Financieel Dagblad (Recht en belastingen) 19 april 2012

Soevereiniteit op web bestaat niet

(oorpronkelijke titel: Soevereiniteit is op internet een anachronisme)

A.R. Lodder

Een deel van de problemen waar opsporingsinstanties in onder andere de Robert M.-zaak tegenaan lopen wordt veroorzaakt door een niet bij het internet passende uitleg van territorialiteit. Deze interpretatie moet op de schop, zeker in het licht van opkomende ‘cloud computing’. Informatie is dan niet meer bij de verdachte thuis op zijn computer te vinden maar staat ergens op het internet, waarbij lang niet altijd duidelijk is waar de hostende servers staan.

Het internet is intrinsiek grensoverschrijdend. Voor het benaderen van informatie is het niet relevant waar deze zich fysiek bevindt. Meestal heeft de gebruiker ook geen idee waar een server staat. Enkele jaren terug vertelde een politieman dat bij een ‘crime scene’ van een moord een computer aanstond en de Yahoo-mailbox geopend was. Deze politieman mocht de mails niet openen, hoewel hij op basis van de ‘subject’ en afzenders van de mail kon zien dat deze mogelijk informatie bevatten die tot een oplossing van het misdrijf konden leiden.

De opstelling van de politieman is begrijpelijk. Het recht richt zich op territorialiteit. Binnen landsgrenzen bepaalt de staat wat er al dan niet mag gebeuren. De samenstellers van het enige verdrag dat er voor het internet is afgesloten, het zogenaamde Cybercrime-verdrag van de Raad van Europa uit 2001, bleven het over een belangrijk punt oneens: grensoverschrijdende doorzoeking van computersystemen.

Het kan ook anders. Uit diezelfde tijd komt de Europese Richtlijn 2000/31/EG inzake de elektronische handel. Hierin is bepaald dat een lidstaat toezicht houdt op aanbieders van internetdiensten die op haar grondgebied als burger wonen of als bedrijf gevestigd zijn. Waar de technologie zich bevindt doet er niet toe. Als iemand een Braziliaanse domeinnaam heeft en gebruikmaakt van een Koreaanse server, dan is het toch de taak van de Nederlandse overheid de diensten te controleren van de aanbieder die in Amsterdam woont of zijn bedrijf daar heeft gevestigd. Als de Nederlandse toezichthouder de informatie van de Koreaanse server bekijkt, raadpleegt hij een computer die op Koreaans grondgebied staat. Nooit gehoord van een staat die zich daar druk over maakt.

Het benaderen van computers binnen de opsporing strekt doorgaans verder dan enkel een website bekijken, maar de grondgedachte zou hetzelfde moeten zijn. Informatie staat eerst en vooral op internet en pas op de tweede plaats is er een link met een plek op onze aarde. De soevereiniteit schiet zijn doel voorbij als deze wordt ingeroepen omdat informatie toevallig fysiek op een bepaalde computer te vinden is.

Lastiger is het als het gaat om computers die bijvoorbeeld bij mensen thuis staan. Ook dan lijkt het mij echter dat hier in de eerste plaats gekeken moet worden naar het feit dat deze computer aangesloten is op het internet: een wereldwijd, grensoverschrijdend computernetwerk.

Dat landen het zich aantrekken dat vreemde opsporingsautoriteiten op hun grondgebied computers doorzoeken past niet bij het karakter van het internet. Het Nederlandse OM moet tegen een in Nederland woonachtige verdachte ook over de fysieke grenzen heen bewijs kunnen verzamelen. Anders wordt het wegsluizen van bewijs wel erg gemakkelijk en wordt geen recht gedaan aan de essentie van het wereldwijde communicatiemedium.

Wat er vervolgens met dat bewijsmateriaal gebeurt, is wel aan het land dat vervolgt. Als Nederland belastende informatie tegenkomt over een Roemeen, dan kan Roemenie besluiten niet te vervolgen of Nederland besluiten dat wel te doen als bijvoorbeeld de Roemeen in Nederland verblijft. Het recht moet echter pas in beeld komen bij de evaluatie van bewijsmateriaal. Voor die tijd moet het schenden van territoir als niet relevant terzijde worden geschoven.