Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Convention on Cybercrime

Compliance

Convention on Cybercrime van de Council of Europe. Internationaal verdrag dat tot doel heeft om de wetten van de aparte landen op het gebied van cybercrime op elkaar aan te laten sluiten. Het verdrag beoogt landen samen te laten werken op dit terrein en kennis uit te laten wisselen op het gebied van opsporingstechnieken. 63 landen hebben dit verdrag geratificeerd, en nog eens 4 landen hebben het getekend.

Het Verdrag inzake Cybercriminaliteit, beter bekend als de Convention on Cybercrime of het Verdrag van Boedapest, is het eerste internationale verdrag dat specifiek gericht is op de bestrijding van cybercriminaliteit. Het verdrag werd op 23 november 2001 in Boedapest opengesteld voor ondertekening door de Raad van Europa en trad in werking op 1 juli 2004. Nederland heeft het verdrag in 2006 geratificeerd en de bepalingen verwerkt in nationale wetgeving, waaronder het Wetboek van Strafrecht. Het verdrag biedt een juridisch kader voor het harmoniseren van nationale wetten rond computercriminaliteit, het verbeteren van opsporingstechnieken en het versterken van internationale samenwerking tussen opsporingsdiensten wereldwijd. Inmiddels hebben meer dan 80 landen het verdrag geratificeerd, waardoor het een van de meest ondertekende cybersecurity-verdragen ter wereld is.

De Convention on Cybercrime richt zich op vier kerngebieden: strafbaarstellingen van cyberdelicten, procedurele bevoegdheden voor opsporing, internationale samenwerking en bepalingen rond wederzijdse rechtshulp. Het verdrag definieert concrete strafbare feiten zoals illegale toegang tot computersystemen, het onderscheppen van data, systeemverstoring en computergerelateerde fraude. Door deze feiten internationaal te standaardiseren, kunnen landen effectiever samenwerken bij grensoverschrijdende cybercriminaliteit. In 2022 werd een tweede protocol afgerond dat gericht is op verbeterde samenwerking en de uitwisseling van elektronisch bewijs tussen verdragslanden. Dit protocol maakt het mogelijk om rechtstreeks gegevens op te vragen bij serviceproviders in andere verdragslanden.

Voor wie geldt de Convention on Cybercrime?

De Convention on Cybercrime geldt voor alle landen die het verdrag hebben geratificeerd. Als organisatie in Nederland word je indirect geraakt door de bepalingen, omdat de Nederlandse overheid het verdrag heeft omgezet in nationale wetgeving. Dit betekent dat cybercriminaliteit zoals hacking, datadiefstal en systeemverstoring strafbaar zijn volgens de normen die het verdrag voorschrijft. De bepalingen raken zowel de publieke als de private sector.

Voor bedrijven die internationaal opereren is het verdrag bijzonder relevant. Het biedt een juridisch kader voor grensoverschrijdende opsporing en bewijsvergaring. Als je organisatie slachtoffer wordt van cybercriminaliteit vanuit het buitenland, faciliteert het verdrag de samenwerking tussen Nederlandse opsporingsdiensten en hun buitenlandse tegenhangers. Het verdrag is niet alleen gericht op EU-landen; ook landen als de Verenigde Staten, Japan, Australie en Canada zijn partij bij het verdrag.

Sectoren die onder verhoogd toezicht staan, zoals financiele instellingen, zorginstellingen en aanbieders van essentiele diensten onder de NIS2-richtlijn, moeten extra bewust zijn van de verplichtingen die voortvloeien uit het verdrag. De meldplichten en opsporingsbevoegdheden die het verdrag faciliteert, raken direct aan de compliance-eisen voor deze sectoren. Ook digitale serviceproviders en telecomaanbieders hebben specifieke verplichtingen rond het bewaren en verstrekken van gegevens aan opsporingsdiensten.

Wat zijn de vereisten van de Convention on Cybercrime?

Het verdrag stelt concrete eisen aan verdragslanden op drie niveaus. Ten eerste moeten landen bepaalde gedragingen strafbaar stellen in hun nationale wetgeving. Dit omvat illegale toegang tot computersystemen, illegale onderschepping van data, verstoring van data-integriteit, systeemverstoring, misbruik van apparatuur (zoals hacktools), computergerelateerde vervalsing en computergerelateerde fraude. Ook kinderpornografie en inbreuken op intellectueel eigendom via digitale middelen vallen onder de strafbaarstellingen die het verdrag voorschrijft.

Ten tweede moeten landen procedurele bevoegdheden creeren voor opsporingsdiensten. Dit omvat de mogelijkheid om elektronische gegevens snel te bevriezen via preservation orders, om productieorders uit te vaardigen aan serviceproviders, om computergegevens te doorzoeken en in beslag te nemen, en om verkeersgegevens en inhoud van communicatie in real-time te onderscheppen. Deze bevoegdheden zijn in Nederland onder meer vastgelegd in de Wet Computercriminaliteit III. Opsporingsdiensten kunnen hierdoor sneller handelen bij acute cyberdreigingen.

Ten derde verplicht het verdrag landen tot internationale samenwerking. Dit betekent dat rechtshulpverzoeken snel moeten worden afgehandeld, dat er 24/7 contactpunten beschikbaar moeten zijn voor urgente zaken, en dat landen elkaars verzoeken om bewijsvergaring moeten faciliteren. Het tweede protocol uit 2022 breidt deze samenwerking verder uit met directe samenwerking met serviceproviders in andere landen en versnelde procedures voor het verkrijgen van abonnee-informatie en verkeersgegevens.

Wat gebeurt er bij niet-naleving?

Als een land de Convention on Cybercrime niet naleeft, heeft dat primair diplomatieke en juridische consequenties. Voor organisaties in Nederland zijn de gevolgen concreter: de nationale wetgeving die voortvloeit uit het verdrag bevat specifieke straffen voor cybercriminaliteit. Computervredebreuk wordt bestraft met maximaal twee jaar gevangenisstraf of een geldboete van de vierde categorie. Bij verzwarende omstandigheden, zoals het kopieren van gegevens of het verstoren van systemen, loopt de maximale straf op tot vier jaar gevangenisstraf.

Voor organisaties die zelf slachtoffer worden van cybercriminaliteit biedt het verdrag juist bescherming. Als je niet meewerkt aan opsporingsverzoeken die voortvloeien uit het verdrag, kun je geconfronteerd worden met dwangmiddelen. Serviceproviders die weigeren mee te werken aan bevriezingsverzoeken of productieorders riskeren sancties onder nationale wetgeving. Toezichthouders houden actief toezicht op de naleving van deze gerelateerde verplichtingen door bedrijven en instellingen in Nederland.

Op internationaal niveau kan niet-naleving leiden tot het uitsluiten van een land van de samenwerkingsmechanismen die het verdrag biedt. Dit kan ernstige gevolgen hebben voor de digitale veiligheid en de concurrentiepositie van dat land. Nederland werkt actief mee aan de evaluatiemechanismen van het verdrag via het Cybercrime Convention Committee (T-CY). Landen die structureel niet meewerken aan rechtshulpverzoeken kunnen rekenen op diplomatieke druk vanuit de verdragsgemeenschap.

Veelgestelde vragen over de Convention on Cybercrime

Wat is het verschil tussen de Convention on Cybercrime en de UN Cybercrime Convention?

De Convention on Cybercrime (Boedapest, 2001) is het bestaande verdrag van de Raad van Europa met ruim 80 verdragslanden. De UN Convention against Cybercrime is een nieuwer VN-initiatief dat een breder ledenbereik nastreeft. Beide verdragen bestaan naast elkaar, maar verschillen in scope, governance-structuur en het aantal deelnemende landen.

Is de Convention on Cybercrime relevant voor het MKB?

Ja. Het verdrag vormt de basis voor de Nederlandse wetgeving rond cybercriminaliteit. Als MKB-bedrijf profiteer je van de opsporingsbevoegdheden die het verdrag biedt wanneer je slachtoffer wordt van cybercrime. Tegelijkertijd moet je bewust zijn van de strafbaarstellingen rond misbruik van computersystemen en je eigen verantwoordelijkheden bij het bewaren van digitaal bewijs.

Hoe verhoudt de Convention on Cybercrime zich tot de AVG?

Het verdrag en de AVG vullen elkaar aan. Het verdrag richt zich op strafbaarstelling en opsporing van cybercriminaliteit, terwijl de AVG gericht is op bescherming van persoonsgegevens. Bij een datalek kunnen beide kaders van toepassing zijn: de AVG voor de meldplicht en het verdrag voor de strafrechtelijke vervolging van de daders.

Welke landen hebben de Convention on Cybercrime niet ondertekend?

Grote landen zoals Rusland, China en India zijn geen partij bij het verdrag. Rusland heeft principiele bezwaren geuit tegen de mogelijkheid dat buitenlandse opsporingsdiensten grensoverschrijdend onderzoek doen. China en India prefereren bilaterale afspraken boven multilaterale verdragen op dit terrein.

Wat betekent het tweede protocol van 2022 voor bedrijven?

Het tweede protocol versnelt internationale samenwerking bij cybercrime-onderzoeken. Het maakt directe samenwerking met serviceproviders in andere verdragslanden mogelijk, zonder tussenkomst van centrale autoriteiten. Dit verkort de doorlooptijd van bewijsvergaring aanzienlijk, wat cruciaal is bij digitale onderzoeken waar bewijs snel kan verdwijnen.

Hulp nodig bij compliance met cybercriminaliteitswetgeving? Vind een specialist via Governance, Risk & Compliance op IBgidsNL.