Meer details bekend over SkyECC operatie

In de afgelopen maanden is er meer duidelijkheid gekomen over de SkyECC-operatie door jurisprudentie en gepubliceerde beslissingen van rechtbanken op onderzoekswensen van de verdediging.

SkyECC is een chatapplicatie waarmee gebruikers op versleutelde wijze met elkaar kunnen communiceren. Met de app was het mogelijk berichten, foto’s en audioberichten uit te wisselen. Bellen is met een ‘Skytelefoon’ niet mogelijk. De app werd aangeboden door het bedrijf ‘Sky Global’ en deze installeerde de versleutelingssoftware op iPhones, Google Pixels, Blackberry’s en Nokia’s.

Op 1 november 2019 is het strafrechtelijk onderzoek ‘Werl’ gestart, dat zich richt op de rechtspersoon Sky Global en de bestuurders en/of werknemers daarvan wegens verdenking van deelneming aan criminele organisatie en (gewoonte)witwassen. In die periode zijn ook in Frankrijk en België strafrechtelijke onderzoeken tegen de aanbieder gestart. De Franse autoriteiten hebben in hun onderzoek een ‘interceptietool’ ingezet, waarvoor een Franse onderzoeksrechter een machtiging heeft verleend. Met de inzet van deze ‘interceptietool’ zijn vanaf medio juni 2019 data van de toestellen van SkyECC verzameld. Vanaf de start van het onderzoek Werl hebben de Franse autoriteiten de onderzoeksbevindingen die zij hebben verkregen met de inzet van de interceptietool gedeeld met het Nederlandse onderzoeksteam.

Op 11 december 2019 startte in Nederland het onderzoek ‘26Argus’, dat zich richt op de criminele samenwerkingsverbanden van de NN-gebruikers van SkyECC. Het had onder meer tot doel ‘het aan de hand van de inhoudelijke data in beeld brengen en analyseren van de criminele samenwerkingsverbanden die gebruikmaken van cryptotelefoons van SkyECC’.

Na de uitvoering van de EOB’s is Frankrijk een onderzoek gestart naar het bedrijf SkyECC. Op 17 december 2020 heeft een Franse rechter in het Franse onderzoek naar SkyECC, op aanvraag van het Franse Openbaar Ministerie, toestemming gegeven voor het gebruik van een interceptiemiddel op een server van SkyECC in Frankrijk. Vervolgens is, met toestemming van de Franse rechter, een interceptietool met de mogelijkheid tot het ontsleutelen van het berichtenverkeer geplaatst op de SkyECC-servers. Het Nederlandse Openbaar Ministerie noemt daarbij in een uitspraak dat daarbij een ‘man-in-the-middle’ MITM-techniek is gebruikt, waarbij een server (door de Fransen) is overgenomen. “De genoemde interceptietool is door Nederlandse rechercheurs en technici ontwikkeld”, aldus de rechtbank Amsterdam. De verkregen data zijn vervolgens door Frankrijk gedeeld met Nederland en België. Nederland, België en Frankrijk hebben een JIT-overeenkomst gesloten waarbinnen de verkregen data onderling konden worden gedeeld.

Over de inzet van het door Nederland ontwikkelde interceptietool zijn rechtbanken in de SkyECC tot nu toe eensgezind. Het wordt gezien als een Frans onderzoek, op Frans grondgebied, met toepassing van Franse rechterlijke machtigingen. De verantwoordelijkheid voor het opsporingsonderzoek ligt daarom bij de Franse autoriteiten (zie bijvoorbeeld de rechtbank Den Haag (ECLI:NL:RBDHA:2022:4585 en ECLI:NL:RBDHA:2022:6764 en de rechtbank Amsterdam (ECLI:NL:RBAMS:2022:4257).

Op 11 december 2020 is een nieuw Nederlands onderzoek gestart, gericht op de onbekende gebruikers van de diensten van SkyECC. Dit onderzoek was een voortzetting van eerder onderzoek. Net als bij EncroChat zijn er ook machtigingen door een Nederlandse rechter-commissaris afgegeven voor de SkyECC operatie. Op 15 december 2020 heeft een Nederlandse rechter-commissaris een machtiging afgegeven op grond van artikel 126t en 126t, zesde lid Sv voor het opnemen en ontsleutelen van de communicatie gevoerd door de Nederlandse NN-gebruikers van SkyECC. Daarbij zijn zeven voorwaarden geformuleerd, die onder meer zien op de zoeksleutels waarmee de ontsleutelde gegevens mogen worden doorzocht, die recht doen aan het verschoningsrecht van geheimhouders en die zien op de verifieerbaarheid en reproduceerbaarheid van de gegevens die voor het betreffende onderzoek beschikbaar zijn gesteld.

Verder heeft een Nederlandse rechter-commissaris ook op 7 februari 2021 een machtiging verleend op grond van artikel 126uba Sv tot binnendringen in het communicatienetwerk van SkyECC. De daaraan gekoppelde mobiele telefoons van NN-gebruikers maken volgens de machtiging ook deel uit van het netwerk. In deze machtiging is overwogen dat het binnendringen in het geautomatiseerde werk ondersteunend is aan de uitvoering van een machtiging op grond van artikel 126t Sv.

Afwijkende benadering Rb. Noord-Holland inzake EncroChat operatie

De rechtbank Noord-Holland heeft op 4 mei 2022 een opvallende uitspraak (ECLI:NL:RBNHO:2022:3845) gedaan over de samenwerking met Frankrijk in de EncroChat operatie. In veel strafzaken waar cryptophones een rol spelen verwijst de rechtbank naar het interstatelijk vertrouwensbeginsel en toetst vervolgens niet het handelen van de Franse Gendarmerie in de operatie. De rechtbank Noord-Holland baseert haar oordeel echter op het (Europese) beginsel van wederzijds vertrouwen dat ten grondslag ligt aan deze samenwerking. Dat moet volgens de rechtbank het vertrekpunt vormen bij de beoordeling van de rechtmatigheid van het opsporingsonderzoek.

De rechtbank overweegt eerst dat onderzoek ‘26Lemont’ was mede gericht op de NN-gebruikers van telefoontoestellen voorzien van de applicatie EncroChat. Deze gebruikers, van wie de namen niet of nog niet bekend waren, werden door de officier van justitie in de fase van de aanvraag van de machtiging ex art. 126uba Sv als verdachten aangemerkt. En de officier van justitie beoogde van de rechter-commissaris een machtiging te verkrijgen om binnen te dringen (ook wel aangeduid als “hacken”) in de telefoontoestellen van die individuele gebruikers en om het berichtenverkeer dat plaatsvond via die toestellen te onderscheppen en vast te leggen (door vermelding van art. 126t Sv als grondslag). De rechtbank ziet onderzoek 26Lemont dan ook als voorbereidend onderzoek in de zin van artikel 359a Sv. Dit brengt volgens de rechtbank mee dat ‘het materiële interstatelijke vertrouwensbeginsel zoals dat de officier van justitie in deze zaak voor ogen staat in strikte zin niet van toepassing is’. De rechtbank overweegt daartoe allereerst dat er sprake is geweest van een sterke verwevenheid van de opsporingsactiviteiten in Frankrijk en Nederland. Er is binnengedrongen in de server van EncroChat die in Frankrijk was gestationeerd maar ook op telefoontoestellen van gebruikers in Nederland.

Volgens de rechtbank werkt Nederland samen met Frankrijk in een JIT, waar die verwevenheid van opsporingshandelingen ook wordt voorondersteld. In lijn met die verdragsregels is door de bevoegde autoriteiten aan de Franse rechter gevraagd om toestemming te verlenen voor opsporing op Frans grondgebied, te weten het binnendringen in de server van EncroChat. Deze heeft zijn beslissingen gegeven in de context van een rechtsstelsel dat als geheel het vertrouwen van de lidstaten geniet.

In aansluiting daarop heeft de rechter-commissaris een machtiging gegeven voor alle opsporingsactiviteiten die in het kader van het JIT op Nederlands grondgebied zijn uitgevoerd. Dat is in overeenstemming met de, aan de EU-rechtshulpovereenkomst ontleende, vereisten van art. 5.2.2 Sv. Volgens de rechtbank is gehandeld in overeenstemming met de EU-regeling voor samenwerking in JIT-verband en de daarop gebaseerde Nederlandse wetgeving. In samenspel met de beschikking van de rechter-commissaris in de Nederlandse rechtsorde is een rechtsbasis verschaft aan het binnendringen in de telefoons van NN-gebruikers. De daaraan voorafgaande hack op de server van EncroChat heeft zijn legitimatie in de beslissingen van de Franse rechter en de daarvoor gegeven motivering. Om die reden is er geen sprake van vormverzuimen en worden alle verweren strekkend tot toepassing van het sanctie-instrumentarium van artikel 359a Sv verworpen.

Zoals ik vaker heb gesignaleerd, stellen andere rechtbanken en gerechtshoven dat de machtiging van de rechter-commissaris moet worden gezien als een “extra machtiging” en de machtigingen die in Frankrijk zijn verstrekt feitelijk zien op de opsporingshandelingen in Frankrijk. Met een beroep op het interstatelijk vertrouwensbeginsel worden verweren die zien op de vormverzuimen met betrekking tot de operatie in Frankrijk doorgaans verworpen.

De verdachte wordt overigens veroordeeld voor 12 jaar gevangenisstraf voor de invoer van 400 kilo cocaïne, het medeplegen van het runnen van een methamfetamine-lab, de dumping van het afval, de groothandel in ketamine en deelneming aan een criminele organisatie.

Hof Den Haag: ‘website’ niet voldoende omschreven als ‘geautomatiseerd werk’

Op 23 augustus 2022 heeft het Hof Den Haag een verdachte vrijgesproken (ECLI:NL:GHDHA:2022:1551) van computervredebreuk. De verdachte werd door het Openbaar Ministerie het inbreken op een website en vervolgens overnemen van gegevens voor zichzelf verweten.

Op Twitter leidde het arrest tot enige consternatie onder ICT-ers, omdat het evident zou moeten zijn dat een ‘website’ een ‘geautomatiseerd is’. Het Hof overweegt dat ‘nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert, op grond van het voorgaande voldoende aanleiding bestaat om een website niet aan te merken als geautomatiseerd werk. Zulks is in overeenstemming met het (onherroepelijke) arrest van dit hof van 22 september 2020 (ECLI:NL:GHDHA:2020:2005) waarin het ging om een Facebook-account’.

Het Hof Den Haag herhaalt in het arrest in feite staande jurisprudentie dat in de tenlastelegging moet worden uitgelegd waarom een website als een geautomatiseerd werk kwalificeert in de zin van artikel 80sexies Sr betreft (‘onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken’). Nu deze uitleg ontbreekt wordt de verdachte vrijgesproken.

Inloggen in een WhatsApp en Google-account

Op 6 mei 2022 is een opmerkelijke beschikking van een rechter-commissaris gepubliceerd (ECLI:NL:RBDHA:2022:4288) over het inloggen op een WhatsApp- en Google-account van een overleden persoon (het slachtoffer van een misdrijf). Zoals vaker is voorgekomen geeft de rechter-commissaris dan het bevel af aan een opsporingsambtenaar om zich toegang te verschaffen tot de accounts op grond van art. 181 jo 177 Sv, met analoge toepassing van art. 126ng Sv.

In de beschikking overweegt de rechter-commissaris waarom er géén sprake is van binnendringen in een geautomatiseerd werk als bedoeld in art. 126nba Sv (de ‘hackbevoegdheid’). De officier van justitie heeft in de vordering betoogd dat art. 126nba Sv niet van toepassing is, omdat wordt ingelogd “op een normale wijze, zonder kunstgrepen, met toestemming van de nabestaande, welke doorgaans ook door een provider in staat wordt gesteld om een duplicaat simkaart aan te vragen als iemand overlijdt”.

De rechter-commissaris overweegt echter dat de handelingen van de opsporingsambtenaar vergelijkbaar zouden zijn met een rechtmatige gebruiker, zoals het terugzetten van een back-up, zoals bij WhatsApp of het invullen van een beveiligingsvraag of de procedure van ‘wachtwoord vergeten’. Blijkbaar is de rechter-commissaris niet goed op de hoogte dat ook niet rechtmatige gebruikers (hackers) deze technieken gebruiken om computervredebreuk (art. 138ab Sr) te plegen.