Medewerkers van de Vrije Universiteit en het NSCR hebben in samenwerking met het Openbaar Ministerie ruim 2.000 personen geënquêteerd over cybercriminaliteit. Een aanzienlijk deel van de respondenten is daarbij niet verteld dat zij benaderd zijn omdat zij als veroordeelden of verdachten te boek staan.
door Buro Jansen & Janssen
In juni dit jaar zijn enkele duizenden mensen benaderd voor een onderzoek van de Vrije Universiteit (VU) in Amsterdam en het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR). Het betreft personen die door het ministerie van Veiligheid en Justitie ervan worden verdacht zich in het verleden schuldig te hebben gemaakt aan enigerlei vorm van cybercriminaliteit, of daarvoor zijn veroordeeld. Dat wordt echter niet vermeld in de brief die is gedateerd van 15 juni 2015 en ondertekend door prof.dr. Wim Bernasco (VU Amsterdam/NSCR) en Marleen Weulen Kranenbarg, MSc (NSCR).
Het NSCR maakt deel uit van de NWO, de Nederlandse Organisatie voor Wetenschappelijk Onderzoek. Op haar website stelt de NSCR dat zij ‘zich toelegt op fundamenteel wetenschappelijk onderzoek naar criminaliteit en rechtshandhaving.’ Het instituut werd in 1992 opgezet door het toenmalige Ministerie van Justitie en de Universiteit van Leiden. Op dit moment wordt het NSCR mede gefinancierd door het Ministerie van Veiligheid en Justitie en de VU.
Het onderwerp van de uitnodigingsbrief betreft ‘Onderzoek NL-Online-Offline‘ waaraan respondenten kunnen deelnemen middels een online survey. Op de gerelateerde website wordt gesproken van een onderzoek onder dezelfde naam. Het lijkt allemaal volstrekt onschuldig aangezien er gesproken wordt over de ‘kennis van computers en het internet en over uw ervaringen met online en offline veiligheid.’ Respondenten wordt voorgehouden dat zij een tegoedbon van Bol.com, VVV of Zalando ontvangen ter waarde 50 euro (vet gedrukt!). Daarnaast wordt expliciet vermeld dat de mening van respondenten voor de onderzoekers van groot belang is.
CyberCOP
In werkelijkheid wordt het onderzoek niet NL-Online-Offline genoemd maar Cyber Crime Offender Profiling (CyberCOP): the human factor examined. Oftewel, onderzoek naar het profiel van de cybercrimineel, want de menselijke factor moet natuurlijk een beeld/profiel scheppen van de persoon van de ‘crimineel’ ten behoeve van de opsporing door het ministerie van Veiligheid en Justitie en haar diensten. Het onderzoek richt zich dus op verdachten en plegers van cybercriminaliteit en niet zomaar op kennis en ervaringen met computers, internet en veiligheid. Een medewerkster van het Openbaar Ministerie (OM) laat weten dat de uitnodigingsbrief zo is opgesteld dat ‘niet op te maken is dat de respondent zelf verdachte is geweest van een delict.’
Uit het besluit van het Agentschap Basisadministratie Persoonsgegevens en Reisdocumenten (BPR), de dienst waarvan onderzoekers de adressen van de respondenten gekregen heeft, blijkt in het geheel niet dat het uitsluitend om verdachten of veroordeelden gaat. ‘In het verzoek van 10 juni 2014, 2014-0000658731, heeft het Nederlands Studiecentrum voor Criminaliteit en Rechtshandhaving verzocht om autorisatie voor de systematische verstrekking van gegevens uit de basisregistratie personen in verband met het uitvoeren van het onderzoek CyberCrime Offender Profiling.’
Artikel 2 lid 1 van het besluit luidt: ‘Aan de onderzoeksinstelling wordt op zijn verzoek een gegeven verstrekt dat is vermeld op de persoonslijst van een ingeschrevene, indien het een gegeven betreft dat is opgenomen in bijlage II bij dit besluit.’ Het BPR heeft op 26 februari 2015 toestemming verleend voor het verstrekken van gegevens. Uit bijlage 1 van het besluit blijkt duidelijk dat het om daders gaat. Of het ook gaat om verdachten maakt het besluit niet duidelijk. ‘Het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving is recentelijk begonnen aan een meerjarig onderzoeksproject naar de plegers van cybercrime.’
Bij navraag blijkt dat het onderzoek ook gericht is op daders: ‘Voor dit onderzoek zijn zowel personen benaderd die ooit verdacht zijn geweest van het plegen van een online delict als personen die ooit verdacht zijn geweest van het plegen van een offline delict.’ Als een van de respondenten de onderzoekers van het NSCR benaderd, wordt gesteld dat ook slachtoffers benaderd zijn. Het BPR maakt echter helemaal geen melding van slachtoffers in het besluit. Er is dus geen toestemming verleend voor het verkrijgen van gegevens over slachtoffers van cybercriminaliteit.
Bijlage 1 stelt dat het bij ‘centraal doel/probleemstelling van het onderzoek’ gaat om ‘het zicht krijgen op (verschillende typen) cybercriminelen, hoog-risico groepen te identificeren en effectievere en beter gerichte interventies en sancties ontwikkelen.’ De onderzoekers schrijven in een email bericht met vragen over het onderzoek dat zij ‘niet alleen geïnteresseerd zijn in offline en online daderschap, maar ook in de vraag of deze mensen wel eens slachtoffer worden. Vandaar de keuze voor deze meer algemene naam en beschrijving.’
Daders en verdachten
Het onderzoek is duidelijk gericht op daders en verdachten van cybercriminaliteit. De medewerkers van het NSCR stellen dat het onderzoek dat uitgevoerd wordt op basis van de gegevensverstrekking uit de BRP zich richt op ‘bekende plegers van cybercriminaliteit (op basis van door het OM aan ons verschafte verdachten-registraties).’
Er is een selectie gemaakt bestaande uit 1.050 verdachten van cybercrime-delicten en 1.050 verdachten van overige delicten, in totaal 2.100 personen. ‘Zij worden bevraagd over hun achtergronden, motieven, persoonlijkheid en sociale netwerken.’ De steekproef is volgens de medewerkster van het OM uitgevoerd middels een ‘abstractie van registers’. Daarvoor zijn twee selectiecriteria gebruikt. Een daarvan houdt in dat de pleger zijn delict in de periode tussen 2000 en 2014 moet hebben gepleegd. Het lijkt dus te gaan om mensen die veroordeeld zijn, maar een medewerkster gaf ook dat het ook om verdachten gaat.
De vragenlijst voor de respondenten is opmerkelijk omdat het vragen oproept waarvoor de verstrekte antwoorden zullen worden gebruikt. De respondenten worden uitgedaagd om hun kunde te tonen en er worden technische vragen gesteld. Een van de respondenten heeft de indruk dat de onderzoekers de respondenten proberen te stimuleren om zich te bewijzen om aan een van de stereotyperingen van cybercriminelen te voldoen.
In het onderzoek wordt om zeer specifieke daderkennis gevraagd, maar daarnaast ook kennis die voor opsporingsdiensten van groot belang kan zijn, zoals bijnamen van kennissen, delicten die recent zijn begaan en de contacten van de respondent. Het wordt duidelijk dat de vragen zijn gericht op wat het onderzoek zegt te te bestuderen: ‘de typische persoonlijkheidskenmerken van cybercriminelen, hun sociale (criminele) netwerken, hun primaire motivaties en hun criminele carrière.’ De onderzoekers stellen in de bijlage van het BPR besluit dat het onderzoek zich richt op de gelijkenis tussen ‘cybercriminelen’ en ‘criminelen uit de offline wereld’, hun persoonlijkheid en of ‘ze deel uit maken van criminele organisaties.’
Geblinddoekt proefdier
Wetenschappelijk onderzoek is noodzakelijk, maar waarom wordt de respondenten niet verteld dat het in dit geval niet over computers, internet en veiligheid gaat? Het onderzoek lijkt onafhankelijk, maar er is op allerlei fronten samenwerking met het OM en de respondenten wordt dat niet gemeld. Het is duidelijk dat de onderzoekers bang zijn dat zodra de geadresseerden dat weten ze niet meedoen.
De respondenten worden dus als een soort geblinddoekt proefdier behandeld voor een onderzoek dat niet het echte onderzoek is dat uitgevoerd wordt. Waarom wordt de werkelijke naam van het onderzoek niet aan de geadresseerden gegeven? Waarom wordt de bijlage van het besluit van Agentschap BPR niet aan de geselecteerden toegestuurd? Waarom staat in de aanvraag bij BPR niet de naam van het NL-Online-Offline onderzoek?
In antwoord op vragen over het onderzoek blijft de vraag waarom niet de werkelijke naam van het onderzoek aan de proefpersonen is vermeld, onbeantwoord. Wel schrijven de onderzoekers: ‘In de brief vermelden wij expliciet niet dat er in dit onderzoek personen zijn aangeschreven die ooit verdacht zijn geweest van een strafbaar feit. De reden hiervoor betreft het waarborgen van de privacy omdat het altijd mogelijk is dat iemand anders dan de aangeschreven persoon de brief open maakt.’
De onderzoekers stellen: ‘Bij al onze onderzoeken hanteren wij een uitgebreide en zorgvuldige toetsingsprocedure voordat deze worden uitgevoerd. Hierbij wordt de opzet van het onderzoek en de benaderingswijze van de respondenten getoetst door zowel het College van Procureurs Generaal van het OM en tevens voorgelegd aan de commissie Ethiek Rechtswetenschappelijk & Criminologisch Onderzoek van de Rechtenfaculteit van de VU. Daarnaast wordt er een melding gedaan bij het College Bescherming Persoonsgegevens. In deze procedure wordt de meest zorgvuldige benaderingsmethode bepaald. Dit is ook gebeurd voor het NL-Online-Offline onderzoek.’
Middels de Wet Openbaarheid van Bestuur (WOB) zijn bij het Ministerie van Veiligheid en Justitie en het College van Procureurs Generaal stukken opgevraagd over het NL-Online-Offline onderzoek. Beide bestuursorganen stellen dat zij geen stukken met betrekking tot dit onderzoek in bezit hebben. In een presentatie over het onderzoek Cyber Crime Offender Profiling worden de volgende partners van VU en NSCR genoemd: ‘Team High Tech Crime, Nationale Politie Landelijk Parket, Openbaar Ministerie en Reclassering Nederland.’
Vermanende woorden
NL-Online-Offline is een profielonderzoek van de overheid over cybercriminelen. Het heet officieel geen NL-Online-Offline maar Cyber Crime Offender Profiling (CyberCOP): the human factor examined. Hierbij gaat het vooral om mogelijke interventies en sancties. Aan het einde van de enquête wordt het de respondenten nog eens benadrukt hoe belangrijk het wel niet is dat zij de vragen serieus hebben ingevuld. Hiervoor wordt hen een vraag voorgelegd om te controleren of ze wel écht de vragen goed hebben gelezen en beantwoord. Want als dat niet het geval is, lopen zij de beloning van 50 euro mis.
Na deze vermanende woorden wordt de respondent het volgende voorgelegd: ‘Voor wetenschappelijk onderzoek is het relevant om de gegevens die u zojuist heeft verstrekt te koppelen aan gegevens die over u bekend zijn in lokale of landelijke registers (zoals het Sociaal Statistisch Bestand en het Justitieel Documentatie Systeem). Dit zal alleen gebeuren als u hiervoor toestemming geeft. Uiteraard zullen ook die gegevens uitsluitend worden gebruikt voor wetenschappelijke doeleinden en volstrekt vertrouwelijk behandeld, anoniem verwerkt en veilig bewaard worden.’
Nu hebben de onderzoekers in Bijlage 1 van het besluit van het Agentschap BPR aangegeven dat ‘de gegevens uit de BRP worden gebruikt om een vragenlijst op te sturen naar de persoon.’ Er wordt tevens vermeld dat ‘op geen enkel moment tijdens het onderzoek een persoon herleidbaar wordt gerapporteerd.’ Dit zal mogelijk betrekking hebben op het doorgeven van mogelijke strafbare feiten die de respondenten in de enquête hebben ingevuld.
Er wordt in de bijlage echter niet vermeld dat de verstrekte gegevens van de ondervraagde worden gekoppeld aan de data van justitie: ‘koppelen aan gegevens die over u bekend zijn in lokale of landelijke registers.’ In principe hoeft dat natuurlijk niet omdat die gegevens niet in het bezit zijn van het Agentschap BPR, maar het roept wel vragen op over de mate van ‘eerlijkheid’ van de onderzoekers en het openbaar ministerie.
Volgens de onderzoekers wordt ‘geen van de verzamelde gegevens gedeeld met derden, ook niet met het OM. Er zal nooit zonder expliciete toestemming van de respondent koppeling plaatsvinden met data van het OM. Het OM heeft ons enkel geholpen met het verzenden van de brieven.’ Het OM en het BPR helpen echter niet alleen bij de mailing aan de proefpersonen, ook bij het koppelen aan ‘gegevens die over u bekend zijn in lokale of landelijke registers (zoals het Sociaal Statistisch Bestand en het Justitieel Documentatie Systeem).’ Dit zou anoniem zijn, maar dat kan niet bij koppeling aan die bestanden. Daarnaast krijgt iedere proefpersoon een persoonlijke deelnamecode die maar één keer is te gebruiken.
Lok-onderzoek?
Het VU/NSCR-onderzoek is gericht op cyber profiling. Daarvoor worden personen benaderd die zelf niet weten dat ze benaderd zijn als veroordeelde of verdachte. Zij krijgen een vragenlijst voorgelegd waarmee ze uit de tent worden gelokt om daderkennis te presenteren. Maar dat niet alleen, ook voor info over mogelijke mededaders en andere gegevens over strafbare feiten waarvoor zij veroordeeld zijn, en/of mogelijke strafbare feiten die zij recentelijk zouden hebben gepleegd en waarvoor zij niet veroordeeld zijn. Dit laatste over de connecties van de respondent is natuurlijk gericht op het in kaart brengen van criminele netwerken. Verdachten worden ook op deze wijze benaderd, dus het zou net zo goed een lok-onderzoek kunnen zijn.
Vraag is of de respondenten op hun rechten zijn gewezen ten aanzien van de gegevens die zij mogelijk prijsgeven. Waarom spelen de onderzoekers geen open kaart omtrent het werkelijke doel van het onderzoek? Vanwaar die omslachtigheid en vaagheid? Is dit een wetenschappelijk onderzoek waarbij geënquêteerden worden ingelicht over de ware doelstelling, of is hier soms sprake van een phishing expeditie van een instituut dat gefinancierd wordt door het Ministerie van Veiligheid en Justitie en direct samenwerkt met het OM? Probeert het OM via een onderzoek het zwijgrecht te ondermijnen of te omzeilen?
Respondenten zijn reeds strafrechtelijk vervolgd of geen verdachten meer omdat er geen bewijs werd gevonden voor hun schuld. Toch worden zij verleid om aan te geven met wie, waar, wanneer en waarom zij mogelijke strafbare feiten hebben begaan. Los van het profiling en phishing aspect van het onderzoek, roept de aanpak vragen op over de wetenschappelijke verantwoording ervan. Want welke serieuze data levert het op om de stoere veroordeelde en/of verdachte cybercriminelen uit de tent te lokken om hun kunde te tonen en met wie ze contact hebben. Het enige waar het onderzoek op gericht lijkt te zijn is de bevestiging van bestaande stereotypering over de cybercriminelen. Dat is zowel voor de wetenschap als voor de opsporing weinig vruchtbaar.