Brief regering : Internationale rechtsorde in het digitale domein
33 694 Internationale Veiligheidsstrategie
26 643 Informatie- en communicatietechnologie (ICT)
Nr. 47 BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 5 juli 2019
In het Plenair Debat Spionage door Rusland van 20 december 2018 (Handelingen II 2018/19,
nr. 39, item 33) is een uiteenzetting van de toepassing van de desbetreffende onderdelen van bestaand
internationaal recht op het digitale domein toegezegd. Daarnaast is in de motie van
de leden Verhoeven en Bruins Slot (Kamerstuk 33 694, nr. 35) verzocht om een weergave van initiatieven ten behoeve van het bestendigen van de
internationale rechtsorde in het digitale domein. Doel van deze brief is uw Kamer
mede namens de Ministers van Defensie, Justitie en Veiligheid en Binnenlandse Zaken
en Koninkrijksrelaties te informeren over bovenstaande punten. In de bijlage wordt
op de belangrijkste volkenrechtelijke aspecten ingegaan.
Bestendigen van de internationale rechtsorde in het digitale domein
Het kabinet wil een leidende rol spelen bij het toepassen en versterken van een internationaal
normatief kader voor de regulering van cyberoperaties tussen staten. Het recent door
de EU bekrachtigd NL initiatief van een cybersanctieregime is een voorbeeld van de
NL inzet. Het bestaande internationaal recht is daarbij het uitgangspunt. Nederland
heeft immers belang bij een goed functionerende internationale rechtsorde die zorgt
voor een mate van voorspelbaarheid, stabiliteit en conflictpreventie.
Zoals uiteengezet in het Cyber Security Beeld Nederland 20191 en de jaarverslagen van de Inlichtingen- en Veiligheidsdiensten,2 neemt de digitale dreiging vanuit statelijke actoren toe en is er onvoldoende overeenstemming
over de internationale normen en waarden die gelden in het digitale domein. Recente
gebeurtenissen zoals de verstoring van de cyberoperatie van de Russische militaire
inlichtingendienst GRU, gericht tegen de Organisatie voor het Verbod op Chemische
Wapens (OPCW) op 13 april 2018, zijn een manifestatie van een veel bredere geopolitieke
trend. De status quo wordt in toenemende mate bedreigd door statelijke actoren die
kwetsbaarheden die digitalisering met zich mee brengt uitbuiten.
Teneinde specifiek op het cyberdomein toegesneden handvatten te bieden, zet het kabinet
daarnaast in op internationale afspraken over vrijwillige, niet-bindende-gedragsnormen
voor staten en de ontwikkeling van een stelsel van vertrouwenwekkende maatregelen.
Daarbij zijn de consensusrapporten van de UN Group of Governmental Experts 2010, 2013
en 20153 leidend. Nederland draagt zo bij aan de ontwikkeling van een internationale veiligheidsarchitectuur
voor het cyberdomein.
Het kabinet acht betrokkenheid vanuit het bedrijfsleven, kennisinstellingen, de technische
gemeenschap en maatschappelijk middenveld in deze van groot belang. Complementair
aan de bestaande interstatelijke processen heeft het kabinet daarom onder meer de
Global Commission on the Stability of Cyberspace (GCSC) ondersteund. De GCSC werkt
aan een raamwerk voor stabiliteit in cyberspace. Het eindrapport zal in november gereed
zijn.
Nederland tracht in aanloop naar onderhandelingen in een tweetal VN fora4 door middel van consultaties over de toepassing van het internationaal recht in het
digitale domein het interstatelijke draagvlak voor het open, vrije en veilige internet
te vergroten. Zo heeft het kabinet onlangs internationale consultaties georganiseerd
met een groot aantal staten over de toepassing van het internationaal recht in het
digitale domein.
Daarnaast zet het kabinet in op capaciteitsopbouw om het internationale draagvlak
voor een open, vrij en veilig internet, waar het bestaande internationaal recht wordt
gerespecteerd en geïmplementeerd, te verbreden. Middels het in 2015 door Nederland
gelanceerde Global Forum on Cyber Expertise (GFCE) zijn strategische capaciteitsopbouw
activiteiten ontplooid. Toepassing van internationaal recht op het digitale domein
is een van de thema’s waar het GFCE zich op richt. Aan de hand van de Tallinn Manual
2.05 worden wereldwijde capaciteitsopbouwprojecten uitgevoerd.
In beide VN-processen zal desalniettemin actief weerstand moeten worden geboden tegen
pogingen de toepassing van internationaal recht in cyberspace en eerder in VN overeengekomen
principes en gedragsnormen ter discussie te stellen. Er is immers sprake van een steeds
scherpere tegenstelling tussen enerzijds de multistakeholder-georiënteerde landen
waaronder Nederland, die pleiten voor bescherming van de openheid, vrijheid en integriteit
van het internet, en anderzijds staatsgeoriënteerde landen die pleiten voor controle
en inperking van datgene dat over het internet wordt verspreid. Daarbij is de inzet
van het netwerk van Nederlandse diplomatieke vertegenwoordigingen, dat op het terrein
van cyberexpertise wordt versterkt, van groot belang.
Diplomatieke en politieke respons op cyberincidenten
Terwijl de internationale discussie over de toepassing en de reikwijdte van het internationaal
recht in het digitale domein voortduurt, blijven sommige landen schadelijke activiteiten
ontplooien. Diplomatiek optreden tegen ongewenste statelijke cyberoperaties, bij voorkeur
internationaal gecoördineerd of in coalitieverband met gelijkgezinde landen, kan een
effectief middel zijn ter bestendiging van de internationale rechtsorde en (inter)nationale
veiligheidsbelangen. Het kabinet zet dientengevolge ook in op een versterking van
de capaciteit om diplomatiek en politiek te kunnen reageren op ondermijnende cyberoperaties.
De internationale respons na de verstoorde cyberoperatie bij de OPCW is hier een treffend
voorbeeld van. Om gecoördineerd op te kunnen treden, is inzet van het postennet essentieel.
Bij het bepalen van responsopties staat een zorgvuldige en integrale afweging van
de Nederlandse (veiligheids)belangen centraal.
Om de internationale samenwerking ook in Europees-verband verder te structuren, is
op Nederlands initiatief een EU cyberdiplomatie toolbox6 tot stand gekomen. Hiermee kunnen verschillende instrumenten van het Gemeenschappelijk
Buitenlands en Veiligheidsbeleid worden aangewend om degenen die ondermijnende cyberactiviteiten
ontplooien ter verantwoording te roepen. Als onderdeel daarvan is op Nederlands initiatief
17 mei jl. in een EU cyber sanctieregime7 ingesteld waarmee het mogelijk wordt om tegoeden te bevriezen en inreisverboden op
te leggen.
Ook voor het NAVO-bondgenootschap is het van belang zich te kunnen verweren tegen
het volledige spectrum aan vijandige cyberoperaties. Dit betreft niet alleen cyberoperaties
die beschouwd kunnen worden als een gewapende aanval, maar ook operaties die onderdeel
zijn van een hybride campagne onder de drempel van een gewapend conflict. Hiervoor
blijft het kabinet zich in bondgenootschappelijk verband sterk maken.
Tot slot
In de bijlage worden de belangrijkste internationaalrechtelijke regels die gelden
in het digitale domein uiteengezet. Tevens wordt toegelicht hoe het kabinet de toepassing
van deze regels interpreteert. Waar relevant, is aangegeven welke kwesties nog onderwerp
van internationale discussie zijn en welke nadere uitwerking vereisen. Hierbij wordt
ingegaan op verplichtingen van staten in het cyberdomein, attributie van cyberoperaties
en responsopties bij ongewenst cyberoptreden door een andere staat.
Het kabinet zet ondertussen onverwijld in op de reeds in de Geïntegreerde Buitenland
en Veiligheidsstrategie en de Nederlandse Cyber Security Agenda ingezette aanpak.
Daarbij geniet i) de versterking van het diplomatiek responskader in EU- en NAVO verband
en met gelijkgezinde landen en ii) verbreding van draagvlak voor een open, vrij en
veilig internet, waar het bestaande internationaal recht van toepassing is en nageleefd
wordt, prioriteit. Medio 2020 zal het kabinet uw Kamer inlichten over de voortgang.
De Minister van Buitenlandse Zaken, S.A. Blok
Bijlage: Internationaal recht in het digitale domein (cyberspace)
Algemeen
In deze bijlage wordt ingegaan op een aantal belangrijke internationaalrechtelijke
verplichtingen van staten in het cyberdomein. Een schending van (een van) deze verplichtingen
die toerekenbaar is aan een staat levert een internationaalrechtelijke onrechtmatige
daad van die staat op, tenzij sprake is van een internationaalrechtelijk erkende rechtvaardigingsgrond.8
Zoals het kabinet meerdere malen heeft aangegeven en consequent uitdraagt, is het
internationaal recht van toepassing op het cyberdomein. Dit wordt ook internationaal
erkend.9 Dit neemt niet weg dat nog veel vragen bestaan over hoe het internationaal recht
precies moet worden toegepast in het cyberdomein, wat komt door de bijzondere kenmerken
van de digitale wereld ten opzichte van de fysieke wereld. Digitale gegevens verplaatsen
zich doorgaans snel en zijn daardoor vaak lastig te lokaliseren, kunnen in enkele
seconden naar een ander land worden verplaatst, of zijn verspreid over meerdere landen
opgeslagen. Daarnaast hebben ongewenste activiteiten in het cyberdomein lang niet
altijd (meteen) fysiek effect, terwijl de effecten ervan wel ernstig kunnen zijn.
Het is nog niet geheel duidelijk hoe deze en andere bijzondere kenmerken moeten worden
meegenomen bij de toepassing van het internationaal recht. Het kabinet stimuleert
de internationale discussie over het verduidelijken van de toepassing van het internationaal
recht op het cyberdomein. Duidelijkheid en overeenstemming daarover is van belang
voor de internationale rechtsorde.
Het formuleren van de antwoorden op de openstaande vragen is een continu proces, waarbij
het kabinet nauw afstemt met gelijkgezinde partners en initiatieven neemt om de discussie
verder te helpen, zoals de internationale consultaties over internationaal recht in
het cyberdomein die Nederland eind mei in Den Haag heeft georganiseerd.
In deze bijlage wordt nader ingegaan op een aantal belangrijke internationaalrechtelijke
regels die gelden in het cyberdomein. Ook wordt toegelicht hoe het kabinet tegen de
toepassing van deze regels aankijkt. Waar relevant zal worden aangegeven welke kwesties
nog onderwerp van internationale discussie zijn en nadere uitwerking vereisen. De
volgende indeling wordt aangehouden: verplichtingen van staten in het cyberdomein,
attributie van cyberoperaties en responsopties bij ongewenst cyberoptreden door een
andere staat. Het kabinet gaat uit van de primaire bronnen van internationaal recht
zoals vermeld in artikel 38 van het Statuut van het Internationaal Gerechtshof, dat
onder meer verwijst naar verdragen, gewoonterecht en algemene rechtsbeginselen als
bronnen van internationaal recht.
Verplichtingen van staten
Respect voor soevereiniteit
Het beginsel van soevereiniteit, oftewel het beginsel dat staten gelijkwaardig en
onafhankelijk zijn en binnen de grenzen van hun grondgebied het hoogste gezag hebben,
is een van de fundamentele beginselen van het internationaal recht.10 Internationaalrechtelijke regels als het geweldsverbod, het non-interventiebeginsel
en het recht op zelfverdediging vloeien hieruit voort. Deze regels zullen hierna in
meer detail worden besproken.
Volgens sommige landen en juristen vormt het soevereiniteitsbeginsel niet een zelfstandige
regel van internationaal recht die los staat van de daarvan afgeleide regels. Nederland
deelt deze visie niet en is van mening dat respect voor de soevereiniteit van andere
landen een op zichzelf staande verplichting is, waarvan de schending een zelfstandige
internationaalrechtelijk onrechtmatige daad kan opleveren. Dit standpunt vindt onder
meer steun in de rechtspraak van het Internationaal Gerechtshof, dat in de Nicaragua zaak oordeelde dat de Verenigde Staten in strijd had gehandeld met de gewoonterechtelijke
verplichting niet de soevereiniteit van een andere staat te schenden.11 Hieronder wordt nader in gegaan op de betekenis van deze verplichting.
Soevereiniteit houdt in de eerste plaats in dat staten exclusieve rechtsmacht hebben
over zaken, personen en activiteiten binnen hun grondgebied, met inachtneming van
hun internationaalrechtelijke verplichtingen, zoals verplichtingen met betrekking
tot privileges en immuniteiten of verplichtingen voortvloeiend uit mensenrechtenverdragen.
Dit is het interne aspect van soevereiniteit. In de tweede plaats houdt soevereiniteit
in dat staten vrij en onafhankelijk zijn in het bepalen van hun buitenlands beleid,
bij het aangaan van internationale verplichtingen en betrekkingen en het ontplooien
van activiteiten buiten hun grenzen, zolang zij zich houden aan de regels van het
internationaal recht. Dit is het externe aspect van soevereiniteit.
Beide aspecten gelden onverkort in het cyberdomein. Staten hebben exclusief gezag
over de materiële, personele (menselijke) en immateriële (logische of software) aspecten
van het cyberdomein binnen hun territorium. Zij mogen binnen hun grondgebied bijvoorbeeld
regels stellen over technische specificaties van mobiele netwerken, de weerbaarheid
tegen cyberaanvallen en cybersecurity reguleren, maatregelen treffen om cybercriminaliteit te bestrijden of handhavend
optreden om de vertrouwelijkheid van persoonsgegevens te beschermen. Daarnaast mogen
zij zelfstandig buitenlands cyberbeleid voeren en verdragsverplichtingen op het gebied
van cyber aangaan. De beslissing van Nederland om zich aan te sluiten bij het Cybercrimeverdrag
van de Raad van Europa is bijvoorbeeld een uitoefening van de Nederlandse soevereiniteit.
Op staten rust de verplichting de soevereiniteit van andere staten te respecteren
en zich te onthouden van activiteiten die inbreuk maken op de soevereiniteit van andere
landen. Ook mogen landen geen cyberoperaties uitvoeren die de soevereiniteit van een
ander land schenden. Hierbij moet worden aangetekend dat de precieze grenzen van wat
wel mag en wat niet mag nog niet volledig zijn uitgekristalliseerd. Dit heeft het
maken met de sterk territoriale en fysieke connotatie van het traditionele begrip
soevereiniteit. Het beginsel is van oudsher gericht op het beschermen van het gezag
over zaken en personen binnen de eigen landsgrenzen. In het cyberdomein is de notie van territorialiteit of fysieke tastbaarheid vaak
minder duidelijk. Zo is het mogelijk dat één cyberoperatie opgebouwd is uit verschillende
componenten of acties die vanuit verschillende landen worden geïnitieerd of die via
verschillende landen lopen, op een manier die niet altijd kan worden getraceerd. Daarnaast
zijn er verschillende mogelijkheden om de geografische herkomst van activiteiten in
het cyberdomein te maskeren. Bovendien worden gegevens tegenwoordig vaak via een cloud systeem op verschillende, wisselende en niet altijd kenbare locaties opgeslagen.
Lang niet altijd kan dus worden vastgesteld of een cyberoperatie een grensoverschrijdend
element heeft en daarmee de soevereiniteit van een land schendt. En zelfs als de herkomst
of route van een cyberoperatie kan worden vastgesteld, geldt dat dit soort operaties
niet altijd tot (direct) fysiek tastbare gevolgen leidt.
Ook in het kader van de rechtshandhaving, een onderdeel van de interne soevereiniteit
van staten, is de wijze waarop het beginsel van soevereiniteit moet worden toegepast,
internationaal nog niet volledig uitgekristalliseerd. Inmiddels lijkt een gedeelde
opsporingspraktijk op Europees en internationaal niveau zich te ontwikkelen. Voor
de opsporing relevante gegevens staan steeds vaker over de grens, bijvoorbeeld in
de cloud, in hoofdzakelijk private datacenters opgeslagen. Ook voor het plegen van
strafbare feiten op, of met gebruik van, het internet is de locatie van gegevens,
waaronder kwaadaardige software of code, en van fysieke infrastructuur vaak nauwelijks
relevant. Bovendien zijn locatie en identiteit op het internet goed te verbergen en
is steeds meer communicatie versleuteld. Bij de digitale opsporing van strafbare feiten,
waaronder cybercriminaliteit, kan – zelfs als sprake is van een puur nationale zaak,
met een verdachte en slachtoffer binnen één staat – daarom al snel sprake zijn van
buiten Nederland opgeslagen gegevens, vooral bij het vorderen van gegevens van online
dienstenaanbieders of hostingproviders, de netwerkzoeking en het (heimelijk) op afstand
binnendringen van een geautomatiseerd werk. Bij grensoverschrijdende toepassing van
opsporingsbevoegdheden is traditioneel sprake van een schending van de soevereiniteit
van het andere land, tenzij dat land expliciet toestemming heeft verleend (al dan
niet via een verdrag). Over de vragen wanneer er sprake is van grensoverschrijdende
toepassing van onderzoeksbevoegdheden en wanneer dit zonder verdragsrechtelijke basis
toelaatbaar is, wordt verschillend gedacht. In het digitale domein wordt ook in de
praktijk niet door elk land hetzelfde omgegaan met soevereiniteit bij de opsporing
van strafbare feiten. Nederland levert een actieve bijdrage aan internationale gesprekken
over mogelijkheden om de opsporing effectiever te maken, waarbij in het bijzonder
aandacht is voor de juiste waarborgen.
In algemene zin onderschrijft het kabinet stelregel 4 die is voorgesteld door de samenstellers
van de Tallinn manual 2.0 voor het vaststellen van de grenzen van soevereiniteit in
het cyberdomein.12 Volgens deze regel is sprake van een schending van de soevereiniteit als 1) inbreuk
wordt gemaakt op de territoriale integriteit van de andere staat; of dat 2) sprake
is van verstoring van of miskennen van de uitoefening van inherente overheidsfuncties
van de andere staat. De precieze invulling van deze factoren is nog onderwerp van
discussie.
Verbod op interventie
Met de ontwikkeling van geavanceerde digitale technologieën hebben staten meer mogelijkheden
gekregen om invloed uit te oefenen op ontwikkelingen buiten hun eigen grenzen en zich
te mengen in de aangelegenheden van andere staten. Het pogen verkiezingsuitslagen
te beïnvloeden via sociale media is hier een voorbeeld van. Het internationaal recht
stelt grenzen aan dit soort activiteiten met het verbod op interventie, dat voortvloeit
uit het soevereiniteitsbeginsel. Net als dit beginsel is het verbod alleen van toepassing
tussen staten.
Interventie wordt gedefinieerd als inmenging in de interne of externe aangelegenheden
van een andere staat met het oog op het uitoefenen van dwang op die staat. Het gaat
hierbij om aangelegenheden waarover staten volgens het soevereiniteitsbeginsel zelf
de zeggenschap hebben. Nationale verkiezingen zijn bijvoorbeeld een interne aangelegenheid.
Voorbeelden van externe aangelegenheden zijn de erkenning van staten en lidmaatschap
van een internationale organisatie.
Wanneer sprake is van het uitoefenen van dwang, en dus ongeoorloofde interventie,
is nog niet volledig uitgekristalliseerd in het internationaal recht. Het gaat om
het bewegen van een staat tot het doen of laten van iets wat die staat normaliter
niet vrijwillig zou doen. Het doel moet zijn om een verandering teweeg te brengen
in het handelen van de staat die het doelwit is. Hoewel er geen eenduidige definitie
van het dwangelement is, kan worden gesteld dat het gebruik van geweld altijd zal
voldoen aan het element van een afdwingbaar effect. Geweldgebruik tegen een andere
staat is altijd een vorm van interventie.
Verbod op geweldgebruik
Artikel 2(4) van het VN-Handvest bevat het verbod op het dreigen met of het gebruiken
van geweld en luidt als volgt: «In hun internationale betrekkingen onthouden alle
Leden zich van bedreiging met of het gebruik van geweld tegen de territoriale integriteit
of de politieke onafhankelijkheid van een staat.» Dit verbod is van toepassing op
elke vorm van geweldgebruik, ongeacht het wapen of middel dat hiervoor wordt ingezet.13
Het geweldverbod is nagenoeg absoluut. Er zijn slechts drie situaties waarbij het
gebruik van geweld of het dreigen ermee niet in strijd is met internationaal recht.
Dit is het geval bij zelfverdediging tegen een gewapende aanval (artikel 51 VN Handvest)
en bepaalde acties ter implementatie van een resolutie van de VN Veiligheidsraad onder
hoofdstuk 7 van het Handvest.14 Daarnaast is geweldgebruik geen schending van het geweldverbod wanneer het plaatsvindt
met instemming van de staat op wiens grondgebied geweld wordt gebruikt.
Bij de toepassing van dit verbod in het cyberdomein komt de vraag op of en wanneer
bij cyberoperaties sprake is van het uitoefenen van geweld, aangezien geen gebruik
wordt gemaakt van wapens in de gebruikelijke (fysieke) zin van het woord. Het kabinet
is van mening dat cyberoperaties onder het geweldverbod kunnen vallen, namelijk wanneer
de effecten van een cyberoperatie vergelijkbaar zijn met die van een conventionele
geweldshandeling die onder het geweldverbod valt. Met andere woorden: de effecten
van een operatie zijn bepalend, niet de manier waarop die effecten worden bereikt.
Dit standpunt vindt steun in de rechtspraak van het Internationaal Gerechtshof, dat
heeft vastgesteld dat gekeken moet worden naar de omvang en effecten van een operatie
bij het oordeel of sprake is van een gewapende aanval in de context van het recht
op zelfverdediging (zie hieronder). Er is geen reden aan te nemen dat dezelfde benadering
niet zou moeten worden gevolgd bij het beoordelen of er sprake is van geweldgebruik
in de zin van artikel 2(4) VN-Handvest. Een cyberoperatie zou daarom in ieder geval
worden gekwalificeerd als geweldgebruik wanneer de omvang en effecten hetzelfde niveau
bereiken als geweldgebruik bij niet cybergerelateerde operaties.
Een duidelijke definitie van geweldgebruik is niet voorhanden in het internationaal
recht. Het kabinet onderschrijft het algemeen geaccepteerde standpunt dat per geval
moet worden bekeken of sprake is van zodanige «omvang en effecten» dat sprake is van
een schending van het geweldverbod. In een advies over Digitale Oorlogvoering (2011)
schreven de Adviesraad Internationale Vraagstukken en de Commissie van Advies inzake
Volkenrechtelijke Vraagstukken dat «de gebruikelijke uitleg van deze bepaling is dat alle vormen van gewapend geweld
onder het verbod vallen, maar dat puur economische, diplomatieke en politieke druk
of dwang niet vallen onder wat in artikel 2 lid 4 wordt verstaan onder geweld. Het
beëindigen van de handelsrelaties of het bevriezen van tegoeden kan bijvoorbeeld zeer
nadelig zijn voor de staat die het betreft, maar wordt tot nu toe niet beschouwd als
vorm van geweld in de zin van het verbod uit het Handvest. Gewapend geweld met een
feitelijk of mogelijk fysiek effect op de staat die het doelwit is, valt wel onder
het verbod.»15
In de visie van het kabinet kan op dit moment niet worden uitgesloten dat een operatie
met zeer ernstige financiële of economische gevolgen als geweldgebruik kan worden
gekwalificeerd.
Bij het beoordelen van de omvang en effecten van een cyberoperatie moet naar zowel
kwalitatieve als kwantitatieve factoren worden gekeken. In de Tallinn Manual 2.0 wordt
een aantal factoren genoemd die hierbij een rol zouden kunnen spelen, waaronder de
ernst van de gevolgen van de cyberoperatie, de ingrijpendheid ervan en de vraag of
de operatie een militair karakter heeft of wordt uitgevoerd door een staat.16 Dit zijn geen bindende juridische voorwaarden. Het gaat om factoren die een indicatie
zouden kunnen geven dat een cyberoperatie kan worden gekwalificeerd als geweldgebruik,
die het kabinet onderschrijft. Hierbij moet worden opgemerkt dat een cyberoperatie
die onder de drempel blijft van geweldgebruik eventueel wel kan worden gekwalificeerd
als een verboden interventie of een soevereiniteitsschending.
Zorgvuldigheidsbeginsel
Het zorgvuldigheidsbeginsel houdt in dat van staten verwacht wordt dat zij bij het
uitoefenen van hun soevereiniteit rekening houden met de rechten van andere staten.
Het beginsel is onder meer verwoord door het Internationaal Gerechtshof in de Corfu Channel17 zaak, waar het oordeelde dat staten de plicht hebben op te treden wanneer zij kennis
krijgen of hebben van het gebruik van hun grondgebied op een manier die de rechten
van een derde staat schaadt. Hierbij moet worden aangetekend dat niet alle landen
van mening zijn dat het zorgvuldigheidsbeginsel een op zichzelf staande verplichting
onder het internationaal recht is. Nederland beschouwt het zorgvuldigheidsbeginsel
wel als een op zichzelf staande verplichting, waarvan de schending een internationaal
onrechtmatige daad kan opleveren.
In de cybercontext betekent het zorgvuldigheidsbeginsel dat staten moeten optreden
tegen:
– cyberactiviteiten die worden uitgevoerd door personen op hun grondgebied of waarbij
gebruik wordt gemaakt van zaken of netwerken op hun grondgebied of waar zij anderszins
controle over hebben;
– die inbreuk maken op een recht van een andere staat; en
– waarvan zij op de hoogte zijn of zouden moeten zijn.18
Hierbij moet een staat maatregelen nemen die in de gegeven omstandigheden van een
redelijk handelende staat verwacht mogen worden. Niet van belang is of de desbetreffende
cyberactiviteit wordt uitgevoerd door een statelijke of een niet-statelijke actor
en waar deze actor zich bevindt. Als dus bijvoorbeeld een cyberaanval wordt uitgevoerd
tegen Nederland waarbij gebruik wordt gemaakt van servers in een ander land, kan Nederland
op grond van het zorgvuldigheidsbeginsel het andere land verzoeken om de servers uit
te schakelen, ongeacht of vaststaat dat er een staat achter de cyberaanval zit.
Algemeen wordt aangenomen dat het zorgvuldigheidsbeginsel slechts van toepassing is
als sprake is van voldoende ernstige negatieve gevolgen voor de staat op wiens recht(en)
inbreuk wordt gemaakt. De precieze drempel hangt af van de specifieke omstandigheden
van het geval. Wel is duidelijk dat niet per se sprake hoeft te zijn van fysieke schade.
Verplichtingen in een gewapend conflict – humanitair oorlogsrecht
Het humanitair oorlogsrecht (HOR) is van toepassing op optreden in het kader van een
gewapend conflict. Dit geldt ook voor cyberoperaties die worden uitgevoerd in het
kader van een gewapend conflict. Voorwaarde voor de toepassing van dit speciale rechtsgebied
is dus de aanwezigheid van een (niet-internationaal of internationaal) gewapend conflict.
In 2011 heeft het kabinet al aangegeven dat «de toepassing van de regels van het humanitair oorlogsrecht (jus in bello) op vijandelijkheden
in het digitale domein «technisch gezien haalbaar en juridisch gezien ook een vereiste»
is.»19
Belangrijk onderdeel van het HOR is het internationaal recht inzake neutraliteit.
Neutraliteit houdt in dat staten die niet betrokken zijn bij het gewapend conflict
zich onthouden van elke actie waaruit betrokkenheid bij, of het bevoordelen van een
van de partijen in het conflict zou kunnen worden afgeleid. In de relaties met de
strijdende partijen is de neutrale staat gehouden hen gelijk te behandelen om zo zijn
neutraliteit te handhaven. Zo mag een staat niet de toegang tot zijn IT-systemen ontzeggen
aan de ene partij bij het conflict en niet aan de andere partij. Het kabinet benadrukte
in de kabinetsreactie op voornoemd AIV/CAVV-advies reeds dat «Nederland kan bij een gewapend conflict van andere partijen zijn neutraliteit beschermen
door het verhinderen van het gebruik door deze partijen van infrastructuur en systemen
(bijv. botnets) op Nederlands grondgebied. Hierbij is permanente waakzaamheid geboden.
Een goede inlichtingenpositie en een permanente scanfunctie zijn hierbij noodzakelijk.»20
Het HOR bevat verder specifieke regels inzake aanvallen gericht op personen of objecten,
die onverkort gelden voor cyberoperaties die worden ingezet in de context van een
gewapend conflict.21 Bij het plannen en uitvoeren van dit soort operaties dient te worden gehandeld in
overeenstemming met bijvoorbeeld de beginselen van onderscheid en proportionaliteit,
alsook de verplichting tot het treffen van voorzorgsmaatregelen.
Mensenrechten
Mensenrechten vormen een belangrijk onderdeel van het internationaal recht en zijn
onder meer vastgelegd in een aantal VN-verdragen en in het Europees Verdrag voor de
Rechten van de Mens (EVRM). Hieronder vallen bijvoorbeeld het recht op leven, het
verbod op foltering of onmenselijke of vernederende behandeling en het recht op een
eerlijk proces.
Staten hebben de plicht om de mensenrechten van iedereen die zich binnen hun rechtsmacht
bevindt, te respecteren en te beschermen. Dit houdt niet alleen de «negatieve» verplichting
in om zich te onthouden van handelingen die mensenrechten schenden, maar ook de «positieve»
verplichting om ervoor te zorgen dat mensen ook daadwerkelijk hun rechten kunnen uitoefenen
en zich kunnen verdedigen tegen inbreuken door anderen. Zo is het niet voldoende dat
de Nederlandse overheid zelf de privacy van haar burgers respecteert, maar moet zij
ook maatregelen treffen om ervoor te zorgen dat bijvoorbeeld bedrijven de privacy
van hun klanten respecteren.
De meeste mensenrechten zijn niet absoluut, wat betekent dat inperkingen ervan onder
voorwaarden worden toegestaan. Zo mogen staten bijvoorbeeld haatzaaien of opruien
tot geweld strafbaar stellen, al heeft dit implicaties voor de vrijheid van meningsuiting
van bepaalde individuen. De toets om te beoordelen of een specifieke inperking geoorloofd
is, verschilt per verdragsbepaling, maar houdt in de meeste gevallen in dat beoordeeld
wordt of de inperking een legitiem doel dient, voorzien is bij wet en noodzakelijk
en proportioneel is. Daarnaast is het voor een beperkt aantal mensenrechten mogelijk
om de naleving ervan gedeeltelijk en gedurende een beperkte periode op te schorten
in noodsituaties. Denk aan het instellen van een avondklok in geval van een oorlogssituatie.
Mensenrechten gelden in het cyberdomein evenzeer als in het fysieke domein. Er is
geen verschil tussen online en offline rechten. Dit is onder meer erkend door de Algemene
Vergadering van de Verenigde Naties.22 Wel is duidelijk dat de voortschrijdende digitalisering en technologische ontwikkeling
leiden tot nieuwe vragen en uitdagingen voor de toepassing van mensenrechten. Zo leiden
de toegenomen mogelijkheden om gegevens te verzamelen, op te slaan en te verwerken
bijvoorbeeld tot vragen in het kader van het recht op privacy. Op vergelijkbare wijze
leiden de toegenomen mogelijkheden voor personen om zich te uiten via online platformen
tot vragen in het kader van de vrijheid van meningsuiting. Niet kan worden uitgesloten
dat voor een aantal van deze vraagstukken in de toekomst nadere (internationale) regelgeving
nodig zal zijn. Vooralsnog is het kabinet echter van mening dat de bestaande mensenrechteninstrumenten
voldoende ruimte bieden om effectieve bescherming van mensenrechten in het cyberdomein
te garanderen.
Duidelijk is verder dat (toegang tot) het internet in toenemende mate van belang is
voor de effectieve uitoefening van mensenrechten. Niet alleen voor mensenrechtenverdedigers
en mensenrechten NGO’s, die bijvoorbeeld via sociale media-aandacht kunnen vragen
voor mensenrechtenschendingen en hun achterban kunnen mobiliseren, maar voor iedereen.
Rechten als de vrijheid van meningsuiting en de vrijheid van vereniging en vergadering
hebben bijvoorbeeld een nieuwe dimensie gekregen met de komst van sociale media, evenals
het recht op onderwijs en gezondheid met de enorme toevloed aan informatie en trainingen
die online te vinden zijn. Maar ook het recht op privé en familieleven, met de toegenomen
mogelijkheden om digitaal te communiceren. Tegelijkertijd zijn de risico’s op schendingen
van mensenrechten online toegenomen. Te denken valt aan toegenomen surveillancemogelijkheden
en desinformatie praktijken.
Het alsmaar toenemende belang van het internet voor mensenrechten onderstreept de
noodzaak van een veilig, open en vrij internet. Hier zet het kabinet zich internationaal
voor in.
Toerekening (attributie)
Voor de internationaalrechtelijke aansprakelijkheid van een andere staat voor een
cyberoperatie, en daarmee de mogelijkheid om een door het internationaal recht toegestane
tegenmaatregel in reactie op die operatie te kunnen treffen,23 is het noodzakelijk dat de operatie kan worden toegerekend aan die staat. Aan de
attributie van cyberoperaties ligt altijd een kabinetsbesluit ten grondslag. Daarbij
gaat bijzondere aandacht uit naar de mate van beschikking over eigen informatie dan
wel naar een zelfstandig oordeel over verkregen informatie.
In het cyberdomein kan onderscheid worden gemaakt tussen drie vormen van toerekening:
– Technische toerekening: een feitelijk en technisch onderzoek naar de mogelijke dader(s)
achter de cyberoperatie en de mate van zekerheid waarmee dit kan worden vastgesteld.
– Politieke toerekening: een beleidsafweging waarbij wordt besloten om, al dan niet
publiekelijk, politiek een specifieke cyberoperatie toe te rekenen aan een actor,
zonder dat hier per se juridische gevolgen aan worden verbonden, zoals het nemen van
tegenmaatregelen. Hierbij hoeft niet te worden toegerekend aan een staat: het kan
ook gaan om een private actor.
– Juridische toerekening: de beslissing waarbij de benadeelde staat het handelen of
nalaten door een specifieke staat toerekent aan die staat met het doel deze staat
in juridische zin aansprakelijk te stellen voor het schenden van een internationaalrechtelijke
verplichting.
Bij juridische toerekening moet onderscheid worden gemaakt tussen operaties uitgevoerd
door of namens staten, en operaties van niet-statelijke actoren. Een handeling uitgevoerd
door een staatsorgaan in zijn officiële hoedanigheid (bijvoorbeeld het NCSC) is altijd
toerekenbaar aan de staat. Een handeling van een niet-statelijke actor is in beginsel
niet toerekenbaar aan een staat. Dit is anders wanneer een staat effectieve controle
uitoefent over die handeling, dan wel de handeling achteraf aanvaardt als zijn eigen
handeling. Dit betekent dat de niet-statelijke actor (ook wel proxy genoemd) de operatie uitvoert op instructie van, of op aanwijzing of onder controle
van de staat (direction or control). De drempel voor het constateren van effectieve controle ligt hoog. Een financiële
bijdrage aan de activiteiten van een niet-statelijke groep is bijvoorbeeld niet voldoende.
Voor toerekening is niet vereist dat het onderliggende bewijs wordt vrijgegeven. Bewijs
wordt in juridische zin pas relevant als sprake is van een juridische procedure. Het
kan voorkomen dat een staat die tegenmaatregelen neemt of een beroep doet op het inherente
recht op zelfverdediging (zie hieronder) in reactie op een cyberoperatie, dit op den
duur moet kunnen verantwoorden, bijvoorbeeld wanneer de kwestie aanhangig wordt gemaakt
bij het Internationaal Gerechtshof. In een dergelijke situatie moet bewijs kunnen
worden overhandigd dat het nemen van de tegenmaatregel of het beroep op zelfverdediging
rechtvaardigt. Hierbij wordt zowel gedoeld op verkregen via reguliere kanalen alsook
materiaal bestaande uit inlichtingen.
Het internationaal recht kent geen vaste standaard voor de bewijslast waaraan een
staat moet voldoen bij (juridische) toerekening en het Internationaal Gerechtshof
heeft tot nu toe verschillende bewijsstandaarden geaccepteerd. De CAVV en AIV merken
ook terecht het volgende op: «het internationaal recht kent geen harde regels voor de vereiste hoeveelheid bewijs,
maar de praktijk en jurisprudentie vergen toch wel dat er, voordat een actie wordt
uitgevoerd, een voldoende mate van zekerheid bestaat over de herkomst van de aanval
en de identiteit van de aanvallers.»24
Het kabinet is van mening dat de bewijslast per situatie inderdaad verschilt, afhankelijk
van de ernst van de handelingen die in strijd worden geacht met internationaal recht
en de voorgenomen maatregelen hiertegen.
Responsopties voor staten
Het internationaal recht biedt staten verschillende opties om te reageren op gedragingen
door een andere staat in het cyberdomein. Van welke opties in een concreet geval gebruik
kan worden gemaakt, hangt af van de specifieke omstandigheden. Hieronder worden de
belangrijkste responsopties vermeld en toegelicht.
Retorsie
Met retorsie wordt verwezen naar handelingen die weliswaar onvriendelijk zijn, maar
niet in strijd met het internationaal recht. Deze optie is daarmee altijd beschikbaar
voor staten die willen reageren op onwenselijk gedrag van een andere staat, omdat
het gaat om de rechtmatige uitoefening van de bevoegdheden die zij als soevereine
staat hebben. Staten zijn vrij om dit soort maatregelen te nemen zolang ze binnen
de grenzen blijven van hun internationaalrechtelijke verplichtingen.
Een staat kan bijvoorbeeld in reactie op een cyberoperatie door een andere staat reageren
door diplomaten tot «persona non grata» te verklaren, of economische of andersoortige
maatregelen te treffen tegen de individuen of entiteiten die bij de operatie betrokken
waren. Ook is het mogelijk dat een staat als retorsiemaatregel de toegang van de andere
staat tot servers of andere digitale infrastructuur op zijn grondgebied beperkt of
afsluit, behalve als beide landen bijvoorbeeld een verdrag over wederzijdse toegang
tot digitale infrastructuur op elkaars grondgebied hebben gesloten.
Tegenmaatregelen (countermeasures)
Een staat mag onder bepaalde omstandigheden tegenmaatregelen nemen tegen een schending
van een internationaalrechtelijke verplichting door een andere staat waarvan hij slachtoffer
is (internationaal onrechtmatige daad).25 Tegenmaatregelen zijn handelingen (of een nalaten) die normaliter een schending zouden
opleveren van een internationaalrechtelijke verplichting maar die geoorloofd zijn
omdat zij een reactie zijn op een eerdere schending van een internationaalrechtelijke
verplichting door een andere staat. In het cyberdomein kan bijvoorbeeld gedacht worden
aan het via een cyberoperatie uitschakelen van netwerken of systemen die door een
ander land worden gebruikt bij een cyberaanval. Als handeling die normaliter in strijd
zou zijn met het internationaal recht verschilt de tegenmaatregel van retorsie. Voor
tegenmaatregelen gelden daarom strikte eisen, waaronder de eis dat de benadeelde staat
de andere staat aansprakelijk stelt. Dit houdt in dat de benadeelde staat vaststelt
dat sprake is van een schending van internationale verplichting die geldt tussen de
benadeelde en de aansprakelijke staat, en dat de cyberoperatie kan worden toegerekend
aan de aansprakelijke staat. Daarnaast moet de benadeelde staat in principe de andere
staat op de hoogte stellen van het voornemen tegenmaatregelen te nemen. In het geval
onmiddellijk handelen is vereist om de rechten van de benadeelde staat te handhaven
en verdere schade te voorkomen, mag van notificatie worden afgezien. Verder moeten
tegenmaatregelen onder meer tijdelijk en proportioneel zijn, mogen ze geen fundamentele
mensenrechten schenden en mogen ze niet neerkomen op (dreigen met) geweldgebruik.
Noodzaak (necessity)
Noodzaak (necessity) is een rechtvaardigingsgrond die onder bepaalde strikte voorwaarden een rechtvaardiging
biedt voor handelen dat anders als internationaal onrechtmatig zou worden bestempeld,
zoals bijvoorbeeld het inzetten van offensieve cybermiddelen tegen een andere staat.
Een staat kan een beroep doen op deze rechtvaardigingsgrond wanneer aan de volgende
voorwaarden is voldaan:
– Er is sprake van een onmiddellijke en ernstige dreiging tegen een essentieel belang
van de desbetreffende staat.
– Er is geen andere mogelijkheid om hiertegen op te treden dan het tijdelijk niet voldoen
aan een of meer internationaalrechtelijke verplichtingen van de bedreigde staat.
– De tijdelijke niet-naleving maakt geen ernstige inbreuk op de essentiële belangen
van een andere staat jegens welke de internationale verplichting bestaat of van de
internationale gemeenschap en het internationaal recht staat een beroep op noodzaak
voor deze specifieke verplichting toe.26
– De staat heeft niet zelf bijgedragen aan het ontstaan van de noodsituatie.
Noodzaak kan dus slechts in uitzonderlijke gevallen worden ingeroepen, wanneer niet
alleen sprake is van (mogelijk) zeer ernstige gevolgen maar ook van een essentieel
belang van het bedreigde land. Wat onder «essentieel belang» valt, zal zich moeten
uitwijzen in de praktijk, maar zaken als het elektriciteitsnetwerk, de watervoorziening
of het bancaire stelsel vallen er in de visie van het kabinet in ieder geval onder.
Voor wat betreft de zeer ernstige gevolgen die voor het vaststellen van een situatie
van noodzaak vereist zijn, geldt dat de schade zich nog niet hoeft te hebben voorgedaan,
maar wel onmiddellijk dreigend en objectief vast te stellen moet zijn. Wanneer schade
als ernstig genoeg bestempeld kan worden om een beroep op noodzaak te rechtvaardigen,
staat niet vast en zal per geval moeten worden vastgesteld. Het enkel hinderen of
veroorzaken van ongemak is niet voldoende. De (dreigende) schade hoeft niet noodzakelijkerwijs
fysiek te zijn: situaties waarbij het nagenoeg het gehele internet onbereikbaar wordt
gemaakt of ernstige schokken worden veroorzaakt op de financiële markten, kunnen onder
omstandigheden worden gekwalificeerd als situaties waarin een beroep op noodzaak mogelijk
is. Verder geldt dat het voor het bestaan van een situatie van noodzaak niet nodig
is dat wordt vastgesteld waar de schade precies vandaan komt of dat een andere staat
er verantwoordelijk voor kan worden gesteld: de rechtvaardigingsgrond is er vooral
op gericht om een staat de mogelijkheid te bieden de eigen belangen te beschermen
en de schade te minimaliseren.
De handelingsmogelijkheden voor een staat die zich beroept op een situatie van noodzaak
zijn beperkt. De rechtvaardigingsgrond kan alleen worden ingeroepen voor schendingen
van internationaalrechtelijke verplichtingen waarbij er geen andere reële mogelijkheid
is om op te treden tegen de (dreigende) schade en waarbij geen inbreuk wordt gemaakt
op de essentiële belangen van een andere staat of van de internationale gemeenschap
als geheel.
Zelfverdediging
Een staat die het doelwit is van een cyberoperatie die gekwalificeerd kan worden als
een gewapende aanval mag gebruik maken van het inherente recht tot zelfverdediging
en geweld gebruiken om zichzelf te verdedigen.27 Dit recht is neergelegd in artikel 51 van het VN-Handvest. Het komt dus neer op een
rechtvaardiging van geweldgebruik dat normaliter wordt verboden door artikel 2(4)
van het VN-Handvest.28 Aan de uitoefening van het recht op zelfverdediging zijn daarom strenge voorwaarden
verbonden.
Een gewapende aanval is niet hetzelfde als geweldgebruik, zoals die term wordt gebruikt
in artikel 2(4) van het VN-Handvest (zie hierboven). In de Nicaragua-zaak heeft het Internationaal Gerechtshof een gewapende aanval gekwalificeerd als
de meest ernstige vorm van geweldgebruik. Hieruit volgt dat niet elke vorm van geweldgebruik
een gewapende aanval is.
Voor de kwalificatie van een operatie als gewapende aanval moet worden gekeken naar
de omvang en effecten van de aanval.29 Het internationaal recht is niet eenduidig over de precieze omvang en effecten die
een aanval moet hebben voordat sprake is van een gewapende aanval. Wel is duidelijk
dat een gewapende aanval niet noodzakelijkerwijs wordt uitgevoerd met kinetische middelen.
Deze opvatting is in overeenstemming met het advies van het Internationaal Gerechtshof
over Nucleaire Wapens, waarin het Hof concludeerde dat het middel waarmee de aanval wordt uitgevoerd niet
bepalend is voor de kwalificatie van een aanval als gewapende aanval. Het kabinet
onderschrijft in dit verband de bevinding van de CAVV/AIV dat «een digitale aanval die qua gevolgen (dodelijke slachtoffers, schade en vernietiging)
vergelijkbaar is met een gewapende aanval kan een reactie met digitale middelen of
met conventionele gewapende middelen rechtvaardigen.» Er is dan ook geen reden waarom een digitale aanval op een computer- of informatiesysteem
niet zou kunnen gelden als een gewapende aanval, indien de gevolgen ervan vergelijkbaar
zijn met die van een aanval met conventionele of onconventionele wapens.
Op dit moment is er internationaal geen overeenstemming over het eventueel kwalificeren
als gewapende aanval van een cyberaanval die geen dodelijke slachtoffers, fysieke
schade of vernietiging veroorzaakt maar wel zeer ernstige niet-fysieke gevolgen teweegbrengt.
Het kabinet onderschrijft het standpunt van het Internationaal Gerechtshof dat heeft
opgemerkt dat een gewapende aanval een grensoverschrijdend karakter moet hebben. Hierbij
moet worden opgemerkt dat niet alle gewapende grensincidenten neer komen op een gewapende
aanval in de zin van artikel 51 van het VN Handvest: dit hangt altijd af van de omvang
en effecten van de desbetreffende incidenten.30
De bewijslast voor gerechtvaardigde zelfverdediging tegen een gewapende aanval ligt
hoog. Het kabinet deelt de conclusie van de CAVV/AIV «Geen enkele vorm van zelfverdediging mag worden uitgevoerd zonder voldoende bewijs
omtrent de herkomst en bron van de aanval en zonder overtuigend bewijs dat een bepaalde
staat of bepaalde staten of een georganiseerde groep verantwoordelijk is voor de uitvoering
van of controle op de aanval.»31
Staten mogen daarom alleen gebruik maken van geweld ter zelfverdediging indien de
herkomst van de aanval en de identiteit van de aanvallers met een voldoende mate van
zekerheid kan worden vastgesteld. Het kan hierbij gaan om statelijke of niet-statelijke
actoren.
Bij het uitoefenen van hun recht op zelfverdediging moeten staten zich daarnaast houden
aan de voorwaarden van noodzakelijkheid en proportionaliteit. Het kabinet deelt in dit verband de bevindingen van CAVV en AIV op dit
punt: «het beroep op zelfverdediging is slechts gerechtvaardigd indien het afslaan van de
aanval het doel is, de maatregelen niet uitgaan boven dat doel en er geen haalbare
alternatieven zijn. Het vereiste van proportionaliteit sluit maatregelen uit die het
gevaar van escalatie naar een grotere intensiteit met zich meebrengen en die niet
strikt noodzakelijk zijn om de aanval af te slaan en aanvallen in de nabije toekomst
te voorkomen.»
Indieners
-
Indiener
S.A. Blok, minister van Buitenlandse Zaken
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.