar het echt om draait, zou de Nederlandse politie dan die C&C server plat mogen leggen op afstand, of die Braziliaan mogen spearphishen om de login te pakken te krijgen? Die zorgvuldigheidseis is een soort van opstapje daarheen. Als een land – zeg Brazilië – te kort zou schieten daarin, en Nederland ondervindt vervolgens ernstige schade, dan mag Nederland doorpakken en zelf maatregelen nemen. Terughacken dus.

Niet dat terughacken nu automatisch de meest logische actie is. Je moet altijd eerst kijken of er legale alternatieven zijn, zoals Brazilië blokkeren op de AMS-IX, diplomaten uitzetten of een andere handeling die ook wel pijn doet maar duidelijk binnen je eigen rechten valt. Pas als dat niet lukt, dan kun je opschalen naar internationale actie – die dan wel tijdelijk en voor compensatie vatbaar moet zijn.

(Als goed jurist moet ik nu openen door te zeggen dat Nederland een lange traditie heeft met dit soort inzichten: Hugo de Groot formuleerde in 1609 zeer gezaghebbende principes over het recht op de internationale zeeën. Kort gezegd, iedereen heeft daar dezelfde (namelijk geen) exclusieve rechten, omdat geen land dit in eigendom kan hebben. Bij deze.)

Arnoud
PS: vergeet je ticket voor the Future is Legal op 15 november niet, ze gaan hard!

8 reacties

    1. Daar kun je twee kanten mee op: 1) Het recht van de woonplaats van de verdachte 2) Het recht van de plaats waar de handeling effect had

      Als de verdachte via dat wifi kanaal bijvoorbeeld een mail stuurt waarin hij een Rotterdammer bedreigt met de dood, dan zou hij naar Nederlands strafrecht vervolgd kunnen worden. Het effect was immers in Rotterdam.

    2. Volgens mij bedoel je wat te doen met een Brit, die woonachtig is in Belgie, en vanaf een terras in Duistland via de WiFi van een Nederlander een dreigmail stuurt naar een Fransman.

      Waarbij, gewoon om het leuk te maken, de fransman een Spaanse E-mail provider heeft, en de Brit een Zweedse.

      Of, waarbij alle bovenstaande landen (behalve .nl) vervangen worden door niet EU staten….

  1. Welk recht zou dan moeten voorschrijven wat een “ernstig effect” is? Nederlands recht? Braziliaans recht? Als het om “internationaal recht” gaat, wie schrijft dat dan? Gaat de Chinese overheid ons dan straks ook voorschrijven dat we geen websites mogen publiceren met kritiek op hun regering?

    Bescherming van soevereiniteit houdt ook in: bescherming tegen het recht zoals dat in andere landen geldt, omdat wij ons niet aan dat recht wensen te onderwerpen. Dat moet dan wederzijds ook kunnen – een Braziliaan moet kunnen vertrouwen op de Braziliaanse soevereiniteit, en moet dus niet onderworpen worden aan de Nederlandse wet. Een individu kan slechts beschermd èn onderworpen zijn door de jurisdictie waarin die zich bevindt. Dat kan slechts een enkele soevereine jurisdictie zijn: de ene soevereiniteit sluit de andere uit.

    Dat wordt natuurlijk lastig bij grensoverschrijdende activiteiten. In principe moeten overheden daarvoor natuurlijk grensafspraken maken, en die kunnen resulteren in nationale wetgeving voor burgers. Zo’n afspraak zou niet moeten beperken wat mensen binnen een land doen, alleen wat de grens over gaat.

    In het virtuele domein is dat wel lastiger, omdat je daar grenzen hebt met alle landen, in plaats van de (meestal) slechts een paar fysieke buurlanden, en het is ook nogal lastig om grenzen te stellen aan informatie en communicatie. Tenminste: op de hogere niveaus van de netwerk-stack. Op fysiek niveau (glasvezelkabels, WiFi e.d.) kan je wel grenzen stellen. Landen kunnen in principe firewalls plaatsen om zich te beschermen, of zelfs het open internet kunnen buitensluiten.

    Als je dat soort maatregelen niet neemt, dan heb ik al snel zo iets van: het internet is nou eenmaal een vrijplaats, accepteer dat nou maar. We hebben allemaal dingen waarvan we liever niet hebben dat ze gebeuren, maar die toch ongestraft blijven op het internet. Een waterdicht systeem van opsporing, vervolging en bestraffing is alleen zo onwerkbaar dat ik zou zeggen: doe dat nou niet. Zet in plaats daarvan in op verdediging: zorg dat hackers niet kunnen binnendringen, leer mensen hoe ze niet opgelicht worden, dat soort dingen. Vervolging is leuk als het kan, maar het is optioneel. Het kan eigenlijk alleen als de betrokken landen in al hun soevereine vrijheid wensen mee te werken, en in een vrije wereld heb je nooit die garantie.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.