Meer duidelijkheid over EncroChat-operatie

In de afgelopen maanden is er weer veel jurisprudentie verschenen waarin de berichten van die zijn veilig gesteld van het bedrijf EncroChat een belangrijke rol spelen. Steeds vraagt de verdediging om meer informatie over de verzameling van de gegevens bij een Frans bedrijf in Frankrijk, terwijl rechters steevast verwijzen naar het internationaal vertrouwensbeginsel en het bewijs niet onder Nederlands recht op rechtmatigheid wordt getoetst (zie bijvoorbeeld Rb. Rotterdam 24 juni 2021, ECLI:NL:RBROT:2021:6050). Op 25 juni 2021 is in een Rotterdamse uitspraak (ECLI:NL:RBROT:2021:6113) eindelijk meer details naar boven gekomen over de operatie, waarbij de EncroChat berichten verzameld zijn. Hieronder volgt eerst een korte beschrijving van wat EncroChat precies is en daarna volgen de beschikbare details van de operatie.

Hoe werken EncroChat-telefoons?  

EncroChat was een communicatieaanbieder van telefoons, waarmee middels de Encrochat applicatie versleutelde chats, bestaande uit tekstberichten en afbeeldingen, konden worden verzonden en ontvangen en waarmee onderling gebeld kon worden. Ook was het mogelijk om notities te bewaren op de telefoontoestellen. De gebruiker had niet de mogelijkheid om zelf applicaties te installeren op het toestel en was dus beperkt in het gebruik van de communicatieapplicaties die er door de leveranciers op gezet werden. Een Encrochattelefoon kon door de gebruiker volledig worden gewist. Dit werd ook wel ‘panic-wipe’ genoemd. Gebruikers kochten een telefoontoestel waarop de Encrochat applicaties vooraf geïnstalleerd waren in combinatie met een abonnement om de service te kunnen gebruiken. Gebruikers konden elkaars username opslaan in hun contactlijst onder een zelfgekozen omschrijving (‘nickname’). Communicatie kon tot stand komen nadat een gebruiker zijn ‘username’ stuurde naar een andere gebruiker, met het verzoek om toegevoegd te worden aan diens contactenlijst. Een chat kon bestaan uit tekstberichten en foto’s. Ieder bericht verliep na een vooraf ingestelde tijd, ook wel ‘burn-time’ of beveiligde verwijdertijd genoemd. Deze tijd was door de gebruiker aan te passen, standaard stond hij ingesteld op zeven dagen. Tevens kon er vanuit de chat een ‘VoIP’ spraakgesprek gevoerd worden. De kosten voor een Encrochat -telefoon bedroegen ongeveer €1.500,- voor een abonnement van zes maanden.

EncroChat-operatie

Over de operatie zelf overweegt in r.o. 3.2.3 de rechtbank het volgende. De Franse Gendarmerie zou op 1 april 2020 vanuit Pontoise, Frankrijk, rond 17:15 uur een door een Franse technische politiedienst ontwikkeld opnamemiddel hebben geïnstalleerd. Het doel van dit middel was het vastleggen van de inkomende en uitgaande communicatie middels de Encrochat-telefoontoestellen (ongeveer 55.000 toestellen waren in omloop). De rechtbank schrijft het volgende: uit een ‘Warrant Application’ die ziet op ‘Targeted Equipment Interference’ van de National Crime Agency, valt op te maken dat de NCA met de Franse Gendarmerie heeft samengewerkt gebruikt te maken van kwetsbaarheden in de servers om zo gegevens te verzamelen. De Franse Gendarmerie heeft in januari 2020 aan de NCA te kennen gegeven dat zij Encrochat konden hacken. In een “Schedule of Conduct” staat vermeld dat in de eerste fase (stage 1) een hacktool zal worden ingezet op alle Encrochat-toestellen wereldwijd. Dit middel zal op de toestellen worden gezet via een update vanaf de server in Frankrijk. Dit middel zal de op de toestellen vastgelegde data verzamelen en zal deze verzenden naar de Franse autoriteiten. Het gaat dan om alle data, waaronder IMEI-gegevens, gebruikersnamen, wachtwoorden, opgeslagen chatberichten, afbeeldingen, locatiegegevens (‘geodata’) en notities. Gedurende de tweede fase (stage 2) zal communicatie, zoals chatberichten, opgeslagen op de Encrochat-toestellen, worden verzameld. Deze berichten worden verzameld, zodra deze in het toestel worden opgeslagen. De geplande duur van de interceptie is naar verwachting twee maanden.

De rechtbank overweegt verder dat de vanuit Engeland verkregen informatie aansluit bij de informatie die de Nederlandse politie hieromtrent heeft gegeven. Volgens de politie heeft het Franse onderzoeksteam op uitgaande en inkomende communicatie verzameld van Encrochat-telefoontoestellen. Het Franse politieteam sloeg deze data op gedurende deze periode op computersystemen in Frankrijk. Het Franse onderzoeksteam heeft de Nederlandse politie toegang gegeven tot de Encrochat-telefoondata over een beveiligde verbinding met die computersystemen in Frankrijk. De Encrochat-telefoondata zijn gedurende deze periode gekopieerd naar het onderzoeksnetwerk van de Nederlandse politie. De aldus verkregen data vanuit Frankrijk, veelal bestaand uit Encrochat-berichten, is volgens de politie de dataset die de politie in Nederland heeft verkregen binnen het onderzoek 26Lemont, het strafrechtelijke onderzoek naar de medeplichtigheid van Encrochat zelf aan door de gebruikers van Encrochat gepleegde misdrijven. De Franse Gendarmerie heeft op basis van “geodata” oftewel locatiegegevens, de gegevens vervolgens gedeeld met het land van herkomst, die daar – onder bepaalde voorwaarden – verder geanalyseerd en verwerkt konden worden voor strafrechtelijke onderzoeken naar de gebruikers.

Machtiging rechter-commissaris

De rechtbank overweegt verder: uit het proces-verbaal valt af te leiden dat voorafgaand aan de interceptie reeds bekend was dat in Nederland binnen de georganiseerde criminaliteit op grote schaal gebruik werd gemaakt van cryptotelefoons van deze aanbieder. Er waren ook al vele cryptotelefoons van deze aanbieder in beslag genomen bij personen die van ernstige strafbare feiten werden verdacht. Vanwege de voorzienbare inbreuk die de interceptie van de Encrochat-data op de persoonlijke levenssfeer van de Nederlandse gebruikers van deze dienst zou hebben, heeft het Openbaar Ministerie ervoor gekozen om, mogelijk ten overvloede, in Nederland een rechterlijke toetsing te vorderen die strikt genomen het Nederlandse Wetboek van Strafvordering niet als zodanig kent. Bij de rechter-commissaris is een vordering ingediend om een machtiging te geven teneinde de informatie betreffende de Nederlandse gebruikers te mogen analyseren en gebruiken (een en ander is beschreven in het proces-verbaal “Kaders gebruik dataset 26Lemont” met aanvullingen d.d. 28 september 2020 en 24 maart 2021).

Interceptietool

Dat Nederlandse opsporingsambtenaren de interceptietool (mede) hebben ontwikkeld, wordt door het Openbaar Ministerie in de brief van 24 maart 2021 expliciet ontkend. De rechtbank Rotterdam overweegt dat het ‘op dit moment’ geen reden te twijfelen aan wat het Openbaar Ministerie hierover zegt. Volgens de rechtbank ‘is niet gebleken van feiten of omstandigheden die maken dat een eventueel Nederlandse (technische) inbreng bij het ontwikkelen van de tool tot gevolg moet hebben dat de verantwoordelijkheid voor de toepassing ervan in het Franse opsporingsonderzoek (ook) in Nederland komt te liggen’.

Klein succes bij onderzoekswensen verdediging

Alle onderzoekswensen ter beoordeling van de rechtmatigheid van de operatie, bijvoorbeeld over het horen van Frans de en Nederlandse betrokkenen bij de operatie, worden daarop afgewezen. Wel vinden de rechters dat de machtiging van de Nederlandse rechter-commissaris van 20 september 2020 belangrijk kan zijn voor de strafzaak en daaropvolgende beoordeling van de rechter. Daarom moet er een uitgebreider proces-verbaal komen over de machtiging. Ook dragen de rechters de officieren van justitie op gegevens aan de verdediging te verstrekken zodat deze in gelijke mate in de gelegenheid te worden gesteld om deze datasets te kunnen onderzoeken.

Openstaande vragen

Het werd wat mij betreft de hoogste tijd dat in een uitspraak meer details naar boven kwamen over de operatie. De feiten – en dan met name de beschreven rol van Nederland – lijkt mij ook niet bijzonder gevoelig. Toch blijven veel vragen onbeantwoord. De overweging van de rechtbank over de ontwikkeling van de interceptietool ‘waarbij de feiten en omstandigheden (…) tot gevolg moet hebben dat de verantwoordelijkheid voor de toepassing ervan (…) ook in Nederland komt te liggen’ is tamelijk cryptisch. En stel dat Nederland de tool heeft geleverd om versleuteling van de communicatie met de telefoons ongedaan te maken, zoals wordt bericht door Crimesite en de noodzaak daartoe door deze Britse expert in deze YouTube-video, dan is het nog steeds de vraag welke rechtsgevolgen het zou moeten hebben. Misschien dat het proces-verbaal over de machtiging van de rechter-commissaris meer duidelijkheid biedt.

Een gedachte over “Meer duidelijkheid over EncroChat-operatie

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s