Antwoord schriftelijke vragen : Antwoord op vragen van de leden Ellian en Rajkowski inzake het bericht ‘Ddos'er die fiscus, banken en Tweakers aanviel, krijgt 200 uur taakstraf’

Antwoord van Minister Yeşilgöz-Zegerius (Justitie en Veiligheid), mede namens de Minister
voor Rechtsbescherming (ontvangen 21 april 2022). Zie ook Aanhangsel Handelingen,
vergaderjaar 2021–2022, nr. 2171.

Vraag 1

Bent u bekend met het bericht «Ddos’er die fiscus, banken en Tweakers aanviel, krijgt
200 uur taakstraf»1?

Antwoord 1

Ja.

Vraag 2

Worden ddos-aanvallen die zijn uitgevoerd op vitale diensten door het openbaar ministerie
(OM) bij het bepalen van de strafeis en bij de rechter bij de strafoplegging als een
strafverzwarende omstandigheid gezien?

Antwoord 2

Ja. Het OM houdt bij het bepalen van de strafeis rekening met de wettelijke strafmaxima
zoals geformuleerd in het Wetboek van Strafrecht (Sr). Uit artikel 138b lid 3 Sr volgt
dat het strafmaximum van twee naar maximaal vijf jaar gevangenisstraf kan gaan indien
een DDoS-aanval is gepleegd tegen een geautomatiseerd werk behorende tot de vitale
infrastructuur2.

Vraag 3

Hoeveel veroordelingen zijn bekend van zaken waarbij een ddos-aanval gepleegd is?

Antwoord 3

Bij een DDoS-aanval kan artikel 138b Sr (opzettelijk en wederrechtelijk de toegang
tot of het gebruik van een geautomatiseerd werk belemmeren door daaraan gegevens aan
te bieden of toe te zenden) of artikel 161sexies Sr (misdrijven waardoor de algemene
veiligheid van personen of goederen in gevaar wordt gebracht) tenlastegelegd worden.
In de periode 2019–2021 zijn er 8 veroordelingen geweest voor artikel 138b. Onder
de delictsomschrijving van artikel 161sexies vallen echter meer delicten dan alleen
een DDoS-aanval. Er kan in de informatiesystemen van de Rechtspraak niet worden achterhaald
hoeveel veroordelingen op basis van artikel 161sexies een DDoS-aanval betroffen. Het
totale aantal veroordelingen van artikel 161sexies geeft daarom geen representatief
beeld van het aantal veroordelingen van DDoS-aanvallen.

Vraag 4

Deelt u de mening dat deze vormen van cybercriminaliteit hard aangepakt moeten worden
vanwege de grote maatschappelijke impact?

Antwoord 4

Zeker. Cybercrime kan een grote impact hebben op individuele slachtoffers en de maatschappij
als geheel. Gedurende de coronacrisis zijn we in het dagelijks leven steeds afhankelijker
geworden van de online wereld. Dit maakt dat cyberaanvallen een groot risico vormen
voor onze maatschappij. Het Cybersecurity Beeld Nederland benoemt ransomware zelfs
als een risico voor onze nationale veiligheid.3 Adequate opsporing en vervolging van daders is noodzakelijk. Het internet mag geen
vrijplaats zijn voor criminelen. Opsporing, vervolging en verstoring is één van de
vier sporen van de integrale aanpak van cybercrime. Hierover wordt uw Kamer jaarlijks
geïnformeerd per brief.4

Vraag 5

Hoe vaak vindt er recidive plaats bij de cybercriminelen die ddos-aanvallen hebben
gepleegd? Wordt er onderzoek gedaan naar het recidiverisico bij cyberdelicten?

Antwoord 5

Hierover zijn geen cijfers beschikbaar. Voor zover bekend lopen er momenteel geen
onderzoeken naar het recidiverisico bij cyberdelicten. Wel is door het WODC onderzoek
gedaan naar cyberdaders, waarover uw Kamer is geïnformeerd.5 Dit onderzoek gaf aan dat voor daders van cybercrime geen eenduidig profiel bestaat,
maar dat er kenmerken zijn die relatief vaker voorkomen bij cyberdaders dan bij traditionele
daders of vrij uniek zijn voor cyberdaders. Zo plegen jongere daders strafbare feiten
in eerste instantie vaker uit nieuwsgierigheid, intellectuele uitdaging of leergierigheid,
en zijn zich niet altijd bewust van de strafbaarheid. Ook bleek uit het onderzoek
dat bij het voorkomen van recidive klassieke interventies bruikbaar zouden kunnen
zijn, indien ze zouden worden aangepast aan de digitale context. Zie hiervoor vraag 6.

Vraag 6

Welke maatregelen en middelen worden ingezet om recidive bij cyberdelicten te voorkomen?

Antwoord 6

Bij de aanpak van cybercrime wordt een onderscheid gemaakt tussen cybercrimedelicten
in enge zin (zoals ransomware- en DDoS-aanvallen) en gedigitaliseerde delicten (zoals
online fraude). Onderzoek geeft aan dat er kenmerken zijn die relatief vaker voorkomen
bij cyberdaders dan bij traditionele daders of vrij uniek zijn voor cyberdaders.6 Ten behoeve van deze specifieke doelgroep maken Halt, de Raad voor de Kinderbescherming
(RvdK) en de Reclassering gebruikt van de Hack_Right-aanpak. Daarnaast is de bestaande
leerstraf Tools4U van de RvdK aangevuld voor daders van gedigitaliseerde delicten.

Ook is het instrumentarium voor risicotaxatie aangepast. Voor jeugdige justitiabelen
is het landelijk risicotaxatie-instrumentarium (LIJ) aangevuld zodat het nu ook kan
worden gebruikt in het geval zij een cybercrime of gedigitaliseerd delict hebben gepleegd.
Dit jaar wordt gemonitord of de huidige aanpassingen voldoen of dat nog verdere aanvullingen
nodig zijn.

Vraag 7

Hoe vaak wordt bij strafoplegging of bij een OM-afdoening de aanvullende interventie
Hack_Right toegepast? Wat zijn hier tot nu toe de resultaten van en kunt u deze resultaten
met de Kamer delen?

Antwoord 7

Sinds 2019 zijn er 25 zaken afgerond. Hack_Right kan worden ingezet in het kader van
een Halt-afdoening, een (jeugd)reclasseringsbegeleiding, als taakstraf of als gedragsaanwijzing
in het kader van een bijzondere voorwaarde (volwassenenreclassering). De afgelopen
jaren is de interventie Hack_Right (door)ontwikkeld en is toegewerkt naar indiening
van de interventie bij de Erkenningscommissie Justitiële Interventies van het Nederlands
Jeugdinstituut (NJi). Medio 2022 wordt de interventie voor erkenning voorgelegd.

Vraag 8

Welke criteria worden gehanteerd om te bepalen of Hack_Right kan worden toegepast?

Antwoord 8

Hack_Right is bedoeld voor jongeren en jongvolwassenen die minimaal 12 en maximaal
24 jaar oud zijn ten tijde van het plegen van het delict, (gedeeltelijk) bekennen
een cyberdelict7 te hebben gepleegd, niet eerder veroordeeld zijn voor een cyberdelict, affiniteit
hebben met ICT en gemotiveerd zijn om deel te nemen aan Hack_Right. In uitzonderingsgevallen
kan een lange variant van Hack_Right – op verzoek van een rechter, officier van justitie
of een van de ketenpartners – ook ingezet worden voor jongvolwassenen van 24 tot 30 jaar.
Bij deze doelgroep is het extra belangrijk dat bij de invulling van Hack_Right wordt
aangesloten bij ontwikkelingstaken van jongvolwassenen op het gebied van werk, opleiding,
vrijetijdsbesteding en relaties.

De langere variant van Hack_Right kan bij Reclassering worden opgelegd in het kader
van een bijzondere voorwaarde, en bij de RvdK in het kader van een werkstraf. Hack_Right
kan ook worden opgelegd in de vorm van een Halt-afdoening. Dit betreft een kortere
variant.

Vraag 9

Deelt u de mening dat de interventie Hack_Right een positieve bijdrage kan leveren
aan het voorkomen van recidive bij jonge cybercriminelen? Zo ja, welke stappen onderneemt
u om dit nadrukkelijker in het beleid naar voren te laten komen? Zo nee, waarom niet?

Antwoord 9

Minderjarigen kunnen, soms onbewust, forse cyberdelicten plegen. Hack_Right heeft als doel recidive onder jonge cybercriminelen te voorkomen en tegelijkertijd
hun maatschappelijk zeer relevante ICT-talent te stimuleren binnen de kaders van de
wet. Doordat jongeren leren hoe zij deze talenten op een veilige en rechtmatige manier
kunnen ontwikkelen en inzetten, kan toekomstige maatschappelijke en financiële schade
voorkomen worden. In de uitvoering van de interventie worden (private) ICT-bedrijven
en -afdelingen betrokken, om de jongere te begeleiden bij de ontwikkeling van diens
talent voor legale doeleinden. Momenteel is Hack_Right de enige interventie die zich
specifiek richt op het voorkomen van herhaald daderschap bij (jonge) cybercriminelen.

Ondanks dat er sprake is van een stijging van (het aantal aangiften van) cybercriminaliteit
blijkt dit nog niet uit de instroom bij Hack_Right. Dit vraagt aanvullende analyse,
opdat passende maatregelen kunnen worden ingezet. Daarom heeft het Ministerie van
Justitie en Veiligheid voor de komende jaren subsidie toegezegd aan de drie uitvoeringsorganisaties
(Reclassering, RvdK en Halt) voor de verdere implementatie en inbedding van Hack_Right
in de justitiële processen. Daarnaast voert het WODC een onderzoek uit naar de in-
en doorstroom van jeugdige en volwassen verdachten en daders van cybercrime binnen
de strafrechtketen.8

Vraag 10

Komt het vaker voor dat er pas eindvonnis wordt gewezen door een rechtbank vier jaar
nadat een verdachte in verzekering is gesteld? Zo ja, kunt u per rechtbank uitsplitsen
hoe vaak de afgelopen vijf jaren vonnissen werden gewezen waarbij een dader strafvermindering
kreeg als gevolg van schending van de redelijke termijn?

Antwoord 10

Het komt voor dat een rechtbank pas vier jaar nadat een verdachte in verzekering is
gesteld het eindvonnis wijst. Uitsplitsen hoe vaak de afgelopen vijf jaren vonnissen
zijn gewezen waarbij een dader strafvermindering kreeg als gevolg van schending van
de redelijke termijn is niet geautomatiseerd mogelijk. Dit aangezien het overschrijden
van de redelijke termijn niet wordt geregistreerd in de systemen van de rechtspraak.

Vraag 11

Indien uw antwoord op vraag 10 luidt dat nergens wordt geregistreerd of er sprake
is van schending van de redelijke termijn en wat de gevolgen hiervan zijn voor de
opgelegde straffen, kunt u dan een reële inschatting maken gebaseerd op de gepubliceerde
uitspraken op rechtspraak.nl om de Kamer toch inhoudelijk van een antwoord te voorzien?

Antwoord 11

Het onderzoeken van gepubliceerde uitspraken op rechtspraak.nl is zeer tijdrovend
en de huidige capaciteit laat het momenteel niet toe een dergelijk onderzoek uit te
voeren. Bovendien worden (nu nog) lang niet alle uitspraken gepubliceerd. Daarom is
het onduidelijk of een dergelijk onderzoek een representatief beeld zou geven.