Brief regering : Terugkoppeling reseller-actie

26 643 Informatie- en communicatietechnologie (ICT)

Nr. 392 BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 16 maart 2023

Criminelen op internet kunnen hostingdiensten misbruiken voor hun illegale activiteiten.
Hostingproviders weten vaak niet welke klanten hun diensten misbruiken. Bovendien
kunnen klanten de dienstverlening doorverkopen. Er is dan sprake van zogenaamde resellers. Dit doorverkopen is niet verboden. Wel kan het het zicht op mogelijke criminele
activiteiten verder verminderen. Op 12 oktober jl. heeft de politie een brief aan
Nederlandse hostingproviders gestuurd, waarin zij adviseert een eventuele overeenkomst
met bepaalde specifieke resellers te herzien. De politie heeft op basis van openbare bronnen geconstateerd dat deze
resellers zichzelf afficheren als dienstverleners die bereid zijn criminaliteit te faciliteren.
Tijdens het vragenuur van 22 november jl. heb ik toegezegd terug te koppelen hoe deze
actie heeft uitgepakt en of aanvullende maatregelen wenselijk zijn.

Naar aanleiding van reacties van geadresseerden van een eerdere soortgelijke brief
van de politie van 17 november 2021 heeft de politie de brief van afgelopen oktober
gerichter naar specifieke hostingproviders gestuurd en zijn specifieke resellers genoemd. De aangeschreven hostingproviders hebben naar aanleiding van een vragenlijst
van de politie niet direct teruggekoppeld hoeveel malafide resellers er in hun klantenbestand waren opgenomen. Het betreft bedrijfsgevoelige informatie
die zij niet specifiek wensen te delen. Wel heeft de brancheorganisatie Dutch Cloud Community gemeld dat enkele hostingproviders naar aanleiding van de brief van de politie actie
hebben ondernomen richting in de brief genoemde resellers. Ook zijn er gesprekken tussen de politie en Dutch Cloud Community over mogelijkheden om signalen over malafide resellers structureler met hostingproviders te delen.

Naast het versturen van de genoemde brief hebben de politie en het Openbaar Ministerie
enkele oplossingsrichtingen verkend om het leveren van hostingdiensten voor criminele
doeleinden tegen te gaan. De belangrijkste daarvan zijn hieronder weergegeven. Deze
oplossingsrichtingen zijn nog niet volledig uitgewerkt en verdienen nadere bestudering.

Een eerste richting betreft het ondersteunen van de sector met informatie over criminele
handelingen. De Stichting Nationale Beheersorganisatie Internet Providers werkt samen
met het Ministerie van Justitie en Veiligheid aan het project Cleannetworks. Dit project
beoogt het opzetten van een systeem om hostingproviders structureel te informeren
over actuele criminele handelingen en kwetsbaarheden. Hierdoor kunnen zij deze activiteiten
op hun eigen netwerken tegengaan en zich beveiligen tegen dreigingen. Het Ministerie
van Justitie en Veiligheid ondersteunt het project financieel. Tevens is financiering
uit het Internal Security Fund van de Europese Unie voorzien.

Met de wetswijziging van de Wet beveiliging netwerk- en informatiesystemen van 1 december
2022 kan de Stichting Nationale Beheersorganisatie Internet Providers als schakelorganisatie
informatie over dreigingen en incidenten ontvangen van het Nationaal Cyber Security
Centrum ten behoeve van hun achterban. In het kader van het project Cleannetworks
wordt bezien of de informatievoorziening versterking behoeft.

Een tweede richting betreft het als Rijksoverheid geven van het goede voorbeeld door
zelf te kiezen voor verantwoorde leveranciers van hostingdiensten. Daarvoor wordt
de publiek-privaat opgestelde Gedragscode Abusebestrijding betrokken bij de inkoop
van hostingdiensten voor de Rijksoverheid. Uitgangspunt is dat de opdrachtnemer de
gedragscode onderschrijft en is aangesloten bij het publiek-private Anti Abuse Netwerk.
Momenteel wordt bezien of dit breder navolging kan krijgen. In het kader van het project
Cleannetworks wordt bovendien een keurmerk ontwikkeld, wat de keuze voor verantwoorde
leveranciers kan ondersteunen.

Een derde richting betreft aanpassing van de wettelijke kaders. Voor hostingproviders
die willens en wetens criminaliteit faciliteren kan een strafrechtelijke aanpak passend
zijn. In 2022 heeft het Gerechtshof in Den Haag bepaald dat dergelijke dienstverleners
onder omstandigheden niet zijn uitgesloten van strafrechtelijke aansprakelijkheid,
ook niet als zij geen bevel tot ontoegankelijk maken van gegevens hebben ontvangen.
Deze uitspraak biedt mogelijkheden voor vervolging van hostingproviders die criminelen
actief helpen. Aanpassing van het Wetboek van Strafrecht hiervoor is daarom op dit
moment niet voorzien.

Het Ministerie van Economische Zaken en Klimaat werkt momenteel aan de uitvoeringswetgeving
voor de Digitale Dienstenverordening (Digital Services Act). Op dit moment wordt bezien of naar aanleiding van de uitspraak van het Gerechtshof
in Den Haag verheldering van de grenzen van de uitsluiting van aansprakelijkheid in
de Memorie van Toelichting bij het wetsvoorstel wenselijk is. Bovendien wordt bezien
hoe de dienstverlening van resellers zich verhoudt tot de definitie van een aanbieder van hostingdiensten in de verordening.
Waar deze definitie van toepassing is, zullen ook zij aan de verordening moeten voldoen.
In dit kader wordt ook aandacht besteed aan de kwalificatie van malware.

Er zijn resellers die zowel malafide domeinen registeren als hostingdiensten aanbieden. De nieuwe Netwerk-
en Informatiebeveiligingsrichtlijn verplicht entiteiten die domeinnaamregistratiediensten
aanbieden om accurate domeinnaamregistratiegegevens (zoals e-mailadres en telefoonnummer
van de afnemer van de dienst) bij te houden. Indien deze domeinnaamgegevens worden
bijgehouden, kunnen de politie en het Openbaar Ministerie deze in het kader van een
opsporingsonderzoek vorderen.

De hierboven genoemde oplossingsrichtingen worden de komende periode samen met de
politie en het Openbaar Ministerie nader bestudeerd. Het tegengaan van het faciliteren
van criminaliteit door hostingproviders is daarnaast een aandachtspunt voor de hostingproviders
zelf. Veel hostingproviders treden hier adequaat tegen op. Het is van belang dat alle
hostingproviders hier maatregelen tegen nemen. Aandacht vanuit zowel de overheid als
de betrokken marktpartijen blijft nodig.

De Minister van Justitie en Veiligheid, D. Yeşilgöz-Zegerius