Werkaanbod cybercrime bij de politie · 2017. 2. 7. · Het geregistreerde werkaanbod in...
48
Werkaanbod cybercrime bij de politie Een verkennend onderzoek naar de omvang van het geregistreerde werkaanbod cybercrime Lectoraat Cybersafety, Noordelijke Hogeschool Leeuwarden M.M.L. Domenie BSc E.R. Leukfeldt BSc Drs. M.H. Toutenhoofd-Visser Dr. W.Ph. Stol 23 maart 2009
Transcript of Werkaanbod cybercrime bij de politie · 2017. 2. 7. · Het geregistreerde werkaanbod in...
Werkaanbod cybercrime bij de politie
Een verkennend onderzoek naar de omvang
van het geregistreerde werkaanbod cybercrime
Lectoraat Cybersafety, Noordelijke Hogeschool Leeuwarden
M.M.L. Domenie BSc
E.R. Leukfeldt BSc
Drs. M.H. Toutenhoofd-Visser
Dr. W.Ph. Stol
23 maart 2009
i
Voorwoord
Voor dit onderzoek kregen we de medewerking van veel mensen uit politiekorpsen. Wij wil-
len hen op deze plaats bedanken voor de tijd die zij hebben vrijgemaakt. Onze bijzondere
dank gaat uit naar Ron van der Nagel en Jan Rogier van regiopolitie Hollands Midden en Dirk
Aangeenbrug van regiopolitie Zuid-Holland-Zuid die hun kennis, materiaal en werkplek met
ons hebben willen delen.
Miranda Domenie
Rutger Leukfeldt
Marika Toutenhoofd
Wouter Stol
ii
Inhoudsopgave
Samenvatting.............................................................................................................................iii
1. Inleiding ................................................................................................................................. 1
1.1 Cybercrime en Programma Aanpak Cybercrime ............................................................. 1
1.2 Onderwerp en doel van onderzoek................................................................................... 2
1.3 Onderzoeksvragen ............................................................................................................ 4
1.4 Verantwoording onderzoeksmethoden............................................................................. 5
2. Fase 1: bepalen zoekmethode................................................................................................. 6
2.1 Inleiding ........................................................................................................................... 6
2.2 Theoretische mogelijkheden om cybercrime in BPS en HKS te registreren. .................. 6
2.3 Registratie van cybercrime in BPS in de praktijk. ........................................................... 8
2.4 Blueview en BRAINS – een keuze .................................................................................. 9
3. Fase 2: omvang werkaanbod ................................................................................................ 11
3.1 Toelichting bij de werkwijze.......................................................................................... 11
3.2 Resultaten werkaanbod Hollands Midden...................................................................... 13
3.3 Resultaten werkaanbod Zuid-Holland-Zuid................................................................... 19
3.4 Werkaanbod Hollands Midden en Zuid-Holland-Zuid in 2007 ..................................... 25
3.5 Slachtofferschap ............................................................................................................. 26
4. Conclusies en aanbevelingen ............................................................................................... 29
4.1 Conclusies inzake de omvang van het geregistreerde werkaanbod ............................... 29
4.2 Conclusies inzake de methode ....................................................................................... 29
4.3 Aanbevelingen................................................................................................................ 30
Literatuur .................................................................................................................................. 31
Lijst van afkortingen ................................................................................................................ 32
Bijlage 1: lijst van geïnterviewde personen ............................................................................. 33
Bijlage 2: gebruikte zoekslagen ............................................................................................... 34
Bijlage 3: betrouwbaarheidsintervallen_1................................................................................ 37
Bijlage 4: betrouwbaarheidsintervallen_2................................................................................ 38
Bijlage 5: gebruikte incidentcodes voor cybercrime per regio ................................................ 39
Bijlage 6: pogingen tot oplichting via internet in 2007, 2008.................................................. 40
iii
Samenvatting
Doel en onderwerp
Dit onderzoek gaat over het werkaanbod cybercrime bij de politie. Onder ‘de politie’ verstaan
we in het onderhavige onderzoek de 25 regionale politiekorpsen. Met ‘werkaanbod’ worden
alle meldingen en aangiften bedoeld die bij de politie binnenkomen en daar zijn geregistreerd.
Cybercrime definiëren we als criminele activiteiten waarbij het gebruik van ICT van wezen-
lijk belang is.
Het doel van het onderzoek is het bieden van inzicht in het geregistreerde werkaanbod cyber-
crime bij de politie. De centrale onderzoeksvraag luidt dan ook: wat zijn aard en omvang van,
en ontwikkelingen in het geregistreerde werkaanbod van de politie, inzake cybercrime?
Methodische verantwoording
Het onderzoek is uitgevoerd in de korpsen Utrecht, Hollands Midden en Zuid-Holland-Zuid.
In de eerste fase van het onderzoek stond centraal hoe cybercrime te herkennen is in het ba-
sisprocessensysteem van de politie. In totaal zijn 13 interviews afgenomen bij infodeskmede-
werkers, misdaadanalisten, intakers en medewerkers met aanverwante functies. Daarnaast zijn
bestaande data uit politiedossiers geanalyseerd. Op deze manier is een beeld verkregen van
hoe de intake verloopt, hoe agenten cybercrime registreren en hoe cybercrime terug te vinden
is in het basisprocessensysteem.
Vervolgens zijn zoekprotocollen opgesteld om cybercrimedossiers te selecteren in het basis-
processensysteem van de regio’s Zuid-Holland-Zuid en Hollands Midden. De zoeksleutel is
opgebouwd uit vier onderdelen. Eén onderdeel bestaat uit zoektermen die we associëren met
cybercrime en waar we naar zoeken in de vaste en vrije velden. Het tweede onderdeel selec-
teert alleen de dossiers die een aangifte en/of meldingscode hebben. Het derde onderdeel se-
lecteert een steekproef van 39 dagen. Het vierde onderdeel sluit een lijst van zoekwoorden en
incidentcodes uit. Om de kwaliteit van de zoekprotocollen te verifiëren, hebben we het resul-
taat van de zoekslag handmatig gecontroleerd. Hiervoor hebben we in totaal 1.819 geselec-
teerde dossiers handmatig geanalyseerd. Om na te gaan of we met de zoekprotocollen geen
cybercrime ten onrechte hebben uitgesloten, namen we uit de niet-geselecteerde dossiers een
steekproef van 1.200 dossiers en controleerden deze handmatig.
Het geregistreerde werkaanbod cybercrime
In Hollands Midden zijn in het jaar 2007 in totaal 262.284 mutatienummers aangemaakt. We
hebben van alle meldingen en aangiften een steekproef van 39 dagen getrokken. In de steek-
proef van 22.771 mutatienummers (10,7 procent van het totaal aantal meldingen en aangiftes
in dat jaar) vinden we 72 cybercrimes. Dit komt neer op een aandeel cybercrime van 0,32
procent in de steekproef. In een aselecte steekproef van 600 dossiers die buiten de algemene
zoeksleutel vallen, vinden we geen cybercrimes. Aangezien we met een steekproef werken,
kunnen we niet aannemen dat het werkelijke aandeel cybercrime in alle aangiften en mutaties
exact 0,32 procent is. Met een betrouwbaarheid van 90 procent ligt het aandeel cybercrime in
regio Hollands Midden in 2007 tussen 0,25 procent en 0,64 procent. Dit komt overeen met
547 à 1.414 meldingen en aangiften.
In Zuid-Holland-Zuid zijn in het jaar 2007 in totaal 126.991 mutatienummers aangemaakt.
We hebben van alle meldingen en aangiften een steekproef van 39 dagen getrokken. In de
steekproef van 13.037 mutatienummers (10,4 procent van het totaal aantal meldingen en aan-
giftes) vinden we 70 cybercrimes. Dit komt neer op een aandeel cybercrime van 0,54 procent
iv
in de steekproef. In een aselecte steekproef van 600 dossiers die buiten de algemene zoeksleu-
tel vallen, vinden we geen cybercrimes. Rekening houdend met de mogelijke afwijkingen van
de steekproef ligt met een betrouwbaarheid van 90 procent het aandeel cybercrime in regio
Zuid-Holland-Zuid in 2007 tussen 0,43 procent en 0,91 procent. Dit komt overeen met 530 à
1150 meldingen en aangiften.
Het geregistreerde werkaanbod in perspectief
Volgens onze berekening is het aandeel cybercrime in het werkaanbod kleiner dan 1%. Uit
een onderzoek onder 1.246 internettende Friezen, uitgevoerd eind 2008, blijkt dat het slacht-
offerschap van cybercrime aanzienlijk hoger ligt en de aangiftebereidheid laag is.
De aard van meldingen en aangiften cybercrime
Ongeveer de helft van alle cybercrimes is e-fraude, zowel in regio Hollands Midden als in re-
gio Zuid-Holland-Zuid. Verder komt hacken, illegale handel, smaad, stalking en overige cy-
bercrimes zoals schennis van de eerbaarheid voor. Cyberafpersen en haatzaaien vinden we
niet, wat niet wil zeggen dat dergelijke cybercrimes niet in Nederland voorkomen.
Voor de registratie van cybercrime wordt in beide korpsen in ongeveer eenderde van de ge-
vallen de incidentcode 281 ‘oplichting’ gebruikt. De rest van de cybercrimes wordt onder een
veelheid van incidentcodes gemuteerd.
Trendanalyse
Voor de trendanalyse hanteerden we als aanname dat de door ons ontwikkelde algemene
zoeksleutel in de andere jaren eenzelfde percentage vals positieven (90,1 procent in Hollands
Midden en 93,6 procent in Zuid-Holland-Zuid) zou hebben als in 2007. Die aanname lijkt niet
correct. Als gevolg van veranderende registratieroutines selecteert onze zoeksleutel in andere
jaren andere hoeveelheden dossiers. Daarmee valt in feite de bodem weg onder de trendanaly-
se.
Conclusies en aanbevelingen
- Het percentage cybercrime in de politieregistratiesystemen ligt in 2007 tussen 0,3 en 0,9
procent in de regio’s Hollands Midden en Zuid-Holland-Zuid.
- Uitspraken over trends in cybercrime in de periode 2004-2008 kunnen niet gedaan worden
op basis van dit onderzoek. Ook kunnen we op basis van de resultaten uit de twee onder-
zochte korpsen geen uitspraken doen over het geregistreerde werkaanbod in andere korp-
sen.
- Op basis van slachtofferenquêtes in Friesland kunnen we stellen dat het slachtofferschap
aanzienlijk hoger ligt. De aangiftebereidheid ligt voorzichtig geschat op maximaal vijf
procent.
- Ongeveer de helft van het geregistreerde werkaanbod cybercrime is e-fraude.
- Het is niet mogelijk om geautomatiseerd cybercrimes uit de politieregistratiesystemen te
selecteren zonder handmatige check van het resultaat.
- Ontwikkel een gerichte, efficiënte strategie om het werkaanbod op te vangen. Geen zware
opleidingen aan alle intakers, maar het aanbieden van gerichte ondersteuning voor het ge-
val zich een aangifte voordoet.
- Vergroot de kennis over e-fraude bij intakers. De kans dat intakers met e-fraude te maken
krijgen is reëel en op deze manier maken intakers toch kennis met de basisprincipes van
het opnemen van een aangifte cybercrime – en dat is iets wat ze in de toekomst naar ver-
wachting steeds vaker te doen zullen krijgen. Geen zware cursus in de breedte maar een
relatief lichte voorlichting aangevuld met voorzieningen voor als-het-zich-aandient.
v
- Voer slachtofferonderzoek uit om te zien hoe cybercrime, en dus het werkaanbod, zich
ontwikkelt.
- Breng geen wijzigingen aan in de registratiesystemen. Variatie in registratie is altijd (ook)
gevolg van veranderingen in beleid, prioriteit en verandering in de bedrijfsprocessen. Het
is niet haalbaar om 100 procent nauwkeurig te registreren. De belasting op intakers is met
een wijziging in het registratiesysteem verhoudingsgewijs te hoog.
- Beter is het (efficiënter en meer valide) om de omvang van cybercrime in de politieregi-
stratie met de hand vast te stellen, met gebruikmaking van steekproeven.
1
HOOFDSTUK 1
Inleiding
1.1 Cybercrime en Programma Aanpak Cybercrime
Internet biedt mensen communicatie- en handelingsmogelijkheden die zij daarvoor niet had-
den. Zij maken daarvan volop gebruik, ook voor criminele doeleinden. Het gebruik van inter-
net bij het plegen van delicten is al lang niet meer nieuw (Akdeniz, 1996; Duncan, 1997, Dur-
kin 1997, Van Eecke, 1997, Boerstra, 1997; Grabowsky en Smith, 1998). Te verwachten is
dat de met internet verweven criminaliteit de komende jaren toeneemt (SCP, 2004).
De Nederlandse overheid geeft aan de opsporing en bestrijding van cybercrime een hoge prio-
riteit en neemt verschillende juridische en organisatorische maatregelen. Voorbeelden hiervan
zijn aanpassingen in wetgeving door de inwerkingtreding van de Wet op Computercriminali-
teit-II in 2006, de Nationale Infrastructuur ter bestrijding van CyberCrime (NICC), de oprich-
ting van een Meldpunt Cybercrime, de oprichting van het Team High Tech Crime (THTC) bij
het Korps Landelijke Politiediensten en het landelijke Programma Aanpak Cybercrime (PAC)
van de Raad van Hoofdcommissarissen. Bij herhaling wordt echter geconstateerd, ook door
politie en justitie zelf, dat politie en justitie de ontwikkelingen maar moeizaam kunnen bijbe-
nen. Groot probleem is gebrek aan kennis over wat zich op internet precies afspeelt met be-
trekking tot criminaliteit en hoe dat kan worden opgespoord (Stol e.a. 1999; PWC 2001; LP-
DO 2003; Griffith, 2005; Lünnemann e.a., 2006; Van der Hulst en Neve, 2008). Dat is een
ongewenste situatie. De politie is zich dat bewust en startte in 2007 het eerder genoemde lan-
delijke Programma Aanpak Cybercrime (PAC).
Het PAC draagt zorg voor de uitvoering van een samenstel van activiteiten die er toe zullen
moeten leiden dat:
(1) de politie in staat is effectief uitvoering te geven aan de bestrijding van cybercrime als
onderdeel van haar dagelijkse werkzaamheden,
(2) de Nederlandse samenleving een beroep kan doen op haar politie ten aanzien van de be-
strijding van cybercrime en daarin niet zal worden teleurgesteld,
(3) cybercrime in Nederland adequaat, actief en zichtbaar door de Nederlandse politie wordt
aangepakt en
(4) de politie aansluiting vindt op het netwerk van organisaties en instanties die een rol dan
wel een belang hebben bij de bestrijding van de negatieve effecten van digitalisering en
in dit netwerk een natuurlijke rol speelt met een reële toegevoegde waarde passend bij de
wettelijke taken en verantwoordelijkheden.
Het PAC beoogt de gewenste situatie binnen vijf jaar te realiseren door het treffen van maat-
regelen op het vlak van organisatie, opleiding & training, onderzoek & ontwikkeling, stimule-
ring van good practices en een éénmalige kennis- en capaciteitsinjectie.’ (PAC 2007:2). Het
PAC doet momenteel onderzoek naar hoe de politie omgaat met cybercrime. Het onderzoek is
verdeeld in vijf blokken: het werkaanbod, de organisatie, de competenties, research & deve-
lopment, en de ervaren knelpunten en kansen. Voor het blok ‘werkaanbod’ heeft het PAC het
lectoraat cybersafety van de Noordelijke Hogeschool Leeuwarden benaderd om in kaart te
brengen hoe groot het (geregistreerde) werkaanbod cybercrime voor de politie is.
Momenteel rondt het lectoraat Cybersafety met studenten van de Noordelijke Hogeschool
Leeuwarden onderzoek af naar de wijze waarop bij de politie de intake en de eerst opvolging
van het werkaanbod is geregeld en hoe een en ander in de praktijk verloopt. Ook voert het lec-
toraat Cybersafety, in opdracht van het KLPD, een criminaliteitsbeeldanalyse cybercrime
2
(CBAC) uit (Leukfeldt e.a., te verwachten) . Resultaten en ervaringen uit die CBAC zijn ge-
bruikt bij onderhavig onderzoek.
1.2 Onderwerp en doel van onderzoek
Onderwerp
Dit onderzoek gaat over het werkaanbod cybercrime bij de politie. Onder ‘de politie’ verstaan
we in het onderhavige onderzoek de 25 regionale politiekorpsen. Met ‘werkaanbod’ worden
alle meldingen en aangiften bedoeld die bij de politie binnenkomen en daar zijn geregistreerd.
Werkaanbod kan dus criminaliteit betreffen, maar het kan ook gaan om overtredingen of om
situaties waarbij geen sprake is van een strafbaar feit (gevaarlijke situatie op een kruispunt,
burenruzie, etc.). Dit onderzoek is er niet op gericht te bepalen of een bepaald werkaanbod al
dan niet een strafbaar feit betreft. Van belang is hier te constateren dat een burger/bedrijf de
politie benadert met een probleem inzake cybercrime, niet van belang is dat we vaststellen dat
er ook werkelijk een delict is gepleegd.
In de literatuur komen we verschillende definities van cybercrime tegen (zie Van der Hulst en
Neve, 2008). In dit onderzoek hanteren we de definitie van cybercrime zoals die door het
PAC is geformuleerd (PAC, 2008). Na een vergelijkend onderzoek concludeert het PAC dat
de definitie van Van der Hulst en Neve (2008) de meest bruikbare is voor de activiteiten van
het PAC. Van der Hulst en Neve definiëren high-tech crime als ‘overkoepelend begrip waar-
mee wij verwijzen naar het gebruik van ICT voor het plegen van criminele activiteiten tegen
personen, eigendommen, organisaties of elektronische communicatienetwerken en informatie-
systemen’ (2008: 37). Subthema’s zijn cybercriminaliteit en computercriminaliteit. Cybercri-
minaliteit omvat volgens Van der Hulst en Neve alle (traditionele) criminele activiteiten
waarbij ICT als instrument wordt gebruikt zonder dat ICT expliciet doelwit is van de crimine-
le activiteiten. Computercriminaliteit omvat alle criminele activiteiten waarbij ICT als instru-
ment wordt gebruikt én waarbij ICT expliciet doelwit is van de criminele activiteiten.
Volgens Van der Hulst en Neve is kenmerkend aan de verschijningsvormen van computer-
criminaliteit (bijvoorbeeld hacken en verspreiden van virussen) dat zij een sterk technisch,
virtueel karakter hebben: zij zijn ontstaan door, en kunnen niet bestaan zonder ICT. De ver-
schijningsvormen van cybercriminaliteit daarentegen zijn doorgaans traditionele delicten die
ook zonder tussenkomst van ICT gepleegd kunnen worden (bijvoorbeeld verspreiden van kin-
derporno en afpersen) maar door het gebruik van ICT een nieuwe (efficiëntere) uitvoering
hebben gekregen. Benadrukt wordt daarbij nog dat beide subthema’s ideaaltypen vormen, als
uiteinden van een continuüm, waarbinnen verschillende combinaties mogelijk zijn.
Het PAC volgt de definitie van Van der Hulst en Neve (2008) niet één-op-één. Het overkoe-
pelende begrip ‘high-tech crime’ wordt door het PAC vervangen door ‘cybercrime’. Het on-
derscheid tussen cybercrime in enge en ruime zin blijft gehanteerd (figuur 1.1).
Het onderscheid tussen enerzijds delicten waarbij ICT zowel middel als doel is en anderzijds
delicten waarbij ICT middel is maar geen doel, is niet nieuw en zagen we bijvoorbeeld ook in
het Europese Cybercrime Verdrag van 2001, zij het met gebruik van wat andere termen.1
1 Convention on Cybercrime, European Treaty Series 185, Budapest, 23.XI.2001.
3
Figuur 1.1: begripsbepaling cybercrime (bron: PAC, 2008)
Cybercrime
Dit is het overkoepelende begrip dat verwijst naar het gebruik van ICT voor het plegen
van criminele activiteiten tegen personen, eigendommen, organisaties of elektronische
communicatienetwerken en informatiesystemen.
Cybercrime in ruime zin Cybercrime in enge zin
Dit omvat alle (traditionele) criminele acti-
viteiten waarbij ICT als instrument wordt
gebruikt zonder dat ICT expliciet doelwit is
van de criminele activiteiten.
Dit omvat alle criminele activiteiten
waarbij ICT als instrument wordt ge-
bruikt én waarbij ICT expliciet doelwit
is van de criminele activiteiten.
De zojuist gegeven definitie van cybercrime verwijst naar elk delict waarbij de dader voor het
plegen daarvan op enigerlei wijze gebruik heeft gemaakt van ICT. Classificeren we delicten
volgens dat principe, dan zou de selectie al snel ook zaken gaan bevatten die in het politieveld
niet worden aangemerkt als ‘werkaanbod inzake cybercrime’, bijvoorbeeld alle delicten waar-
bij de dader voor het plegen daarvan enkel gebruik heeft gemaakt van een mobiele telefoon of
een satellietnavigatiesysteem. Daar komt bij dat het gebruik van dergelijke voor het plegen
van het delict niet wezenlijke ICT, uit de politieregistratie doorgaans niet (eenvoudig) zal zijn
af te leiden. Om het geregistreerde werkaanbod inzake cybercrime te bepalen, perken we bo-
venstaande definitie dan ook enigszins in. In dit onderzoek is sprake van cybercrime indien de
door de dader gebruikte ICT van wezenlijk belang is voor de totstandkoming van het delict.
We zijn ons er van bewust dat we de definitie daarmee weliswaar hebben ingeperkt maar haar
daarmee nog niet van een scherpe grens hebben voorzien. In de uitvoering van het onderzoek
zullen we aan de hand van het empirische materiaal duidelijk maken welke gevallen we wel
en welke we niet onder de definitie hebben laten vallen. In de volgende alinea geven we al
vast een fictief voorbeeld.
Cybercrime in ruime zin kan verweven zijn met uiteenlopende vormen van traditionele crimi-
naliteit die ook voorkomen in de fysieke wereld. Voorbeelden hiervan zijn fraude, afpersing,
haatzaaien en de verspreiding van kinderpornografie. Omdat ICT een belangrijke rol speelt in
het dagelijks leven is het bij deze delicten van belang om te kijken hoe belangrijk ICT is ge-
weest voor het plegen van het delict. Een voorbeeld van cybercrime in brede zin is oplichting
via online veilingwebsites. Op de website verkoopt de oplichter spullen maar levert deze nooit
aan de afnemers. Zonder de online veilingwebsite zou het delict niet zo gepleegd kunnen
worden. Er is echter geen sprake van cybercrime indien een bedrijf in de fysieke wereld klan-
ten oplicht en deze praktijken bijhoudt in een schaduwboekhouding op een bedrijfscomputer.
Het delict kon in dit geval ook gepleegd worden zonder gebruik van ICT.
Doel van het onderzoek
Het onderzoek moet uiteindelijk bijdragen aan de bestrijding van cybercrime. Het dichterbij
gelegen doel is het bieden van inzicht in het geregistreerde werkaanbod cybercrime bij de po-
litie. Het onderzoek moet de politie inzicht geven in de aard en omvang van geregistreerde
aangiften en meldingen cybercrime.
4
1.3 Onderzoeksvragen
De centrale onderzoeksvraag luidt: wat zijn aard en omvang van, en ontwikkelingen in het ge-
registreerde werkaanbod van de politie, inzake cybercrime? Deze vraag hebben we als volgt
uitgewerkt in deelvragen.
1. Wat zijn de theoretische mogelijkheden om cybercrime in het basisprocessensysteem
van de politie te registreren?
2. Hoe wordt cybercrime in de praktijk in het basisprocessensysteem van de politie gere-
gistreerd?
3. Hoe is cybercrime te herkennen in het basisprocessensysteem van de politie?
a. Aan de hand van welke vaste velden in het basisprocessensysteem kan worden be-
paald of er sprake is van een cybercrime?
b. Aan de hand van welke vaste velden in BlueView kan worden bepaald of er sprake
is van een cybercrime?
c. Aan de hand van welke zoektermen in de ‘vrije tekst’ in het basisprocessensys-
teem kan worden bepaald of er sprake is van een cybercrime?
d. Aan de hand van welke zoektermen in de ‘vrije tekst’ in BlueView kan worden
bepaald of er sprake is van een cybercrime?
e. Aan de hand van welke vaste velden in het basisprocessensysteem kan worden be-
paald of er sprake is van een melding of aangifte?
f. Aan de hand van welke vaste velden in BlueView kan worden bepaald of er sprake
is van een melding of aangifte?
g. Aan de hand van welke vaste velden in het basisprocessensysteem kan worden be-
paald of de aangever of melder een individu of bedrijf is?
h. Aan de hand van welke vaste velden in BlueView kan worden bepaald of de aan-
gever of melder een individu of bedrijf is?
4. Wat zijn de ontwikkelingen op het gebied het geregistreerde werkaanbod cybercrime
bij de politie in de periode 2003 – 2008?
Meldingen
a. Hoeveel meldingen cybercrime komen er per jaar binnen bij de korpsen Utrecht en
Hollands Midden in de periode 2003 t/m 2007 en hoeveel meldingen zijn op basis
daarvan te verwachten voor 2008?
b. Welk aandeel is dat van het totaal aantal meldingen in die korpsen?
c. Om wat voor soort cybercrime gaat het?
d. Wie doet de melding (bedrijf/burger)?
e. Onder welke maatschappelijke klasse wordt de melding geregistreerd?
Aangiften
f. Hoeveel aangiften cybercrime komen er per jaar binnen bij de korpsen Utrecht en
Hollands Midden in de periode 2003 t/m 2007 en hoeveel aangiften zijn op basis
daarvan te verwachten voor 2008?
g. Welk aandeel is dat van het totaal aantal aangiften in die korpsen?
h. Om wat voor soort cybercrime gaat het?
i. Wie doet de aangifte (bedrijf/burger, kenmerken)?
j. Onder welke maatschappelijke klasse wordt de aangifte geregistreerd?
5. Welke aanbevelingen kunnen op basis van het onderzoek worden gedaan?
5
1.4 Verantwoording onderzoeksmethoden
Het onderzoek is uitgevoerd in de regiokorpsen van politie Utrecht, Hollands Midden en
Zuid-Holland-Zuid. Om het totale werkaanbod cybercrime in kaart te kunnen brengen, is het
onderzoek opgedeeld in twee fasen waarin gebruik is gemaakt van drie onderzoeksmethoden.
In de eerste fase van het onderzoek stond centraal hoe cybercrime te herkennen is in het ba-
sisprocessensysteem van de politie (vraag 1, 2 en 3). Deze fase is uitgevoerd in de regio’s
Utrecht en Hollands Midden. We maakten gebruik van de volgende onderzoeksmethoden:
1. Interviews. In regio Hollands Midden hebben we twee interviews gehouden met politie-
agenten die belast zijn met de invoer van delicten in het basisprocessensysteem, twee in-
terviews met infodeskmedewerkers, twee interviews met veiligheidsanalisten en één in-
terview met de chef analyse. In regio Utrecht hebben we één veiligheidsanalist gesproken,
twee politieagenten die belast zijn met de invoer van delicten in het basisprocessensys-
teem en twee infodeskmedewerkers. In regio Zuid-Holland-Zuid spraken we met een vak-
specialist analyse. Dat is in totaal 13 (semi-gestructureerde) interviews. Op deze manier is
per regio een beeld verkregen van hoe de intake verloopt, hoe agenten cybercrime regi-
streren en hoe analisten cybercrime weten terug te vinden in het basisprocessensysteem.
2. Secundaire analyse. Bestaande data uit politiedossiers, afkomstig uit onderzoek van het
lectoraat Cybersafety naar de aard, ernst en omvang van cybercrime in Nederland analyse-
ren we om te bepalen hoe cybercrime in de politieregistratie te herkennen is.
In de tweede fase van het onderzoek staat centraal wat de ontwikkelingen zijn op het gebied
van het geregistreerde werkaanbod cybercrime. Tijdens de interviews in de eerste fase werd
duidelijk dat in Hollands Midden ervaring was met het geautomatiseerd zoeken naar cyber-
crime in politiesystemen. Ook troffen we in Hollands Midden de expert op het gebied van het
softwareprogramma BRAINS, dat is gemaakt voor het analyseren van politiegegevens. In
hoofdstuk twee gaan we dieper in op BRAINS. Eveneens kwamen we tijdens de interviews in
regio Zuid-Holland-Zuid op het spoor van nog een andere ervaringsdeskundige op het gebied
van analyse van politiegegevens. Zowel Hollands Midden als Zuid-Holland-Zuid hebben rap-
portages gemaakt over het werkaanbod cybercrime in deze regio’s. Beide regio’s beschikken
over de meest recente versie van BRAINS en een medewerker die goed daarmee kan werken.
We hebben om die reden de regio’s Hollands Midden en Zuid-Holland-Zuid gekozen voor de
tweede fase van het onderzoek: het bepalen van het geregistreerde werkaanbod. Hiervoor
maakten we gebruik van de volgende onderzoeksmethode:
Kwantitatieve analyse. Aan de hand van de uitkomsten van onderzoeksvragen 1, 2 en 3 zijn
zoekprotocollen (algoritmes) opgesteld om cybercrimedossiers te selecteren in het basispro-
cessensysteem van de regio’s Zuid-Holland-Zuid en Hollands Midden. Beide regio’s maken
gebruiken van het basisprocessensysteem BPS. Bij de interpretaties van de cijfers hebben we
gebruik gemaakt van ervaringen die het lectoraat Cybersafety opdeed bij kwantitatief dossier-
onderzoek naar de aard van cybercrime.
Om de kwaliteit van de algoritmes te verifiëren, hebben we het resultaat van de geautomati-
seerde zoekslag handmatig gecontroleerd. We analyseerden hiervoor in totaal 1.819 van de
automatisch geselecteerde dossiers. Om na te gaan of we met de algoritmes geen cybercrime
ten onrechte hebben uitgesloten, namen we uit de niet-geselecteerde dossiers een steekproef
van 1.200 en controleerden deze handmatig. Een uitgebreidere verantwoording van de gehan-
teerde algoritmes en de wijze waarop we de resultaten controleerden volgt in paragraaf 3.1.
HOOFDSTUK 2
Fase 1: bepalen zoekmethode
2.1 Inleiding
Om geautomatiseerd te kunnen zoeken in de politiesystemen naar het werkaanbod cybercri-
me, moet een tweetal keuzes gemaakt worden. Ten eerste dient te worden bepaald in welke
data gezocht wordt. Aangezien we op zoek zijn naar het geregistreerde werkaanbod, wat we
gedefinieerd hebben als ‘alle meldingen en aangiften die bij de politie binnenkomen en daar
zijn geregistreerd’, hebben we databestanden nodig die (alle) meldingen en/of aangiften be-
vatten. Twee databestanden komen in aanmerking: die van de basisprocessensystemen (BPS,
XPOL en Genesys) met gegevens over meldingen en aangiften en die van het herkennis-
dienstsysteem (HKS) met gegevens over aangiften – waarbij zij opgemerkt dat we niet kun-
nen kiezen voor een analyse op basis van alleen HKS-gegevens omdat we dan de dossiers
zouden missen die geen aangifte bevatten.2 Ten tweede moet worden vastgesteld met welk
zoeksysteem we het werkaanbod in kaart willen brengen. Hiervoor komen eveneens twee sys-
temen in aanmerking: Blueview en BRAINS.
In dit hoofdstuk beschrijven we aan de hand van de eerste drie onderzoeksvragen op welke
manier wij het werkaanbod cybercrime hebben gemeten. In paragraaf 2.2 gaan we in op de
theoretische mogelijkheden om cybercrime in de systemen van de politie te registreren. In pa-
ragraaf 2.3 beschrijven we vervolgens hoe medewerkers van de politie met deze mogelijkhe-
den omgaan in de praktijk. Paragraaf 2.4 gaat in op de voor- en nadelen van Blueview en
BRAINS. In paragraaf 2.5 onderbouwen we de keuze voor het databestand BPS en het zoek-
systeem BRAINS.
2.2 Theoretische mogelijkheden om cybercrime in BPS en HKS te registreren.
Inleiding
Om een goed onderbouwde keuze te kunnen maken voor het te gebruiken databestand, heb-
ben we eerst de theoretische mogelijkheden en beperkingen onderzocht om cybercrime in de
basisprocessensystemen en in HKS van de politie te registreren. Hiervoor hebben we rappor-
tages over de omvang van cybercrime bestudeerd, geschreven door twee criminaliteitsanalis-
ten van de politie (de twee eerder genoemde ervaringsdeskundigen) (Van der Nagel, 2008;
Aangeenbrug, 2008). Ook de ervaring die we met de CBAC (Leukfeldt e.a., te verwachten)
hebben opgedaan, hebben we hierbij betrokken. De regio’s waarin we de meting voor onder-
havig onderzoek hebben uitgevoerd, maken beide gebruik van het basisprocessensysteem
BPS. Vanaf volgend jaar gaan alle regio’s over op een nieuw basisprocessensysteem. Wan-
neer we in dit rapport spreken over ‘basisprocessensysteem’ of BPS bedoelen we dus in beide
gevallen BPS, niet Genesys of Xpol.
Theoretische mogelijkheden om cybercrime in BPS te registreren
Wanneer gebruik wordt gemaakt van de standaard invoermethode van BPS, zoals intakers
doen, is het mogelijk om bij het veld ‘Modus Operandi’, in het subveld ‘met behulp van’ de
optie ‘computer’ te kiezen. Ook is er een open invoerveld ‘Modus Operandi’ waar een tekst
ingevoerd kan worden waaruit blijkt dat de zaak een cybercrime betreft.
In het geval van cybercrime in enge zin, kan in BPS de incidentcode 270 of 271 ‘computer-
criminaliteit’ gekozen worden. Deze codes worden door elkaar gebruikt maar 271 wordt het
2 Zaken waarvan alleen een melding is maar geen aangifte, worden niet in HKS ingevoerd.
7
vaakst gebruikt. Het is niet duidelijk waarom voor computercriminaliteit twee identieke inci-
dentcodes beschikbaar zijn.
Ook zijn er in BPS voor cybercrime in enge zin de volgende wetsartikelen beschikbaar die in
een vast veld kunnen worden aangeklikt:
− 138a WvSr: het binnendringen in een geautomatiseerd werk,
− 161sexies WvSr: opzettelijk veroorzaken van stoornis in de gang of in de werking van een
geautomatiseerd werk of werk voor de telecommunicatie,
− 161septies WvSr: stoornis in de gang of in de werking in een geautomatiseerd werk of
werk voor telecommunicatie door schuld,
− 350a WvSr: het opzettelijk onbruikbaar maken en veranderen van gegevens,
− 350b WvSr: het onbruikbaar maken en veranderen van gegevens door schuld,
− 139c WvSr: het aftappen en/of opnemen van gegevens en
− 139d WvSr: het plaatsen van opname-, aftap- c.q. afluisterapparatuur.
Er is in BPS geen mogelijkheid om bij het registreren van een delict in een vast veld op te ge-
ven dat de melding of aangifte een cybercrime betreft.
Voor cybercrime in ruime zin zijn naast het genoemde Modus Operandi-veld geen vaste vel-
den beschikbaar om aan te geven dat de mutatie een cybercrime betreft. Ook zijn er geen spe-
cifieke incidentcodes of wetsartikelen om cybercrime in ruime zin aan te duiden. Voor de
hoofddaad worden dezelfde incidentcodes en wetsartikelen gebruikt als wanneer de criminele
daad niet met ICT zou zijn gepleegd. Wanneer sprake is van cybercrime in ruime zin in com-
binatie met cybercrime in enge zin, kan wel een wetsartikel voor cybercrime in enge zin ge-
bruikt worden.
Intakers kiezen bij het aanmaken van een nieuw dossier tussen de activiteitcode A01 (mel-
ding) en A03 (aangifte).
Wanneer een persoon aangifte doet van een cybercrime die gepleegd is bij een bedrijf, kan de
intaker ook bedrijfsgegevens invoeren. In het geval van een melding van cybercrime, kunnen
geen vaste velden met bedrijfsgegevens worden gevuld.
Welke zaken missen in BPS
Een aantal keer per jaar wordt een onderzoek opgestart voor zeer ernstige zaken zoals moord,
verkrachting met geweld, ernstige oplichtingszaken en ernstige zedenzaken. Het is mogelijk
dat zich hieronder ook enkele cybercrimes bevinden. Deze zaken worden afgeschermd inge-
voerd in het recherchesysteem RBS. Deze zaken zijn dus niet zichtbaar in BPS en vallen bui-
ten onze telling. Het aantal is echter laag en heeft vermoedelijk dan ook geen meetbare effec-
ten hebben op de uitkomst van het onderzoek.
Wanneer een burger bij de balie komt om aangifte te doen van oplichting via bijvoorbeeld een
veilingsite, dan gebeurt het dat de intaker meent dat het een civiele zaak betreft en de aangifte
niet opneemt. Sommigen maken een melding, andere muteren helemaal niets. Als een mel-
ding is gemaakt, wordt de zaak onderdeel van het geregistreerde werkaanbod waarop dit on-
derzoek betrekking heeft. Zaken die niet worden gemuteerd, vallen buiten dit onderzoek.
Theoretische mogelijkheden om cybercrime in HKS te registreren
HKS bevat alleen aangiften en geen meldingen. We hebben HKS laten vallen als optie voor
ons onderzoek naar het werkaanbod omdat ons onderzoek zich ook uitstrekt tot meldingen.
8
Wanneer een onderzoek naar uitsluitend aangiften van cybercrime gedaan zou moeten wor-
den, is HKS een bruikbaar databestand. HKS heeft dezelfde invoervelden bij ‘Modus Operan-
di’ als BPS. Volgens infodeskmedewerkers worden deze velden in HKS beter gevuld dan in
BPS. Om hierover meer te weten te komen, zou een test gedaan kunnen worden. In HKS kan
bij het veld ‘Modus Operandi’ code D05 gebruikt worden, waarna de keuze ‘computer home’,
‘computer personal’ of ‘computer portable’ gemaakt kan worden.
Er is op dit moment in HKS geen mogelijkheid om bij het registreren van een delict in een
vast veld op te geven dat de aangifte een cybercrime betreft.
2.3 Registratie van cybercrime in BPS in de praktijk.
Middels interviews met intakers brachten we in kaart hoe politiemensen de mogelijkheden
van BPS gebruiken en hoe zij omgaan met de beperkingen van het systeem. In het geval van
cybercrime in enge zin wordt meestal de incidentcode 270 of 271 ‘computercriminaliteit’ ge-
bruikt. Uit de CBAC blijkt dat van 132 dossiers waarin sprake is van hacken en die in BPS
ingevoerd zijn in 2007, driekwart onder de incidentcode ‘computercriminaliteit’ is gemuteerd.
Dat betekent ook dat een kwart onder een andere incidentcode is gemuteerd. In de meeste ge-
vallen is dan sprake van meer delicten dan alleen cybercrime in enge zin en wordt de inci-
dentcode gekozen van het andere delict. Dit is bijvoorbeeld het geval wanneer een computer
gehackt wordt, persoonsgegevens worden gestolen en met deze gegevens iemand wordt opge-
licht. In dit geval kan aan de zaak de incidentcode voor oplichting worden toegekend.
Onder de incidentcodes 270 en 271 worden ook zaken gemuteerd die geen cybercrime in enge
zin zijn en zelfs wel eens zaken die helemaal geen cybercrime zijn.
Van de in paragraaf 2.2 genoemde relevante wetsartikelen voor cybercrime in enge zin wordt
alleen artikel 138a Sr met enige regelmaat gebruikt, maar ook weer niet altijd.
Het vaste veld onder ‘Modus Operandi – met behulp van’ waar vervolgens ‘computer’ kan
worden gekozen, wordt door intakers voor zowel cybercrime in ruime zin als cybercrime in
enge zin zeer weinig gebruikt. Bij het open invoerveld van de Modus Operandi wordt wel
eens geschreven dat het incident via internet of via de computer gepleegd is, maar zeker niet
in de meerderheid van de gevallen.
Cybercrime in ruime zin wordt onder de incidentcode van de hoofddaad weggeschreven, dus
onder fraude, oplichting, zeden, schennis van de privacy, stalking enzovoort.
Cybercrime in ruime zin wordt op dezelfde manier in de basisprocessensystemen gemuteerd
als wanneer het incident op de traditionele manier zou zijn gepleegd. Om cybercrime in ruime
zin terug te vinden, zal dus gebruik gemaakt moeten worden van zoektermen in de vrije vel-
den, zoals teksten van processen verbaal, verhoren en aangiften.
De activiteitcodes A01 en A03 worden gebruikt om een onderscheid te maken tussen meldin-
gen en aangiften. Een aangifte kan niet gemaakt worden zonder de juiste activiteitcode (A03)
te gebruiken. Dit veld is dus altijd zorgvuldig gevuld.
Wanneer de eigenaar of directeur van een eenmanszaak of VOF aangifte doet van een cyber-
crime die gepleegd is op zijn bedrijf, voert de intaker vaak geen bedrijfsgegevens in op de
hiervoor beschikbare vaste velden. Dat de benadeelde een bedrijf is, is in dat geval niet met
9
behulp van vaste velden te achterhalen. In het geval van een melding, worden in geen enkel
geval bedrijfsgegevens genoteerd; daarvoor biedt het systeem namelijk niet de mogelijkheid.
De conclusie uit deze verkenning omtrent de registratie van cybercrime is dat de vaste hulp-
middelen die BPS bevat voor het herkennen van cybercrime tot op zekere hoogte gebruikt
kunnen worden om dergelijke crimes te detecteren, maar dat tegelijk veel cybercrimes op die
manier niet zijn terug te vinden. Voor het zoeken van cybercrimes in BPS, zijn de vaste in-
voervelden dus geen voldoende hulpmiddel. Aanvullende strategieën zijn vereist, bijvoor-
beeld met gebruikmaking van Blueview en BRAINS – systemen waarmee men voor analyse-
doeleinden informatie uit basisprocessensystemen kan zoeken.
2.4 Blueview en BRAINS – een keuze
We spraken met een aantal misdaadanalisten en infodeskmedewerkers om zicht te krijgen op
de voor- en nadelen van zowel Blueview als BRAINS.
Voor- en nadelen van Blueview
Het voordeel van Blueview is dat het systeem toegang biedt tot veel politiedossiers in Neder-
land. Het maakt het mogelijk om te zoeken in BPS, BVH, BVO, Genesys, HKS, Luris, NDS,
RBS en Xpol. Gevoelige zaken kunnen beveiligd zijn met een wachtwoord. Dit zijn vaak ze-
denzaken of zaken waarbij (familieleden van) politieagenten als verdachten of slachtoffers be-
trokken zijn. Blueview geeft de mogelijkheid om in zowel vaste als vrije velden te zoeken.
Blueview biedt dan ook in principe de mogelijkheden om het werkaanbod te bepalen.
Het nadeel van Blueview is dat het systeem geen gekwantificeerde data als output kan leveren
(geen tabellen bijvoorbeeld). Het systeem levert dossiers als resultaat. Het kan geen lijsten
van incidentcodes, gebruikte wetsartikelen of iets dergelijks geautomatiseerd samenstellen.
Het tweede nadeel van Blueview is, dat het systeem niet met een combinatie van zoektermen
kan werken. Bijvoorbeeld: we zoeken dossiers die wél minstens één van de volgende woorden
bevat <woord1, woord2, woord3,…> maar niet in combinatie met een woord uit een tweede
lijst en dan moet het ook nog een aangifte en/of melding zijn. Kort gezegd: Blueview is een
zoeksysteem, geen analysesysteem. Blueview is vooral geschikt voor kwalitatieve en niet zo-
zeer voor kwantitatieve analyse.
Voor- en nadelen van BRAINS
BRAINS biedt wel faciliteiten voor kwantitatieve analyses. BRAINS is ontworpen als analy-
setool en kan tabellen genereren met kwantitatieve data. Deze data zijn gemakkelijk via Excel
te exporteren naar analysesoftware, zoals SPSS. Een nadeel van BRAINS is dat het niet in alle
regio’s in gebruik is en dat het niet kan lezen in registraties die door andere regio’s zijn ge-
daan dan daar waar de machine met BRAINS staat. Technisch is dit wel mogelijk, maar dat
vergt nog een aantal ontwikkelstappen van het programma en een aantal redelijk ingrijpende
veranderingen in de bedrijfsprocessen binnen politie Nederland. Wanneer met BRAINS ana-
lyses over heel Nederland gedaan moeten worden, is het op dit moment noodzakelijk de ana-
lyse in alle regio’s te herhalen. Een tweede nadeel van BRAINS is de beperkte gebruikers-
vriendelijkheid. Het is een technisch analysepakket en niet ontworpen voor een grote doel-
groep. Het duurt dus even voordat de gebruiker het onder de knie heeft, maar dan biedt het
systeem ook veel mogelijkheden.
BRAINS kan databestanden uit alle mogelijke bedrijfsprocessensystemen inlezen, zelfs losse
word-documenten en documenten die op het intranet van de politie staan. BRAINS heeft nu
nog wat technische problemen met data die uit andere basisprocessensystemen komen dan
10
BPS. In 2009 zullen alle regio’s overgaan op een nieuw basisprocessensysteem waardoor
BRAINS, als het is aangepast op het nieuwe systeem, voor alle regio’s bruikbaar is.
Resultaat van de verkenningen: een aanpak
We hebben ons verdiept in hoe cybercrime uit de politiesystemen kan worden geselecteerd.
We deden dat op basis van interviews, onze ervaringen met de criminaliteitsbeeldanalyse cy-
bercrime, ervaringen van politieanalisten met het zoeken naar cybercrimes, en een verdieping
in de mogelijkheden van relevante computersystemen. Op basis daarvan komen we tot een
aanpak waarmee de omvang van het geregistreerde werkaanbod kan worden bepaald.
We zoeken met het programma BRAINS in het databestand BPS in de regio’s Hollands Mid-
den en Zuid-Holland-Zuid. We maken gebruik van een sleutel waarmee we zoeken in zowel
vaste als vrije velden. De zoeksleutel bestaat uit vier onderdelen:
− zoektermen voor vaste en vrije velden, welke termen we associëren met cybercrime;
− termen voor selectie van dossiers die een aangifte en/of meldingscode hebben;
− termen voor het selecteren van een steekproef van 39 dagen;
− termen voor het uitsluiten van bepaalde zoekwoorden en incidentcodes, bijvoorbeeld we
willen dossiers selecteren die het woord ‘website’ bevatten, behalve wanneer het dossier
ook de term ‘internetaangifte’ bevat.
11
HOOFDSTUK 3
Fase 2: omvang werkaanbod
In dit hoofdstuk presenteren we de omvang van het werkaanbod cybercrime in de regio’s Hol-
lands Midden en Zuid-Holland-Zuid. Paragraaf 3.1 licht toe hoe we de metingen hebben uit-
gevoerd. Paragraaf 3.2 en 3.3 geven inzicht in het werkaanbod cybercrime in de regio’s Hol-
lands Midden respectievelijk Zuid-Holland-Zuid. Paragraaf 3.4 zet alle resultaten van beide
regio’s nog eens op een rijtje. In paragraaf 3.5 gaan we kort in op een onderzoek naar slacht-
offerschap van cybercrime en in paragraaf 3.6 worden de conclusies beschreven die we kun-
nen trekken uit de cijfers.
3.1 Toelichting bij de werkwijze
Aannames
We voeren het onderzoek uit in politieregio Hollands Midden en Zuid-Holland-Zuid. We heb-
ben deze regio’s geselecteerd, omdat binnen deze regio’s ervaring is met het geautomatiseerd
zoeken naar cybercrime in BPS en in deze regio’s BRAINS tot onze beschikking stond. We
nemen niet op voorhand aan dat deze twee regio’s representatief zijn voor alle korpsen. Het
lijkt tot op zekere hoogte nog wel aannemelijk dat het werkaanbod in alle regio’s gelijk is, in-
ternet is immers niet plaatsgebonden, maar het is heel goed mogelijk dat het geregistreerde
werkaanbod per regio verschilt, omdat niet alleen het werkaanbod maar ook politiegedrag be-
paalt hoeveel de politie registreert. Een politieregio die actief is in de opsporing van cyber-
crime zal een hoger percentage cybercrime registreren dan een regio die op dit gebied niet ac-
tief is.
Onze strategie voor het zoeken van cybercrime houdt in dat we eerst geautomatiseerd een
voorselectie maken en vervolgens met de hand nagaan hoeveel daarvan cybercrime betreft.
Dan weten we hoeveel procent van de voorselectie cybercrime betreft, en dus ook hoeveel
procent van alle dossiers. Aangezien het handmatig nalopen van de dossiers in de voorselectie
erg tijdrovend is, doen we voor de trendanalyse 2003-2008 de aanname dat het percentage cy-
bercrimes in de voorselectie door de jaren heen hetzelfde blijft. We nemen daarbij 2007 als
peiljaar.
Bepalen zoeksleutel
Als we geautomatiseerd willen vaststellen wat het aandeel cybercrime is in het totale
werkaanbod van de politie, zullen we een zoekalgoritme of zoeksleutel moeten samenstellen.
Op basis van de ervaringen uit de CBAC, de interviews met intakers en de interviews met
misdaadanalisten en infodeskmedewerkers, hebben we een lijst van zoektermen samengesteld
waarmee we cybercrime associëren. De opdracht voor BRAINS luidt dan (zoekterm1 OR
zoekterm2 OR zoekterm3 OR … ).
Een deel van de mogelijke sleutelwoorden (bijvoorbeeld ‘computer’) is echter zo algemeen
dat we verwachten dat deze zoeksleutel veel ‘vervuiling’ oplevert. Vervuiling houdt in dit
verband in, dat de zoekterm dossiers selecteert, die geen cybercrime zijn. Bijvoorbeeld: in de
aangifte staat ‘ik was aan het werk op mijn computer, toen ik buiten twee verdachte personen
zag’. Aangezien de computer zo ingeburgerd is in onze samenleving, is dat begrip een te al-
gemene zoekterm geworden. We hebben dergelijke te algemene termen buiten de zoeksleutel
gelaten.
12
‘Internet’ is een zoekterm die sterk geassocieerd wordt met cybercrime. Die term maakte deel
uit van onze zoeksleutel. Echter, in de aangiften die via internet gedaan worden van bijvoor-
beeld fietsdiefstal, komt vaak het woord internet voor. Van cybercrime kan via internet geen
aangifte gedaan worden. Door het gebruik van ‘NOT-statements’ in BRAINS hebben we aan-
giften met de woordcombinaties ‘internetaangifte’, ‘internet aangifte’, ‘aangifte via internet’
of ‘aangifte gedaan via internet’ uitgesloten van selectie. Op deze manier hebben we het aan-
deel internetaangiften zo klein mogelijk gemaakt.
Aangezien we alleen aangiften en meldingen willen selecteren, maken we gebruik van de co-
de ‘formulier’ die gegenereerd wordt door BRAINS op basis van de activiteitcodes die inta-
kers gebruiken. Activiteitcode A01 wil zeggen: melding. Activiteitcode A03 wil zeggen: aan-
gifte. De opdracht voor BRAINS luidt dan (formuliera01 OR formuliera03).
Tijdens de eerste testen met BRAINS werd al snel duidelijk dat de machines die wij tot onze
beschikking hadden geen grote zoekresultaten aan kon. Dossiers selecteren uit heel 2007, wat
onze oorspronkelijke bedoeling was, bleek daarom praktisch gesproken niet mogelijk. We wa-
ren daarom gedwongen met een steekproef te werken. Het bleek dat we met een steekproef
van 39 dagen (ongeveer 10 procent van alle aangiftes en meldingen) goed konden werken: het
systeem kon deze hoeveelheden aan en het resultaat was groot genoeg om betrouwbare resul-
taten te verkrijgen (we komen daarop terug). BRAINS genereert een vast veld met de aangif-
tedatum die we konden gebruiken om de steekproef te selecteren (pleegmdt<datum>).
De door ons ontwikkelde algemene zoeksleutel cybercrime is opgebouwd uit vier delen. Een
deel met zoektermen waarvan er minstens één voor moet komen, een deel dat bepaalt dat het
formulier waarin gezocht wordt een melding of een aangifte is, een deel dat de steekproefda-
gen selecteert en een deel dat bepaalde zoektermen uitsluit. De algemene zoeksleutel is opge-
nomen in bijlage 1.
Binnen het resultaat van de algemene zoeksleutel (de eerste selectie), is het mogelijk om de
documenten die bij de geselecteerde dossiers horen, in te zien om te kijken of het geselecteer-
de dossier werkelijk cybercrime is of niet. Door het aanklikken van dossiernummers, kan de
onderzoeker de aangiftes en zogeheten ‘vrije mutaties’ lezen die bij het dossier horen.
Om te bepalen wat de validiteit van de zoeksleutel is, hebben we het resultaat van de zoek-
sleutel (de eerste selectie) gedetailleerd bekeken. Dat wil zeggen: we hebben alle dossiers in
die selectie uit de steekproef van 39 dagen bekeken om te zien of het dossier werkelijk cyber-
crime was en zo ja, welke vorm van cybercrime. Om te controleren of we met de zoeksleutel
niet onterecht cybercrimes hebben buitengesloten (vals negatieven), hebben we eveneens een
steekproef van dossiers nagelopen die niet door de zoeksleutel zijn geselecteerd.
Registraties mogen vijf jaar bewaard worden door de politie. Aangezien we de metingen in
januari 2009 hebben uitgevoerd, konden we niet meer beschikken over de cijfers van 2003.
We voerden de meting uit voor de jaren 2004 t/m 2008, waarbij we het resultaat van 2007 in
zijn geheel nalopen om de werkelijke hoeveelheid cybercrime te bepalen.
Hierna geven we de aanpak nog eens schematisch weer in een stappenplan:
context bepalen
1. vaststellen van de omvang van alle aangiftes en meldingen in 2007 in Hollands Midden
(met behulp van de systeembeheerder)
13
omvang cybercrime vaststellen
2. steekproef van 39 dagen trekken
3. de algemene zoeksleutel (het algoritme) uitvoeren en het resultaat aflezen
kwaliteitscontrole
4. elk dossier dat aan de zoeksleutel voldoet nalopen en noteren of het cybercrime is en zo ja,
welke
5. een steekproef van 600 dossiers nalopen van alle dossiers binnen de steekproef die niet
aan de zoeksleutel voldoen en noteren of het cybercrime is en zo ja, welke
andere jaren
6. stappen 2 en 3 herhalen voor 2004, 2005, 2006 en 2008.
7. stappen 1 t/m 6 herhalen voor het tweede korps.
We plaatsen de resultaten voor 2004 tot en met 2008 in een reeks, om zicht te krijgen op de
(recente) ontwikkeling in het werkaanbod cybercrime.
3.2 Resultaten werkaanbod Hollands Midden
Stappen 1 en 2: algemene zoeksleutel toepassen
In Hollands Midden zijn in 2007 in totaal 262.284 dossiernummers aangemaakt. Daarvan be-
vatten er 222.287 een meldings- en/of aangifteformulier (84,8 procent). We hebben van alle
meldingen en aangiften een steekproef van 39 dagen getrokken door alle mutaties te selecte-
ren die op onderstaande dagen zijn gemaakt:
- 10 t/m 19 februari;
- 20 t/m 29 mei;
- 01 t/m 09 augustus;
- 10 t/m 19 november.
Naar verwachting zou deze steekproef uit (222.287/365)*39 = 23.751 meldingen en aangiftes
bestaan. De steekproef bevatte 22.771 dossiers. Daarmee heeft de gerealiseerde steekproef
een afwijking van ongeveer 4,1 procent ten opzichte van hetgeen op basis van toeval kon
worden verwacht. Een reden hiervoor zou kunnen zijn dat de maand augustus relatief rustig is
omdat dan veel mensen op vakantie zijn. Voor de resultaten van het onderzoek is dit echter
niet van overwegend belang. Wanneer we de resultaten uit de steekproef extrapoleren naar
heel 2007, kunnen we immers voor deze afwijking corrigeren.
Stap3: het resultaat
Met behulp van BRAINS hebben we geteld hoeveel meldingen en aangiftes in de steekproef
van 39 dagen aan de algemene zoeksleutel voldoen (eerste selectie). De zoeksleutel is zo ge-
construeerd dat de kans op vals negatieven zo klein mogelijk is. We hadden liever een ruime-
re eerste selectie (door vals positieven) dan dat we cybercrimes zouden missen. Het resultaat
van de zoeksleutel noemen we het aantal hits. Het aantal hits na toepassing van de algemene
zoeksleutel in de steekproef van 39 dagen (22.771 dossiers) bedraagt 730 (3,2 procent van alle
dossiers in de steekproef).
Stap 4: nauwkeurigheid zoeksleutel bepalen
Om de validiteit van het algoritme, de algemene zoeksleutel, te bepalen, is het noodzakelijk
vast te stellen welk deel van de gevonden hits ook daadwerkelijk cybercrime is. Bij het in-
houdelijke bestuderen van alle 730 hits na de algemene zoeksleutel, bleken 72 dossiers daad-
werkelijk cybercrime te zijn (9,9 procent).
14
Stap 5: wat hebben we gemist?
Door alle hits op de algemene zoeksleutel te bekijken, weten we zeker dat 72 zaken cybercri-
me zijn. Wat we nu nog niet weten, is of we door het gebruik van de algemene zoeksleutel
dossiers die cybercrime bevatten ten onrechte hebben uitgesloten (de vals negatieven). Om die
reden hebben we van de 22.041 dossiers die in de steekproef van 39 dagen vallen, maar niet
aan de algemene zoeksleutel voldeden, aselect 600 dossiers geselecteerd. Deze 600 dossiers
hebben we bekeken om vast te stellen welk deel hiervan cybercrime bevat. Geen enkel dossier
betrof cybercrime. Eén en ander staat schematisch weergegeven in tabel 3.1.
Tabel 3.1 Werkaanbod cybercrime Hollands Midden, op basis van 39 dagen
Totaal aantal aangiften en meldingen in 2007 222.287 100,0%
Totaal aantal aangiften en meldingen in de
steekproef van 39 dagen
22.771 10,7% van totaal
Totaal aantal hits na toepassing zoeksleutel 730 3,2% van de steekproef
Totaal aantal werkelijke cc 72 9,9% van de 730 hits; 0,32%
van de steekproef van 22.771
Totaal aantal dossiers uitgesloten door de
zoeksleutel
22.041
Totaal aantal gemiste cc, steekproef 600 0 0,0%
In 2007 vinden we in een steekproef van 22.771 (ofwel 10,7 procent van het totale aantal
meldingen en aangiftes in dat jaar) 72 cybercrimes. Dit komt neer op een aandeel cybercrime
van 0,32 procent in de steekproef. In een aselecte steekproef van 600 dossiers die buiten de
algemene zoeksleutel vallen, vinden we geen cybercrimes.
Met deze gegevens kunnen we berekenen hoeveel aangiftes en meldingen van cybercrime er
in 2007 in Hollands Midden minimaal zijn gemuteerd in BPS.
In de steekproef vinden we 0,32 procent cybercrime. Aangezien we met een steekproef wer-
ken, kunnen we niet aannemen dat het werkelijke aandeel cybercrime in alle aangiften en mu-
taties exact 0,32 procent is. Op basis van het totale aantal meldingen en aangiften, de omvang
van de steekproef en het aantal werkelijk gevonden cybercrimes in de steekproef kunnen we
(vgl. Van den Brink en Koele, 2001) een 95 procent betrouwbaarheidsinterval berekenen.3
Het betrouwbaarheidsinterval b is het resultaat van de statistische kansberekening die uitre-
kent binnen welke grenzen het werkelijke aandeel cybercrime met 95 procent zekerheid ligt.
De uitkomst van b is 0,07 procent Om de betrouwbaarheidsmarge te bepalen moeten we dit
percentage één keer van de in de steekproef gevonden waarde van 0,32 procent aftrekken en
één keer daarbij optellen. We kunnen nu met een zekerheid van 95 procent zeggen dat het
werkelijk aandeel cybercrime in alle aangiften en meldingen in 2007 in Hollands Midden die
we met de algemene zoeksleutel vinden ligt tussen 0,25 en 0,39 procent.
We kunnen met 95 procent zekerheid vaststellen dat van het werkaanbod het aandeel geregi-
streerde cybercrime in Hollands Midden minimaal 0,25 procent van alle aangiftes en meldin-
3 Voor de berekening, zie bijlage 4
15
gen bedraagt. Dit komt overeen met 0,0025*222.287 is minimaal 547 geregistreerde cyber-
crimes per jaar.
Om het maximale aandeel cybercrime vast te kunnen stellen, hebben we een berekening nodig
van het aandeel cybercrime dat we onterecht hebben uitgesloten met de algemene zoeksleutel
(de vals negatieven).
Om te bepalen wat het aandeel cybercrime is dat we ten onrechte hebben uitgesloten, hebben
we in beide regio’s 600 dossiers geselecteerd die niet aan de algemene zoeksleutel voldoen.
We hebben van een steekproef van 1.200 dossiers uit een totale steekproef van 33.969 dos-
siers (22.021 uit Hollands Midden + 11.948 uit Zuid-Holland-Zuid in de steekproef van 39
dagen) handmatig vastgesteld hoeveel cybercrimes we ten onrechte hebben uitgesloten. In de
steekproef van 1.200 dossiers bleek geen enkele cybercrime voor te komen.
Met de normale formule voor het berekenen van een betrouwbaarheidsinterval kunnen we niet
werken, aangezien het aandeel cybercrime erg klein is en het gevonden steekproefresultaat 0
is. Om die reden hebben we teruggegrepen op de traditionele formule voor het berekenen van
betrouwbaarheidsintervallen (Kuipers, 2005). Met behulp van deze formule, kunnen we het
aandeel cybercrime in de hele populatie berekenen, waarbij de kans kleiner dan 5 procent is,
dat we er 0 vinden in een steekproef van 1.200.
Ter illustratie kunnen we berekenen hoeveel cybercrimes we zouden verwachten te vinden in
een steekproef van 1.200 als het aandeel cybercrime 0,25 procent zou zijn. In dat geval zou-
den we 0,25 * 1.200 = 3 cybercrimes verwachten. Als het aandeel 0,10 procent is, zouden we
0,10 * 1.200 = 1 dossier cybercrime verwachten. We vonden 0 cybercrimes.
Met de traditionele formule (Kuipers, 2005) hebben we berekend dat het aandeel cybercrime
in de populatie, waarbij de kans kleiner dan 5 procent is dat een steekproef van 1.200 geen
enkele cybercrime bevat, maximaal 0,25 procent is.4
We kunnen nu met 95 procent zekerheid zeggen dat het aandeel cybercrime in de zaken die
we uitsluiten met de algemene zoeksleutel maximaal 0,25 procent is.
In Hollands Midden hebben we een aandeel cybercrime gemeten van 0,32 procent. Met be-
hulp van betrouwbaarheidsintervallen hebben we met 95 procent betrouwbaarheid berekend
dat het aandeel cybercrime in het totale werkaanbod, dat we vinden met de zoeksleutel maxi-
maal 0,39 procent is. Met behulp van wederom betrouwbaarheidsintervallen, hebben we bere-
kend dat het aandeel cybercrime dat we met de zoeksleutel ten onrechte hebben buitengeslo-
ten met 95 procent zekerheid maximaal 0,25 procent is. De bovengrens van het aandeel cy-
bercrime is dan voor Hollands Midden 0,39 + 0,25 = 0,64 procent.
Om het maximale aandeel cybercrime te berekenen hebben we twee berekeningen gemaakt
met een betrouwbaarheid van 95 procent. Voor het maximale aandeel cybercrime hebben we
95 procent keer 95 procent zekerheid dat de eindwaarde klopt. Dat betekent een uiteindelijke
zekerheid van 90 procent.
4 Voor de berekening, zie bijlage 5
16
Met een betrouwbaarheid van 90 procent ligt het aandeel cybercrime in regio Hollands Mid-
den in 2007 tussen 0,25 procent en 0,64 procent. Dit komt overeen met 547 à 1.414 meldin-
gen en aangiften.
Stap 6: trends
Om een trend in het werkaanbod cybercrime vanaf 2004 te kunnen vaststellen, hebben we
stappen 2 en 3 herhaald voor de jaren 2004, 2005, 2006 en 2008. In de trendanalyse maken
we gebruik van het percentage cybercrime in het totale werkaanbod in 2007. Op basis van het
aantal dossiers in de steekproef van 39 dagen, kan dan voor elk jaar berekend worden om
hoeveel zaken het per jaar gaat.
Omdat het bekijken van de hits die het resultaat zijn van de algemene zoeksleutel zeer tijdro-
vend is, hebben we (zie par. 3.1) een aanname gedaan over de verhouding werkelijke cyber-
crime ten opzichte van het totale aantal hits (resultaat van de zoeksleutel) per jaar: veronder-
steld wordt dat deze verhouding door de jaren heen hetzelfde is gebleven. Voor Hollands
Midden betekent dat, dat we aannemen dat steeds 9,9 procent van de hits na toepassing van de
zoeksleutel cybercrime is. (Voor 2007 hadden we 730 hits. De betreffende 730 dossiers beke-
ken we allemaal en stelden na lezing vast dat 9,9 procent daarvan echt cybercrime is. Voor de
andere jaren herhaalden we niet het handmatig bestuderen van alle hits, maar we namen aan
dat steeds 9,9 procent daarvan werkelijk cybercrime betreft.) Tabel 3.2 laat de trend van het
aantal en het aandeel cybercrime in de jaren 2004 – 2008 zien.
Tabel 3.2 trend aandeel cybercrime 2004 – 2008 Hollands Midden.
Jaar n steekproef 39
dagen
n hits algeme-
ne zoeksleutel
% hits algemene
zoeksleutel
% werkelijke cc (9,9% van
de hits) in steekproef
2004 23.218 579 2,49 * 0,25
2005 22.950 1.088 4,74 * 0,47
2006 20.870 1.096 5,25 * 0,52
2007 22.771 730 3,21 0,32
2008 23.952 844 3,52 * 0,35 * gebaseerd op de aanname dat in deze jaren het aandeel werkelijk cybercrime in het resultaat van de zoeksleutel
algemene cybercrime gelijk is aan 2007.
Er is een trendbreuk tussen 2004 en 2005, en tussen 2006 en 2007. Die kunnen worden ver-
oorzaakt door een verandering in de hoeveelheid aangeboden cybercrimes of door een veran-
dering in registratiegedrag of –systematiek. Om beter zicht te krijgen op de ontwikkeling van
het aantal hits per jaar, kijken we naar hits per incidentcode (tabel 3.3). De samenstelling van
de selectie die volgt na toepassing van de zoeksleutel, verandert drastisch in de loop der tijd.
Dergelijke veranderingen wijzen in de regel op een verandering in registratiegedrag.
Een groot deel van de incidenten die gevonden worden door de zoeksleutel betreft (inter-
net)aangiftes van vernielingen en diefstal. Sinds 2004 is aangifte via internet mogelijk. Ook
uit de handmatige controle bleek dat veel van de zaken internetaangiftes zijn die niet gefilterd
werden door het NOT-statement. Vanaf 2007 filtert het NOT-statement blijkbaar veel meer
internetaangiftes van vernieling en diefstal. Goed denkbaar is dat door een automatiserings-
proces een deel van de aangifteteksten die door het internet-aangifteprogramma worden ge-
maakt, sinds 2007 gestandaardiseerd wordt gegenereerd (teksten leken bij het controleren in-
17
derdaad erg op elkaar), waardoor het NOT-statement veel meer niet-cybercrimes uit de selec-
tie hield.
De trendbreuk tussen 2006 en 2007 zou verklaard kunnen worden door het grote aandeel in-
ternetaangiften dat niet door het NOT-statement gefilterd werd in 2004, 2005 en 2006.
Tabel 3.3 vergelijking incidentcodes hits algemene zoeksleutel 2004-2008 Hollands Midden
2004 2005 2006 2007 2008
diefstal af-uit auto 24,9 28,6 19,9 12,3 6,6
overige vernielingen/beschadiging 2,9 7,1 5,7 8,5 8,5
oplichting 3,5 2,0 6,1 8,2 7,5
vernieling auto 6,2 10,9 11,8 6,7 5,9
diefstal fiets 13,5 23,6 20,6 5,5 8,5
bedreiging 2,2 0,0 0,0 4,5 0,0
diefstal overige goederen 2,2 0,0 0,0 4,4 5,3
aandachtsvestiging 5,7 0,0 0,0 3,4 4,0
overige conflicten 0,0 0,0 0,0 2,6 0,0
verdachte situatie 0,0 0,0 0,0 2,5 0,0
graffiti 0,0 0,0 0,0 2,5 0,0
diefstal af-uit bedrijf 2,9 0,0 0,0 2,3 2,1
diefstal uit woning 0,0 0,0 0,0 0,0 2,0
geen beschrijving bekend 2,6 0,0 0,0 0,0 0,0
vernielingen aan openbare gebouwen 0,0 4,6 5,1 0,0 2,1
jeugdzorg 0,0 0,0 0,0 0,0 2,8
verdachte situatie 0,0 0,0 0,0 0,0 2,6
Totaal incidentcodes* 66,7 76,8 69,3 63,4 57,9
Totaal incidentcodes die in minder dan 2% van
de gevallen gebruikt worden 33,3 23,2 30,7 36,6 42,1 *Alleen geteld: incidentcodes die in 2 procent of meer van de gevallen voorkomt.
Ten behoeve van de trendanalyse hanteerden we als aanname dat de door ons ontwikkelde al-
gemene zoeksleutel in de andere jaren eenzelfde percentage vals positieven (90,1 procent) zou
hebben als in 2007, het jaar waarvoor we met de hand het percentage werkelijke cybercrime
(9,9 procent) en dus het aantal vals positieven (90,1 procent) hebben vastgesteld. Die aanna-
me lijkt niet correct. Als gevolg van veranderende registratieroutines selecteert onze zoeksleu-
tel in andere jaren andere hoeveelheden dossiers. Daarmee valt in feite de bodem weg onder
de trendanalyse. We weten van verschillen in uitkomsten nu immers niet of die worden ver-
oorzaakt doordat er meer cybercrime is geregistreerd of doordat in de wijze van registreren
iets is veranderd. Wel is bij herhaling eerder beschreven dat als er iets verandert in de geregi-
streerde criminaliteit, dat dat doorgaans eerder wordt veroorzaakt door veranderde registratie
dan door een verandering in criminaliteit (bv. Stol, 1996; In ’t Velt 1999; In ’t Velt e.a. 2001,
Kerstens e.a. 2008).
Aard van de gevonden cybercrimes
Zoals beschreven in het inleidende hoofdstuk zijn er vele verschijningsvormen van cybercri-
me. Tijdens het handmatig doorlopen van de resultaten van de zoeksleutel hebben we vastge-
18
steld welke vorm van cybercrime de gevonden cybercrimes waren. De resultaten hiervan zijn
opgenomen in tabel 3.4.
Tabel 3.4 Aard van de gevonden cybercrimes in Hollands Midden
Werkelijk gevonden cybercrime N
E-fraude 37
Hacken 5
Stalking 4
Spionage 0
Smaad 6
Illegale handel (gestolen goederen, illegale prostitutie) 8
Kinderporno 1
Piraterij 0
Illegale kansspelen 0
Afpersen 0
Haatzaaien 0
Grooming 4
Overige cybercrime (bedreiging, seks onder valse naam, schen-
ding privacy, schennis eerbaarheid)
10
Totaal gevonden cybercrime 72*
Skimmen (in dit onderzoek geen cybercrime) 21 * Het totaal is kleiner dan de som van losse cybercrimes omdat in één dossier sprake kan zijn van meerdere vor-
men van cybercrime.
Het totaal van 72 cybercrimes is verdeeld over zeven door ons beschreven cybercrimes en nog
een aantal overige cybercrimes. Wat volgens de definitie niet onder cybercrime in ruime of
enge zin valt, maar wel als cybercrime gerelateerde daad wordt gezien is skimmen. Hiervan
vinden we 21 zaken in de steekproef. Iets meer dan de helft van de geregistreerde cybercrimes
betreft e-fraude.
Uit interviews met intakers bleek al dat cybercrimes onder de meest uiteenlopende incident-
codes in het basisprocessensysteem geregistreerd worden. Cybercrime in ruime zin wordt
immers geregistreerd onder de hoofddaad. Van de 72 gevonden cybercrimes in de steekproef,
hebben we in tabel 3.5 een overzicht gegeven van de incidentcodes waaronder de cybercrimes
geregistreerd zijn.
Meer dan één op de drie cybercrimes wordt geregistreerd onder incidentcode 281 ‘oplichting’,
zes cybercrimes zijn geregistreerd met incidentcode 271 ‘computercriminaliteit’, 6 met inci-
dentcode 289 ‘overige fraude/bedrog’ en vijf met incidentcode 342 ‘bedreiging’. Alle andere
incidentcodes komen maximaal 3 keer voor in de steekproef. In totaal worden in de steekproef
23 verschillende incidentcodes gebruikt voor 72 cybercrimes. Twaalf van deze incidentcodes
komen maar één keer voor.
19
Tabel 3.5 Incidentcodes waaronder de gevonden cybercrimes zijn geregistreerd in Hollands
Midden
Incidentcode N %
oplichting 25 34,7
computercriminaliteit 6 8,3
overige fraude/bedrog 6 8,3
bedreiging 5 6,9
verdachte situatie 3 4,2
aandachtsvestiging 3 4,2
belediging 3 4,2
overige conflicten 3 4,2
overige verkeerszaken 2 2,8
(openb)schennis 2 2,8
relatieproblemen 2 2,8
diefstal fiets 1 1,4
diefstal af-uit auto 1 1,4
diefstal af-uit overige roerende goederen 1 1,4
verduistering 1 1,4
vervalsing 1 1,4
geweld zonder letsel zonder wapen 1 1,4
kinderpornografie 1 1,4
overige zedenzaken 1 1,4
mensenhandel, veranderd n.a.v. TB mel-
ding, omdat er persoon 1 1,4
stalking 1 1,4
overige overlast 1 1,4
overige hulpverlening 1 1,4
Totaal 72 100,0
3.3 Resultaten werkaanbod Zuid-Holland-Zuid
We volgen voor regiokorps Zuid-Holland-Zuid dezelfde procedure als voor Hollands Midden.
Stap 1 en 2: algemene zoeksleutel toepassen
In Zuid-Holland-Zuid zijn in het jaar 2007 in totaal 126.991 dossiernummers aangemaakt met
een meldings- en/of aangifteformulier. We hebben van alle meldingen en aangiften een steek-
proef van 39 dagen getrokken door alle mutaties te selecteren die op onderstaande dagen zijn
gemaakt:
- 10 t/m 19 februari;
- 20 t/m 29 mei;
- 01 t/m 09 augustus;
- 10 t/m 19 november.
Naar verwachting zou deze steekproef uit (126.991 /365)*39 = 13.569 meldingen en aangiftes
bestaan. De steekproef bestaat uit 13.037 dossiers. Daarmee heeft de steekproef een afwijking
van 3,9 procent ten opzichte van het totaal aantal meldingen en aangiftes in 2007. Een reden
hiervoor zou, net als bij Hollands Midden, kunnen zijn dat de maand augustus relatief rustig is
omdat dan veel mensen op vakantie zijn. Voor de resultaten van het onderzoek is dit echter
20
niet van belang. Wanneer we de resultaten uit de steekproef extrapoleren naar heel 2007, kun-
nen we immers voor deze afwijking corrigeren.
Stap3: het resultaat
Met behulp van BRAINS hebben we geteld hoeveel meldingen en aangiftes in de steekproef
van 39 dagen aan de algemene zoeksleutel voldoen. Het aantal hits na toepassing van de al-
gemene zoeksleutel in de steekproef van 39 dagen bedraagt 1.089 (8,4 procent).
Stap 4: nauwkeurigheid zoeksleutel bepalen
Om de validiteit van het algoritme, de algemene zoeksleutel, te bepalen, is het noodzakelijk
vast te stellen welk deel van de gevonden hits ook daadwerkelijk cybercrime is. Bij het in-
houdelijke bestuderen van alle 1.089 hits op de algemene zoeksleutel, bleken 70 dossiers
daadwerkelijk cybercrime te zijn (6,4 procent).
Stap 5: wat hebben we gemist?
Door alle hits op de algemene zoeksleutel na te lopen, weten we zeker dat 70 zaken cybercri-
me zijn. Wat we nu nog niet weten, is of we door het gebruik van de algemene zoeksleutel
dossiers die cybercrime bevatten ten onrechte hebben uitgesloten. Om die reden hebben we
van de 11.948 dossiers die in de steekproef van 39 dagen vallen, maar niet aan de algemene
zoeksleutel voldeden, aselect 600 dossiers geselecteerd. Deze 600 dossiers zijn we nagelopen
om te tellen welk deel hiervan cybercrime bevat. Geen enkel dossier betrof cybercrime .
Eén en ander staat nogmaals schematisch weergegeven in tabel 3.6.
Tabel 3.6 Werkaanbod cybercrime Zuid-Holland-Zuid, op basis van 39 dagen mutaties
Totaal aantal aangiften en meldingen in 2007 126.991 100%
Totaal aantal aangiften en meldingen in de
steekproef van 39 dagen
13.037 10,3% van totaal
Totaal aantal hits na toepassen zoeksleutel 1.089 8,4% van de steekproef
Totaal aantal werkelijke cc 70 6,4% van de hits; 0,54% van
de steekproef
Totaal aantal dossiers uitgesloten door de
zoeksleutel
11.948
Totaal aantal gemiste cc, steekproef 600 0 0,0%
In 2007 vinden we in een steekproef van 13.037 (ofwel 10,4 procent van het totale aantal
meldingen en aangiftes) 70 cybercrimes. Dit komt neer op een aandeel cybercrime van 0,54
procent. In een aselecte steekproef van 600 dossiers die buiten de algemene zoeksleutel val-
len, vinden we geen cybercrimes. Met deze gegevens kunnen we berekenen hoeveel aangiftes
en meldingen van cybercrime er in 2007 in Zuid-Holland-Zuid minimaal zijn gemuteerd.
In de steekproef vinden we 0,54 procent cybercrime. We werken met een steekproef en kun-
nen dus niet aannemen dat het werkelijke aandeel cybercrime in alle aangiften en mutaties
21
exact 0,54 procent is. Met de statistiek (Van den Brink en Koele, 2001) kunnen we het be-
trouwbaarheidsinterval berekenen.5
Het betrouwbaarheidsinterval b is het resultaat van de statistische kansberekening die uitre-
kent binnen welke grenzen het werkelijke aandeel cybercrime met 95 procent zekerheid ligt.
De uitkomst van b is 0,12 procent. Om de betrouwbaarheidsmarge te bepalen moeten we dit
percentage één keer van de in de steekproef gevonden waarde van 0,54 procent aftrekken en
één keer daarbij optellen.
Voor de populatie kunnen we met een zekerheid van 95 procent vaststellen dat het werkelijke
aandeel cybercrime in alle aangiften en meldingen in 2007 in Zuid-Holland-Zuid die we met
de algemene zoeksleutel vinden ligt tussen 0,42 en 0,66 procent. We kunnen nu met 95 pro-
cent betrouwbaarheid vaststellen dat het aandeel cybercrime in Zuid-Holland-Zuid minimaal
0,42 procent van alle aangiftes en meldingen bedraagt. Dit komt overeen met 0,0042*126.961
is minimaal 531 geregistreerde cybercrimes in 2007.
Om het maximale aandeel cybercrime vast te kunnen stellen, hebben we een berekening nodig
van het aandeel cybercrime dat we onterecht hebben uitgesloten met de algemene zoeksleutel
(de vals negatieven). We kunnen met 95 procent zekerheid zeggen dat het aandeel cybercrime
in de zaken die we uitsluiten met de algemene zoeksleutel maximaal 0,25 procent is. De bere-
kening is opgenomen onder stap 5 van paragraaf 3.2.
In Zuid-Holland-Zuid hebben we een aandeel cybercrime gemeten van 0,54 procent. Met be-
hulp van betrouwbaarheidsintervallen hebben we met 95 procent zekerheid berekend dat het
aandeel cybercrime in het totale werkaanbod, dat we vinden met de zoeksleutel maximaal 0,66
procent is. Met behulp van wederom betrouwbaarheidsintervallen, hebben we berekend dat
het aandeel cybercrime dat we met de zoeksleutel ten onrechte hebben buitengesloten met 95
procent zekerheid maximaal 0,25 procent is. De bovengrens van het aandeel cybercrime is
dan voor Zuid-Holland-Zuid 0,66 + 0,25 = 0,91 procent.
Om het maximale aandeel cybercrime te berekenen maakten we twee berekeningen met een
zekerheid van 95 procent. Voor het maximale aandeel cybercrime hebben we 95 procent keer
95 procent zekerheid dat de eindwaarde klopt. Dat betekent een zekerheid van 90 procent.
Dus: Met een zekerheid van 90 procent ligt het aandeel cybercrime in regio Zuid-Holland-
Zuid in 2007 tussen 0,43 procent en 0,91 procent. Dit komt overeen met 530 à 1150 meldin-
gen en aangiften.
Stap 6: trends
Om een trend in het werkaanbod cybercrime vanaf 2004 te kunnen vaststellen, herhaalden we
stappen 2 en 3 voor de jaren 2004, 2005, 2006 en 2008. Voor de trendanalyse berekenen we
eerst het percentage cybercrime in het totale werkaanbod. Op basis van het aantal dossiers in
de steekproef van 39 dagen, kan berekend worden om hoeveel zaken het per jaar gaat.
Omdat het bekijken van de hits die het resultaat zijn van de algemene zoeksleutel zeer tijdro-
vend is, hebben we (zie par. 3.1) een aanname gedaan over de verhouding werkelijke cyber-
crime ten opzichte van het totale aantal hits per jaar: verondersteld wordt dat deze verhouding
door de jaren heen hetzelfde is gebleven. Voor Zuid-Holland-Zuid betekent dat, dat we aan-
nemen dat 6,4 procent van de hits na toepassing van de zoeksleutel ook echt cybercrime is.
5 Voor de berekening zie bijlage 4
22
(Voor 2007 hadden we 1.089 hits. De betreffende 1.089 dossiers bekeken we allemaal en stel-
den na lezing vast dat 6,4 procent daarvan echt cybercrime is. Voor de andere jaren herhaal-
den we niet het handmatig bestuderen van alle hits, maar we namen aan dat steeds 6,4 procent
daarvan werkelijk cybercrime betreft.) Tabel 3.7 laat de trend van het aantal en het aandeel
cybercrime in de jaren 2004 – 2008 zien.
Tabel 3.7 trend aandeel cybercrime 2004 – 2008 Zuid-Holland-Zuid.
Jaar N steekproef 39
dagen
N hits algemene
zoeksleutel
% hits algemene
zoeksleutel
% werkelijke cc
(x 6,4%)
2004 14.013 519 3,70 * 0,24
2005 13.144 819 6,23 * 0,40
2006 12.606 838 6,65 * 0,43
2007 13.037 1.089 8,35 0,53
2008 12.729 1.036 8,14 * 0,52 * gebaseerd op de aanname dat in deze jaren het aandeel werkelijk cybercrime in het resultaat van de zoeksleutel
algemene cybercrime gelijk is aan 2007.
We zien een licht stijgende lijn in het aantal cybercrimes, wanneer we aannemen dat de ver-
houding werkelijke cybercrime ten opzichte van het aantal hits na toepassing van de zoeksleu-
tel in de jaren 2004 tot en met 2008 hetzelfde is gebleven. Om een indicatie te krijgen van de
juistheid van deze aanname, zetten we de incidentcodes die in 2 of meer procent van de geval-
len geregistreerd worden door de intakers, naast elkaar (tabel 3.8).
Tabel 3.8 vergelijking incidentcodes hits algemene zoeksleutel 2004-2008 Zuid-Holland-Zuid
2004 2005 2006 2007 2008
diefstal af-uit auto 11,9 14,9 15,8 13,9 9,8
overige vernielingen/beschadiging 3,5 5,0 6,8 10,4 7,3
onder invloed in het verkeer auto/motor 13,7 13,7 15,8 9,4 7,9
diefstal fiets 8,7 15,9 9,1 8,8 8,6
vernieling auto 6,7 9,3 11,7 7,5 13,6
diefstal overige goederen 2,9 0,0 0,0 6,8 6,6
graffiti 0,0 0,0 0,0 5,4 2,7
oplichting 0,0 2,1 3,3 3,0 4,1
aandachtsvestiging 0,0 2,0 0,0 2,8 2,8
geen beschrijving bekend 3,5 2,0 0,0 0,0 0,0
diefstal uit woning 3,3 0,0 0,0 0,0 0,0
aandachtsvestiging 2,3 0,0 0,0 0,0 0,0
onder invloed in het verkeer (br)fietser 2,1 0,0 0,0 0,0 0,0
vernielingen aan openbare gebouwen 2,1 3,4 3,0 0,0 0,0
hulpverlening burger 0,0 0,0 2,3 0,0 2,2
Totaal incidentcodes* 60,7 68,1 67,7 68,0 65,6
Totaal incidentcodes die in minder dan 2% van
de gevallen gebruikt worden 39,3 31,9 32,3 32,0 34,4 *Alleen geteld: incidentcodes die in 2 procent of meer van de gevallen voorkomt.
23
Ook in Zuid-Holland-Zuid zien we dat de samenstelling van de selectie door de jaren heen
verschilt, maar niet zo drastisch als in Hollands Midden. De verandering per incidentcode kan
niet (volledig) verklaard worden door de toename van het aandeel cybercrime, aangezien we
hebben vastgesteld dat cybercrime in 2007 slecht 6,4 procent is van het aantal hits op de zoek-
sleutel. De verschuiving in het gebruik van incidentcodes kan verklaard worden door registra-
tiegedrag. Aangifte via internet, en verandering in de procedures dienaangaande, kan hierin
een grote rol hebben gespeeld.
We zien ook verschillen tussen de twee korpsen. Voor Hollands Midden komt bijvoorbeeld
‘onder invloed in het verkeer auto/motor’ niet in de tabel voor, voor Zuid-Holland-Zuid wel,
met zo’n 8 tot 16 procent. De zoeksleutel vindt dus niet alleen in verschillende jaren verschil-
lende soorten hits, ook per korps verschilt de samenstelling van de selectie. Dit maakt eens te
meer duidelijk dat we uiterst terughoudend moeten zijn met generaliseren. Voor de twee
korpsen in dit onderzoek hebben we het resultaat van de selectie met de algemene zoeksleutel
gecontroleerd door voor 2007 alle geselecteerde dossiers door te nemen en te beoordelen of al
dan niet sprake was van cybercrime. De gevonden percentages cybercrime en ‘vals positie-
ven’ die onze zoeksleutel genereert, kunnen we niet van toepassing verklaren op andere jaren
in die korpsen en ook niet op andere korpsen in 2007. In feite moeten we concluderen dat we
het aandeel cybercrime in de politieregistratie voor een bepaald jaar alleen kunnen bepalen
door voor dat jaar de volledige zoekstrategie toe te passen (stap 1 tot en met 6, paragraaf 3.1).
Aard van de gevonden cybercrimes
Zoals beschreven in het inleidende hoofdstuk zijn er vele verschijningsvormen van cybercri-
me. Tijdens het handmatig doorlopen van de resultaten van de zoeksleutel hebben we vastge-
steld welke vorm van cybercrime de gevonden cybercrimes waren. De resultaten hiervan voor
Zuid-Holland-Zuid zijn opgenomen in tabel 3.9.
Tabel 3.9 Aard van de gevonden cybercrimes in Zuid-Holland-Zuid
Werkelijk gevonden cybercrime N
E-fraude 34
Hacken 3
Stalking 5
Spionage 0
Smaad 11
Illegale handel (gestolen goederen, illegale prostitutie) 10
Kinderporno 3
Piraterij 1
Illegale kansspelen 0
Afpersen 0
Haatzaaien 0
Grooming 1
Overige cybercrime (bedreiging, seks onder valse naam, schen-
ding privacy, schennis eerbaarheid)
5
Totaal gevonden cybercrime 70*
Skimmen (in dit onderzoek geen cybercrime) 5 * Het totaal is kleiner dan de som van losse cybercrimes omdat in één dossier sprake kan zijn van meerdere vor-
men van cybercrime.
24
Het totaal van 70 cybercrimes is verdeeld over zeven door ons beschreven cybercrimes en nog
een aantal overige cybercrimes. De aan cybercrime gerelateerde daad skimmen komt 5 keer
voor in de steekproef. Bijna de helft van de geregistreerde cybercrimes betreft e-fraude.
Uit interviews met intakers bleek al dat cybercrimes onder de meest uiteenlopende incident-
codes in het basisprocessensysteem geregistreerd worden. Cybercrime in ruime zin wordt
immers geregistreerd onder de hoofddaad. Van de 70 gevonden cybercrimes in de steekproef,
hebben we in tabel 3.10 een overzicht gegeven van de incidentcodes waaronder de cybercri-
mes geregistreerd zijn.
Tabel 3.10 Incidentcodes waaronder de gevonden cybercrimes zijn geregistreerd in Zuid-
Holland-Zuid
Incidentcode N %
oplichting 22 31,4
hulpverlening burger 8 11,4
aandachtsvestiging 6 8,6
overige fraude/bedrog 6 8,6
stalking 6 8,6
bedreiging 3 4,3
belediging 3 4,3
kinderpornografie 2 2,9
chantage-afdreiging 1 1,4
diefstal auto 1 1,4
diefstal fiets 1 1,4
diefstal uit woning 1 1,4
geen beschrijving bekend 1 1,4
heling 1 1,4
overige bezitsaantasting 1 1,4
overige conflicten 1 1,4
overige verkeerszaken 1 1,4
overige zedenzaken 1 1,4
relatieproblemen 1 1,4
verdachte situatie 1 1,4
verhoor tbv. ander korps-instantie (Nederland) 1 1,4
vervalsing 1 1,4
Totaal 70 100,0
Bijna één op de drie cybercrimes is geregistreerd onder incidentcode 281 ‘oplichting’, acht
onder incidentcode 711 ‘hulpverlening burger’, zes cybercrimes zijn geregistreerd onder inci-
dentcode 029 ‘aandachtsvestiging’, zes met incidentcode 289 ‘overige fraude/bedrog’ en
eveneens zes met incidentcode 347 ‘stalking’. Alle andere incidentcodes komen maximaal 3
25
keer voor in de steekproef. In totaal worden in de steekproef 22 verschillende incidentcodes
gebruikt voor 70 cybercrimes. Veertien van deze incidentcodes komen maar één keer voor.
3.4 Werkaanbod Hollands Midden en Zuid-Holland-Zuid in 2007
In paragraaf 3.2 en 3.3 is de omvang van het werkaanbod voor twee korpsen in Nederland be-
rekend. In deze paragraaf zetten we de resultaten van de twee korpsen naast elkaar. In tabel
3.11 staan de kengetallen van beide onderzochte korpsen naast elkaar.
Tabel 3.11 resultaten Hollands Midden en Zuid-Holland-Zuid vergeleken
Holland-
Midden
Zuid-
Holland-
Zuid
Percentage hits met steekproef 39 dagen 10,7 10,3
Percentage hits algemene zoeksleutel 3,2 8,4
Percentage werkelijke cc in de hits 9,9 6,4
Percentage cc gemist (steekproef 600) 0,0 0,0
Percentage werkelijk cc, gemeten 0,3 0,5
Extrapolatie naar jaar
95% betrouwbaarheidsinterval ondergrens, % 0,3 0,4
95% betrouwbaarheidsinterval ondergrens, N 547 530
90% betrouwbaarheidsinterval bovengrens, % 0,6 0,9
90% betrouwbaarheidsinterval bovengrens, N 1.414 1.150
Verdeling cybercrimes (%)
Percentage e-fraude 51,4 48,6
Hacken 6,9 4,3
Stalking 5,6 7,1
Spionage 0,0 0,0
Smaad 8,3 15,6
Illegale handel (gestolen goederen, illegale prostitutie) 11,1 14,3
Kinderporno 1,4 4,3
Piraterij 0,0 1,4
Illegale kansspelen 0,0 0,0
Afpersen 0,0 0,0
Haatzaaien 0,0 0,0
Grooming 5,6 1,4
Overige cybercrime (bedreiging, seks onder valse naam,
schending privacy, schennis eerbaarheid)
13,9 7,1
Skimmen (in dit onderzoek geen cybercrime) 21 5
In Hollands Midden is het aandeel mutaties dat aan de algemene zoeksleutel voldoet (3,21
procent) veel kleiner dan in Zuid-Holland-Zuid (8,35 procent). De precisie van de zoeksleutel
is in Hollands Midden hoger (9,9 procent) dan in Zuid-Holland-Zuid (6,4 procent). Dat maakt
duidelijk dat we niet eenvoudig een uitspraak kunnen doen over de situatie landelijk gezien.
Het aandeel van het totale geregistreerde werkaanbod dat cybercrime betreft, ligt in beide
korpsen onder de 1 procent (tussen 0,3 en 0,9%).
26
De verdeling van de cybercrimes is vergelijkbaar. De helft is e-fraude, de andere helft is ver-
deeld over veel verschillende cybercrimes. In Zuid-Holland-Zuid zijn meer gevallen van
‘smaad’ gevonden in de steekproef, in Hollands Midden meer ‘overige cybercrimes’. Om
meer te kunnen weten over dit verschil, zal een grotere steekproef genomen moeten worden
en moeten de dossiers verder inhoudelijk worden bestudeerd.
Een overzicht van incidentcodes die vaker dan één keer gebruikt worden bij het registreren
van cybercrime is te vinden in figuur 3.1.
Figuur 3.1 Gebruikte incidentcodes voor cybercrime, Hollands Midden en Zuid-Holland-Zuid
vergeleken
Gebruikte incidentcodes
0
5
10
15
20
25
30
a b c d e f g h i j k l m n
Aa
nta
l
Hollands-Midden
Zuid-Holland-Zuid
a oplichting e hulpverlening burger i belediging m relatieproblemen
b overige fraude/bedrog f computercriminaliteit j overige conflicten n kinderpornografie
c aandachtsvestiging g stalking k ov. verkeerszaken
d bedreiging h verdachte situatie l (openb)schennis
Cybercrimes worden onder een veelheid aan incidentcodes weggeschreven. In beide regio’s
wordt ongeveer een derde van de cybercrimes gemuteerd onder incidentcode ‘oplichting’. Dat
strookt met onze bevinding dat fraudezaken verreweg de grootste categorie zijn in het geregi-
streerde werkaanbod cybercrime. Er bestaan verschillen tussen de regio’s wat betreft de ge-
bruikte incidentcodes. In Hollands Midden wordt 6 keer ‘computercriminaliteit’ als incident-
code gebruikt, in Zuid-Holland-Zuid niet één keer. In Zuid-Holland-Zuid wordt acht keer
‘hulpverlening burger’ en zes keer ‘stalking’ gebruikt: deze incidentcodes zijn in Hollands
Midden niet gebruikt.
3.5 Slachtofferschap
Uit een onderzoek onder 1.246 internettende Friezen, dat de NHL uitvoerde in november
2008, volgt dat het slachtofferschap van cybercrime aanzienlijk boven de 1 procent ligt. Uit
hetzelfde onderzoek volgt dat de aangiftebereidheid laag is.
Het onderzoek is uitgevoerd door vraaghetdevries.nl, een onderzoekspanel voor Friesland.
Eerstejaarsstudenten van dertien opleidingen van de Noordelijke Hogeschool Leeuwarden
hebben in september 2008 per persoon vier Friezen van 18 jaar of ouder in hun directe omge-
ving geworven. Studenten van de NHL zijn zelf uitgesloten van deelname. Het panel dat daar-
27
mee is ontstaan, bestond aan het begin van de meting van november 2008 uit 1.623 Friezen.
Deze 1.623 Friezen zijn op basis van geslacht, leeftijd, opleidingsniveau en de regio waarin
zij wonen representatief voor Friesland. Aan de meting van november 2008 hebben 1.411
Friezen uit het panel deelgenomen (86,9 procent). Deze 1.411 Friezen wijken qua samenstel-
ling van geslacht, leeftijd, opleidingsniveau en de regio niet af van het totale panel van 1.623
Friezen. Van de 1.411 respondenten gebruiken 1.246 respondenten (88,3 procent) het internet
voor privé-doeleinden. Zij zijn door de studenten in tien dagen tijd mondeling en telefonisch
ondervraagd over hun internetgebruik. We moeten voorzichtig met de resultaten omgaan,
aangezien de groep wel representatief is voor Friesland, maar, ze nemen we aan, niet voor
heel Nederland. Hierna geven we kort de resultaten van dat onderzoek weer.
Hacken
De eerste vraag luidde: ‘Bent u wel eens slachtoffer geweest van hacken?’ De hierbij gehan-
teerde definitie was:
'Wanneer iemand zich op ongeautoriseerde wijze van buitenaf toegang verschaft tot ICT'
Denk aan: iemand misbruikt je wachtwoorden, iemand breekt in in je e-mail of op je profiel,
iemand kan d.m.v. schadelijke software 'meekijken' op je computer, etc.
Van de respondenten was 2,7 procent in 2007 of 2008 slachtoffer van hacken (tabel 3.12).
Van deze 34 slachtoffers heeft 1 persoon aangifte gedaan (2,9 procent van de slachtoffers).
Tabel 3.12 slachtofferschap hacken
N %
Ja, in 2007 of 2008 34 2,7
Ja, vóór 2007 31 2,5
Nee, niet dat ik weet 1.181 94,8
E-fraude
Vervolgens vroegen we: ‘Bent u wel eens slachtoffer geweest van e-fraude?’ De hierbij ge-
hanteerde definitie was:
'E-fraude is bedrog met als oogmerk het behalen van financieel gewin waarbij ICT essentieel
is voor de uitvoering.' Een belangrijk aspect van alle vormen van fraude, en dus ook e-fraude,
is dat fraudeurs veelal gebruik maken van een andere identiteit. Denk hierbij bijvoorbeeld aan
het bestellen en betalen van goederen via internet bij een nep-bedrijf of nep-persoon waarna
de goederen niet worden geleverd.
Van de respondenten was 1,1 procent in 2007 of 2008 slachtoffer van e-fraude (tabel 3.13).
Van deze 14 slachtoffers, heeft één persoon aangifte gedaan (7,1 procent). Vervolgens is ge-
vraagd of iemand wel eens geprobeerd heeft de respondent op te lichten (‘poging tot’) via in-
ternet. Van de respondenten zeggen 91 personen (7,3 procent) dat dat is gebeurd in 2007 of
2008, 35 respondenten (2,8 procent) zeggen dat iemand dat vóór 2007 (ook) heeft geprobeerd.
28
Zaken die respondenten noemen als poging tot e-fraude in 2007 of 2008 zijn heel uiteenlo-
pend en terug te brengen tot de volgende zes categorieën:
- pogingen tot phising;
- loterij-fraude (u heeft iets gewonnen, maar u moet eerst iets betalen);
- irrealistische biedingen op veilingsites;
- spam;
- proberen via marktplaats geen eerlijke handel te plegen;
- valse facturen.
Een volledig overzicht van de genoemde antwoorden is opgenomen in bijlage 6.
Tabel 3.13 slachtofferschap e-fraude
N %
Ja, in 2007 of 2008 14 1,1
Ja, vóór 2007 14 1,1
Nee, niet dat ik weet 1.181 97,8
Kinderporno
Als laatste is gevraagd: ‘Heeft u wel eens ongewenst kinderporno ontvangen via de pc?’ De
hierbij gehanteerde definitie luidde:
'Een afbeelding van een seksuele gedraging, waarbij iemand die kennelijk de leeftijd van acht-
tien jaar nog niet heeft bereikt, is betrokken of schijnbaar betrokken.'
Van alle respondenten antwoorden 8 respondenten (0,6%) dat dit in 2007 of 2008 is gebeurd
en nog eens 8 respondenten dat dit vóór 2007 is gebeurd. Geen van hen heeft hiervan aangifte
gedaan bij de politie.
Andere vormen van cybercrime zijn in dit onderzoek niet gemeten. Smaad, bedreiging,
schennis van de eerbaarheid en stalking komen regelmatig voor en vormen volgens intakers
een steeds groter probleem. Ook onder jeugd onder de 18 jaar is dit een aandachtspunt.
Uit het onderzoek in Friesland kunnen we voorzichtig concluderen dat het slachtofferschap
van cybercrime hoger ligt dan het aantal crimes dat in de registratiesystemen van de politie te-
recht komt. Alleen al van hacken (2,7%), fraude (1,1%) en kinderporno (0,6%) was 4,4 pro-
cent van de respondenten in de afgelopen twee jaar het slachtoffer.6 De aangiftebereidheid is
laag, zo luidt een tweede conclusie. Van de 56 slachtoffers van de genoemde drie delicten sa-
men, deden er twee aangifte, hetgeen overeenkomt met 3,6 procent. De aangiftebereidheid in
de Veiligheidsmonitor Rijk ligt gemiddeld over alle in die monitor genoemde delicten op on-
geveer 25 procent (VMR, 2006). De derde conclusie die we kunnen trekken is dat het aantal
pogingen tot e-fraude veel hoger ligt dan het slachtofferschap van dat delict.
6 We sommeren de percentages, voorbij gaande aan de mogelijkheid van gecombineerd slachtofferschap. Ook
verdient nadruk dat we in de dossierstudie keken naar percentage cybercrimes in een jaar, terwijl de vragenlijst
was gericht op slachtofferschap in de afgelopen twee jaar.
29
HOOFDSTUK 4
Conclusies en aanbevelingen
4.1 Conclusies inzake de omvang van het geregistreerde werkaanbod
Het geregistreerde werkaanbod in 2007 in Hollands Midden ligt, met een zekerheid van 90
procent, tussen 0,25 en 0,64 procent van alle aangiften en meldingen. In Zuid-Holland-Zuid
was dat voor hetzelfde jaar tussen de 0,42 en 0,91 procent. Globaal gesproken kunnen we op
basis van dit onderzoek met een zekerheid van 90 procent zeggen dat het percentage cyber-
crime in de politieregistraties van Hollands Midden en Zuid-Holland-Zuid (meldingen en
aangiften) ligt tussen de 0,3 en 0,9 procent.
Ongeveer de helft van alle geregistreerde cybercrimes is e-fraude, zowel in regio Hollands
Midden als in regio Zuid-Holland-Zuid. Verder komt voor: illegale handel, smaad, stalking,
schennis van de eerbaarheid, bedreiging voor andere doeleinden dan geld en schending van de
privacy.
De cybercrimes cyberafpersen en haatzaaien komen niet voor in de steekproef, wat uiteraard
niet wil zeggen dat deze cybercrimes in werkelijkheid niet voorkomen in de onderzochte
korpsen.
Voor de registratie van cybercrime wordt in beide korpsen in ongeveer eenderde van de ge-
vallen de incidentcode 281 ‘oplichting’ gebruikt. De rest van de cybercrimes wordt onder een
veelheid van incidentcodes gemuteerd.
We kunnen op basis van dit onderzoek uitspraken doen over de hoeveelheid geregistreerde
cybercrime in 2007 en over verschillen in registratiegedrag in verschillende jaren, maar niet
over trends in cybercrime in de periode 2004-2008. Ook kunnen we op basis van de resultaten
uit de twee onderzochte korpsen geen uitspraken doen over het geregistreerde werkaanbod in
andere korpsen.
Uit een onderzoek onder 1.246 internettende Friezen, uitgevoerd eind 2008, volgt dat het
slachtofferschap van cybercrime in werkelijkheid beduidend hoger ligt dan de politieregistra-
ties doen vermoeden. De aangiftebereidheid is met nog geen 4 procent aanzienlijk lager dan
het gemiddelde van ongeveer 25 procent uit de VMR (gemiddeld over alle in de VMR voor-
komende delicten). De bevindingen uit dit onderzoek laten dan ook geen conclusies toe aan-
gaande de omvang van cybercrime in Nederland, daarvoor is slachtofferonderzoek nodig.
4.2 Conclusies inzake de methode
Het lijkt een illusie om op een sluitende wijze automatisch alle cybercrimes (en dan ook al-
leen die) uit de politieregistratie te selecteren. De door ons gehanteerde strategie (eerst een au-
tomatische selectie op hoofdlijnen en dan daarbinnen handmatig de laatste controle) is welis-
waar arbeidsintensief maar levert redelijk secure resultaten. Vermoedelijk kan de methode
nog wel worden aangescherpt, maar hoe minder groot de kans op vals positieven (minder ver-
vuiling in de selectie), hoe groter de kans op vals negatieven (cybercrimes die niet als zodanig
zijn gedetecteerd).7 In dit onderzoek vonden we geen vals negatieven. De selectie bevatte
overwegend vals positieven. Het percentage vals positieven dat de algemene zoeksleutel op-
levert, is geen vaste eigenschap van de zoeksleutel maar hangt in belangrijke mate ook af van
7 Zie in dit verband ook het onderzoek naar de accuratesse van internetfilters, waaruit blijkt dat een lage over-
blocking (weinig vals positief) samengaat met een hoge underblocking (veel vals negatief) (Stol e.,a. 2008).
30
de wijze waarop in een bepaald jaar in een bepaald korps wordt geregistreerd – het percentage
vals positieven dat in een bepaald jaar in een bepaald korps is vastgesteld kan dan ook niet
van toepassing worden verklaard op andere jaren en/of andere korpsen.
4.3 Aanbevelingen
Cybercrime maakt in de door ons onderzochte korpsen in 2007 tussen de 0,3 en 0,9 procent
uit van het geregistreerde werkaanbod (aangiften/meldingen). We weten niet of dit in andere
korpsen meer of minder is. In elk geval geven de bevindingen in de genoemde twee korpsen
geen aanleiding tot het verzorgen van een korpsbrede opleiding inzake het opnemen van cy-
bercrime. Ontwikkel dus vooralsnog een gerichte, efficiënte strategie om dit werkaanbod op
te vangen: geen zware opleidingen aan alle intakers bijvoorbeeld, maar wel het aanbieden van
gerichte ondersteuning voor het geval zich een aangifte voordoet (weten waar of bij wie de
benodigde kennis is te halen op het moment dat die nodig is). Wellicht met uitzondering van
e-fraude, wat relatief veel voorkomt. Het lijkt goed dat intakers de kennis voor het opnemen
van een aangifte e-fraude paraat hebben: (1) de kans dat ze daarmee worden geconfronteerd is
reëel en (2) langs die weg maken intakers dan toch kennis met de basisprincipes van het op-
nemen van een aangifte cybercrime – en dat is iets wat ze in de toekomst naar verwachting
steeds vaker te doen zullen krijgen.
Als de politie wil weten wat de omvang is van het geregistreerde werkaanbod inzake cyber-
crime, of wat ontwikkelingen daarin zijn, is de aangewezen weg daartoe niet om te proberen
landelijk alle politiemensen bij elk dossier te laten registreren of dat al dan niet cybercrime
betreft. Cybercrime is te zeer in ontwikkeling en de registratiediscipline bij de politie te zwak,
om langs die weg tot een valide statistiek te komen. Beter is het (efficiënter en meer valide)
om de omvang van cybercrime in de politieregistratie met de hand vast te stellen, met ge-
bruikmaking van steekproeven en slimme voorselectie met zoeksleutels.
Te voorzien is dat de omvang van cybercrime zal toenemen (SCP, 2004), dus ook het
werkaanbod cybercrime bij de politie. Als de politie wil weten wat de omvang van het maat-
schappelijke probleem cybercrime is en tijdig wil kunnen inspelen op een toenemend
werkaanbod, is slachtofferonderzoek aangewezen.
31
Literatuur Akdeniz, Y. (1996). Computer Pornography: a Comparative Study of the US and the UK Ob-
scenity Laws and Child Pornography Laws in Relation to the Internet. International Re-
view of Law Computers & Technology, 10, 2, pp. 235-261.
Boerstra, E. (1997) Rechercheren in cyberspace. Algemeen Politieblad, 146, 21, 8-9.
Duncan, M. (1997). Making Inroads Against Crime on the Internet. RCMP Gazette, 59, 10,
pp. 4-11.
Durkin, K.F. (1997). Misuse of the Internet by Pedophiles: Implications for Law Enforcement
and Probation Practice. Federal Probation: a journal of correctional philosophy and
practice, 61, 3, pp. 14-18.
Grabowsky NP/ Russell G. Smith /Crime in the digital age, 1998, p.131.
Hulst, van der R.C. en Neve (2008) High-tech crime: Inventarisatie van literatuur over soor-
ten criminaliteit en hun daders. Den Haag: WODC
In ’t Velt, C.J.E. (1999) Politie en omgevingsanalyse: de rol van computerbestanden bij het
oplossen van diefstallen. Den Haag: Elsevier.
In ’t Velt, C.J.E. (2001) Zicht op geweld in ’s-Hertogenbosch: een onderzoek naar aard, om-
vang en aanpak van geweld in ’s-Hertogenbosch. Den Haag: Elsevier.
Kerstens, J., M.H. Toutenhoofd en W.Ph. Stol (2008) Wie niet weg is, is gezien. Gevalstudie
over een proef met cameratoezicht in de Leeuwarder binnenstad. Den Haag: BJU.
Leukfeldt, E.R., M.M.L. Domenie, W. Ph. Stol, (te verwachten) Criminaliteitsbeeldanalyse
Cybercrime.Verkennend onderzoek naar cybercrime in Nederland.
Lünnemann, K., S. Nieborg, M. Goderie, R. Kool en G. Beijers (2006) Kinderen beschermd
tegen seksueel misbruik. Evaluatie van de partiële wijziging in de zedelijkheidswetge-
ving. Den Haag/Utrecht: WODC/.Verwey Jonker Instituut.
PAC (2008) Definities van Cybercrime. Een onderzoek naar- en toetsing van diverse be-
staande definities van Cybercrime, om te komen tot één werkbare, herkenbare en gedra-
gen definitie voor intern en extern gebruik door het PAC. De Bilt: interne notitie.
PAC (Programma Aanpak Cybercrime) (2007) Hoofdlijnennotitie Programma Aanpak Cy-
bercrime. De Bilt: PAC.
SCP (Sociaal Cultureel Planbureau) (2004) In het zicht van de toekomst. Meppel: Giethoorn
Ten Brink.
Stol, W.Ph. (1996) Politie-optreden en informatietechnologie. Lelystad: Koninklijke Ver-
mande.
Stol, W.Ph., H.W.K Kaspersen, J. Kerstens, E.R. Leukfeldt en A.R. Lodder (2008) Filteren
van kinderporno op internet. Een verkenning van technieken en reguleringen in binnen-
en buitenland. Den Haag: BJU.
Toutenhoofd, M.H., S. Veenstra, W. Ph. Stol (te verwachten) Politie en cybercrime, intake en
eerste opvolging
Van Eecke, P. (1997). Criminaliteit in cyberspace: misdrijven, hun opsporing en vervolging
op de informatiesnelweg. Gent: Mys en Breesch.
VMR (Veiligheidsmonitor Rijk) (2006) Landelijke rapportage. Den Haag: CBS.
32
Lijst van afkortingen
BRAINS Basaal Recherche Analyse en INformatieSysteem
BVH Basisvoorziening Handhaving
BVO Basisvoorziening Opsporing
CBAC Criminaliteitsbeeldanalyse Cybercrime
BPS Basisprocessensysteem
CC (cc) Cybercrime
HKS Herkenningdienst systeem
KLPD Korps landelijke politiediensten
Luris Landelijk Uniform Registratiesysteem Internationale Rechtshulp
N (n) Aantal
NDS Nationaal Documenten Systeem
NHL Noordelijke Hogeschool Leeuwarden
NICC Nationale infrastructuur ter bestrijding van CyberCrime
PAC Programma Aanpak Cybercrime
SCP Sociaal en Cultureel Planbureau
THTC Team High Tech Crime
RBS Recherche basissysteem
VMR Veiligheidsmonitor Rijk
33
Bijlage 1: lijst van geïnterviewde personen
Hollands Midden
Ron van der Nagel, veiligheidsanalist
Jan Rogier, chef analyse
Mariska Laadstra, analist met taakaccent fraude
Ronald Hanoewant, infodeskmedewerker
Anette Glock, infodeskmedewerker
Natasha van Meerveld, intaker
Agnes van Ommen, intaker
Zuid-Holland-Zuid
Dirk Aangeenbrug, vakspecialist analyse
Utrecht
Louis Tan, infodeskmedewerker
Martin Aartsen, infodeskmedewerker
Susan Dubbels, analist
Christiaan Dekker, intaker
Jolanda Stam, intaker
34
Bijlage 2: gebruikte zoekslagen
A. Alle mutaties uit 2007:
pleegmdt20071231 (laatste dossiernummer)
B. Alle mutaties A01 en A03 uit 2007:
Formuliera01 OR formuliera03
C. Alle mutaties in de steekproef van 39 dagen:
pleegmdt2007021* OR pleegmdt2007052* OR pleegmdt2007080* OR pleegmdt2007111*
D. Alle mutaties A01 en A03 in de steekproef van 39 dagen :
(formuliera01 OR formuliera03) AND (pleegmdt2007021* OR pleegmdt2007052* OR
pleegmdt2007080* OR pleegmdt2007111*)
E. Alle mutaties A01 en A03 die voldoen aan de zoeksleutel algemene cybercrime:
(formuliera01 OR formuliera03) AND (pleegmdt2007021* OR pleegmdt2007052* OR
pleegmdt2007080* OR pleegmdt2007111*)
Met als filter: <?xml version="1.0" encoding="UTF-8" ?> - <QueryFilter>
- <QueryFilter name="20080106XMLbestandDIGITALECOMPONENT" concept="nn" description="" type="1"> <QueryFilter concept="" description="" type="1" filter="(?i)(internetaangifte)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(internet aangifte)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(aangifte via internet)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(aangifte gedaan via internet)" userde-
fined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd100)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd101)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd102)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd103)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd110)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd111)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd112)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd113)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd120)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd121)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd122)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd123)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd130)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd131)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd132)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd133)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd134)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd135)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd140)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd141)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd150)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd151)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd152)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd154)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd170)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd171)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd172)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd173)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd180)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd181)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd190)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd191)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd350)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd351)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd352)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd360)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd362)" userdefined="false" />
35
<QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd370)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd371)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd372)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd373)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd374)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd375)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd376)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd377)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd378)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd379)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd380)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd381)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd410)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd411)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd412)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd414)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd415)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd430)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd431)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd433)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd434)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd435)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd440)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd441)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd442)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd443)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd444)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd445)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd446)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd446)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd446)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd447)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd448)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd449)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd450)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd451)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd460)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd461)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd462)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd463)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd470)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd471)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd472)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd473)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd474)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd475)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd476)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd480)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd481)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd482)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd483)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd484)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd485)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd486)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd490)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd491)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd492)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd512)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd513)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd514)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd515)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd516)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd520)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd524)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd530)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd531)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd532)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd540)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd541)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd558)" userdefined="false" /> <QueryFilter concept="" description="" type="1" filter="(?i)(incidentcd559)" userdefined="false" /> - <QueryFilter concept="nn" description="" type="0">
<QueryFilter concept="" description="" type="0" filter="(?i)(Babbelbox)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(chat)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(cyberspace)" userdefined="false" />
36
<QueryFilter concept="" description="" type="0" filter="(?i)(direct connect)" userdefined="false" />
<QueryFilter concept="" description="" type="0" filter="(?i)(ebay)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(edonkey)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(fasttrack)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(file sharing)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(forum)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(freenet)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(geautomatiseerd werk)" userde-
fined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(gnutella)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)( ict )" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(internet)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(intranet)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(ip adres)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(ipadres)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(ip-adres)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(kazaa)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(marktplaats)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(napster)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(nieuwsgroep)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(on line)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(online)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(p2p)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(peer 2 peer)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(peer to peer)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(peer2peer)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(site )" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(speurders)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(usenet)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)( web)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(download)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(via computer)" userdefined="false" /> <QueryFilter concept="" description="" type="0" filter="(?i)(via laptop)" userdefined="false" />
</QueryFilter> </QueryFilter>
</QueryFilter>
37
Bijlage 3: betrouwbaarheidsintervallen_1
Hollands Midden Zuid-Holland-Zuid
N 222287 N 126961
n 22771 n 13037
f 0,102439639 f 0,102685
1-f 0,897560361 1-f 0,897315
cc 73 0,320583 cc 70 0,536933
p 0,003205832 p 0,005369
q 0,996794168 q 0,994631
pq 0,003195555 pq 0,005341
z 1,96 z 1,96
pq/n 1,40334E-07 pq/n 4,1E-07
(1-f) (pq/n) 1,25959E-07 (1-f) (pq/n) 3,68E-07
wortel 0,000354906 wortel 0,000606
z*wortel 0,000695617 z*wortel 0,001188
b 0,069561666 0,07 b 0,118831 0,119
onder 557,0138732 0,250583 530,6124 0,417933
boven 0,390583 0,655933
boven plus 1423,933173 0,640583 1150,182 0,905933
38
Bijlage 4: betrouwbaarheidsintervallen_2
De gebruikte formule is: P(x=0|n=1200;p=?)>=0,05
x = aantal fouten
Je berekent wat de grens is van het aandeel cybercrime in alle zaken die je uitsluit met de al-
gemene zoeksleutel, waarbij de kans dat je geen enkele cybercrime vindt in een steekproef
van 1.200 zaken kleiner is dan 5 procent.
Stel, het aandeel cybercrime zou zijn 0,10 procent à de kans dat je 0 cybercrimes vindt in een
steekproef van 1.200 is ongeveer 30 procent;
Stel, het aandeel cybercrime zou zijn 0,20 procent à de kans dat je 0 cybercrimes vindt in een
steekproef van 1.200 is ongeveer 10 procent;
Stel, het aandeel cybercrime zou zijn 0,25 procent à de kans dat je dan 0 cybercrimes vindt in
een steekproef van 1.200 is 4,96 procent.
Oftewel: P(x=0|n=1200;p=,0025) = 0,0496
Wanneer het aandeel werkelijke cybercrime in de zaken die we uitsluiten met de zoeksleutel
0,25 procent is, is de kans kleiner dan 5 procent dat we 0 cybercrimes vinden in een steek-
proef van 1.200.
39
Bijlage 5: gebruikte incidentcodes voor cybercrime per regio
Hollands Midden Zuid-Holland-Zuid
oplichting 25 22
overige fraude/bedrog 6 6
aandachtsvestiging 3 6
bedreiging 5 3
hulpverlening burger 0 8
computercriminaliteit 6 0
stalking 0 6
verdachte situatie 3 0
belediging 3 3
overige conflicten 3 0
overige verkeerszaken 2 0
(openb)schennis 2 0
relatieproblemen 2 0
kinderpornografie 1 2
Totaal % van alle cybercrimes 84% 80%
40
Bijlage 6: pogingen tot oplichting via internet in 2007, 2008
(bron: vraaghetdevries.nl)
Heeft iemand wel eens via internet geprobeerd om u op te lichten (bijvoorbeeld uw gegevens proberen
te stelen, iets te koop aangeboden onder een valse naam, een email gestuurd waarin iemand u probeer-
de te overtuigen geld over te maken, etc.), waarvan u op tijd ontdekte dat het hier oplichting betrof?
Ja, in 2007 of 2008 91 7,30%
Ja, vóór 2007 35 2,81%
Nee, niet dat ik weet 1120 89,89%
Hoe probeerde iemand u op te lichten (n=91)?
Backprotector aan te smeren
Bankgegevens gevraagd met codes
Bedele-mail met vaag verhaal
Benaderden zijn bedrijf en zeiden dat er nog rekeningen open stonden bij een ander bedrijf. Het zag er
allemaal erg professioneel uit en was dus ook nog wel aannemelijk dat het zo zou zijn.
Bestelling geplaatst, betaald, maar nooit toegestuurd gekregen.
Bij de verkoop van een product op Marktplaats. Er werd veel meer geboden dan de vraagprijs.
Creditcard fraude
d.m.v reclame, e-mails
Dagelijks probeert men mij op te lichten via spam e-mails, trojans in bestanden en een legio aan ande-
re manieren.
Dat ik een reis had gewonnen, hij wilde mijn creditcard-gegevens weten.
De Ethiopië brief
Deelnemen aan lotto; dan geld overmaken etc
Door een namaak product te leveren en aan te geven dat het product echt is
Door geld van de bankrekening af te halen, zonder dat ik wat heb besteld bij deze firma
Door heel veel mails (spam) te sturen waarin ze diverse soorten pillen probeerden te verkopen
Door in de mail te suggereren dat ik mijn gegevens van de bank moest updaten of dat ik bepaalde pro-
ducten online moest bestellen.
Door middel van een scam-praktijk, dus het vragen om geld over te maken naar een buitenlandse
bankrekening.
Door te reageren op marktplaats advertentie en te vragen het artikel eerst op te sturen voor een kind in
amerika.
Door te vragen of ik voor google adwords mijn credit card gegevens in wil vullen
Dvd's aanbieden - ik had reeds betaald - dvd's werden maar niet opgestuurd via de post - uiteindelijk
na heel veel heen en weer mailen en contact met www.internetoplichting.nl toch de dvd’s gekregen.
Een door mij te koop gesteld product eerst te leveren, waarna de persoon het bedrag zou overmaken.
E-mail gekregen met verzoek geld over te maken
E-mail, met de vraag geld over te maken
Fictieve Factuur
Geld overmaken via western union
Geld overmaken waarna je miljoenen terug zou krijgen
Geld storten voor meerdere doeleinden
Geld vragen voor een goed doel, dat geef ik niet via internet
Het was niet mogelijk om het pakketje terug te sturen.
Hij probeerde mij een heel goedkope boot te verkopen die in Italië stond en dan moest ik van te voren
even geld overstorten.
Hij probeerde rekeninggegevens van me te krijgen door iets van me te kopen.
41
Iemand probeerde dmv iets wat op de site van postbank leek, tan codes af te troggelen toen ik wilde
inloggen op mijn internet-bankieren site
Ingaan op advertentie
Je krijgt een e-mail met de text dat je wordt gefeliciteerd met een bedrag van bijvoorbeeld 1miljoen
dollar. Ze willen je banknummer hebben om het over te maken.
Mail sturen met verkoopacties e.d. Het zo aantrekkelijk mogelijk maken en z.s.m. betalen.
Marktplaats
Nep e-mail
Nepfactuur, neporder, vragen om 'aanvullende gegevens'
Nigeriaanse oplichters per e-mail
Onder een Nederlandse naam goederen te koop gezet, bleek iemand te zijn die zei uit Engeland te ko-
men. Hij had een nep-site/bedrijf, die als tussenschakel over het geld zou beschikken. Man was beken-
de bij opgelicht!
Onder tijdsdruk handelingen opdringen om een grote geld prijs te ontvangen.
Ongewenste mail ( viagra mail e.d)
Oude camera
Per E- mail
Per e-mail, door iets proberen te verkopen
Phising
Prijs gewonnen naar Amerika. Het was dus gratis. Maar we moesten wel even een paar duizend euro
overmaken voor onkosten.
Product gekocht wat vervolgens niet geleverd werd
Product te kopen dat niet bestond
Ringtones te koop aangeboden, vervolgens betalen voor ontvangen berichten, en geen ringtones ont-
vangen
Spam mails
Telefoon verkopen, opsturen naar Nigeria
Valse advertenties
Valse factuur
Valse factuur sturen. Geld overmaken op een rekening om kans te maken op.
Valse mailtjes
Via advertentie een motorfiets aangeboden, moest geld storten op een rek. van een achteraf niet be-
staand bedrijf.
Via bedelmails
Via de e-mail
Via de e-mail mijn gegevens geprobeerd te ontfutselen.
Via de mail probeerde iemand mij iets aan te bieden.
Via E-bay werd een artikel aangeboden, maar nooit opgestuurd gekregen
Via e-mail met valse beloften
Via e-mails met aanbiedingen
Via een te hoge prijs voor een spelcomputer te willen betalen en naar monygram wilde overmaken.
Via e-mail
Via E-mail gegevens of geld vragen.
Via mails gevraagd persoonlijke gegevens in te voeren
Via marktplaats
via marktplaats door het e-mailadres te gebruiken
Via marktplaats had ik een ticket van een concert van de red hot chili peppers overgekocht van een
meneer. Geld overgemaakt maar kaart nooit gekregen, weg 70 euro.
Via marktplaats mobiele telefoon aanbieden, pakketje onder rembours verstuurd. In het pakketje zat
geen telefoon!
Via marktplaats, product niet leveren na betaling
Via marktplaats, van te voren een aanbetaling over maken.
Via marktplaats. Ze verkocht spul onder een valse naam en adres
Via msn, door bestanden te sturen waar ik zogenaamd op zou staan.
Via sites, waar verteld wordt dat je de zoveelste bezoeker bent en een grote prijs hebt gewonnen.
42
Via spam met valse informatie
Via spam. Direct geïdentificeerd, dus verwijderd
Via spammail
Voor te doen als iemand anders en dan proberen een abonnement aan te smeren bijv.
Vragen om geld over te maken voor een product want ons uiteindelijk nooit zou worden toegekend.
Wel geprobeerd, nooit gelukt.
Wil hier geen antwoord op geven.
Wilde iets verkopen dat hij niet bezat.
Wilde wachtwoord hacken van pokerstars.
Zij probeerden mij op te lichten, door te beweren dat ik een artikel had besteld op internet.
Zogenaamde controle op bestandsgegevens. Wanneer ik dat niet zou geven dan werd ik van internet
afgesloten.
