Cybercrime jurisprudentieoverzicht januari 2026

7 januari 20267 januari 2026jjoerlemans

Bron: met WordPress-gegenereerde afbeelding met de (automatische) prompt: “create a featured image depicting a modern wind farm with multiple wind turbines under a dramatic sky, symbolizing crryptocurrency mining in a windmill park. Highlight three mining rigs connected to a router at a wind farm location, and include two Helium nodes subtly integrated into the scene”. (haha)

Inleiding

We beginnen het jurisprudentieoverzicht met een bijzondere uitspraak over cryptominen in een windmolenpark. Ik kwam via – het altijd goed geïnformeerde – ‘copsincyberspace’ op de hoogte van de zaak. Daarna behandelen we wat uitvoeriger het arrest van de Hoge Raad over de verstrekking van inbeslaggenomen bestanden. De tekst heb ik geprobeerd hier en daar in meer begrijpelijke bewoordingen te formuleren, maar ik wil geen belangrijke details overslaan, dus het blijft een wat lange, taaie tekst.

Ook de uitspraken over een reseller van EncroChat-telefoons (met een “feit van algemene bekendheid” dat cryptocommunicatiediensten aantrekkelijk zijn voor criminelen), een veroordeling naar aanleiding van de takedown van LabHost (zie dit Europol persbericht uit 2024), en de veroordeling van een man voor doxing en bedreiging via sociale media zijn dit keer nogal uitgebreid, omdat ze interessante details en (soms) heldere en belangrijke juridische duidingen bevatten.

Veroordeling voor cryptominen op windmodelpark

Op 13 november 2025 deed de rechtbank Noord-Nederland een bijzondere uitspraak (ECLI:NL:RBNNE:2025:4621) over cryptominen in een windmolenpark. De verdachte is ten laste gelegd: diefstal (art. 310 Sr), computervredebreuk (art. 138ab Sr) en het wederrechtelijk wijzigen of toevoegen van gegevens (art. 350a Sr).

Volgens de officier van justitie heeft de verdachte drie mining rigs aangesloten op een router van Nordex in het inkoopstation van windmolenpark Gieterveen en twee Helium nodes verbonden met het netwerk van Nordex bij windmolenpark Waardpolder. Een router is een geautomatiseerd werk en ook het netwerk (de servers) van Nordex moet als zodanig worden beschouwd. De mining rigs en heliumnodes hebben gegevens toegevoegd aan dit netwerk. De officier van justitie stelt dat het niet relevant is dat niet precies geduid kan worden welke gegevens zijn toegevoegd. De rigs en nodes versturen immers gegevens via het netwerk van Nordex om crypto te minen, waardoor deze data aan het bestaande netwerk worden toegevoegd.

De rechtbank overweegt dat de verdachte in die periode werkzaam als ‘technical manager’ bij de beheersmaatschappij van de windmolenparken. De rechtbank is van oordeel dat het toevoegen van gegevens individualiseerbaarheid van de betreffende gegevens veronderstelt. Met andere woorden: het toevoegen van gegevens vereist dat concreet gemaakt kan worden welke gegevens er precies zijn toegevoegd. In de wetsgeschiedenis wordt het plaatsen van malware op een computer genoemd als klassiek voorbeeld van het toevoegen van gegevens. In die situatie is het duidelijk dat er gegevens zijn toegevoegd en om welke gegevens het gaat.

Het versturen van gegevens via het internet, zoals Helium nodes doen wanneer zij dekking bieden aan mobiele devices en voor die apparaten bestemde gegevens doorsturen, betreft ondeelbaar gegevensverkeer, zodat van het toevoegen daarvan niet kan worden gesproken. Deze situatie geldt eveneens voor de op het netwerk van Nordex aangesloten cryptominingcomputers. Ook hier is naar het oordeel van de rechtbank enkel sprake geweest van het versturen van gegevens via het internet, namelijk het verifiëren en registeren van nieuwe transacties om ervoor te zorgen dat de blokchain veilig is, en daarmee dus niet van het toevoegen van gegevens. De rechtbank acht daarom het ten laste gelegde art. 350a Sr niet wettig en overtuigend bewezen, zodat verdachte hiervan zal worden vrijgesproken.

Bij de strafoplegging houdt de rechtbank rekening met de omstandigheid dat uit het reclasseringsrapport volgt dat verdachte zijn leven een positieve wending heeft gegeven en zelfinzicht toont. Verder weegt mee dat verdachte niet eerder onherroepelijk is veroordeeld voor strafbare feiten en de kans op recidive als laag wordt ingeschat. Tot slot is er sprake van een aanzienlijke overschrijding van de redelijke termijn, waarbij geldt dat de behandeling van de zaak ter terechtzitting in eerste aanleg binnen twee jaar met een eindvonnis moet zijn afgerond. Bij deze uitspraak is de redelijke termijn met ruim vijf maanden overschreden. De rechtbank zal dit eveneens meewegen bij het bepalen van de straf. Daarom legt de rechtbank een taakstraf van 120 uren op. De gevorderde materiële schade van €4155,65 wordt toegewezen.

Arrest van de Hoge Raad over het verstrekken van bestanden op inbeslaggenomen gegevensdragers

Op 2 december 2025 heeft de Hoge Raad een arrest (ECLI:NL:HR:2025:1716) gewezen over het verstrekken van bestanden op inbeslaggenomen gegevensdragers.

Het Hof Den Haag had eerder de verdachte veroordeeld (ECLI:NL:GHDHA:2024:217) voor onder meer, het maken van een beroep of gewoonte van het bezit en het verspreiden van ‘kinderporno’ en ‘dierenporno’. Het hof legde destijds onttrekking aan het verkeer op van de inbeslaggenomen MacBook Pro en iPhone X, waarop deze ‘kinderporno’ en ‘dierenporno’ werden aangetroffen.

De advocaat heeft namens zijn cliënt een verzoek ingediend om het beslag op diverse goederen op te heffen. Het betrof persoonlijke foto’s uit het verleden en studiematerialen van de HBO-opleiding, waarmee hij zijn toekomst wil voortzetten. Het hof heeft dit verzoek afgewezen, waarop het cassatiemiddel is gericht. Kortgezegd stelde het hof voorop dat als een gegevensdrager strafbare gegevens bevat, deze in beginsel aan het verkeer moet worden onttrokken. Daarom besloot het hof de iPhone X en MacBook Pro volledig te onttrekken, omdat ongecontroleerd bezit daarvan in strijd is met de wet.

Het hof constateerde dat er bij zowel de iPhone X als de MacBook Pro sprake is van vermenging. Op beide gegevensdragers staan zeer grote hoeveelheden bestanden. De strafbare en niet-strafbare bestanden staan door elkaar op de gegevensdrager. De verdachte was bewust van deze vermenging. Het hof oordeelde dat het verstrekken van een kopie van de verzochte bestanden, gezien de vermenging, tot onevenredig tijdsbeslag zou leiden bij het scheiden van strafbare en niet-strafbare bestanden. Bovendien moest per afbeelding worden vastgesteld wie hierop te zien is alvorens deze kon worden verstrekt, om te voorkomen dat (strafbaar) beeldmateriaal, bijvoorbeeld van een slachtoffer in deze zaak, aan de verdachte zou worden gegeven. Het persoonlijke belang van de verdachte bij het ontvangen van een kopie van de bestanden woog niet op tegen dit tijdsbeslag.

De Hoge Raad overweegt in r.o. 3.5.1-3.5.4 dat artikel 36b tot en met 36d Sr de onttrekking aan het verkeer van een inbeslaggenomen voorwerp toestaat als dat voorwerp van die aard is, dat ongecontroleerd bezit daarvan in strijd is met de wet of het algemeen belang. Hieruit volgt dat het moet gaan om een voorwerp waarvan de aard relevant is in die zin dat het ongecontroleerde bezit, al dan niet in samenhang met het redelijkerwijs te verwachten gebruik daarvan, juist in verband met die aard, in strijd is met de wet of het algemeen belang (vgl. HR 8 maart 2005, ECLI:NL:HR:2005:AR7626).

Als een inbeslaggenomen gegevensdrager één of meer bestanden bevat waarop (bijvoorbeeld) ‘kinderporno’ of ‘dierenporno’ is afgebeeld, kan dat leiden tot de onttrekking aan het verkeer van die gegevensdrager op de grond dat het ongecontroleerde bezit van de gegevensdrager als zodanig in strijd is met de wet en het algemeen belang. Hierbij is van belang dat de Hoge Raad in zijn arrest van 4 december 2018, ECLI:NL:HR:2018:2244 heeft geoordeeld dat geen steun vindt in het recht de opvatting dat de afzonderlijke bestanden/gegevens op een gegevensdrager evenzoveel voorwerpen zijn waarop het beslag rust en zijn te beschouwen als afzonderlijke voorwerpen als bedoeld in artikel 36b Sr.

Als de rechter de onttrekking aan het verkeer van een inbeslaggenomen voorwerp oplegt, kan hij de effectuering van deze maatregel niet afhankelijk stellen van een voorwaarde (vgl. HR 6 december 2005, ECLI:NL:HR:2005:AU3309). Dit neemt niet weg dat de rechter op grond van artikel 33c lid 2 in samenhang met artikel 36b lid 2 Sr een geldelijke tegemoetkoming kan toekennen als dit nodig is om te voorkomen dat degene aan wie de onttrokken voorwerpen toebehoren, onevenredig wordt getroffen (vgl. HR 10 juli 2018, ECLI:NL:HR:2018:1156). Verder staat het wettelijk stelsel niet in de weg dat de rechter die de onttrekking aan het verkeer oplegt, op verzoek van de verdediging gelast dat aan de verdachte (een kopie van) één of meer bestanden op de gegevensdrager wordt verstrekt.

De vraag wanneer de rechter verstrekking van bestanden moet gelasten, kan niet in algemene zin worden beantwoord. Gezien de rechtspraak van het Europees hof voor de rechten van de mens (weergegeven in de conclusie van de advocaat-generaal, ECLI:NL:PHR:2025:700), waarin een “fair balance” tussen het algemeen belang en de bescherming van individuele rechten vereist is, hangt die beantwoording af van de concrete omstandigheden van het geval. Het gaat er daarbij in de kern om of het belang van de verdachte bij het verkrijgen van de beschikking over (een kopie van) één of meer bestanden zo zwaarwegend is dat nadere inspanningen van politie en justitie mogen worden verlangd om het verstrekken daarvan te realiseren.

De Hoge Raad wijst in dit verband op onder meer de volgende omstandigheden die de rechter in zijn afweging kan betrekken:
De Hoge Raad wijst op de volgende omstandigheden die de rechter in zijn afweging kan betrekken:

het aantal, de aard en de inhoud van de bestanden waarop het verzoek betrekking heeft, en daarmee samenhangend het belang dat de verdachte – mede gelet op artikel 8 EVRM en artikel 1 Eerste Protocol EVRM – heeft bij de verstrekking;
de (vindbaarheid van de) locatie(s) van deze bestanden op de gegevensdrager, het tijdsbeslag dat het onderzoek naar de betreffende bestanden met zich meebrengt, en de vraag of de verdachte de bestanden ook op een andere manier dan vanaf de gegevensdrager kon verkrijgen;
de mogelijkheid verstrekking te realiseren – zonder dat het risico ontstaat dat daarbij (ongemerkt) ook gegevens zouden kunnen worden verstrekt die tot de onttrekking van de gegevensdrager aanleiding geven –met een redelijke inspanningen van de daarbij betrokken functionarissen;
de vraag of belangen van derden zich verzetten tegen de verstrekking;
de mate waarin de verdachte zelf verantwoordelijk is voor het feit dat er naast strafbare bestanden ook andere, kennelijk voor hem belangrijke bestanden op de gegevensdrager staan.

Dit betekent dat een verzoek tot verstrekking van één of meer bestanden die zich op een – mogelijk voor onttrekking in aanmerking komende – gegevensdrager bevinden, zo tijdig, concreet en onderbouwd moet zijn, dat het openbaar ministerie voorafgaand aan of tijdens de terechtzitting een standpunt kan innemen. De rechter moet hiermee in staat worden gesteld een beslissing te nemen op basis van alle relevante omstandigheden. Indien nodig kan de rechter zich tevoren laten voorlichten over de mogelijkheden en benodigde inspanningen, zodat de afdoening van de strafzaak niet onnodig wordt vertraagd.

Volgens de Hoge Raad was de afwijzing van het Hof Den Haag geen onjuiste rechtsopvatting en was deze toereikend gemotiveerd.

Veroordeling resellers EncroChat-telefoons

Op 10 november 2025 heeft de rechtbank Oost-Brabant een man veroordeeld (ECLI:NL:RBOBR:2025:7270) voor de gewoontewitwassen en deelneming aan een criminele organisatie vanwege de verkoop van EncroChat-telefoons.

De rechtbank overweegt dat uit onderzoek blijkt dat binnen de EncroChat-organisatie een centraal administratiesysteem werd gebruikt, ook wel ‘portal’ genoemd, waarmee onder meer EncroChat-toestellen, abonnementen en tegoeden werden beheerd. Via deze portal konden telefoons ook worden gewist (gewiped).

Bij de opsporingsdiensten is op basis van onderschepte EncroChat-berichten het vermoeden ontstaan dat de verdachte EncroChat-telefoons heeft geleverd, abonnementen heeft geactiveerd en verlengd, wachtwoorden heeft gereset en telefoons heeft gewiped. Hierdoor zou hij crimineel geld hebben verdiend en zich schuldig hebben gemaakt aan witwassen. Ook wordt hij verdacht van deelname aan een criminele organisatie, medeplichtigheid aan drugshandel en het wegmaken van bewijsmateriaal.

De rechtbank is van oordeel dat op grond van de bewijsmiddelen, waaronder de bekennende verklaring van de verdachte, vaststaat dat hij gebruiker was van de Encrochat-ID ‘latepython’. Verder heeft de rechtbank vastgesteld dat de verdachte beschikte over een portal, dat zijn opdrachtgevers op zijn verzoek credits ter waarde van € 1,00 per credit in de portal zetten waarmee hij telefoons kon bestellen. Hij ontving deze telefoons en leverde ze vervolgens aan resellers. Van die resellers ontving hij contante betalingen, waarvan hij een deel behield en het overige bedrag naar zijn opdrachtgevers bracht. Ook activeerde en verlengde de verdachte via de portal abonnementen en wist hij op verzoek van resellers de inhoud van telefoons van klanten. Tot slot is vast komen te staan dat de verdachte het geld dat hij verdiende met de handel in EncroChat-telefoons en diensten niet aan de Belastingdienst heeft opgegeven, maar voor privé-aankopen gebruikte.

De rechtbank stelt vast dat handel in cryptocommunicatiediensten, zoals EncroChat, op zichzelf geen illegale activiteit is. De daarmee verkregen inkomsten hebben een legale herkomst, tenzij de rechtbank tot de conclusie komt dat het geld waarmee betaald wordt een criminele oorsprong heeft.

Feit van algemene bekendheid

In dat kader is van belang dat het een feit van algemene bekendheid is dat cryptocommunicatiediensten, zoals EncroChat, aantrekkelijk zijn voor criminelen om daarmee over de uitvoering van strafbare feiten te communiceren. Berichten die via deze apps worden verzonden zijn moeilijk te onderscheppen, want dergelijke cryptocommunicatiediensten hebben een hoge mate van beveiliging. Bovendien kunnen deze toestellen op afstand worden gewist, waardoor alles wat op de telefoon staat wordt verwijderd.

Witwassen

Dit feit van algemene bekendheid weegt naar het oordeel van de rechtbank mee in de beoordeling van de onderhavige zaak, maar is op zichzelf onvoldoende voor een bewezenverklaring van witwassen. En veroordeling voor witwassen vereist aanvullende omstandigheden die aantonen dat de producten en diensten waarin verdachte handelde, zijn gekocht met geld dat voorafgaand aan de aanschaf door misdaad is verkregen, en dat verdachte dit wist of redelijkerwijs kon vermoeden.

De rechtbank stelt voorop dat het eerste chatgesprek dat relevant is voor de wetenschap van verdachte dateert van 28 maart 2020. Voor de periode vóór die datum geldt dat de rechtbank geen andere bewijsmiddelen heeft dan het hiervoor genoemde feit van algemene bekendheid. Gelet hierop komt de rechtbank niet tot een veroordeling voor witwassen voor de gehele tenlastegelegde periode, maar zal de rechtbank verdachte partieel vrijspreken voor de periode tot 28 maart 2020.

Dat is anders voor de periode vanaf 28 maart 2020. Voor wat betreft die periode is naar het oordeel van de rechtbank sprake van een groot aantal aanvullende omstandigheden die uit de bewijsmiddelen, waaronder de chatgesprekken en de verklaring van verdachte, kunnen worden afgeleid.

Ten aanzien van de chatgesprekken stelt de rechtbank voorop dat zij bij de interpretatie van de voor het bewijs gebezigde chatberichten in aanmerking heeft genomen dat de raadsvrouw inzage heeft gekregen in de gehele dataset die het openbaar ministerie ter beschikking had en dat verdachte ter terechtzitting uitgebreid in de gelegenheid is gesteld om over bovengenoemde delen van het berichtenverkeer te verklaren, maar hij heeft daarvoor geen verklaring kunnen of willen geven. De rechtbank is het eens met de raadsvrouw dat terughoudendheid moet worden betracht bij de beoordeling van de telefoondata, maar naar het oordeel van de rechtbank zijn de berichten, die soms kort – enkele seconden – na elkaar zijn verstuurd voldoende duidelijk en niet voor andere interpretatie vatbaar dan die op basis van de tekst voor de hand ligt. De gesprekken zijn te volgen en bevatten doorgaans ook geen versluierde (geheim)taal. De gebruikers waanden zich kennelijk onbespied. De rechtbank komt daarom tot de conclusie dat de berichten zoals die in de bewijsmiddelen naar voren komen, in onderlinge samenhang bezien, niet vatbaar zijn voor een andere interpretatie dan de interpretatie die op basis van de tekst voor de hand ligt. De rechtbank gaat dan ook uit van de lezing van de berichten zoals die voor het bewijs zijn gebruikt.

De rechtbank acht naast het eerdergenoemde feit van algemene bekendheid de volgende aanvullende omstandigheden van belang:

verdachte is benaderd door opdrachtgevers over wie hij niets wil verklaren, met de vraag of hij een extra zakcentje wil verdienen;
verdachte beheert een ‘portal’ waarvoor hij bij (een van) zijn opdrachtgevers credits aanvraagt die zonder directe betaling worden toegevoegd;
verdachte bestelt en ontvangt grote aantallen toestellen tegelijk;
verdachte ontvangt en levert telefoontoestellen op verschillende adressen en op openbare plaatsen, liefst buiten het zicht van camera’s; het berichtenverkeer bevat onder andere: ‘kutcamera’s’, ‘zet auto bij de buren voor de deur’ en ‘deel tels bij je ma in garage zetten’;
verdachte levert telefoontoestellen en diensten aan personen die hij niet goed kent;
verdachte houdt geen administratie of registratie van klanten bij;
betaling vindt plaats met contant geld, waarbij sprake is van aanzienlijke bedragen;
verdachte geeft de inkomsten niet op aan de belastingdienst;
de telefoontoestellen en abonnementen zijn duur en hebben juist een veel beperktere functionaliteit ten opzichte van normale telefoontoestellen en abonnementen;
communicatie vindt plaats via versleuteld berichtenverkeer waarbij gebruik wordt gemaakt van usernames, zodat sprake is van anonimiteit
verdachte heeft angst voor de politie; het berichtenverkeer bevat onder andere: ‘kwam wouten tegen, woonwijk ingescheurd, plankgas’ en ‘kut thuis nog 120 toestellen’;
wipen vindt plaats op afstand en gebeurt in relatie tot politie-activiteiten zoals de arrestaties van gebruikers van de telefoons; het berichtenverkeer gerelateerd aan dat wipen bevat onder andere: ‘zit ie vast?’, ‘gaat om levenslang of vrij’,’arrested’ en ‘gepakt door de wouten’;
verdachte heeft over sim kaarten gezegd dat “over al de jaren er ook hoop in beslag zijn genomen en weet niet welke nr’s dat zijn’’
andere opvallende woorden in het berichtenverkeer: ‘AT had alle tels gepakt’, ‘tapkamer’, ‘encro op cel’, ‘zoeking’, ‘400k pillen en paar kg M’, ‘inval’, ‘sweepspullen’ en ‘mast aanstralen’;
verdachte gebruikt in het berichtenverkeer het woord witwassen;
verdachte heeft kennis van andere cryptocommunicatiediensten als Exclu en Sky.

Uit het samenstel van bevindingen concludeert de rechtbank dat – anders dan de verdediging aanvoert – ten minste een deel van de geldbedragen die verdachte ontving, middellijk of onmiddellijk uit misdrijf afkomstig was. De volgende vraag is of verdachte wist of redelijkerwijs had kunnen vermoeden dat hij EncroChat-diensten verkocht aan klanten die criminele activiteiten uitvoerden.

De rechtbank oordeelt – in het licht van de omstandigheden zoals beschreven in dit vonnis – dat verdachte wist, of in ieder geval willens en wetens de aanmerkelijke kans heeft aanvaard, dat het geld een criminele oorsprong had. Daarbij is van belang dat verdachte gedurende langere tijd abonnementen afsloot en verlengde, en ondanks herhaalde signalen van criminele activiteiten door gebruikers zijn handel voortzette.

De rechtbank acht daarmee wettig en overtuigend bewezen dat verdachte zich schuldig heeft gemaakt aan het witwassen van ‘enig geldbedrag’. Het exacte bedrag kan niet worden vastgesteld, mede omdat de rechtbank uitgaat van een kortere periode dan oorspronkelijk ten laste gelegd. Gezien de duur en met name de dagelijkse hoeveelheid transacties is er sprake geweest van een gewoonte.

Vrijspraak medeplichtigheid aan drugshandel

De rechtbank is het eens met de officier van justitie en de raadsvrouw dat uit het bewijs niet blijkt dat verdachte opzet had op de specifieke handel in verdovende middelen. Daarom acht de rechtbank hetgeen aan verdachte onder 3 ten laste gelegd, niet wettig en overtuigend bewezen en spreekt zij hem daarvan vrij.

Deelname aan een criminele organisatie

De rechtbank concludeert op basis van het bewijs dat verdachte en medeverdachte [medeverdachte 1] een duurzaam samenwerkingsverband vormden met een zekere structuur. Verdachte had als hoofd-reseller en beheerder van de ‘portal’ een leidende rol, terwijl [medeverdachte 1] als sub-reseller uitvoerende taken had. Uit hun frequente EncroChat-contact blijkt dat zij samenwerkten en de handel in EncroChat-telefoons en diensten als verdienmodel hadden. Verdachte leverde telefoons aan [medeverdachte 1], activeerde abonnementen op haar verzoek, en wiste telefoons indien nodig. [Medeverdachte 1] zorgde voor betaling van (een deel van) de inkomsten, terwijl verdachte ook met andere sub-resellers zoals [gebruikersnaam 4] samenwerkte. Ook de opdrachtgevers van verdachte, die credits in zijn portal zetten en uiteindelijk het geld ontvingen, behoorden tot dit verband.

De rechtbank acht bewezen dat het oogmerk van de organisatie gericht was op gewoontewitwassen (artikel 420bis Sr) en misdrijven als bedoeld in artikel 189 en 198 Sr, namelijk het vernietigen of verbergen van belastende EncroChat-gesprekken. Uit het bewijs blijkt dat verdachte en zijn medewerkers meerdere ‘wipe-verzoeken’ uitvoerden om de opsporing te bemoeilijken.

Op grond hiervan is bewezen dat verdachte deelnam aan een criminele organisatie als bedoeld in artikel 140 Sr.

Strafoplegging:

Bij de strafoplegging houdt de rechtbank rekening met de gezondheidssituatie van de vrouw van verdachte, zijn rol als kostwinner, het positief afgesloten reclasseringstoezicht en eerdere schorsingsvoorwaarden. Daarnaast compenseert de rechtbank de overschrijding van de redelijke termijn (2 jaar en ruim 1 maand) met een strafvermindering van 10%. De rechtbank legt een gevangenisstraf op van 16 maanden en een geldboete op van € 10.000.

Veroordeling voor het gebruik van phishing-as-a-service LabHost

Op 3 november 2025 heeft de rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2025:5658) voor voorbereidingshandelingen voor het plegen van online fraude, namelijk het vervaardigen en voorhanden hebben van phishing panels en het overdragen, verwerven en voorhanden hebben van persoons-, creditcard- en bankgegevens met het doel fraude te plegen.

Op 16 januari 2024 startte onder leiding van de officier van justitie van het parket Midden-Nederland een opsporingsonderzoek genaamd 03Maia, voortvloeiend uit een internationaal onderzoek door autoriteiten in Groot-Brittannië en Estland naar een (geanonimiseerde) website. LabHost bleek een ‘phishing-as-a-service provider’ te zijn die tegen betaling toegang gaf tot diverse phishing pagina’s. De rechtbank definieert phishing panels als nepwebsites die qua uiterlijk sterk lijken op legitieme websites van banken of overheidsinstanties. Gebruikers konden na een cryptobetaling (o.a. Bitcoin) deze panels hosten op hun eigen server en vervolgens spam-e-mails of -sms-berichten naar slachtoffers versturen. Slachtoffers voerden onwetend hun persoonlijke gegevens, zoals bank- of creditcardgegevens, in op deze nepwebsites. Het aanbod van phishing panels was wereldwijd gericht, net als de slachtoffergroep.

De Estlandse opsporingsautoriteiten verkregen een forensische kopie van de LabHost database, die gehost werd op een server in Litouwen. Deze database werd doorzocht om gebruikers van de dienst te identificeren en aan te houden. Uit het onderzoek bleek dat deze gebruikers vermoedelijk wereldwijd verspreid waren, waaronder ook in Nederland. De Nederlandse opsporingsautoriteiten werden daarom verzocht deel te nemen aan het internationale onderzoek naar LabHostgebruikers. Op basis van account- en slachtoffergegevens, evenals de gekozen tijdzone, werd aangenomen dat ten minste 36 LabHostgebruikers zich in Nederland bevonden. Dit leidde tot het opstarten van onderzoek 3CC4ASTREA, gericht op de specifieke LabHostgebruiker in kwestie.

Werking van LabHost

Om gebruik te kunnen maken van de diensten van LabHost moest op de website [website] een account aangemaakt worden. Met dit account kon vervolgens een betaald lidmaatschap afgesloten worden voor toegang tot de wereldwijde service. Na betaling kreeg de gebruiker toegang tot gestandaardiseerde of ‘custom-made’ pagina’s (phishing panels) die sprekend leken op websites van echte banken, overheidsinstanties of online platformen zoals Netflix of Amazon.

Na het verkrijgen van toegang moesten gebruikers een eigen virtual private server (VPS) en domeinnaam aanschaffen. Om slachtoffers te overtuigen de link aan te klikken, moest de domeinnaam sterk overeenkomen met de instantie waarvan de website was nagemaakt. Vervolgens moest het domein gekoppeld worden aan de VPS, waarna bij LabHost verzocht kon worden het gekozen phishing panel op de VPS te laden, waarbij de inloggegevens (credentials) aan LabHost werden verstrekt.’

Na deze stappen was de nagebootste website operationeel en konden gebruikers e-mail- of sms-berichten naar slachtoffers versturen met een frauduleuze link naar de nepwebsite (phishing panel). Dit gebeurde buiten LabHost om. Zodra slachtoffers op de link klikten en hun gegevens invulden, werd deze informatie naar de server van LabHost gestuurd en vervolgens beschikbaar gesteld aan de gebruiker. Gebruikers konden hun Telegramaccount koppelen aan hun LabHostaccount om meldingen te ontvangen zodra een slachtoffer op de link klikte of gegevens invulde.

Bij de aanhouding van de verdachte werden onder meer een laptop en een Samsung S23 in beslag genomen. De inhoud van de laptop – die de verdachte sinds begin 2021 in bezit had – is door de politie vergeleken met de data van [userID] in de LabHostdatabase. Hieruit bleek dat de datum en tijdstippen van het aanmaken van het account en de database data vrijwel gelijkliepen. Daarnaast werden op de laptop en in de database de volgende overeenkomstige gegevens gevonden:

gebruikersnamen en bijbehorende wachtwoorden;
IP-adressen waarmee is ingelogd op het LabHost platform door [userID];
IP-adressen van de gehuurde VPS’s;
Domeinnamen die door [userID] zijn gebruikt;
Cryptobetalingen voor het LabHostabonnement.

Op basis van het bovenstaande acht de rechtbank bewezen dat de verdachte in de periode van 6 mei 2023 tot en met 16 april 2024 phishing panels en een programma voor het geautomatiseerd doorgeven van (slachtoffer)gegevens heeft verschaft, verworven en voorhanden heeft gehad. Anders dan de advocaat van de verdachte heeft betoogd, ziet de rechtbank vol opzet van de verdachte bij dit handelen. De panels en het programma zijn een technisch hulpmiddel ontworpen voor het aftappen van gegevens die worden overgedragen via telecommunicatie, als bedoeld in artikel 139c van het Wetboek van Strafrecht (hierna: Sr) en daarop was ook het oogmerk gericht.

De rechtbank is van oordeel dat ook bewezen is dat de verdachte het feit samen met anderen heeft gepleegd. Uit een Snapchatgesprek blijkt dat de verdachte samen met [Snapchat account 2] een programma gebruikte dat verband houdt met online fraude.

Daarnaast acht de rechtbank bewezen dat er sprake was van nauwe en bewuste samenwerking met LabHost. Hoewel LabHost de phishing panels leverde, vereiste het gebruik daarvan dat de gebruiker zelf een VPS (Virtual Private Server) en domeinnaam aanleverde. De gebruiker en medewerkers van LabHost werkten dus samen om functionele phishing panels te vervaardigen. De rechtbank ziet hierin een nauwe en bewuste samenwerking, waaraan beide partijen een wezenlijke bijdrage leverden. Beide partijen hadden elkaars bijdrage immers nodig om tot een werkend technisch hulpmiddel te komen, bestemd voor het aftappen van gegevens die worden overgedragen via telecommunicatie. Beide partijen hadden daar ook het oogmerk op. De rechtbank ziet hierin, naast bewijs voor medeplegen, dus ook bewijs voor het op de beschuldiging genoemde vervaardigen van een technisch hulpmiddel.

De rechtbank concludeert dat de verdachte zich gedurende bijna een jaar schuldig heeft gemaakt aan voorbereidingshandelingen voor online fraude. In samenwerking met LabHost heeft hij phishing panels (nepwebsites) gecreëerd, met als doel persoons-, creditcard- en bankgegevens van potentiële slachtoffers te verzamelen en deze vervolgens te gebruiken om hen financieel te benadelen. Uit het dossier blijkt dat de verdachte hierin succesvol is geweest; hij heeft meerdere keren slachtoffergegevens ontvangen op zijn Samsung S23, welke hij direct doorspeelde aan een onbekend gebleven derde.

Daarnaast beschikte de verdachte over aanzienlijke hoeveelheden bestanden met persoonsgegevens, telefoonnummers en e-mailadressen, en in sommige gevallen creditcard- en bankgegevens (leadlijsten). Op de laptop van de verdachte werden circa 18 gigabyte (!) aan leadlijsten aangetroffen. Deze lijsten worden vaak verkocht aan cybercriminelen, omdat de gegevens gebruikt kunnen worden voor oplichting, zoals vriend-in-noodfraude (ook bekend als Whatsappfraude). Op de Samsung S23 van de verdachte zijn indicaties gevonden van betrokkenheid bij deze vorm van fraude. In een Telegramgesprek met [Snapchat account 2] suggereert de verdachte hiermee geld te hebben verdiend: “3300 (de rechtbank begrijpt € 3.300,-) gepakt”.

Strafoplegging

De ernst van de feiten en de omstandigheden waaronder deze zijn gepleegd rechtvaardigen een langdurige gevangenisstraf, mede gezien het relevante oriëntatiepunt. Het feit dat een eerdere (nog niet onherroepelijke) veroordeling de verdachte er niet van heeft weerhouden soortgelijke strafbare feiten te plegen, wordt als verzwarend beschouwd.

De rechtbank legt daarom een onvoorwaardelijke gevangenisstraf op, maar ziet in de persoonlijke omstandigheden van de verdachte aanleiding deze gelijk te stellen aan de duur van het voorarrest. Terugkeer naar de gevangenis zou het proces van woningtoewijzing doorkruisen, dakloosheid veroorzaken en daarmee het recidivebeperkende doel ondermijnen. Zonder stabiele huisvesting is het voor de verdachte moeilijker een baan te vinden, wat het risico op terugval vergroot.

Gezien het reclasseringsrapport, maar ook de afwerende en externaliserende (schuld/verantwoordelijkheid buiten zichzelf leggen) houding van de verdachte op de zitting, cht de rechtbank een duidelijke waarschuwing noodzakelijk om herhaling te voorkomen. Het hoge recidiverisico, dat niet met voorwaarden kan worden ingeperkt, leidt tot een proeftijd van 3 jaren bij het voorwaardelijke deel van de straf.

Om afstraffing en recidivepreventie te bevorderen, legt de rechtbank daarnaast een onvoorwaardelijke taakstraf op. De rechtbank veroordeelt de verdachte tot een gevangenisstraf van 300 dagen (10 maanden), met aftrek van de reeds doorgebrachte 74 dagen voorarrest. De resterende 226 dagen worden voorwaardelijk opgelegd, met een proeftijd van 3 jaren. Daarnaast legt de rechtbank aan de verdachte op een taakstraf van 180 uren, te vervangen door 90 dagen hechtenis als de verdachte de taakstraf niet (naar behoren) uitvoert.

Veroordeling voor dreiging met een school shooting

Op 10 november 2025 heeft de rechtbank Noord-Nederland een verdachte veroordeeld (ECLI:NL:RBNHO:2025:13953) binnen het jeugdstrafrecht voor een het dreigen met een ‘school schooting’ (zie ook Nos.nl). De delicten bedreiging, poging tot afpersing, witwassen, oplichting en computervredebreuk zijn onder andere bewezen geacht.

De verdachte heeft onder meer op 3 april 2023 in Zaandam leerlingen en medewerkers van een college bedreigd met een misdrijf tegen het leven gericht. Hij stuurde een e-mail met de tekst: “Hallo alle, Dinsdag 4 april, 10:30. Zal de hele school naar de kanker gaan, mensen die op de grond liggen met bloed op hun. Vooral jullie docenten haha. Wordt de ergste dag van je leven let op.”. Daarnaast probeerde hij de school af te persen voor 100.000 dollar in cryptovaluta. De politie nam deze e-mail dermate serieus dat zij besloot de school op 4 april 2023 gesloten te houden (nos.nl).

De rechtbank stelt vast dat de verdachte zich vanaf veertienjarige leeftijd over een langere periode schuldig heeft gemaakt aan acht zeer ernstige strafbare feiten met veel slachtoffers. Naast de bovengenoemde bedreiging en poging tot afpersing, pleegde de verdachte diverse vormen van cybercrime, waaronder oplichting, computervredebreuk, het zonder toestemming wijzigen van wachtwoorden van e-mailaccounts en spoofing.

De verdachte belde slachtoffers en deed zich voor als een medewerker van een telecommunicatiebedrijf. Vervolgens wist hij hen te bewegen tot het doorgeven van een wachtwoordherstelcode van hun e-mailaccount, die hij eerder zelf had opgevraagd. Hij gebruikte deze codes om toegang te krijgen tot de accounts, met als doel berichten over cryptovaluta te vinden en vervolgens de cryptovaluta van de slachtoffers te stelen. De verdachte misbruikte hiermee het vertrouwen van zijn slachtoffers. Bovendien toonde hij geen enkel oog voor de gevolgen van zijn handelen en hield hij uitsluitend rekening met eigen financieel gewin. Het gebruik van gehackte (persoons)gegevens vormt een inbreuk op de privacy van anderen en veroorzaakt onveiligheid. Tot slot heeft de verdachte het geldbedrag, dat hij heeft verdiend met de oplichting, witgewassen. Dit vormt een ernstige bedreiging van de legale economie en tast de integriteit van het financiële en economische verkeer aan.

De rechtbank concludeert dat de bewezen feiten in beginsel een langdurige onvoorwaardelijke jeugddetentie zouden kunnen rechtvaardigen. Echter, gezien de overschrijding van de redelijke termijn, de consequenties die deze zaak al voor de verdachte heeft gehad en zijn huidige persoonlijke omstandigheden, acht de rechtbank herhaalde detentie niet passend.

De rechtbank veroordeelt de verdachte tot een jeugddetentie van 135 dagen, met aftrek, waarvan 120 dagen voorwaardelijk, en een onvoorwaardelijke taakstraf van 100 uren.

Veroordeling voor doxing, smaad, belediging, bedreiging en opruiing

Op 4 november 2025 veroordeelde (ECLI:NL:RBAMS:2025:8303) de rechtbank Amsterdam een man tot vijf maanden gevangenisstraf vanwege doxing, smaad, belediging, bedreiging en opruiing.

De verdachte heeft tussen 10 mei 2024 en 31 december 2024 een groot aantal berichten verspreid op zijn openbare accounts op X en Facebook, waarbij hij mensen heeft beschuldigd van (onder andere) pedofilie en kindermisbruik, corruptie, het zijn van nazi-aanhanger en het meewerken aan genocide. Daarnaast heeft hij van verschillende van deze personen namen, foto’s en adressen online gezet en heeft hij opgeroepen tot een volksgerecht op de Dam in Amsterdam. Ook heeft verdachte zijn huisgenoot bedreigd in een periode in januari 2025. De verdachte bekent dat hij de ten laste gelegde feiten heeft gepleegd. In de heldere uitspraak legt de rechtbank uit wat deze delicten zijn en waarom ze bewezen zijn.

Doxing

De rechtbank overweegt dat ‘doxing’ sinds 1 januari 2024 strafbaar is gesteld in artikel 285d Sr. Met de strafbaarstelling van ‘doxing’ wordt de norm gesteld dat het zich verschaffen, verspreiden of anderszins ter beschikking stellen van persoonsgegevens van een ander voor intimiderende doeleinden, zoals vrees aan (laten) jagen en/of ernstige overlast aan (laten) doen, onacceptabel is. Het doel van de strafbaarstelling is de persoonlijke vrijheid van (potentiële) slachtoffers beschermen.

Voor strafbaarheid van doxing is vereist dat degene die zich de persoonlijke gegevens verschaft, deze verspreidt of anderszins ter beschikking stelt (hierna samen aan te duiden als: verspreiden). Dat zijn gedragingen die opzet impliceren. Het verspreiden moet zijn gedaan met het oogmerk om een ander vrees aan te jagen, ernstige overlast aan te (laten) doen of ernstig te hinderen in zijn beroepsuitoefening. Aan het oogmerkvereiste, wat de zwaarste opzetvorm is, is voldaan als de verdachte op het moment van die gedraging die bedoeling heeft dan wel dat het niet anders kan zijn dan dat de verdachte heeft beseft dat het noodzakelijke gevolg van zijn handeling is, dat het slachtoffer vrees zal worden aangejaagd, ernstige overlast zal worden aangedaan of in de uitoefening van zijn ambt of beroep zal worden gehinderd.

Opvallend is dat de rechtbank – anders dan de officier van justitie – van oordeel dat is voldaan aan het oogmerkvereiste ten aanzien van alle in de tenlasteleggingen genoemde personen. De rechtbank acht bewezen dat de verdachte deze feiten heeft begaan.

Smaadschrift

Over smaad(schrift) overweegt de rechtbank dat het een specifieke vorm van belediging betreft en daarom een zwaarder misdrijf is dan eenvoudige belediging. De strafbaarstelling van smaad(schrift) onderscheidt zich van eenvoudige belediging doordat het een verplicht middel tot belediging bevat, in die zin dat bij smaad(schrift) de aanranding van de eer en goede naam van een ander een beschuldiging ten laste van die ander moet inhouden, waarbij die beschuldiging aan het publiek bekend moet zijn gemaakt. De strafbaarstelling van smaad(schrift) beoogt de morele integriteit van de smadelijk beschuldigde met betrekking tot diens publieke reputatie te beschermen.

In het algemeen heeft een beschuldiging een smadelijk karakter wanneer het een min of meer concreet omschreven misdrijf of zodanig omschreven feit betreft dat met de positieve moraal strijdt, iemands eer of goede naam wordt aangerand of waarmee iemand publiekelijk in een ongunstig daglicht wordt gesteld. Voor een bewezenverklaring van smaadschrift is verder vereist dat vast komt te staan dat de verdachte de kennelijke bedoeling heeft gehad om aan de door hem geuite beschuldiging ruchtbaarheid te geven. Onder ‘ruchtbaarheid geven’ als bedoeld in artikel 261 Sr dient te worden verstaan ‘het ter kennis van het publiek brengen’. Met zodanig ‘publiek’ is een bredere kring van betrekkelijk willekeurige derden bedoeld.

De rechtbank is – met de raadsman – van oordeel dat bepaalde uitlatingen van verdachte geen omschrijving van een concrete gedraging van de beschuldigde behelzen. Zoals hiervoor toegelicht is er geen sprake van smaadschrift als niet aan die eis wordt voldaan. De verdachte wordt voor zover het gaat over die uitlatingen dus vrijgesproken van het plegen van smaadschrift.

Belediging

Deze uitlatingen kunnen echter wel als eenvoudige belediging worden gekwalificeerd. De betreffende uitlatingen van verdachte zijn op zichzelf zonder meer beledigend van aard. De rechtbank overweegt dat een uiting als beledigend kan worden beschouwd wanneer zij de strekking heeft een ander bij het publiek in een ongunstig daglicht te stellen en hem aan te randen in zijn eer en goede naam. Het beledigende karakter van de uiting kan verder worden versterkt door de context waarin de verdachte deze heeft gedaan.

Verhouding met de vrijheid van meningsuiting

De rechtbank stelt vast dat de verdachte een groot aantal verschillende berichten heeft verspreid op X en Facebook met teksten waarbij verschillende personen worden beschuldigd van onder andere pedofilie en het plegen van genocide. Vlak nadat verdachte het bericht “Het volk heeft deze criminele psychopaten allang ontmaskerd!” heeft gestuurd, stuurt hij bijvoorbeeld het bericht “Wie moet er nou in een inrichting, een vieze pedofiel die niet van kinderen af kan blijven of iemand die boos op hem wordt? Wie moet er nou in een inrichting, een corrupte viroloog die meedoet aan genocide of iemand die boos op haar wordt?”

De verdachte heeft hiermee bewust de aanmerkelijke kans aanvaard dat het bericht zo zou worden opgevat dat de betreffende persoon in haar eer en goede naam zou worden aangetast. De berichten kunnen niet anders worden gelezen dan dat verdachte hiermee de bedoeling heeft gehad om de betrokkenen in een kwaad daglicht te stellen. De uitlatingen van de verdachte kunnen, gelet op de inhoud ervan, niet worden opgevat als te zijn gedaan om een publiek debat op gang te brengen. De rechtbank is dan ook van oordeel dat de uitlatingen niet kunnen worden gerechtvaardigd met een beroep op de vrijheid van meningsuiting.

De rechtbank acht op grond van de aangifte, het proces-verbaal van het verhoor van verdachte en verklaring van verdachte ter terechtzitting ten slotte ook bewezen dat verdachte het ten laste gelegde feit van bedreiging heeft begaan. De verdachte heeft ter terechtzitting en bij zijn verhoor expliciet verklaard dat het klopt dat hij tegen aangever heeft gezegd “Please come and vist me so I can beat the hell out of you” en dat hij aangever in elkaar zou slaan als aangever bij verdachte thuis zou komen. De rechtbank acht daarom de ten laste gelegde bedreiging met zware mishandeling bewezen.

Strafmotivering

De verdachte lijdt aan een depressie met angstige spanning, vitale, stemmingscongruente en stemmingsincongruente psychotische kenmerken, ernstig, recidiverend, mogelijk in het kader van een bipolaire-I-stoornis. Daarnaast is er sprake van ernstige een stoornis in het cannabisgebruik. Het ten laste gelegde wordt daarom in verminderde mate aan de verdachte toegerekend.

Gezien de aard en de ernst van de bewezenverklaarde feiten is de rechtbank van oordeel dat een gevangenisstraf passend is. Daarbij heeft de rechtbank gekeken naar straffen die in soortgelijke zaken worden opgelegd. Het legt een gevangenisstraf van vijf maanden op, met aftrek van voorarrest, waarvan drie maanden voorwaardelijk, met een proeftijd van twee jaren en daarbij een deel van de bijzondere voorwaarden zoals geadviseerd door de reclassering, te weten: meldplicht, ambulante behandeling (met mogelijkheid tot kortdurende klinische opname), meewerken aan middelencontrole en ambulante (outreachende) begeleiding.

Rapporten en trends in AI en criminaliteit 2024-2025

12 december 202511 december 2025jjoerlemans

In de afgelopen twee jaar zijn diverse rapporten verschenen van Europol (iOCTA (2024, 2025), SOCTA 2025, AI and Policing), de Politie (over AI en fraude), samen met het Openbaar Ministerie (eerste jaarbeeld), de UNODC (rapport), de AIVD (over AI en cybersecurity), het NCSC NL (o.a. het Cybersecuritybeeld Nederland 2025) en NCSC UK (onderdeel van GHCQ) over de invloed van AI op (cyber)criminaliteit en cybersecurity.

Het valt mij in de rapporten op dat op basis van incidenten soms grote conclusies worden getrokken. Toch is het belangrijk om de gesignaleerde trends op een rij te zetten. In deze blog vat ik daarom een aantal van die ontwikkelingen samen. De vijf trends heb ik zelf geselecteerd. Na het lezen heb ik voor deze tekst gebruik gemaakt van Copilot Researcher en Notebook LM. Een automatisch gegenereerde podcast is hieronder te beluisteren.

1. Verlagen van drempels voor criminaliteit en de versterking van cyberaanvallen

Criminelen zetten AI in om cyberaanvallen sneller, groter en effectiever te maken. Het Britse National Cyber Security Centre (NCSC), onderdeel van GCHQ, waarschuwde in 2024 dat AI de omvang en impact van cyberaanvallen vrijwel zeker zal vergroten in de nabije toekomst. Dit komt doordat AI de benodigde technische kennis verlaagt en aanvallen automatiseert. Zie ook de tabel op The near-term impact of AI on the cyber threat – NCSC.GOV.UK.

Door generatieve AI kunnen ook onervaren of minder technisch onderlegde daders geavanceerde aanvallen uitvoeren. AI-modellen genereren bijvoorbeeld phishing-teksten en malwarecode waardoor de drempel voor nieuwe cybercriminelen daalt. Fraude en kindermisbruik worden vaak expliciet genoemd als domeinen die “bijzonder waarschijnlijk” door AI-gebruik zullen intensiveren. Europol signaleerde al in 2020 dat AI kan worden ingezet voor slimme wachtwoordkrakers, CAPTCHA-bots en gerichte social-engineeringaanvallen. Deze voorspellingen zien we nu werkelijkheid worden, met steeds geavanceerdere phishingaanvallen en door AI gegenereerde malware.

Daarnaast ontstaan illegale diensten waarbij cybercriminelen generatieve AI als betaalde dienst aanbieden. Volgens NCSC UK, de Organised Crime Agency (NCA) en Europol ontwikkelen kwaadwillenden eigen AI-tools en verkopen zij ‘GenAI-as-a-service’. Deze trend sluit aan bij de eerder gesignaleerde “vermarkting” van cybercrime-tools (zoals ransomware-as-a-service) in Europol-rapporten. Ook het UNODC-rapport uit 2024 signaleert dit fenomeen voor fraude en oplichting.

De beschikbaarheid van dergelijke tools, ook in kwaadaardige varianten op het dark web zonder ‘guardrails’, verlaagt de drempel voor cyberactoren zonder diepgaande technische vaardigheden. Criminelen gebruiken LLM’s om scripts te ontwikkelen voor phishingmails of websites voor gegevensdiefstal. Het groeiende ‘phishing-as-a-service’-aanbod weerspiegelt de automatisering van deze aanvalsvector.

2. Georganiseerde criminaliteit en AI

Veel van bovenstaande ontwikkelingen komen samen in de georganiseerde misdaad. Het SOCTA-rapport 2025 stelt dat criminelen AI als “onderdeel van hun gereedschapskist” beginnen te gebruiken. Klassieke activiteiten zoals drugshandel convergeren met cybercriminaliteit. Grote criminele groepen investeren in online fraude en datadiefstal naast hun traditionele handel. Zie eerder ook deze samenvatting van het SOCTA-rapport.

Europol signaleert ook vermenging met statelijke actoren. Criminele netwerken kunnen gegevens stelen voor staten door in te breken in beveiligde systemen. Deze informatie kan worden gebruikt voor spionage, economische voordelen of chantage. Daarnaast spelen deze netwerken een sleutelrol in desinformatiecampagnes, waarbij nepaccounts, trollen en gemanipuleerde nieuwscontent worden ingezet om democratische instellingen te ondermijnen.

Criminele organisaties misbruiken corruptie om vervolging te vermijden, onder meer door het omkopen van politie en justitie. Digitale trends versterken dit fenomeen: corrupte contacten worden online geworven, betalingen verlopen via cryptovaluta, en personen met toegang tot digitale systemen zijn belangrijke doelwitten. Netwerken gebruiken versleutelde communicatieplatforms zoals EncroChat en Sky ECC, maar ook reguliere apps om te rekruteren, handelen en betalingen te regelen.

Geweld wordt steeds vaker als dienst aangeboden (‘violence-as-a-service’), gefaciliteerd door online platforms en versleutelde communicatie. Jongeren worden actief gerekruteerd voor cyberaanvallen, drugshandel en als geldezel, vaak via sociale media en met verleidelijke tactieken zoals gamificatie. Technologie speelt ook een rol in traditionele misdrijven: online werving voor mensenhandel, wapensmokkel en illegale streamingdiensten. AI en 3D-printing vergroten de toegang tot vuurwapens en maken productie van vervalste medicijnen mogelijk. Digitale piraterij en online verkoop van illegale geneesmiddelen blijven groeien, ondersteund door anonimiserings- en cryptotechnieken.

Ook de UNODC signaleert hoe online gokken, grootschalige oplichting en witwassen van cryptocurrencies samenkomen in één ecosysteem, aangejaagd door AI-tools. Dit leidt tot een “criminele dienstverleningseconomie”, waarin phishingkits, valse documenten en AI-gegenereerde propaganda worden verhandeld. De VN noemt Zuidoost-Azië een proeftuin voor AI-gedreven criminaliteit. Scam-centra rekruteren jonge mensen onder valse voorwendselen en dwingen hen om samen met AI-systemen slachtoffers op te lichten. AI automatiseert een groot deel van het werk, terwijl mensen geloofwaardige interacties onderhouden.

Ook de AIVD constateerde in 2024 (‘Versterkte dreigingen in een wereld vol kunstmatige intelligentie’ .pdf) dat AI door iedereen kan worden gebruikt voor het maken van malware en phishingberichten, wat de dreiging door niet-statelijke actoren vergroot. Het SOCTA-rapport noemt ook hoe criminele organisaties door staten worden ingezet voor sabotage van kritieke infrastructuur, informatiediefstal en cyberaanvallen. Een van de belangrijkste manieren waarop zij bijdragen, is via ransomware-aanvallen op kritieke infrastructuur, bedrijven en overheidsinstanties. Deze aanvallen genereren niet alleen financiële inkomsten – vaak via cryptovaluta – maar dienen ook om tegenstanders te ontwrichten door essentiële diensten lam te leggen, chaos te creëren en het vertrouwen van het publiek te ondermijnen.

Een concreet voorbeeld is de cyberaanval op de Nationale Politie in september 2024 door de waarschijnlijk staatsgesteunde Russische groep LAUNDRY BEAR (zie deze advisory report .pdf).

LAUNDRY BEAR richt zich, net als andere Russische cyberdreigingsactoren, voornamelijk op landen die lid zijn van de EU of NAVO. De groep valt vooral organisaties aan die relevant zijn voor de Russische oorlogsinspanningen in Oekraïne, zoals defensieministeries, krijgsmachtonderdelen, defensiebedrijven en EU-instellingen. Ook ministeries van Buitenlandse Zaken en andere overheidsorganisaties behoren tot de doelwitten. Naast Europa zijn er aanvallen waargenomen in Oost- en Centraal-Azië. In 2024 voerde LAUNDRY BEAR aanvallen uit op defensiecontractanten, luchtvaartbedrijven en hightech ondernemingen, waarschijnlijk om gevoelige informatie te verkrijgen over wapenproductie en leveringen aan Oekraïne. De groep lijkt kennis te hebben van militaire productieprocessen en probeert technologieën te bemachtigen die door sancties moeilijk toegankelijk zijn.

Naast militaire en overheidsdoelen richt LAUNDRY BEAR zich ook op civiele organisaties en commerciële bedrijven, vooral in de IT- en digitale dienstensector. Deze netwerken bieden vaak indirecte toegang tot overheidsinformatie, waardoor ze aantrekkelijk zijn voor spionage. Verder zijn aanvallen vastgesteld op NGO’s, politieke partijen, media, onderwijsinstellingen en kritieke infrastructuur, vrijwel zeker met spionagedoeleinden. In vergelijking met andere Russische actoren heeft LAUNDRY BEAR een hoge succesgraad. De meest getroffen sectoren zijn: overheidsorganisaties, defensie en defensiecontractanten, IT- en digitale diensten, sociale en culturele organisaties, onderwijs en kritieke infrastructuur.

3. AI in fraude en oplichting

Criminelen misbruiken deepfakevideo’s, -audio en -afbeeldingen om vertrouwen te winnen of druk uit te oefenen. Europol waarschuwde in 2022 dat deepfakes een “standaardtool voor georganiseerde misdaad” dreigen te worden. Voorbeelden zijn CEO-fraude (waarbij een vervalste stem of video van een leidinggevende ondergeschikten instrueert geld over te maken), vervalsing van bewijs en productie van niet-consensueel seksueel materiaal.

LLM’s versnellen aanvalsvoorbereiding door automatisch grote hoeveelheden informatie over doelwitten te verzamelen. Ze genereren foutloze phishingmails in meerdere talen en imiteren schrijfstijlen, wat spearphishing veel geloofwaardiger maakt.

Een concrete toepassing is het creëren van synthetische identiteiten met AI. Criminelen gebruiken AI-gegenereerde gezichten en stemmen om zich voor te doen als betrouwbare derden – bijvoorbeeld als helpdeskmedewerker, bankmedewerker of bekende van het slachtoffer. Voice cloning (het klonen van stemmen) is dermate geavanceerd dat in enkele gevallen in 2023–2024 bedrijfsmedewerkers zijn opgelicht door een telefoontje dat klonk als hun directeur, waarin om een spoedoverboeking werd gevraagd. Uit het UNODC-rapport blijkt ook dat ze geloofwaardige valse identiteitsdocumenten of profielfoto’s genereren om verificaties te omzeilen. Dit omvat bijvoorbeeld AI-gedreven ‘identity masking’, waarbij online profileren automatisch worden gerouleerd, deepfake-video’s worden gebruikt tijdens illegale transacties, of het foppen van biometrische toegangscontroles.

Dankzij AI kunnen fraudeurs hun aanpak beter afstemmen op hun doelwitten. Tools kunnen enorme datasets doorzoeken (OSINT) en patronen herkennen om bijvoorbeeld overtuigende persoonlijke babbels of op maat gemaakte phishing-mails te genereren. De Nederlandse politie verwacht dat social engineering-aanvallen de komende jaren verder verfijnd en grootschaliger worden door AI. In het Fenomeenbeeld Online Fraude 2024 wordt expliciet vermeld dat de trend van steeds gerichtere benadering van slachtoffers “vermoedelijk zal versnellen onder invloed van kunstmatige intelligentie”.

Uit een andere analyse van het United Nations Office on Drugs and Crime (UNODC 2024) blijkt dat criminele fraudenetwerken in Zuidoost-Azië op grote schaal AI inzetten om slachtoffers wereldwijd te bereiken. De onderzoekers zagen een stijging van meer dan 600% van deepfake-content op criminele fora in de eerste helft van 2024 vergeleken met eerdere periodes. Zij combineren bijvoorbeeld gescripte chatbots met deepfake-profielen om geloofwaardige gesprekken te voeren in meerdere talen.

4. AI en seksuele uitbuiting

Een van de meest verontrustende ontwikkelingen sinds 2023 is het gebruik van AI voor het produceren van seksueel materiaal van minderjarigen (ook wel: materiaal van seksueel misbruik van kinderen (CSAM).

Sinds 2023 neemt het gebruik van AI voor het produceren van seksueel materiaal van minderjarigen sterk toe. Politie en opsporingsinstanties zien een duidelijke stijging van AI-gegenereerde afbeeldingen en video’s van kindermisbruik. In Nederland meldde de politie in 2024 dat dit materiaal “steeds vaker opduikt” in onderzoeken. Rechercheurs besteden veel tijd aan het vaststellen of een afbeelding echt is of door AI is gemaakt, wat capaciteit wegneemt van het bestrijden van daadwerkelijk misbruik.

Europol bevestigt deze trend in het iOCTA-rapport 2024: volledig synthetische of door AI gemanipuleerde CSAM vormt een opkomende dreiging.

iOCTA rapport van 2024 op Europees niveau: volledig synthetische of door AI gemanipuleerde CSAM komt steeds vaker voor. ‘Operation Cumberland’ illustreert dit: wereldwijd werden ~270 kopers geïdentificeerd en diverse arrestaties verricht. De Nederlandse politie voerde met vier geïdentificeerde kopers waarschuwingsgesprekken om herhaling te voorkomen.

Nederlandse en internationale politiediensten maken daarbij geen onderscheid in echte of met AI gegenereerde CSAM. Dit is niet alleen omdat de impact (normalisering van misbruikfantasieën) ernstig is, maar ook omdat voor de training van zulke AI vaak echte misbruikbeelden worden gebruikt.

5. Prompt injection attacks

De NCSC UK legt uit dat ‘prompt injection’ een relatief nieuwe kwetsbaarheid is in generatieve AI-toepassingen (ontstaan in 2022). Het treedt op wanneer ontwikkelaars eigen instructies combineren met onbetrouwbare inhoud in één prompt en aannemen dat er een duidelijke scheiding bestaat tussen ‘wat de app vraagt’ en externe data.

In werkelijkheid maken LLM’s geen onderscheid tussen data en instructies; ze voorspellen simpelweg het volgende token. Hierdoor kan een aanvaller via indirecte prompt injection – bijvoorbeeld door verborgen tekst in een CV – het model ongewenste acties laten uitvoeren. Dit maakt prompt injection fundamenteel anders dan klassieke kwetsbaarheden zoals SQL-injectie, waarbij mitigaties zoals parameterized queries effectief zijn.

De NCSC adviseert om prompt injection niet te zien als code-injectie, maar als exploitatie van een ‘inherently confusable deputy’. Ontwikkelaars moeten systemen zo ontwerpen dat ze geen privileges blindelings doorgeven aan LLM’s. Dit betekent: toegang tot gevoelige tools beperken, deterministische beveiligingslagen toepassen en invoer, uitvoer en mislukte API-calls monitoren. Volledige preventie lijkt onhaalbaar, maar het verkleinen van kans en impact is essentieel. Zonder maatregelen dreigt prompt injection dezelfde golf van incidenten te veroorzaken als SQL-injectie in het verleden.

Cybersecuritybeeld Nederland 2025

11 december 20257 januari 2026jjoerlemans

Bron: infographic gegenereerd met Notebook LM op basis van de samenvatting

Op 26 november 2025 is het Cybersecuritybeeld Nederland 2025 (CSBN 2025 .pdf) gepubliceerd. Deze blog bevat een samenvatting van het rapport, waarbij gebruik is gemaakt van Notebook LM.

Het CSBN 2025 is uitgebracht onder de titel “Riskante mix in een onvoorspelbare wereld”. Dit wordt in het rapport meteen aan het begin als volgt verduidelijkt door erop te wijzen dat er Nederland meerdere organisaties doelwit waren van de Chinese statelijke actor Salt Typhoon, de Russische actor Laundry Bear een cyberaanval uitvoer op de Nationale Politie, Noord-Koreaanse hackers digitale valuta buitmaakten bij (onder andere) Nederlandse organisaties en werd Nederland voor het eerst slachtoffer werd van cybersabotage door een Russische staatsgesteunde groepering.

Alhoewel incidenten in Nederland niet hebben geleid tot maatschappelijke ontwrichting of significante impact op de nationale veiligheid, hadden verschillende incidenten wel die potentie, aldus het CSBN.

De toon is gezet!

Voorbeelden van nationale cybersecurity-incidenten

Ik bespreek eerst de cyberaanvallen op de Politie en het OM uit p. 18-23 van het rapport. Daarbij valt op dat er nog steeds relatief weinig informatie wordt gegeven. Daarom heb ik dat zelf maar antwoorden op Kamervragen erbij gezocht.

Had het CSBN de cybersecurity-incidenten bij de Politie en het OM niet centraal moeten zetten in plaats van aanvallen op de telecomsector? En waarom zijn er geen Kamervragen gesteld over het bericht over cybersabotage in Nederland? De begeleidende Kamerbrief bij het rapport bevat met name een opsomming van geplande wet- en regelgeving (deels ter implementatie van EU richtlijnen).

Politie

Eind september 2024 werd de politie slachtoffer van een hack waarbij contactgegevens van politiemedewerkers zijn buitgemaakt. Hierbij verkregen hackers toegang tot de gegevens van alle politiemedewerkers via de global address list en in sommige gevallen werden ook privégegevens buitgemaakt.

In antwoord op Kamervragen over het bericht “Politiehack van 62.000 medewerkers is gevaarlijk: naam agent is handelswaar” gaf de Minister van Justitie en Veiligheid aan de politie over de hack werd geïnformeerd door de inlichtingen- en veiligheidsdiensten. Daarop werden maatregelen getroffen, die zijn afgestemd op het huidige beeld, namelijk dat de inlichtingen- en veiligheidsdiensten het zeer waarschijnlijk achten dat een statelijke actor verantwoordelijk is voor het cyberincident bij de politie en dat de daders vermoedelijk gebruik hebben gemaakt van een zogenoemde pass-the-cookie-aanval. Het betreft onder meer ICT-maatregelen en maatregelen op het vlak van bewustwording, bijvoorbeeld een oproep tot extra waakzaamheid van politiemedewerkers op phishingmails en verdachte telefoontjes en berichten. Tevens monitort de politie of de buitgemaakte gegevens elders verschijnen. Tot slot blijft de politie alert op mogelijk nieuwe aanvallen. Daartoe monitort de politie haar systemen continu.

In mei 2025 maakten de inlichtingendiensten bekend dat de Russische groep ‘Laundry Bear’ verantwoordelijk was voor de aanval. Naast de aanval op de Nationale Politie werden wereldwijd ook andere organisaties door deze groep aangevallen, waaronder in Nederland.

Openbaar Ministerie

Op donderdag 17 juli 2025 ontkoppelde het Openbaar Ministerie de systemen van het internet naar aanleiding van een waarschuwing over kwetsbaarheden in Citrix NetScaler. Hierdoor moest het OM overstappen op noodprocedures om werkzaamheden voort te zetten. In het CSBN staat dit wat eufemistisch vermeld: “Dit zorgde voor hinder in de strafrechtketen, waarbij in sommige zaken ook direct vertraging ontstond.”

In het rapport is alleen te lezen dat “onbevoegden” toegang hebben verkregen tot de Citrix NetScaler-systemen van het OM. Er is tot op heden niet vastgesteld dat er gegevens zijn gemanipuleerd of weggehaald. Vreemd is ook dat er staat: “Ook bij de Dienst Justitiële Inrichtingen vond onderzoek plaats naar aanleiding van misbruik van de kwetsbaarheden”, zonder nadere toelichting. Het NCSC stelde dat meerdere kritieke Nederlandse organisaties succesvol zijn aangevallen via een van de Citrix-kwetsbaarheden en dat één van de kwetsbaarheden al ruim voor publieke bekendmaking werd misbruikt.

In een Kamerbrief uit augustus 2025 staat concreter dat “in de periode dat het OM geheel offline was er geen enkele informatie gedigitaliseerd (en soms geautomatiseerd) van en naar het OM worden gestuurd. Het OM en partners in en rondom de strafrechtketen hebben werkprocessen vastgesteld om proces(stukken) per post, fysiek of door andere organisaties dan het OM aan te leveren”. In deze brief staat ook dat erbij DJI en andere organisatie naar aanleiding van nader ondezoek ‘geen signaal gekomen van mogelijk misbruik in de achterliggende IT-omgevingen’. In de brief staan ook andere belangrijke nevengevolgen beschreven. Het ontbreken van informatie vanuit het OM voor de Justitiële Informatiedienst (Justid) ten behoeve van het Justitiële Documentatie Systeem (JDS) wordt bijvoorbeeld als “prangend knelpunt” benoemd. Het JDS is het officiële register waarin wordt bijgehouden wie op welk moment werd verdacht van een strafbaar feit en de afloop daarvan (sepot, vrijspraak of veroordeling). Het ontbreken van actuele gegevens van het OM in het JDS heeft tot gevolg dat partners in en rondom de strafrechtketen, burgers, gemeenten en lidstaten geen actuele informatie vanuit het OM ontvangen. Het OM en partners hebben werkafspraken gemaakt om de risico’s hiervan te mitigeren, maar deze risico’s zijn (nog) niet geheel uitgesloten.

Begin augustus sloot het OM systemen stapsgewijs weer aan op het internet. In november 2025 berichtte de Minister van Justitie en Veiligheid (eindelijk) dat er ‘inmiddels een eerste technisch en forensisch onderzoek uitgevoerd. Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Er wordt nog nader strafrechtelijk onderzoek gedaan. Over het lopende strafrechtelijke onderzoek kan ik geen mededelingen doen. Er zijn maatregelen genomen om risico’s zoals hernieuwd misbruik van systemen en het risico op datamanipulatie te mitigeren. Inmiddels is het OM weer online.’ Ook wordt er een onafhankelijke commissie ingesteld die de ICT-inbraak onderzoekt, waarbij expliciet gekeken wordt hoe toekomstige beveiligingsincidenten voorkomen kunnen worden.

Hack Clinical Diagnostics (Eurofins):

Nadat Bevolkingsonderzoek Nederland melding maakte van een datalek, maakte Clinical Diagnostics (Eurofins) in augustus 2025 bekend dat gevoelige patiëntgegevens zijn gestolen van zorgverleners die onderzoek hebben laten uitvoeren bij het laboratorium. Dit gebeurde tijdens een ransomware-aanval in juli.

De organisatie Bevolkingsonderzoek Nederland informeerde 941.000 personen dat hun data mogelijk is buitgemaakt. Het datalek reikt echter verder dan deze organisatie: ook gegevens van onderzoeken voor andere zorginstellingen, zoals ziekenhuizen en huisartsen, zijn getroffen. Cybercriminelen claimden 300 GB aan data te hebben gestolen, waarvan een deel online verscheen. Uit een analyse van RTL Nieuws bleek dat het gaat om namen, adressen, geboortedata, burgerservicenummers en informatie over onderzoeksuitslagen. Ook adviezen naar aanleiding van onderzoeken zijn buitgemaakt. Onder de gegevens bevinden zich ook data van politici, gedetineerden, tbs’ers en vrouwen in blijf-van-mijn-lijfhuizen.

De hackersgroep eiste losgeld en dreigde de gestolen gegevens te publiceren. Later volgde een tweede eis, met de dreiging om alle data openbaar te maken omdat afspraken niet zouden zijn nagekomen, maar deze eis werd later ingetrokken. Clinical Diagnostics zou in eerste instantie losgeld hebben betaald om verdere datalekken te voorkomen, maar het bedrag is onbekend. In een Kamerbrief van 1 september 2025 is meer te lezen over de hack. Het advies voor de mensen die een brief van Bevolkingsonderzoek Nederland hebben gekregen dat hun gegevens onderdeel zijn geweest van de hack bij het laboratorium, is en blijft om extra alert te zijn op vreemd gebruik van de persoonlijke gegevens. Het gaat dan met name om nepmail, neptelefoontjes, vreemde sms-berichten of misbruik van persoonsgegevens (identiteitsfraude). Op de website van de Rijksoverheid wordt meer informatie gegeven hoe deze situaties herkend kunnen worden en hoe hiervan melding gedaan kan worden. De Autoriteit Persoonsgegevens (AP) en de Inspectie Gezondheidszorg en Jeugd (IGJ) zijn inmiddels beide een onderzoek gestart.

Op 19 november 2025 verscheen een antwoord op Kamervragen van staatssecretaris Tielen. In de brief staat dat het Openbaar Ministerie onderzoek doet naar de hack. Ook zijn lab inmiddels zijn nagenoeg alle benaderde laboratoria toegevoegd aan een ‘scanningsdienst’ van Z-CERT, waarmee continu gemonitord wordt op bekende kwetsbaarheden op de systemen van deze laboratoria die benaderbaar zijn via het internet. De resultaten worden aan de laboratoria teruggekoppeld, zodat zij waar nodig maatregelen kunnen treffen.

De MIVD stelde vast dat Nederland in 2024 voor het eerst slachtoffer was van moedwillige cybersabotage door een Russische staatsgesteunde groepering, gericht op het digitale bedieningssysteem van een openbare faciliteit. Dit werd op 22 april 2025 bekend (zie bijv. dit bericht op Nu.nl) gemaakt, maar ik heb daarover geen Kamervragen kunnen vinden.

De MIVD waarschuwde in mei 2025 voor een spionagecampagne van APT28 (waarschijnlijk Russische staatshackers), gericht tegen Oekraïne en NAVO-landen. De Nederlandse krijgsmacht, ministeries en het bedrijfsleven zijn direct en indirect doelwit geweest van deze cyberspionagepogingen.

Ransomware

In 2024 hebben het NCSC, de Politie, het Openbaar Ministerie, Cyberveilig Nederland en cybersecuritybedrijven maandelijks informatie over ransomware-incidenten uitgewisseld in het kader van project ‘Melissa’. Uit die gegevens blijkt dat er in 2024 minimaal 121 unieke ransomware-incidenten in Nederland zijn geweest. Van deze incidenten zijn 76 bekend via aangiften en 20 via incident response bedrijven.

Uit een analyse van de ransomware-aanvallen in 2024 blijkt dat cybercriminelen geen nieuwe technieken gebruiken om ransomware in te zetten.

In 2024 ontving de Autoriteit Persoonsgegevens 1.430 unieke datalekmeldingen van cyberaanvallen, waarvan er 853 zijn onderzocht. Van de onderzochte aanvallen ging het in 112 gevallen (13 procent) om ransomware. Bij minimaal 53 procent van die ransomware-aanvallen werden gegevens gestolen.

Voorbeelden van internationale cybersecurity-incidenten

Hieronder geef ik enkele voorbeelden van aanvallen uit het buitenland, zoals beschreven in het rapport (p. 23-26).

In oktober 2024 zijn Europese overheden en militaire organisaties doelwit geweest van phishingaanvallen die door Google worden toegeschreven aan een aan Rusland gelieerde actor, aangeduid als UNC5837. De campagne maakte gebruik van ondertekende .rdp-bestandsbijlagen om Remote Desktop Protocol (RDP)-verbindingen tot stand te brengen vanaf de computers van de slachtoffers.

In 2024 werd bekend dat Chinese hackers van de groep Salt Typhoon minimaal een jaar lang toegang hebben gehad tot de netwerken van diverse telecomproviders. Volgens Amerikaanse autoriteiten zou het om meerdere Amerikaanse telecombedrijven gaan, waaronder T-Mobile, Verizon, AT&T en Lumen Technologies. De hackers zouden zo bij gespreksgegevens van prominente politici zijn gekomen. CISA en de FBI hebben bevestigd dat de hackers toegang hebben gehad tot privécommunicatie van een ‘gelimiteerd aantal’ mensen. Daarnaast stellen media op basis van anonieme bronnen dat de hackers toegang hebben gehad tot het afluisterplatform van de Amerikaanse overheid en verzoekgegevens van wetshandhavingsinstanties en telefoongesprekken van klanten gestolen. De campagne zou mogelijk al 1 tot 2 jaar lopen. Er is niet met zekerheid vastgesteld of de hackers uit het systeem zijn verwijderd.

Eind december 2024 heeft Denemarken gemeld dat pro-Russische hackers een Deens waterzuiveringsbedrijf hebben aangevallen, waardoor klanten enkele uren zonder water zaten. Een van de pijpleidingen is gebarsten door een verhoogde waterdruk.

In januari 2025 werd bekend dat na een hack bij Gravy Analytics (een commerciële datahandelaar) locatiegegevens van mogelijk miljoenen mensen zijn gelekt. Online claimde iemand bij de inbraak een dataset van 17TB aan data te hebben gestolen. In de dataset zouden locatiegegevens van gebruikers van honderden populaire apps (zoals Candy Crush, FlightRadar, Grindr en Tinder) verzameld zijn. De hacker dreigde de data openbaar te maken als het bedrijf het gevraagde losgeld niet zou betalen.

In februari 2025 meldde het Canadese Centrum voor Cybersecurity dat er bij meerdere Canadese telecommunicatiebedrijven activiteit van kwaadwillenden is geweest, specifiek van de Chinese cyberactor Salt Typhoon. De Canadese overheid meldde dat de systemen zijn gecompromitteerd via een bekende Cisco-kwetsbaarheid. Om welke telecommunicatiebedrijven het precies gaat, werd niet gespecificeerd.

In maart 2025 is bij een hack op de cryptobeurs Bybit bijna 1,5 miljard dollar aan digitale munten gestolen. Dit maakt het de grootste cryptodiefstal ooit. De aanval is door verschillende onderzoekers en de Amerikaanse autoriteiten toegeschreven aan Noord-Koreaanse hackers. Experts van verschillende bedrijven stelden al snel dat de Lazarus-hackers minstens 300 miljoen dollar wit hebben weten te wassen.

In april 2025 heeft de Waalse overheid zichzelf losgekoppeld van het internet nadat ze een grootschalige “gesofisticeerde en gerichte inbraak” hadden vastgesteld in het IT-systeem. De aanvaller, een onbekende partij, zou zich hebben gericht op een kwetsbare plek in de systemen van de Waalse overheid. Om te voorkomen dat de aanval tot (verdere) impact zou leiden, is besloten om de systemen los te koppelen van het internet, waardoor meerdere administratieve diensten offline waren.

Pro-Russische hackers zitten volgens de Noorse autoriteiten waarschijnlijk achter de vermoedelijke sabotage bij een dam in het Noorse Bremanger. Bij die sabotage-aanval werd de waterstroom beïnvloed. De hackers kregen toegang tot een digitaal systeem dat op afstand een van de kleppen van de dam bestuurt en openden deze om de waterstroom te vergroten. De klep stond ongeveer vier uur open en in totaal liepen er miljoenen liters water weg, maar dit vormde geen gevaar voor de omgeving.

Op 23 juli 2025 waren de mobiele 4G- en 5G-netwerken van Luxemburg meer dan drie uur onbereikbaar. Grote delen van de bevolking konden de hulpdiensten niet bellen omdat het 2G-noodsysteem overbelast raakte. Ook internettoegang en elektronisch bankieren waren niet mogelijk. Volgens overheidsverklaringen aan het parlement werd de uitval veroorzaakt door een cyberaanval. Deze aanval zou opzettelijk verstorend zijn geweest en niet een poging om het telecomnetwerk te compromitteren.

Verwevenheid tussen staten en georganiseerde criminaliteit

Het CSBN stelt dat statelijke actoren cyberaanvallen inzetten om hun politieke, militaire en/of economische doelen te bereiken. Door een offensief cyberprogramma op te zetten, kunnen statelijke actoren (heimelijk) hun belangen behartigen zonder de juridische drempel van gewapend conflict te overschrijden. Ten aanzien van pro-Russische hacktivisten zien de MIVD en AIVD dat vanaf eind 2023 de risicobereidheid van deze groeperingen toeneemt bij het ontplooien van offensieve cybercapaciteiten tegen westerse landen. Alle door hen onderzochte pro-Russische hacktivistische groeperingen worden in zekere mate gesteund door de Russische overheid.

Voor China geldt dat er een nauwe verwevenheid bestaat tussen inlichtingen- en veiligheidsdiensten, kennisinstellingen en bedrijven. Chinese bedrijven leveren bijvoorbeeld aanvalsinfrastructuur of malware, en kennisinstellingen doen onderzoek naar kwetsbaarheden in edge devices. Hierdoor zijn Chinese actoren structureel succesvol in het hacken van onder meer westerse overheden en bedrijven.

In de afgelopen rapportageperiode werd voor het eerst bekend dat een middelgroot beursgenoteerd Chinees bedrijf direct betrokken is geweest bij het uitvoeren van cyberoperaties. Voorheen waren weliswaar diverse andere Chinese bedrijven geïdentificeerd die zelf offensieve cyberoperaties uitvoeren, maar daarbij ging het om frontorganisaties van Chinese inlichtingen- en veiligheidsdiensten of relatief kleine en obscure bedrijven.

Noord-Korea is een voorbeeld van een statelijke actor die technieken en aanvallen inzet die normaliter worden geassocieerd met niet-statelijke actoren. Alhoewel een gedeelte van Noord-Koreaanse cyberaanvallen gericht is op spionage, is een groot deel ook gericht op financieel gewin. Een financieel motief wordt over het algemeen geassocieerd met criminele cyberactoren, waarbij de cryptosector een geliefd doelwit is.

In de afgelopen rapportageperiode is gebleken dat zowel Rusland als China voorbereidingshandelingen voor digitale sabotage hebben ondernomen. Deze handelingen hebben tot op heden geen ontwrichtende impact gehad in Nederland.

De MIVD stelt dat Rusland inmiddels een grotere risicobereidheid toont, die zich manifesteert via meer brutale, agressieve of provocatieve activiteiten in zowel het fysieke als het cyberdomein.

Infographic dreigingen CSBN 2025

Met Notebook LM is deze infographic gegeneerd over de dreigingen uit het CSBN 2025 ten aanzien van Nederland en omringende landen.

De originele tabel met de verwevenheid tussen statelijke en niet-statelijke actoren staat hieronder:

Bron: CSBN 2025, p. 31.

Bijzondere aandacht voor de Telecomsector

Hieronder volgen enkele interessante passages uit het CSBN ten aanzien van de telecomsector (p. 35-37).

De grootschalige en vergaande cybercampagne in de Verenigde Staten laat zien dat de dreiging richting de telecomsector reëel is. Ook een aantal kleine Nederlandse internet service- en hosting providers was doelwit van Salt Typhoon. Volgens de AIVD en de MIVD is toegang verkregen tot routers van deze aanbieders, maar dat de aanvallers voor zover bekend niet verder zijn doorgedrongen in de interne netwerken. Een mogelijke verklaring daarvoor is dat de Nederlandse doelwitten niet dezelfde mate van aandacht kregen van de hackers. De FBI heeft aangegeven dat Salt Typhoon meer dan 200 bedrijven in 80 landen heeft aangevallen.

Het CSBN nuanceert dat de situatie in de VS niet één-op-één te vertalen is naar de situatie in Nederland. De infrastructuur van de telecomsector in de VS is, in tegenstelling tot veel Europese landen en zeker tot Nederland, verouderd en bestaat volgens de voorzitter van de Senaatscommissie van inlichtingen uit een “brei van aan elkaar geplakte netwerken”. Maar hoewel de Nederlandse situatie niet overeenkomt met die in de VS, kennen ook vitale sectoren in Nederland risico’s door een grote afhankelijkheid van buitenlandse leveranciers en een toenemende complexiteit van de infrastructuur.

Voor zowel criminele als statelijke actoren is de telecomsector onder andere interessant omdat de sector enorme hoeveelheden persoonsgegevens verwerkt, waaronder gespreksgegevens, locatiegegevens, klantgegevens en internetverkeer. Toegang tot deze gegevens kan door statelijke actoren misbruikt worden om personen te volgen, te monitoren en te beïnvloeden, zoals leden van diasporagemeenschappen, activisten of dissidenten. De sector is ook interessant voor statelijke actoren vanwege de opties voor spionage. Hacks op telecommunicatieproviders behoren volgens de AIVD tot de meest waardevolle inlichtingenposities voor hen.

Door spionage kan data worden verworven en kennis worden opgedaan over de infrastructuur, wat enerzijds een spionagedoel kan dienen, maar anderzijds ook gebruikt kan worden als verkenning van de netwerken. Een dergelijke verkenning kan onderdeel zijn van (voorbereidingshandelingen voor latere) sabotage. Voorbereidingshandelingen stellen actoren in staat om sabotageacties met weinig tot geen waarschuwing uit te voeren.

Voor cybercriminelen zijn vooral de grote hoeveelheden persoonsgegevens die in de sector worden verwerkt interessant. Deze gegevens kunnen gestolen en doorverkocht worden, of gebruikt (als opstap) voor een toekomstige aanval. Zoals voor alle vitale sectoren geldt, is de telecomsector een aantrekkelijk doelwit voor cybercriminelen omdat continuïteit van groot belang is.

Verschillen tussen het CSBN 2025 en voorgaande rapporten

Met Notebook LM zijn de verschillen met voorgaande rapporten nagegaan. Ik heb daaruit drie geselecteerd (de analyse ten aanzien van specifiek de telecomsector is ook nieuw en hierboven te lezen).

1. Eerste waargenomen cybersabotage door statelijke actoren

Het CSBN 2025 onderscheidt zich nadrukkelijk door de constatering van de eerste succesvolle moedwillige cybersabotage op Nederlands grondgebied door een statelijke actor.

CSBN 2025: De MIVD bevestigde dat Nederland in 2024 slachtoffer was van moedwillige cybersabotage door een Russische staatsgesteunde groepering, gericht op het digitale bedieningssysteem van een openbare faciliteit.
Voorgaande jaren (bijv. CSBN 2021/2022): in eerdere rapporten was sabotage door statelijke actoren vooral een risico of een waargenomen activiteit in het buitenland. Zo vermeldde het CSBN 2021 expliciet dat gerichte aanvallen op vitale processen nog niet in Nederland waren waargenomen, hoewel ze wel elders voorkwamen. In CSBN 2022 werd gesproken over Nederland als doelwit van voorbereidingshandelingen voor sabotage. Het constateren van daadwerkelijke, succesvolle en opzettelijke sabotage binnen Nederland is een fundamentele en serieuze verschuiving.

2. Formele opname en duiding van Generatieve AI

Hoofdstuk 5 beschrijft dat generatieve AI de bestaande dreigingen voor digitale veiligheid versterkt en gaat in op hoe Large Language Models (LLM’s) zowel offensief als defensief kunnen worden ingezet.

Voorgaande jaren: hoewel eerdere rapporten wel melding maakten van nieuwe technologische invloeden (zoals kwantumtechnologie in CSBN 2023), was een concrete en uitgewerkte analyse van de bedreiging door Generatieve AI/LLM’s nog niet zo prominent aanwezig. Het CSBN 2023 vermeldde kort een NCSC-publicatie (maart 2023) over de risico’s van ChatGPT, maar de formalisering tot een strategisch hoofdstuk in 2025 benadrukt de verhoogde urgentie en invloed van deze technologie.

3. Directe benoeming van het langdurige falen van de rijksoverheid

Het CSBN 2025 geeft een bijzonder scherpe en expliciete kritiek op de langdurige ontoereikendheid van cybersecuritymaatregelen binnen de Rijksoverheid.

CSBN 2025: het rapport stelt dat maatregelen bij veel organisaties binnen de Rijksoverheid al langere tijd ontoereikend zijn en niet voldoen aan de zelf voorgeschreven informatiebeveiligingsrichtlijnen. Dit leidt tot een vals gevoel van veiligheid en maakt het onmogelijk om te concluderen dat overheidsorganisaties niet gecompromitteerd zijn.
Voorgaande jaren: hoewel eerdere rapporten ook kritisch waren over de Rijksoverheid (bijv. CSBN 2019 en CSBN 2020 over onvoldoende weerbaarheid en het niet op orde hebben van beveiliging), toonde CSBN 2022 nog een lichte opgaande lijn in de informatiebeveiliging, ondanks overblijvende tekortkomingen. De nadruk in CSBN 2025 op de langdurige ontoereikendheid en de daaruit voortvloeiende onzekerheid over de integriteit van de systemen is een zware waarschuwing.

Cybercrime jurisprudentieoverzicht november 2025

4 november 20257 januari 2026jjoerlemans

Bron: afbeelding automatisch gegenereerd door WordPress.com

Nieuw arrest Hoge Raad over onderzoek aan smartphones

Op 9 september 2025 heeft de Hoge Raad een nieuw arrest gewezen (ECLI:NL:HR:2025:1247) over onderzoek aan smartphones.

De Hoge Raad herhaalt de relevante overwegingen uit HR 8 maart 2025, ECLI:NL:HR:2025:409 (zie ook mijn annotatie) over de eisen die moeten worden gesteld aan onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones.

De raadsman betoogde kortgezegd dat een ernstige inbreuk plaatsvond, omdat de inhoud van de volledige telefoon is verwerkt: 44.000 foto’s, sociale media (waaronder Facebook) en notities. Dat niet van alle gegevens kennis is genomen doet niet ter terzake, omdat er sprake is van een verwerking van gegevens in de zin van het Unierecht.

Het Hof Arnhem-Leeuwarden stelt vast dat de politie bij de verdachte smartphones heeft aangetroffen. Deze zijn met toestemming van de officier van justitie “doorzocht”. Daarbij is gezocht naar voor het strafrechtelijk onderzoek relevante informatie, zoals zaken die te maken hebben met handel in verdovende middelen, crimineel samenwerkingsverband en witwassen, alsmede gegevens die de gebruiker van de telefoons konden identificeren.

Het doel van het “uitlezen” van de telefoons was het verzamelen van informatie over de gebruikers van de telefoons en het onderzoek naar strafbare feiten, eventuele medeverdachten en mogelijke witwassen. Volgens het hof heeft de politie bij het zoeken in de telefoons uitsluitend gekeken naar zaken die verband hielden met dit onderzoek. Er is volgens het hof ‘geen onderzoek verricht naar ‘privé gevoelige’ informatie’. Wanneer dergelijke gegevens werden aangetroffen, heeft de verbalisant de betreffende app of het gesprek onmiddellijk afgesloten. De verbalisant gebruikte zoektermen die te maken hadden met de aard van het onderzoek.

Het Hof Arnhem-Leeuwarden oordeelde dat de algemene bevoegdheid van opsporingsambtenaren, neergelegd in art. 94 jo. art. 95 en 96 Sv, voldoende legitimatie bood voor dit onderzoek aan de smartphones van de verdachte en dat geen toestemming van een rechter-commissaris (RC) nodig was, “nu er geen min of meer compleet beeld is verkregen van zijn privéleven”. Dit is in het licht van wat hiervoor is vastgesteld en van wat door de verdediging in hoger beroep naar voren is gebracht, volgens de Hoge Raad onvoldoende gemotiveerd.

Uit die vaststellingen volgt immers niet dat het onderzoek aan de smartphones beperkt is gebleven tot onderzoek dat slechts strekte tot het identificeren van de gebruiker, of tot bijvoorbeeld onderzoek dat een opsporingsambtenaar in het kader van zijn taakuitoefening deed waarbij hij de bij de verdachte aangetroffen smartphones heeft bekeken en daarbij slechts enkele beperkte waarnemingen heeft gedaan over het feitelijk gebruik daarvan op dat moment of direct daaraan voorafgaand, bijvoorbeeld door na te gaan welke contacten de gebruiker van een telefoon kort tevoren had gelegd. Ook blijkt daaruit niet dat zich hier “spoedeisend geval” voordeed, zoals als uitzondering in HR 8 maart 2025, ECLI:NL:HR:2025:409 was geformuleerd.

De Hoge Raad vernietigt de uitspraak van het hof, maar uitsluitend wat betreft de beslissingen over het in de zaak tenlastegelegde en de strafoplegging en wijst de zaak terug naar het gerechtshof Arnhem-Leeuwarden, zodat de zaak ten aanzien daarvan opnieuw wordt berecht en afgedaan.

Veroordeling in hoger beroep i.v.m. Genesis Market

Het Hof Den Haag heeft op 23 september 2025 in hoger beroep een arrest gewezen (ECLI:NL:GHDHA:2025:1996) met betrekking tot een verkoper van de ‘datamarkt’ Genesis Market.

De verdachte heeft gedurende meer dan twee jaar bots gekocht van Genesis Market, waardoor hij toegang kreeg tot inloggegevens van anderen, waaronder gebruikersnamen en wachtwoorden. Deze gegevens gebruikte hij om bij verschillende webshops op accounts van derden in te loggen en producten te bestellen onder hun naam en ten koste van hen. Dit handelen is bewezen verklaard als het verwerven en voorhanden hebben van niet-openbare gegevens, terwijl de verdachte redelijkerwijs had moeten vermoeden dat deze door misdrijf waren verkregen (art. 139g Sr), het ontvangen, zich verschaffen en voorhanden hebben van gegevens waarvan hij weet dat zij bestemd zijn tot het plegen van een in art. 231b Sr omschreven misdrijf (art. 234 Sr), misbruik van identificerende persoonskenmerken door met behulp daarvan op naam van 34 personen met voornoemde persoonsgegevens bestellingen bij webwinkels te doen (art. 231b Sr) en computervredebreuk door gebruik te maken van door misdrijf verkregen combinaties van gebruikersnamen en/of e-mailadressen en/of bijbehorende wachtwoorden, tot het gebruik waarvan verdachte niet gerechtigd was (art. 138ab Sr).

Het gerechtshof legt een hogere gevangenisstraf op dan de rechtbank. In eerste aanleg werd de verdachte veroordeeld tot twee jaar gevangenisstraf, waarvan acht maanden voorwaardelijk met een proeftijd van twee jaren. Het Hof Den Haag legt een gevangenisstraf van drie jaar op. Deze verhoging is gemotiveerd door de lange periode waarin de verdachte zich schuldig heeft gemaakt aan de bewezen feiten, het aantal bots en slachtoffers, het leed en de onzekerheid die zijn handelen veroorzaakte bij slachtoffers die ontdekten dat hun (inlog-)gegevens in verkeerde handen waren gevallen. Daarnaast weegt mee de achteloosheid en geslepenheid waarmee de verdachte te werk ging, alsmede het feit dat hij al eerder voor relatief veel vermogensdelicten is veroordeeld. Tot slot merkt het hof op dat zij de inschatting van de reclassering met betrekking tot een laag recidiverisico – mede gezien het strafblad van de verdachte – niet deelt.

Veroordeling van darkweb vendor ‘Team Sonic’

De rechtbank Oost-Brabant heeft op 25 juli 2024 (ECLI:NL:RBOBR:2025:4704) een verdachte veroordeeld tot een gevangenisstraf van 9 jaar en 8 maanden. De verdachte was een online verkoper van harddrugs, voornamelijk amfetamine en MDMA. De organisatie verwerkte dagelijks bestellingen via verschillende darkmarkets, waarbij klanten betaalden met cryptovaluta zoals Bitcoin en Monero. De verdachte en – bij diens afwezigheid vanwege detentie – zijn echtgenote hadden een sturende rol in de organisatie.

Het opsporingsonderzoek startte op basis van artikel 126dd van het Wetboek van Strafvordering (Sv) verstrekte EncroChat- en SkyECC-berichten. Uit deze berichten bleek dat niet-geïdentificeerde verdachten zich gezamenlijk bezighielden met de export en verkoop van verdovende middelen, met name amfetamine en MDMA, via het darkweb door middel van postpakketten. Zij traden op als de ‘vendor’ (leverancier) ‘Team Sonic’ en verkochten vanaf maart 2020 grootschalig harddrugs uit lijst I van de Opiumwet aan klanten in het buitenland.

Het onderzoek, gebaseerd op de cryptoberichten en andere informatie zoals gegevens van darknets, richtte zich op de periode 2020 tot en met mei 2022 en betrof historische bevindingen (de ‘terugkijk-fase’). In deze fase werden negen pakketten onderschept in Oostenrijk, Finland, Hongarije, Denemarken en Duitsland die rechtstreeks te herleiden waren tot de cryptogesprekken. Alle pakketten bevatten amfetamine en xtc-pillen.

Ook na mei 2022, tijdens de ‘live-fase’, werd het team onderzocht. Deze fase bestond onder meer uit (stelselmatige) observaties, analyses van bakengegevens onder voertuigen van verdachten en analyse van mast- en telecomgegevens van hun telefoons. Uit deze bevindingen bleek dat de organisatie gebruik maakte van verschillende inpaklocaties. De verdovende middelen werden verborgen in normale postzendingen en via legale postbedrijven verzonden. De bestellingen werden verpakt in een deklading van honden- of kattenvoer. De pakketten werden steeds vanuit Limburg met de auto naar Duitsland gebracht en aldaar gepost bij Duitse postkantoren of (onbemande) pakketpunten, veelal van DHL, om vervolgens via de reguliere poststroom naar afnemers in heel Europa te worden verzonden.

Het bedrijf had verschillende ‘medewerkers’ die betrokken waren bij de verwerking en verzending van bestellingen. In totaal werden 8347 verkopen geregistreerd op veertien (geanonimiseerde) darkwebmarkten. De organisatie maakte gebruik van fictieve afzenders en specifieke verpakkingsmaterialen (zoals piepschuimvlokken en stickers) om hun activiteiten te camoufleren. Op 29 november 2022, de ‘actiedag’, werden een groot aantal verdachten aangehouden, woningen en inpak- en opslaglocaties doorzocht, en goederen in beslag genomen, waaronder bij de verdachte een jammer, een vuurwapen, vier schietpennen en munitie. Op een aangetroffen USB-stick werden bijvoorbeeld 133 afbeeldingen van verdovende middelen gevonden, waarbij bijna elke afbeelding het product met een poppetje van het karakter Sonic toonde.

Naar het oordeel van de rechtbank kan uit de bewijsmiddelen worden afgeleid dat sprake was van een crimineel samenwerkingsverband dat online drugshandel als oogmerk had. De verdachte is veroordeeld voor het medeplegen van de export, de verkoop, het bewerken en het verwerken van hoeveelheden amfetamine en MDMA, deelname aan een criminele drugsorganisatie, het medeplegen van het opzettelijk aanwezig hebben van hoeveelheden harddrugs op verschillende inpak- en opslaglocaties die aan de organisatie gelinkt zijn (de handelsvoorraad), en het opzettelijk voorhanden hebben van wapens en munitie.

Annotatie bij Contrafraternelle de la presse judiciaire e.a. t. Frankrijk

12 september 202512 september 2025jjoerlemans

Bron: afbeelding gecreëerd met WordPress AI en de (automatische) prompt: “Create a high-resolution, highly detailed image featuring a symbolic representation of judicial oversight within national intelligence services. Incorporate the French flag subtly in the background to emphasize the context of the legal case.”

Inleiding

Op het eerste gezicht lijkt de zaak Contrafraternelle de la presse judiciaire e.a. t. Frankrijk (ECLI:CE:ECHR:2024:1210DEC004952615) geen annotatie te verdienen. Het betreft namelijk grotendeels een niet-ontvankelijkheidsbeslissing van het Europees Hof voor de Rechten van de Mens (EHRM).

Toch hebben Mireille Hagens en ik een annotatie bij deze zaak geschreven, die in open access beschikbaar is op EHRC-Updates.nl. In deze zaak gaat het EHRM namelijk uitgebreid in op het Franse toezichtstelsel op de inlichtingen- en veiligheidsdiensten, en in het bijzonder op de vraag of een effectief rechtsmiddel (de ‘remedy’) wordt geboden.

Toezicht en klachtbehandeling in Frankrijk

Frankrijk kent een bijzonder toezichtstelsel, omdat de toets vooraf bij de inzet van sommige bevoegdheden, het toezicht tijdens de gegevensverwerking, en het toezicht achteraf (door middel van inspecties) en de behandeling van klachten, allemaal plaatsvinden door dezelfde toezichthouder: de Commission nationale de contrôle des techniques de renseignement (zie ook de informatieve website cnctr.fr)). Daarnaast speelt de Franse hoogste bestuursrechter, de Conseil d’État, een belangrijke rol. Deze fungeert als specialistische rechter en beroepsinstantie na de behandeling van klachten bij de CNCTR. In mijn recente rapport (.pdf) heb ik het Franse toezichtstelsel uitgebreider beschreven.

Conclusie annotatie

In ons uitgebreide commentaar leggen wij uit waarom het EHRM het Franse toezichtstelsel niet in strijd acht met de artikelen 6 en 13 EVRM. Deze zaak bood ook aanleiding om te onderzoeken of het Nederlandse stelsel nog voldoet aan de EHRM-vereisten die in deze uitspraak zijn geformuleerd. Die vraag is actueel geworden naar aanleiding van de regeringsplannen om mogelijk de Toetsingscommissie Inzet Bevoegdheden (TIB) en de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) samen te voegen.

Kort gezegd menen wij dat het huidige Nederlandse toezichtstelsel voldoet aan de EHRM-vereisten. Wel is het mogelijk de Nederlandse klachtenprocedure eventueel te versterken door inspiratie te halen uit het Franse systeem met als kenmerk de stevige rol voor de (hoogste) bestuursrechter. Daarmee sluiten wij ook aan bij het recente advies van de Raad van State over klachtbehandeling in de Wet op de inlichtingen- en veiligheidsdiensten.

Nieuwe Wet op de inlichtingen- en veiligheidsdiensten

Het toezicht op de inlichtingen- en veiligheidsdiensten staat in Nederland op een kruispunt. De komende herziening van de Wet op de inlichtingen- en veiligheidsdiensten biedt de kans om belangrijke keuzes te maken. De verwachting is dat de (nieuwe?) regering begin 2026 een wetsvoorstel voor een nieuwe Wiv aan de Tweede Kamer aanbiedt (zie de Stand van Zakenbrief van 17 juni 2025). Dit is daarom het moment om na te denken over de toekomst van het toezicht op de inlichtingen- en veiligheidsdiensten.

Cybercrime jurisprudentieoverzicht september 2025

2 september 202531 augustus 2025jjoerlemans

Bron: AI gegenereerde afbeelding met WordPress op basis van de automatische prompt: “Create a highly detailed, sharp-focus featured image for a blog post about cybercrime and fraud targeting elderly victims.”

Veroordeling voor oplichting van (hoog)bejaarde slachtoffers

Een 26-jarige man is op 13 augustus 2025 door de rechtbank Amsterdam veroordeeld (ECLI:NL:RBAMS:2025:5926) voor oplichting van (hoog)bejaarde slachtoffers. De verdachte heeft, samen met anderen, wachtwoorden en inloggegevens ontfutselt door websites van de ING, ABN AMRO, PostNL en MijnOverheid na te maken. Vervolgens bezochten zij slachtoffers thuis om hun vertrouwen te winnen en ID-bewijzen te kopiëren. De gegevens werden via de nepwebsites verzameld en automatisch als Telegram-bericht toegezonden aan het Telegramaccount van de verdachte via een telegram-bot. Daarnaast was de verdachte “administrator” van een Telegramgroep, waar hij een bot activeerde die persoonsgegevens en bankinloggegevens van potentiële slachtoffers doorstuurde. De verdachte fungeerde als tussenpersoon met een aansturende rol in de groep: hij verstrekte middelen en liet anderen bulk-e-mails versturen met links naar phishingpagina’s. Hij gaf zijn handlangers instructies om een door hem beheerd phishingpanel te gebruiken of buitgemaakte slachtoffergegevens door te sturen naar zichzelf. Bovendien liet de verdachte de phishingpanels door anderen ontwikkelen en online zetten. De binnengekomen gegevens werden beoordeeld op correctheid, bank (ING) en leeftijd van de slachtoffers om te bepalen wie benaderd moest worden voor een telefoongesprek of huisbezoek. In de uitspraak staat uitgebreid omschreven hoe dit in zijn werk ging.

Modus operandi oplichting

Potentiële slachtoffers werden – zeer waarschijnlijk- als eerste benaderd via een valse e-mail uit naam van ‘Mijn Overheid’ Belastingsamenwerking Gemeenten en Waterschappen. Deze e-mail kenmerkte zich door een aantal unieke specifieke tekstfragmenten.

De hyperlinks in de e-mail verwezen naar een valse website of verkorte link die automatisch doorverwijst naar de phishingpagina.
Om de ING Bankieren app te activeren is een gebruikersnaam en wachtwoord nodig, deze worden niet uitgevraagd in deze phishingsites. Het was dan ook de vraag hoe de fraudeurs aan de gebruikersnaam en wachtwoord informatie waren gekomen bij de benadeelde ING slachtoffers.
Nadat slachtoffers gegevens hadden achtergelaten via de e-mail en/of andere phishingwebsites, werden ze fysiek benaderd door een fraudeur die zich voordeed als medewerker van PostNL of een andere pakketdienst. De fraudeur kwam aan de deur in verband met een zogenaamde aangetekende brief waarvoor identificatie noodzakelijk was. Het slachtoffer moest zich legitimeren, waarna de fraudeur een foto maakte van het legitimatiebewijs. In werkelijkheid gebruikte de fraudeur het legitimatiebewijs om een ING Bankieren app-activatie uit te voeren op zijn eigen toestel.
De fraudeur overhandigde vervolgens de ‘aangetekende’ brief, die in sommige gevallen waardeloze loterijbonnen bevatte.
Na vertrek had de fraudeur toegang tot het ING-account van het slachtoffer en dus ook tot diens producten bij ING.
In de meeste gevallen werd na een aantal dagen het adres gewijzigd naar een adres aan de [adres 8] of [adres 5] te Amsterdam, waarna een creditcard aangevraagd.
Na het versturen van de aangavraagde creditcard werd deze vermoedelijk gehengeld uit de brievenbus op het bezorgadres.
De fraudeur gebruikte vervolgens de creditcard voor geldopnames en fysieke aankopen.

Verdenking en bewijs uit inbeslaggenomen iPhone

De verdenking ontstond door restinformatie van een ander onderzoek, waaruit bleek dat de verdachte zich vermoedelijk bezighield met het oplichten en bestelen van oudere mensen en zogeheten ‘leadslijsten’ in bezit had. Naar aanleiding hiervan werd op 7 november 2023 het opsporingsonderzoek Percis gestart, gericht op witwasgedragingen van de verdachte. Uit onderzoek bleek dat hij tussen 1 januari 2017 en 12 november 2024 geldbedragen ontving op diverse bankrekeningen, zonder dat er inkomen uit werk of bedrijf bij de overheid was geregistreerd. Op 12 november 2024 vond een doorzoeking plaats in zijn woning in Amsterdam. Bij binnenkomst gooide de verdachte een telefoon naar buiten, die werd opgevangen door een verbalisant en in beslag genomen (een iPhone 13).

Na aanhouding bleek dat de iPhone 13 onder andere een grote hoeveelheid leadslijsten bevatte met persoonsgegevens van personen voornamelijk geboren voor 1950, evenals bestanden van phishingpanels. Het betrof 81 lijsten met in totaal meer dan een miljoen (1.178.119) unieke persoonsgegevens. De bestandsnamen waren bijvoorbeeld “abn kika l.xlsx”, “energie lesds.xlsx”, “ABN LIJST NEW GEFILTERD.xlsx”. Deze bestanden bevatten NAW-gegevens, geboortejaar, telefoonnummers, e-mailadressen en bankrekeningnummers van leden of klanten van bedrijven/banken.

Uit de iPhone 13 bleek ook dat de verdachte zich mogelijk schuldig had gemaakt aan ticketfraude (art. 326e Sr). Op de telefoon werden een Instagram-account en diverse Google-accounts met bijbehorende gmail-accounts gevonden, die gebruikt waren voor de verkoop van festivaltickets op social media kanalen. Na betaling door kopers werden deze tickets niet geleverd.

Veroordeling

De rechtbank acht de verdachte schuldig aan heling van gegevens (art. 139g Sr), het voorhanden hebben van phishing panels (art. 139d lid 2 Sr), computervredebreuk (art. 138ab Sr), medeplegen aan diefstal (art. 310 en 311 lid 1 sub 5 Sr) en oplichting (art. 326 Sr) en witwassen (art. 420bis Sr). De verdachte heeft in totaal € 277.758,16 ontvangen op zijn bank- en bitcoinrekeningen door stortingen en overboekingen, waarbij de herkomst van deze geldbedragen onbekend is.

De verdachte is veroordeeld tot een gevangenisstraf voor de duur van 48 maanden, waarvan zes maanden voorwaardelijk met een proeftijd van twee jaar.

Veroordeling voor delen van kennis terroristisch misdrijf via TikTok

De rechtbank Den Haag heeft op 21 juli 2025 een 19-jarige man veroordeeld (ECLI:NL:RBDHA:2025:13029) voor het verwerven en delen van kennis voor het plegen van een terroristisch misdrijf.

Uit het opsporingsonderzoek bleek dat de verdachte online uitgebreide informatie heeft ingewonnen over onder meer het toebrengen van zwaar lichamelijk letsel, het maken van explosieven en het omzeilen van explosievendetectie. Ook was hij in het bezit van jihadistisch propagandamateriaal. Daarnaast besprak de verdachte met anderen de straf die andersgelovigen volgens zijn interpretatie van de islam verdienden en probeerde hij hen te overtuigen van de juistheid van deze interpretatie. Hij voerde via Telegram gesprekken over mogelijke doelwitten of locaties voor een aanslag, waarbij hij suggereerde dat hij bereid was anderen om het leven te brengen. Tot slot deelde hij op TikTok video’s die aanzetten tot gewelddadige jihadistische strijd.

Aan de hand van de context van deze uitlatingen constateert de rechtbank dat de verdachte een jihadistisch gedachtegoed aanhing, dat zijn gewelddadige uitlatingen gemeende frustraties en verwensingen bevatten en dat hij zich aan het oriënteren was of hij met gewelddadigheden zijn geloofsbelijdenis zou kunnen dienen. De rechtbank is van oordeel dat hieruit blijkt dat de verdachte geradicaliseerd was en verwerpelijke uitlatingen heeft gedaan, maar ziet onvoldoende aanwijzingen om te concluderen dat deze handelingen – ook niet in onderlinge samenhang bezien – aan te merken zijn als voorbereidingshandelingen voor het plegen van moorden of brandstichtingen met een terroristisch motief. De verdachte wordt daarvan vrijgesproken. Wel heeft de verdachte zich schuldig gemaakt aan het verwerven en delen van kennis bestemd tot het plegen van een terroristisch misdrijf en de verspreiding van video’s die opruien tot een terroristisch misdrijf.

De rechtbank is van oordeel dat de verdachte met het inwinnen van informatie en het voeren van gesprekken over jihadisme, zoals hiervoor is besproken, kennis heeft verworven en gedeeld die bestemd is tot het plegen van een terroristisch misdrijf van opruiing in de zin van artikel 132 Sr is in elk geval sprake als in het openbaar rechtstreeks wordt aangespoord tot strafbaar handelen waarbij het in dit geval moet gaan om opruiing tot een terroristisch misdrijf. Ook beïnvloeding op indirecte wijze kan opruiend zijn, namelijk als met bepaalde uitingen wordt beoogd de geesten rijp te maken voor strafbaar handelen. Het uiten van grote waardering voor de strijd van terreurgroepen en de bewondering voor diegenen die aan de zijde van die terreurgroepen meevechten, impliceert dat meedoen navolging verdient en kan daarom als opruiend worden aangemerkt. Ook het verheerlijken van een martelaarsdood in die strijd is een uiting van een zodanig intense bewondering dat die op zichzelf ook aanzet tot navolging.

De rechtbank concludeert dat de verdachte zich schuldig heeft gemaakt aan het openbaar tentoonstellen van afbeeldingen (in video’s) die opruien tot een terroristisch misdrijf. De verdachte betwistte niet de video’s op zijn publieke TikTok-account te hebben geplaatst. De vraag is vervolgens of deze uitlatingen aanzetten tot een terroristisch misdrijf. Uit politieonderzoek blijkt dat het overgrote deel van de video’s jihadisme verheerlijken en oproepen tot gewelddadige strijd tegen andersgelovigen. Gelet op de expliciet gewelddadige inhoud van de video’s en het (bovenstaande) jihadistische gedachtegoed van de verdachte, acht de rechtbank bewezen dat de video’s aanzetten tot het – indien nodig met geweld – verspreiden van (jihadistisch-) islamitisch gedachtegoed. De verdachte wist dat de video’s deze boodschap droegen en plaatste ze met die intentie. Het misdrijf waartoe wordt opgeroepen, kwalificeert als een terroristisch misdrijf omdat het geweld zou worden gepleegd met het oogmerk om (een deel van) de bevolking ernstige vrees aan te jagen of de fundamentele structuren van een land ernstig te ontwrichten.

De verdachte wordt veroordeeld voor een jaar gevangenisstraf, waarvan zes maanden voorwaardelijk een proeftijd van twee jaar. De rechtbank overweegt daarbij dat aanslagen op openbare plekken de bedreigen de democratische rechtsstaat en de internationale gemeenschap bedreigen. Dergelijke acties wakkeren dan ook veel angst aan binnen de maatschappij en zijn onverenigbaar met de democratische en rechtsstatelijke principes waarop de Nederlandse samenleving is gefundeerd.

Veroordeling voor drugshandel met bewijs uit ANØM-operatie

Op 17 maart 2022 startte de Dienst Landelijke Recherche (cluster synthetische drugs) het strafrechtelijk onderzoek 26Swinton. Uit cryptodata van de communicatiedienst ANØM.one (bekend van onderzoek 26Eagles) kwamen personen naar voren die betrokken zouden zijn bij drie drugslabs: in Heerlen, Sint-Oedenrode en Dinteloord.

De advocaat van de verdachte vraagt om de ANØM-data uit te sluiten als bewijs. Volgens de verdediging is zowel het onderscheppen als het verwerken van deze data onrechtmatig. In het vonnis bespreekt de rechtbank eerst de verweren over de rechtmatigheid van het verkrijgen en verwerken van ANØM-data en ten slotte de verdenkingen per zaaksdossier. Zie het bericht ‘Meer duidelijkheid over de ANOM-operatie’ voor details over de operatie. Kenmerkend is aan de cryptcommunicatiedienst ANØM is dat deze telefoons met versleutelde communicatiedienst door Amerikaanse en opsporingsdiensten in omloop zijn gebracht, daarna zijn afgeluisterd en de onderschepte gegevens van 530 telefoons zijn gedeeld met Nederlandse opsporingsautoriteiten.

In de onderhavige zaak stelt de rechtbank dat de ANØM-toestellen ‘doelbewust en veelvuldig’ door de verdachten gebruikt om strafbare feiten mee te plegen en de opsporing daarvan door justitie te frustreren. De ANØM-accounts van de verdachten kunnen allemaal worden gekoppeld aan concrete, ernstige. Gelet op de wijze waarop de ANØM-cryptocommunicatiedienst door de verdachten is gebruikt, beschouwt de rechtbank ANØM in deze zaak als niets anders dan een ‘instrument om criminele activiteiten toe te dekken’. De rechtbank Oost-Brabant overweegt dat de richtlijn ter bescherming van persoonsgegevens ‘nooit zijn bedoeld om criminele activiteiten toe te dekken en de opsporing daarvan doelbewust te frustreren’. Daarom is de rechtbank van oordeel dat ‘voor zover in de marge van deze gesprekken al privacygevoelige gegevens zijn genoemd, deze gegevens geen privacybescherming verdienen’. In het verlengde hiervan oordeelt de rechtbank dat er geen door artikel 31 van de EOB-richtlijn te beschermen rechten van gebruikers van ANØM-toestellen in het geding zijn.

Vervolgens stelt de rechtbank vast dat op grond van de feiten en omstandigheden, in onderlinge samenhang bezien, de verdachten de beschikking hebben gehad over een of meerdere ANØM-accounts en daarmee berichten zijn verstuurd. De rechtbank merkt op dat de ontsleutelde berichten, die in (bijlagen bij) de processen-verbaal in het politiedossier zijn opgenomen, schriftelijke bescheiden zijn, meer in het bijzonder andere geschriften die voor het bewijs kunnen worden gebruikt in verband met de inhoud van andere bewijsmiddelen (artikel 344 lid 1 sub 5 Wetboek van Strafvordering). Daarnaast zijn er meerdere (reeds opgeruimde) drugslaboratoria aangetroffen. Via ANØM zijn afbeeldingen verstuurd die de inhoud van de chatberichten ondersteunen en die te herleiden zijn naar deze locaties. Ten slotte wordt de inhoud van de afzonderlijke chatgesprekken door de inhoud van andere chatgesprekken (tussen andere gebruikers) ondersteund. Vervolgens wordt voor elk van de locaties nagegaan welke strafbare feiten bewezen kunnen worden. Hieronder volgt een samenvatting van de locatie uit het eerste zaaksdossier (Heerlen).

De rechtbank stelt vast dat op het adres in Heerlen een locatie bestond voor de productie van amfetamine (JJO: “meth”)). Het lab is opgezet door [medeverdachte 7] en [medeverdachte 1], die hierin investeerden. Ook [verdachte] en [medeverdachte 2] hebben financieel bijgedragen en samen stuurden zij [medeverdachte 4] als kok naar het lab. Zij hielden zich op de hoogte van de voortgang en werkten nauw samen met [medeverdachte 7]. Daarnaast hebben [medeverdachte 13] en [medeverdachte 8] als koks in het lab gewerkt.

Uit communicatie via ANØM blijkt dat de verdachten bewust en intensief samenwerkten. Zij wisten van het bestaan en het doel van de locatie en leverden ieder een essentiële bijdrage aan de productie van BMK en amfetamine. Daarmee is sprake van medeplegen. Niet voor alle verdachten geldt dezelfde pleegperiode, maar de rechtbank ziet geen reden om deze in te korten, omdat de feiten binnen de ten laste gelegde periode hebben plaatsgevonden.

Op basis van de bewijsmiddelen acht de rechtbank wettig en overtuigend bewezen dat de verdachten zich schuldig hebben gemaakt aan het medeplegen van de productie en het vervoeren van 100 liter amfetamine, het medeplegen van voorbereidingshandelingen en het aanwezig hebben van die hoeveelheid. De productie, voorbereidingshandelingen en aanwezigheid worden gezien als één samenhangende daad. Daarnaast is bewezen dat voorbereidingen zijn getroffen voor een nieuwe batch.

Om te kunnen spreken van een criminele organisatie als bedoeld in artikel 11b van de Opiumwet is blijkens de jurisprudentie vereist dat sprake is van een gestructureerd samenwerkingsverband tussen twee of meer personen, met een zekere duurzaamheid en structuur en een bepaalde organisatiegraad. Het oogmerk van de criminele organisatie dient te zijn gericht op het plegen van misdrijven uit de Opiumwet. Gelet op de bewijsmiddelen uit alle zaaksdossiers en al hetgeen hiervoor is overwogen, is de rechtbank van oordeel dat wettig en overtuigend is bewezen dat de verdachten in de ten laste gelegde periode deel hebben uitgemaakt van een criminele organisatie die zich bezighield met het plegen van misdrijven als bedoeld in artikel 10, derde en vierde lid en 10a eerste lid van de Opiumwet.

In de onderhavige zaak was de verdachte een leider van een criminele organisatie dat was gericht op het plegen van drugsmisdrijven. Hij is veroordeeld tot een gevangenisstraf van 9 jaar en een geldboete van 103.000 euro.

Digitaal bewijs en vuurwerkbommen

Op 25 juli 2025 heeft de rechtbank Den Haag een verdachte veroordeeld (ECLI:NL:RBDHA:2025:13570) voor het medeplegen tot het ontploffing brengen van vuurwerkbommen en voorbereidingshandelingen daartoe. De overwegingen over het digitaal bewijs zijn in dat kader interessant voor deze rubriek.

De verdachte heeft in opdracht van een ander meerdere vuurwerkbommen gemaakt, doorverkocht aan anderen en is schuldig aan het medeplegen van voorbereidingshandelingen voor het teweegbrengen van ontploffingen bij een woning. De rechtbank stelt vast dat de verdachte een betekenisvolle rol heeft gehad door minderjarigen via Snapchat aan te sturen om de explosieven te plaatsen en hen naar de plaats delict te rijden. Uit de instructies die de verdachte aan de minderjarigen gaf, is op te maken dat het de bedoeling was om de explosieven tot ontploffing te brengen.

Uit de bewijsmiddelen bleek dat het Snapchataccount van de verdachte is aangemaakt op een IP-adres dat te koppelen is aan de woning van de verdachte. Daarnaast is het telefoonnummer dat gebruikt was voor de verificatie van de Snapchataccount op twee gecontroleerde momenten meegereisd met de verdachte. Verder heeft de rechtbank geen enkele aanwijzing om te veronderstellen dat iemand anders de gebruiker van de account was. De verklaring van de verdachte komt er feitelijk op neer dat hij zijn telefoon heeft uitgeleend aan een anders wiens telefoon leeg was en dat die ander vervolgens op de telefoon van de verdachte de Snapchataccount heeft aangemaakt en gebruikt. Alleen al op zichzelf bezien is deze verklaring onaannemelijk.

Landeck-verweer

De verdediging voert aan dat het onderzoek naar de telefoons van de verdachte zonder voorafgaande rechterlijke toetsing heeft plaatsgevonden. Er wordt in het dossier veelvuldig gerefereerd aan foto’s en filmpjes die zijn aangetroffen in die telefoons. In de visie van de verdediging kan niet worden volstaan met de constatering dat sprake is van een vormverzuim, maar dient de informatie uit die telefoons te worden uitgesloten van het bewijs, dan wel dient het vormverzuim in strafverminderende zin te worden meegewogen in de strafmaat.

De rechtbank stelt vast dat tijdens het voorbereidend onderzoek met voorafgaande toestemming van de officier van justitie onderzoek is gedaan aan de telefoons van de verdachte. Dit is niet in lijn met het arrest van het Hof van Justitie van 4 oktober 2024 in de zaak CG tegen Bezirkshauptmannschaft Landeck (C-548/21, ECLI:EU:C:2024:830) (JJO: zie ook mijn annotatie over het Hoge Raad arrest n.a.v. de Landeck-uitspraak). Er ontbreekt immers een voorafgaande toestemming van een rechter-commissaris. Daarom is sprake van een onherstelbaar vormverzuim in het voorbereidend onderzoek. De verdediging heeft echter niet duidelijk en gemotiveerd aangegeven aan de hand van welke factoren tot de in artikel 359a Sv omschreven rechtsgevolgen moet worden gekomen. Alleen daarom al faalt het verweer, volgens de rechtbank. Ook is volgens de rechtbank niet duidelijk geworden welk nadeel de verdachte precies heeft ondervonden. Verder overweegt de rechtbank dat het in deze zaak gaat om meerdere verdenkingen van ernstige strafbare feiten, waarbij telefoons een belangrijke rol hebben gespeeld. Indien in deze zaak wel vooraf toestemming aan de rechter-commissaris was gevraagd voor onderzoek aan die telefoons, dan zou de rechter-commissaris die toestemming zonder nadere beperkingen hebben gegeven. Al met al volstaat de rechtbank met de constatering dat in het voorbereidend onderzoek sprake is geweest van een vormverzuim.

Reisbewegingen

Uit de telefoongegevens van medeverdachte 1 en de verdachte blijkt dat hun telefoons op dezelfde momenten op 27 februari 2024 reisbewegingen naar Rotterdam en vervolgens naar Den Haag maakten. Uit de telefoongegevens van medeverdachte 1 is verder gebleken dat medeverdachte 1 en de verdachte tijdens het incident op de plaats delict hebben gebeld via Snapchat. Gelet op het voorgaande is de rechtbank van oordeel dat de verdachte een coördinerende rol heeft gehad bij de poging tot het teweegbrengen van een ontploffing, door niet alleen de vuurwerkbom te maken, maar ook door medeverdachte 1 en medeverdachte 2 naar de plaats delict te vervoeren en aan hen instructies te geven door hen op Snapchat voor te bereiden op wat er van hen verwacht werd en hen in de auto toe te spreken over wat zij moesten doen. Vervolgens moesten medeverdachte 1 en medeverdachte 2 voortdurend contact houden met de verdachte tijdens het plegen van het delict. Uit een inbeslaggenomen telefoon (iPhone 6) uit de auto van een verdachte bleek dat de telefoon door de verdachte was gekocht en gebruikt, en dat daarop schermafbeeldingen stonden van de route naar het adres van het delict.

Veroordeling

De rechtbank overweegt met betrekking tot de strafmaat dat het plegen van aanslagen met explosieven is in zijn algemeenheid een groot en toenemend maatschappelijk probleem dat leidt tot gevoelens van angst en grote onveiligheid in de samenleving en in het bijzonder voor de bewoners van de woning waarvoor een explosief wordt neergelegd. Dat de pogingen een grote impact hebben gemaakt op de bewoners, is ter terechtzitting in een slachtofferverklaring en het uitgeoefende spreekrecht indringend uiteengezet.

De verdachte is veroordeeld tot acht jaar gevangenisstraf en tot verschillende schadevergoedingen.

Enkele hoofdstukken Basisboek Cybercriminaliteit (tweede editie) in open access

1 september 202530 augustus 2025jjoerlemans

Enkele hoofdstukken uit de tweede editie van het Basisboek Cybercriminaliteit stel ik, na afloop van de embargoperiode van één jaar, nu in open access beschikbaar. Het gaat om de hoofdstukken ‘Verschijningsvormen van cybercriminaliteit in enge zin’ (.pdf), Verschijningsvormen van gedigitaliseerde criminaliteit (.pdf) en ‘Cybercriminaliteit en opsporing’ (.pdf).

In de tweede druk hebben we gekozen voor twee afzonderlijke hoofdstukken over cybercriminaliteit: één voor elke categorie. Onderaan deze pagina staat de inhoudsopgave van de hoofdstukken, voor een indruk krijgt van de behandelde onderwerpen.

Het studieboek wordt veel gebruikt in criminologie- en strafrechtopleidingen aan verschillende Nederlandse universiteiten en hogescholen. Heeft u vragen of opmerkingen over het boek, of wilt u wijzen op een onvolkomenheid? Dan hoor ik dat graag per e-mail (zie mijn medewerkerspagina).

De overige hoofdstukken in het boek behandelen onder andere criminologische theorieën en cybercriminaliteit, daders en slachtoffers van cybercriminaliteit, en interventiestrategieën. Deze hoofdstukken zijn niet open access beschikbaar, maar het volledige boek is onder andere verkrijgbaar via Boom.nl.

Inhoudsopgaven hoofdstukken

Hoofdstuk 3 – Verschijningsvormen van cybercriminaliteit in enge zin

Jan-Jaap Oerlemans, Wytske van der Wagen & Marleen Weulen Kranenbarg

3.1 Inleiding

3.2 Strafbaarstelling van cybercriminaliteit in enge zin

3.3 Hacken (computervredebreuk)

3.3.1 Strafbaarstelling

3.3.2 Ethisch hacken

3.4 Malware

3.4.1 Info-stealers

3.4.2 Ransomware

3.4.3 Banking malware

3.4.4 Strafbaarstelling

3.5 Botnet

3.5.1 Strafbaarstelling

3.6 Ddos-aanval

3.6.1 Strafbaarstelling

3.7 De rol van social engineering bij cybercriminaliteit

3.8 Toekomstige ontwikkelingen

3.8.1 Meer invloed van statelijke actoren

3.8.2 Het Internet der Dingen

3.9 Tot besluit

3.10 Discussievragen

3.11 Kernbegrippen

Citeerwijze:

J.J. Oerlemans, W. van der Wagen & M. Weulen Kranenbarg, ‘Verschijningsvormen van cybercriminaliteit in enge zin’, p. 69-104 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.

Hoofdstuk 4 – Verschijningsvormen van gedigitaliseerde criminaliteit

Jan-Jaap Oerlemans, Anne de Hingh & Wytske van der Wagen

4.1 Inleiding

4.2 De verschillende lagen van het internet: het clear, deep en dark web

4.3 Online handelsplaatsen

4.3.1 Handelsplaatsen op het clear web

4.3.2 Handelsplaatsen op het dark web

4.3.3 Handelsplaatsen op communicatie-apps

4.3.4 Strafbaarstelling

4.4 Witwassen met virtuele valuta

4.4.1 Regulering

4.4.2 Strafbaarstelling

4.5 Internetoplichting

4.5.1 Strafbaarstelling

4.6 Online zedendelicten

4.6.1 Beeldmateriaal van seksueel misbruik van minderjarigen

4.6.2 Sexting

4.6.3 Misbruik van seksueel beeldmateriaal

4.6.4 Sextortion

4.6.5 Online grooming en sexchatten

4.7 Online uitingsdelicten

4.7.1 Uitingsdelicten en de vrijheid van meningsuiting

4.7.2 Strafbaarstelling van uitingen

4.7.3 Het verwijderen van strafbaar materiaal

4.8 Toekomstige ontwikkelingen

4.8.1 AI en gedigitaliseerde criminaliteit

4.8.2 Criminaliteit in virtual reality- en mixed reality werelden

4.9 Tot besluit

4.10 Discussievragen

4.11 Kernbegrippen

Citeerwijze:

J.J. Oerlemans, A.E. de Hingh, W. van der Wagen, ‘Verschijningsvormen van gedigitaliseerde criminaliteit’, p. 105-164 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.

Hoofdstuk 9 – Cybercriminaliteit en opsporing

Jan-Jaap Oerlemans & Mojdeh Kobari

9.1 Inleiding 287

9.2 Het opsporingsonderzoek en de normering van opsporingsmethoden

9.2.1 De organisatie van opsporing naar cybercriminaliteit in Nederland

9.2.2 De politie

9.2.3 Openbaar Ministerie

9.2.4 Rechterlijke macht

9.2.5 Het strafvorderlijk legaliteitsbeginsel en de IRT-affaire

9.2.6 Stelsel van normering van bijzondere opsporingsbevoegdheden

9.3 Het IP-adres als digitaal spoor

9.3.1 Het opsporingsproces bij een IP-adres als spoor

9.3.2 Het vorderen van gegevens

9.3.3 Digitaal bewijs en onderzoek op gegevensdragers

9.3.4 Regels voor de inbeslagname en onderzoek op gegevensdragers

9.3.5 De netwerkzoeking

9.4 Opsporingsmethoden en de uitdaging van anonimiteit

9.4.1 Anonimiseringstechnieken

9.4.2 Publiek toegankelijke bronnen

9.4.3 Undercoverbevoegdheden

9.5 Opsporingsmethoden en de uitdaging van versleuteling

9.5.1 Versleuteling in opslag

9.5.2 Versleuteling in transport

9.5.3 De hackbevoegdheid

9.6 Jurisdictie en grensoverschrijdende digitale opsporing

9.6.1 Wetgevende jurisdictie

9.6.2 Handhavingsjurisdictie en rechtshulp

9.6.3 Unilaterale digitale opsporing

9.7 Verstoring en de brede bestrijding van cybercriminaliteit

9.8 Tot besluit

9.9 Discussievragen

9.10 Kernbegrippen

Citeerwijze:

J.J. Oerlemans & M. Kobari, ‘Cybercriminaliteit en opsporing’, p. 287-343 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.

Three Chapters ‘Essentials in Cybercrime’ available in open access

1 september 202530 augustus 2025jjoerlemans

The chapters ‘Types of cyber-dependent crime and their criminalisation’ (.pdf), Types of cyber-enabled crime and their criminalisation (.pdf), and ‘Cybercrime investigations’ (.pdf)) are now available in open access.

In this second edition, we chose to address cyber-dependent and cyber-enabled crime in separate chapters, allowing for more detailed discussion of both categories. A new section has been added on online expression offenses, with a particular focus on European legislation—an important topic that was missing from the previous edition. Additionally, recent developments such as generative AI and Large Language Models are given significant attention.

Other chapters are not available in open access, but cover a range of topics including cybercrime offenders, victims, criminal networks, criminological theories, and intervention strategies. The full book is available for purchase via Boom.nl.

Table of contents:

Chapter 3 – Types of cyber-dependent crime and their criminalisation

Jan-Jaap Oerlemans, Wytske van der Wagen & Marleen Weulen Kranenbarg

3.1 Introduction

3.2 Cyber-dependent crime and its criminalisation

3.3 Computer hacking

3.3.1 Criminalisation

3.3.2 Ethical hacking

3.4 Malware

3.4.1 Info-stealers

3.4.2 Ransomware

3.4.3 Banking malware

3.4.4 Criminalisation

3.5 Botnet

3.5.1 Criminalisation

3.6 Ddos attack

3.6.1 Criminalisation

3.7 The role of social engineering in cybercrime

3.7.1 Six principles of persuasion

3.8 Future developments

3.8.1 Greater influence of state actors

3.8.2 The Internet of Things

3.9 To conclude

3.10 Discussion questions

3.11 Key concepts

Please cite as:

Oerlemans J.., Wagen W. van der & Weulen Kranenbarg M. (2024), Types of cyber-dependent crime and their criminalisation. In: Wagen W. van der, Oerlemans J. & Weulen Kranenbarg M. (Eds.), Essentials in cybercrime: a criminological overview for education and practice. The Hague: Eleven. 63-95.

Chapter 4 – Types of cyber-enabled crime and their criminalisation

Jan-Jaap Oerlemans, Anne de HIngh & Wytske van der Wagen

4.1 Introduction

4.2 The clear, the deep and the dark web

4.3 Online criminal marketplaces

4.3.1 Criminal marketplaces on the clear web

4.3.2 Darknet markets

4.3.3 Marketplaces on communication apps

4.3.4 Criminalisation

4.4 Money laundering with virtual currency

4.4.1 Regulation

4.4.2 Criminalisation

4.5 Online fraud

4.5.1 Criminalisation

4.6 Online sexual offences

4.6.1 Images of sexual abuse of minors

4.6.2 Sexting

4.6.3 Abuse of sexual imagery (‘revenge porn’)

4.6.4 Sextortion

4.6.5 Online grooming and sex chatting

4.7 Online expression offences

4.7.1 Freedom of expression vs. criminalisation

4.7.2 Criminalisation of online expressions

4.7.3 Removing illegal content

4.8 Future developments

4.8.1 AI and cyber-enabled crime

4.8.2 Crime in virtual reality and mixed reality worlds

4.9 To conclude

4.10 Discussion questions

4.11 Key concepts

Please cite as:

Oerlemans J., Hingh A.E. de & Wagen W. van der (2024), Types of cyber-enabled crime and their criminalisation. In: Wagen W. van der, Oerlemans J. & Weulen Kranenbarg M. (Eds.), Essentials in cybercrime: a criminological overview for education and practice. The Hague: Eleven. 97-144.

Chapter 9 – Cybercrime investigations

Jan-Jaap Oerlemans & Maša Galič

9.1 Introduction

9.2 Digital investigations and criminal procedure law

9.2.1 Regulating investigative methods

9.2.2 Jurisdiction and cybercrime

9.2.3 Mutual legal assistance

9.3 IP addresses as digital leads

9.3.1 Data production and preservation orders

9.3.2 Seizing and analysing data on computers

9.3.3 Network computer searches

9.4 The challenge of anonymity

9.4.1 Anonymisation techniques

9.4.2 Open-source investigations

9.4.3 Online undercover operations

9.5 The challenge of encryption

9.5.1 Encryption in storage

9.5.2 Encryption in transit

9.5.3 Hacking as an investigative method

9.6 Disrupting cybercrime

9.7 To conclude

9.8 Discussion questions

9.9 Key concepts

10 Interventions for cyber offenders

Please cite as: Oerlemans J. & Galiç M. (2024), Cybercrime investigations. In: Wagen W. van der, Oerlemans J. & Weulen Kranenbarg M. (Eds.), Essentials in cybercrime: a criminological overview for education and practice. The Hague: Eleven. 257-315.

Annotatie bij het arrest van de Hoge Raad over gegevensdragers

21 augustus 202517 september 2025jjoerlemans

Bron: WordPress. Automatisch gegenereerd met prompt: “Create a featured image for a blog post discussing the recent High Court ruling on data carriers, focusing on the theme of legal analysis and technology.”

De Hoge Raad stelt naar aanleiding van de zaak Landeck (HvJ EU 4 oktober 2024, C-548/21, ECLI:EU:C:2024:830 (CG t. Bezirkshauptmannschaft Landeck)) zijn eigen rechtspraak bij over het onderzoek op gegevensdragers. In mijn annotatie (.pdf) (gepubliceerd in Computerrecht 2025/90) bespreek ik achtereenvolgens de aanleiding van het arrest HR 18 maart 2025, ECLI:NL:HR:2025:409, schets ik de ontwikkeling ten aanzien van de Smartphone-arresten van de Hoge Raad, en analyseer ik de belangrijkste overwegingen uit het arrest. Hieronder volgt een verkorte versie van de annotatie.

Ontwikkeling Smartphone-arresten

Het onderhavige arrest van de Hoge Raad betreft de cassatie op een arrest van het Hof Den Haag, waarin de raadsheren stelden dat als het voorzienbaar is dat als op voorhand is te voorzien dat een min of meer compleet beeld kan worden verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van die gegevensdrager, de rechter-commissaris moet overwegen beperkingen aan dat onderzoek te verbinden. Het ging daarmee verder dan de Hoge Raad in eerdere jurisprudentie over het onderzoek aan gegevensdragers had geoordeeld. In een ander arrest overwoog het Hof Den Haag iets heel anders (ECLI:NL:GHDHA:2023:324), namelijk dat uit het (eerste Smartphone)-arrest van de Hoge Raad van 4 april 2017 (ECLI:NL:HR:2017:584) zou volgen dat de doorzoekings- en inbeslagnemingsbevoegdheden van de rechter-commissaris mede de bevoegdheid inhouden om de gegevens op de gegevensdrager ongeclausuleerd te onderzoeken.

De Hoge Raad verwijst naar eerdere jurisprudentie en merkt op dat voor de waarheidsvinding onderzoek mag worden gedaan aan in beslag genomen voorwerpen – waaronder in computers opgeslagen gegevens – teneinde gegevens voor het strafrechtelijk onderzoek ter beschikking te krijgen. In de bekende ‘Smartphone-arresten’, stelde de Hoge Raad eerder dat voor stelselmatig onderzoek aan ‘elektronische gegevensdragers’ en ‘geautomatiseerde werken’ (hierna: gegevensdragers) een bevel van een officier van justitie of machtiging van een rechter-commissaris noodzakelijk is. Stelselmatigheid betekende in deze context dat ‘een min of meer compleet beeld is verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van de gegevensdrager of het geautomatiseerde werk’ wordt verkregen.

Bijstelling Smartphone-jurisprudentie

De Hoge Raad doet een krachtige bijstelling van de geformuleerde norm uit de voorgaande Smartphone-arresten. Het ‘stelselmatigheidscriterium’ wordt namelijk losgelaten. In plaats daarvan noemt het bepaalde typen gegevens op een gegevensdrager, waarbij toegang tot die gegevens kunnen leiden tot een ernstige of bijzonder ernstige inbreuk op het recht op privacy en de bescherming van persoonsgegevens van de betrokkene. Daar is sprake van als op voorhand is te voorzien dat door het onderzoek aan de smartphone (of andere elektronische gegevensdrager of geautomatiseerd werk) inzicht wordt verkregen in verkeers- en locatiegegevens, of in andersoortige gegevens (zoals foto’s, de browsergeschiedenis, de inhoud van via die smartphone uitgewisselde communicatie, en gevoelige gegevens). Het sluit daarbij aan op de typen gegevens die ook door het HvJ EU in de Landeck-uitspraak worden genoemd. Als de politie en justitie in zo’n geval onderzoek willen verrichten aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken, dan is voor dat onderzoek – behalve in spoedeisende gevallen – een voorafgaande toetsing door de rechter-commissaris vereist. Daarbij neemt de Hoge Raad in aanmerking dat het openbaar ministerie niet kan worden aangemerkt als een onafhankelijk bestuursorgaan. De verdachte zal in het algemeen van deze gronden op de hoogte komen als de stukken die op het onderzoek betrekking hebben, bij de processtukken worden gevoegd.

Daarbij gelden de volgende procedureregels. De officier van justitie kan een vordering sturen tot het verkrijgen van een machtiging van de rechter-commissaris voor het verrichten van het onderzoek aan de betreffende gegevensdrager. In geval van dringende noodzaak kan de machtiging van de rechter-commissaris mondeling worden gegeven. In dat geval stelt de rechter-commissaris de machtiging binnen drie dagen op schrift. Als de officier van justitie een machtiging van de rechter-commissaris vordert, moet in deze vordering voldoende concreet worden omschreven welk onderzoek aan de gegevensdrager zal worden verricht en hoe dit onderzoek zal worden uitgevoerd. Bij het verlenen van een machtiging voor het gevorderde onderzoek kan de rechter-commissaris zo nodig nadere eisen stellen aan het te verrichten onderzoek.

De Hoge Raad stelt dat onderzoek aan gegevensdragers ook een beperkte inmenging in de grondrechten van de gebruiker kan meebrengen, afhankelijk van de keuzes en de inrichting van de aard van het te verrichten onderzoek. De bevoegdheden van opsporingsambtenaren zoals neergelegd in artikel 94 in samenhang met artikel 95 en 96 Sv en in artikel 141 en 148 lid 1 Sv bieden een toereikende grondslag voor een onderzoek aan voorwerpen – waaronder ook elektronische gegevensdragers en geautomatiseerde werken – als de met dat onderzoek samenhangende inbreuk op de persoonlijke levenssfeer als beperkt kan worden beschouwd. De wet vereist in zo’n geval geen voorafgaande rechterlijke toetsing of tussenkomst van de officier van justitie. De Hoge Raad noemt daarbij twee situaties waarbij daar sprake van kan zijn: 1. onderzoek dat slechts strekt tot het identificeren van de gebruiker; en 2. Het bekijken van een aangetroffen gegevensdrager bij een verdachte, waarbij ‘enkele beperkte waarnemingen’ worden gedaan over ‘het feitelijk gebruik daarvan op dat moment of direct daaraan voorafgaand’. Als nadere toelichting wordt dan genoemd dat het kan gaan om welke contacten de gebruiker van een telefoon kort tevoren heeft gelegd.

De Hoge Raad bevestigd ook dat de rechter-commissaris gehouden is een instructie te geven welk onderzoek moet plaatsvinden en hoe dit onderzoek moet worden uitgevoerd. De rechter-commissaris kan beperkingen aanbrengen bij het te verrichten onderzoek. Het Hof Den Haag gaf meer concrete suggesties mee. Beperkingen kunnen worden aangebracht ten aanzien van het aantal te onderzoeken gegevensdragers, van de te onderzoeken gegevens (zoals afbeeldingen, communicatie, internetgedrag, et cetera), of van de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd of op de betreffende elektronische gegevensdrager zijn terechtgekomen. Ook kan volgens het hof worden gekozen voor fasering van toegestane onderzoekshandelingen, waarbij de rechter-commissaris tussentijds beslist tot uitbreiding of (verdere) beperking van het toegestane onderzoek. De Hoge Raad noemt verder dat door het onderzoek geautomatiseerd uit te voeren met behulp van een technisch hulpmiddel (forensische software) en door schriftelijke vastlegging van de uitkomsten van dat onderzoek, de inrichting en omvang van het onderzoek duidelijk kan worden. Dit kan bijdragen aan het waarborgen dat geen grotere inbreuk wordt gemaakt op de persoonlijke levenssfeer van de gebruiker dan noodzakelijk is.

Nabeschouwing

De Hoge Raad meent zelf dat het Landeck-arrest met zich meebrengt dat het onderzoek aan gegevensdragers op een “enigszins andere manier moet worden genormeerd”. Dat is nogal eufemistisch, omdat de praktijk helemaal anders moet. Veel vaker dan voorheen moet nu een machtiging van een rechter-commissaris worden verkregen bij onderzoek op gegevensdragers, omdat het al snel voorzienbaar is dat een ernstige inbreuk op het privéleven van een persoon kan plaatsvinden. In het recente verleden werd in de lagere rechtspraak bijvoorbeeld nog het kennisnemen van ‘enkele foto’s’ of ‘enige Whatsapp-berichten’ gezien als een ‘beperkte privacy-inbreuk’ (Zie bijvoorbeeld HR 10 juli 2018, ECLI:NL:HR:2018:1121 (foto’s in een fotogalerij op een smartphone), Hof Arnhem-Leeuwarden 14 juli 2017, ECLI:NL:GHARL:2017:6069 (afbeeldingen op een SD-kaart), Hof Arnhem-Leeuwarden 3 november 2023, ECLI:NL:GHARL:2023:9312 (sms en Whatsapp verkeer), en Rb. Rotterdam 17 april 2024, ECLI:NL:RBROT:2024:3887 (openstaand Whatsapp-gesprek)). Vanwege de nieuwe categorieën van de inhoud van communicatie en foto’s, worden deze handelingen nu gezien als een ernstige privacy-inbreuk, waarvoor voortaan toestemming van de rechter-commissaris noodzakelijk is. Bovendien is het onderzoek aan gegevens niet standaard ongeclausuleerd; nu moet worden uitgelegd op welke wijze het onderzoek moet worden uitgevoerd.

De Hoge Raad maakt, in navolging van de conclusie van Advocaat Generaal Harteveld, een wat vreemde vergelijking met de dataretentie-zaak La Quadrature du Net II (zie ook HvJ EU 30 april 2024, C-470/21, ECLI:EU:C:2024:370 (La Quadrature du Net e.a. II), EHRC-Updates.nl, m.nt. J.J. Oerlemans & M. Hagens). Uit deze dataretentie-uitspraak zou namelijk zijn af te leiden dat onderzoek aan gegevensdragers ook een beperkte inmenging in de grondrechten van de gebruiker kan meebrengen, afhankelijk van de keuzes en de inrichting van de aard van het te verrichten onderzoek. Het opvragen van gebruikersgegevens bij een elektronische communicatiedienst laat zich echter lastig vergelijken met onderzoek aan smartphones. In Landeck wordt niet gerept over een beperkte privacy-inbreuk, maar overweegt het HvJ EU wel dat de ernst van de inmenging met het recht op privacy en het recht op bescherming van persoonsgegevens (onder andere) afhangt van ‘de aard en de gevoeligheid van de gegevens’ waartoe de bevoegde politiediensten zich toegang kunnen verschaffen. In het geschetste scenario van een beperkte privacy-inmenging door de Hoge Raad, is het lastig na te gaan of de opsporingsambtenaar zich ook aan het beperkte onderzoek houdt.

De Hoge Raad acht het noodzakelijk dat in de aanvraag van de officier van justitie of de machtiging van de rechter-commissaris voor onderzoek aan de gegevensdrager beschreven staat welk onderzoek moet plaatsvinden, en hoe dit onderzoek moet worden uitgevoerd. Dat neemt niet weg dat er in de praktijk nog steeds sprake kan zijn van een tamelijk breed onderzoek op apparaten, zeker als niet vooraf duidelijk is welke informatie zal worden aangetroffen, terwijl deze gegevens mogelijk wel relevant kunnen zijn voor het opsporingsonderzoek. De suggestie van het Hof Den Haag van gefaseerde onderzoekshandelingen – evenals beperkingen in het aantal te onderzoeken gegevensdragers, de te onderzoeken gegevens, of de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd – zou de evenredigheid van een dergelijk onderzoek kunnen waarborgen.

In de literatuur is vooral de vraag opgeworpen of het arrest ertoe leidt dat bij het maken van een kopie (een ‘image’) van een gegevensdrager, zoals een smartphone, een machtiging van een rechter-commissaris is vereist. Ik sluit mij aan bij Taylor Parkins-Ozephius & Van Toor dat het maken van een image doorgaans een onderzoekshandeling is waarvoor een machtiging van een rechter-commissaris is vereist, omdat op voorhand redelijk is te voorzien dat een ernstige privacy-inbreuk zal plaatsvinden vanwege de verkeers- en locatiegegevens en gevoelige gegevens die zich op deze apparaten bevinden. In het bevel of in de machtiging moet vervolgens worden gemotiveerd op welke wijze het onderzoek zal plaatsvinden en waarom dat proportioneel is.

Aanpassen van wetgeving

Op 1 april 2025 heeft de Tweede Kamer ingestemd met boek 2 van het nieuwe Wetboek van Strafvordering over het opsporingsonderzoek. Artikel 2.7.38 van dit nieuwe Wetboek van Strafvordering bevat echter nog de driedeling n.a.v. de oude Smartphone-arresten. Deze driedeling is nu door de Hoge Raad vervangen door de tweedeling (de beperkte en ernstige privacy-inbreuk), met veel meer concrete categorieën van persoonsgegevens i.p.v. het criterium van ‘stelselmatigheid’ om te bepalen dat sprake is van een ernstige privacy-inbreuk. Naar aanleiding van het onderhavige arrest zal dit artikel daarom moeten worden aangepast.

Daarnaast is het belangrijk na te gaan welke consequenties het arrest moet hebben voor andere bevoegdheden (en de voorgestelde regelingen in het nieuwe Wetboek van Strafvordering) met betrekking tot het onderzoek op gegevensdragers. In het bijzonder denk ik aan de bevoegdheid tot het doorzoeken van een plaats ter vastlegging van gegevens op deze plaats die op een gegevensdrager zijn opgeslagen of vastgelegd (art. 125i Sv) en aan de netwerkzoeking in art. 125j Sv. Het ligt voor de hand hierbij hetzelfde criterium aan te leggen voor het bepalen van een ernstige privacy-inbreuk en dezelfde procedurele waarborg aan te leggen van voorafgaande toestemming van een onafhankelijke autoriteit. Zoals ik eerder in mijn annotatie met Anna Berlee bij HR 5 april 2022, ECLI:NL:HR:2022:475, Computerrecht 2022/186 heb aangegeven zou de wetgever daarbij ook een nieuwe autoriteit kunnen overwegen, in plaats van deze voorafgaande machtiging bij de rechter-commissaris te beleggen. In de tussentijd moet de praktijk geïnstrueerd worden over deze nieuwe normering voor onderzoek aan gegevensdragers. Vermoedelijk levert het een stevige verzwaring van het takenpakket van de rechter-commissaris, gezien het feit dat smartphones en andere gegevensdragers een dankbare bron aan bewijs in strafzaken lijken te zijn.

Publicatie rapport ‘Toezicht op buitenlandse inlichtingen- en veiligheidsdiensten’

25 juli 2025jjoerlemans

Van januari 2025 tot en met juli 2025 heb ik gewerkt aan een rapport over ‘Toezicht op buitenlandse inlichtingen- en veiligheidsdiensten’ (.pdf). In opdracht van de ministeries van Binnenlandse Zaken en Koninkrijksrelaties en van Defensie bracht ik het toetsings- en toezichtstelsel op de inlichtingen- en veiligheidsdiensten in kaart van Denemarken, Zweden, Frankrijk en het Verenigd Koninkrijk. Mijn buitenpromovenda Naomi Stal werkte met name aan het hoofdstuk over het Verenigd Koninkrijk.

De aanleiding voor dit onderzoek is dat deze informatie mogelijk gebruikt kan worden bij de aangekondigde wijziging van de Wet op de inlichtingen- en veiligheidsdiensten (meest recent nog genoemd in deze Kamerbrief van 17 juni 2025). In deze blog benoem ik de belangrijkste onderzoeksresultaten en licht ik toe welke bevindingen tot meer discussie (zouden moeten) leiden.

Luister eventueel ook naar de onderstaande (automatisch gegenereerde) podcasts of bekijk het rapport:

Podcast (in English, 22-minute version, with more attention to the ECtHR case law)

Podcast (in English, short 6-minute version, focusing on the main research results)

Onderzoeksresultaten

Kort gezegd heb ik eerst een normatief kader opgesteld om de toetsingsmechanismen en het toezicht op de inlichtingen- en veiligheidsdiensten in de genoemde landen in kaart te brengen. Daarbij bouwde ik voort op eerder werk van mijzelf en anderen over de vereisten voor toezicht op de inzet van bulkinterceptie. Dit kader werkt goed voor de onderzochte landen, omdat in elk van deze landen bulkinterceptie wordt uitgevoerd door nationale SIGINT-organisaties en elk land het EVRM heeft geratificeerd. Behalve Denemarken heeft ook elk land het gemoderniseerde gegevensbeschermingsverdrag Conventie 108+ ondertekend, dat óók van toepassing is op het inlichtingen- en defensiedomein.

Het toezichtmodel (zie Figuur 1 hieronder) gebruik ik vervolgens om het toezicht op de inlichtingen- en veiligheidsdiensten in Denemarken, Zweden, Frankrijk en het Verenigd Koninkrijk te beschrijven.

Figuur 1: Het stelsel van toezicht ten aanzien van bulkinterceptie

(bron: J.J. Oerlemans, ‘Toezicht op buitenlandse inlichtingen- en veiligheidsdiensten’, Universiteit Leiden 2025, p. 28)

Toezicht vooraf (ex ante)

De meeste landen hebben een onafhankelijke instantie of rechter die toestemming moet geven voor de inzet van bulkinterceptie, zoals is vereist in de ex ante-fase door het EHRM.

In Zweden voert een specialistische rechtbank een rechtmatigheidstoets uit op aanvragen voor bulkinterceptie. Kenmerkend is dat er in Zweden ook een speciaal aangestelde ‘privacyfunctionaris’ betrokken is bij dit oordeel, om de privacybelangen van betrokkenen te beschermen. Een wetsvoorstel uit 2025 moet ook in Denemarken voorzien in een voorafgaande toets door een dergelijk ‘Inlichtingenhof’. Dat ontbreekt vooralsnog in Denemarken.

Doorlopend toezicht (ex durante)

In elk van de onderzochte landen is een specialistische toezichthouder aanwezig die de rechtmatigheid van gegevensverwerkingen controleert. De toezichthouders in Denemarken, Frankrijk en het Verenigd Koninkrijk beschrijven in detail hoe zij deze ex durante-controle uitvoeren, met name door middel van geautomatiseerde controlesystemen en controle van logging via inspecties. In Frankrijk is zelfs een speciale organisatie opgericht om de specialistische toezichthouder CNCTR te faciliteren bij de toegang tot en ‘online controles’ van de systemen van de Franse inlichtingen- en veiligheidsdiensten.

Toezicht achteraf (ex post)

Elk van de onderzochte landen kent een specialistische toezichthouder voor het ex post-toezicht op inlichtingen- en veiligheidsdiensten, inclusief hun bulkinterceptieactiviteiten. Deze toezichthouders publiceren hun onderzoeksresultaten in een jaarrapport. Daarbij valt op dat niet elke toezichthouder bij het constateren van onrechtmatigheden bindende beslissingen kan nemen.

Naar aanleiding van de uitspraak Centrum för Rättvisa e.a. zijn er veel ontwikkelingen in wet- en regelgeving om verzoekers een effectief rechtsmiddel te bieden via een klachtregeling. De invulling daarvan – via een afdeling bij de toezichthouder of een speciale rechtbank – verschilt per land.

Frankrijk is het enige land waar de toets vooraf op de inzet van vergaande bevoegdheden, het toezicht tijdens en achteraf, én de behandeling van klachten zijn ondergebracht bij één en dezelfde specialistische toezichthouder op de inlichtingen- en veiligheidsdiensten. In de beslissing Association Confraternelle de la Presse Judiciare et Autres achtte het EHRM dit stelsel niet problematisch en vond het de hoger beroepsfunctie van de Conseil d’État belangrijk en goed in elkaar zitten.

In deze blog licht ik verder alleen het ex post toezicht op bulkinterceptie in Denemarken uit. De ex post-toezichtsfase in Denemarken kent aanzienlijke beperkingen. Deense wet- en regelgeving bevat geen gedetailleerde regeling voor bulkinterceptie, en de toezichthouder TET heeft geen toegang tot de ruwe gegevens die met SIGINT worden verzameld. Bovendien richt de huidige taakstelling van TET zich op de rechtmatigheid van gegevensverwerkingen van particulieren en rechtspersonen die in Denemarken verblijven. De verantwoordelijke minister van een inlichtingen- en veiligheidsdienst (FE) heeft het laatste woord over wetsinterpretaties, wat vragen oproept over onafhankelijkheid.

Een wetsvoorstel uit 2025 moet daar verandering in brengen. De toezichthouder TET zou daarbij een breder toezichtmandaat krijgen, een voorafgaande toetsing voor bulkinterceptie wordt georganiseerd, en het toezicht wordt versterkt met een ‘College van toezicht op de inzagerechten’, met bindende bevoegdheden waartegen geen beroep mogelijk is bij de rechter.

Discussie

Het rapport brengt de toetsingsmechanismen en toezichtstelsels van de genoemde landen in kaart. Het maakt dus geen vergelijking met Nederland en bevat geen waardering of evaluatie van de stelsels in andere landen. Dat betekent echter niet dat er geen lessen uit kunnen worden getrokken. Ik nodig dan ook andere onderzoekers uit om de resultaten te benutten.

Nederland staat namelijk aan de vooravond van een wijziging van de Wet op de inlichtingen- en veiligheidsdiensten, met aanpassingen in het toezichtstelsel. Daarbij kan inspiratie worden geput uit hoe deze stelsels in andere landen zijn ingericht.

Maar let wel op, zoals zo vaak geldt: the devil is in the details, en bepaalde onderzoeksresultaten verdienen nadere beschouwing. In het rapport heb ik dat slechts beperkt gedaan. Ik noem ter afsluiting enkele opvallende resultaten per land.

Zoals hierboven al aangegeven, voldoet Denemarken kortgezegd niet aan de EHRM-vereisten uit Big Brother Watch e.a.. Een recent wetsvoorstel moet dat deels repareren, maar introduceert ook bredere bevoegdheden met betrekking tot ‘bulkverzameling’ (bulkdatasets). Ook in Zweden loopt een wetsvoorstel dat de inlichtingen- en veiligheidsdiensten meer ruimte moet geven voor de verzameling en verwerking van gegevens uit bulkdatasets. In Nederland is dat onderwerp deels geregeld in de Tijdelijke Cyberwet, die op 1 juli 2024 in werking is getreden.

Van Zweden vond ik het verder opvallend dat het Nationaal Cybersecurity Centrum, net als in veel andere landen, verantwoordelijk is voor de bescherming van vitale infrastructuren en daarvoor tot op zekere hoogte internetverkeer mag monitoren. Maar er is geen specifieke wet- en regelgeving of toezicht op deze activiteiten geregeld. Verrassend is dat in Denemarken de toezichthouder TET juist wél jaarlijks moet rapporteren over de activiteiten van het NCSC. Het toezicht op nationale cybersecuritycentra noem ik dan ook als een van de mogelijkheden voor vervolgonderzoek naar aanleiding van het rapport. Alhoewel NCSC’s geen inlichtingen- of veiligheidsdienst zijn, heb ik deze wel voor elk land beschreven.

Frankrijk beschikt over gedetailleerde wet- en regelgeving en biedt (op papier) een duidelijk en effectief rechtsmiddel aan personen die menen dat inlichtingen- en veiligheidsdiensten mogelijk onrechtmatig hebben gehandeld. Opvallend is echter dat de toezichthouder CNCTR – met overigens de zeer informatieve website CNCTR.fr – géén toezicht houdt op de gegevensuitwisseling door de inlichtingen- en veiligheidsdiensten. Dat wijkt af van de praktijk in andere landen.

Het toezichtstelsel in het Verenigd Koninkrijk is eveneens interessant, met voorafgaande toetsing én doorlopend en ex post toezicht door IPCO. De wet- en regelgeving voor bulkinterceptie en toezicht is gelaagd en complex, en ziet er op papier goed uit. Tegelijkertijd werd duidelijk dat IPCO toezicht moet houden op meer dan 600 organisaties in het Verenigd Koninkrijk. De aandacht moet dan wel sterk verdeeld worden…

Ik hoop van harte dat ook andere onderzoekers kunnen voortbouwen op deze onderzoeksresultaten. Wellicht is het ook leuk en zinvol om andere landen via het model van toezicht op bulkinterceptie in kaart te brengen. Zelf hoop ik het model ook in toekomstig onderzoek nog te gebruiken. Voor nu wens ik iedereen een fijne zomer toe!