De brief van minister Blok aan de Tweede Kamer over soevereiniteit in cyberspace is een tour de force op juridisch gebied. Dat hoor je ook niet vaak van Kamerstukken, dus daar gaan we eens goed voor zitten. De brief werd van de zomer verstuurd en onlangs publiek gemaakt. Het doet me goed te zien dat het concept cyberspace als zodanig kennelijk juridisch erkend wordt, maar je maakt dingen wel een stuk ingewikkelder op die manier. De uitkomsten zijn overigens zeker wel verrassend en vernieuwend.
Het grootste probleem met cybervraagstukken is dat het de nationale soevereiniteit doorbreekt. Als een botnet met Europese slachtoffercomputers wordt gecommandeerd door een Braziliaan via een vpn een command&controlserver in Korea om een Nederlandse bank plat te leggen, welke actie neem je dan als Nederlandse politie? In hoeverre zou bijvoorbeeld de soevereiniteit van Korea worden aangetast als je die server terughackt en uitzet? Of die van Brazilië omdat ze die dader daar wilden aanpakken? (Dit is belangrijk omdat uit internationaal recht volgt dat je andermans soevereiniteit niet schendt; je komt dan richting de oorlogsdaden.)
Wanneer doorkruist een cyberactie nu de soevereiniteit? Het antwoord zou volgens Nederland liggen in het effect in het land waar dit gebeurt. Hoe ernstiger dat effect, hoe meer je aan iemands soevereiniteit knabbelt. Effecten die gelijk zijn aan ingrijpen met fysiek geweld zijn het extreemste voorbeeld: dat is eigenlijk gewoon keihard verboden. Het lamleggen van die Nederlandse bank is dus een schending van internationaal recht als dat door een staat zou gebeuren, bijvoorbeeld.
Minstens zo interessant is het zorgvuldigheidsbeginsel: dat je rekening houdt met andere landen wanneer je als soevereine staat handelt. Je opereert weliswaar soeverein maar niet volledig in isolatie, immers. Dat beginsel werkt een-op-een ook in de cyberwereld:
In de cybercontext betekent het zorgvuldigheidsbeginsel dat staten moeten optreden tegen: (1) cyberactiviteiten die worden uitgevoerd door personen op hun grondgebied of waarbij gebruik wordt gemaakt van zaken of netwerken op hun grondgebied of waar zij anderszins controle over hebben; (2) die inbreuk maken op een recht van een andere staat; en (3) waarvan zij op de hoogte zijn of zouden moeten zijn.
Brazilië of Korea zou dus moeten ingrijpen als die Nederlandse bank wordt platgelegd. En niet “dat zou leuk zijn” maar “dat moeten ze van het internationaal recht”. Wel moet het dan gaan om een ernstige inbreuk op de rechten van in dit geval Nederland. Eén enkele phishmail uit Nigera schept dus nog niet meteen zo’n verplichting.
Wat nu als zo’n land daar niet meteen gehoor aan geeft? Want dan komen we bij waar het echt om draait, zou de Nederlandse politie dan die C&C server plat mogen leggen op afstand, of die Braziliaan mogen spearphishen om de login te pakken te krijgen? Die zorgvuldigheidseis is een soort van opstapje daarheen. Als een land – zeg Brazilië – te kort zou schieten daarin, en Nederland ondervindt vervolgens ernstige schade, dan mag Nederland doorpakken en zelf maatregelen nemen. Terughacken dus.
Niet dat terughacken nu automatisch de meest logische actie is. Je moet altijd eerst kijken of er legale alternatieven zijn, zoals Brazilië blokkeren op de AMS-IX, diplomaten uitzetten of een andere handeling die ook wel pijn doet maar duidelijk binnen je eigen rechten valt. Pas als dat niet lukt, dan kun je opschalen naar internationale actie – die dan wel tijdelijk en voor compensatie vatbaar moet zijn.
(Als goed jurist moet ik nu openen door te zeggen dat Nederland een lange traditie heeft met dit soort inzichten: Hugo de Groot formuleerde in 1609 zeer gezaghebbende principes over het recht op de internationale zeeën. Kort gezegd, iedereen heeft daar dezelfde (namelijk geen) exclusieve rechten, omdat geen land dit in eigendom kan hebben. Bij deze.)
Arnoud
PS: vergeet je ticket voor the Future is Legal op 15 november niet, ze gaan hard!