Cybercrime jurisprudentieoverzicht mei 2022

Bulk en EncroChat

Op 17 maart 2022 heeft de rechtbank Amsterdam een verdachte veroordeeld (ECLI:NL:RBAMS:2022:1273) voor onder andere drugshandel. De verdachte was werkzaam in een drugslaboratorium en had als aanspreekpunt voor de criminele organisatie een essentiële rol. Daarnaast wordt hij (mede) verantwoordelijk gehouden voor de inrichting van het laboratorium en het productieproces van de handel in cocaïne. Hij is veroordeeld voor vier jaar gevangenisstraf.

De overwegingen over privacy en bulkdata zijn met name interessant om te lezen. De rechtbank overweegt dat er geen sprake is geweest van ‘bulkdata’ in de zin van ongedifferentieerde dataverzameling (zie in soortgelijke zin ook (Rb. Noord-Holland 4 mei 2022, ECLI:NL:RBNHO:2022:3899)). Het ging hier om een afgebakende groep, namelijk de gebruikers van EncroChat, en om een concrete verdenking, namelijk dat EncroChat werd gebruikt, geheel of in overwegende mate, door deelnemers aan georganiseerde criminaliteit. Dat is een essentieel andere situatie dan bijvoorbeeld het bewaren van alle metadata van alle abonnees van een telecomprovider ten behoeve van eventuele toekomstige strafrechtelijke onderzoeken.

Zie over bulkbevoegdheden en strafvordering ook het recente artikel van M. Galič, ‘Bulkbevoegdheden en strafrechtelijk onderzoek – Lessen uit de jurisprudentie van het EHRM voor de normering van grootschalige data-analyse’, TBS&H 2022/2.7 (in een themanummer over cryptophones). In dat themanummer is onder andere ook een overzichtartikel van EncroChat-jurisprudentie te vinden (tot februari 2022): B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2 en een bijdrage van S. Royer & R. Vanleeuw, ‘Cryptofoons, privacyvriendelijke applicaties en het vermoeden van onschuld’, TBS&H 2022/2.3.

Diefstal van bitcoins

Op 7 april 2022 is een verdachte veroordeeld (ECLI:NL:RBMNE:2022:1414) voor diefstal van Bitcoins en Bitcoin Cash. De virtuele valuta had een waarde van € 120.000,-. De verdachte wordt veroordeeld voor zowel computervredebreuk als diefstal. De diefstal kwam aan het ligt toen het slachtoffer zag dat 30 Bitcoins uit zijn wallet waren weggenomen, vanaf de computer op zijn tandartsenpraktijk waar zijn blockchain-account op stond. Uit onderzoek van het IT beveiligingsbedrijf Fox IT bleek dat een ‘Remote Dekstop Protocol’ was geactiveerd op de computer, hetgeen leidde tot nader onderzoek. Uit het bewijs blijkt dat de verdachte door middel van een ‘remote desktop’-sessie toegang had verkregen tot het systeem van de aangever.

De verbalisant stelde met Chainalysis vast dat de Bitcoins uit de wallet van de aangever waren verstuurd naar een ander Bitcoin-adres. Vervolgens waren de Bitcoins opgesplitst in negen transacties. Alle transacties werden uiteindelijk naar Shapeshift.io verzonden (Shapeshift.io is een platform waar je cryptocurrencies kunt wisselen, een soort digitaal wisselkantoor, maar staat ook wel bekend als ‘Bitcoinmixer’). De rechtbank overweegt dat ‘een mixer een soort dienst is die Bitcointransacties door elkaar husselt, zodat het spoor onderbroken wordt en het traceren van de transacties vrijwel onmogelijk wordt’.

De verdachte is veroordeeld tot (slechts) een taakstraf van 240 uren en een voorwaardelijke gevangenisstraf van zes maanden, een hogere straf dan de officier van justitie had gevorderd. De rechtbank houdt bij de strafoplegging rekening met het feit dat verdachte vader is van twee jonge kinderen en een gezin te onderhouden heeft en een overschrijding van de redelijke termijn.

Arrest over controle van gegevensdragers

Op 15 maart 2022 heeft de Hoge Raad een arrest (ECLI:NL:HR:2022:338) gewezen over het stellen van bijzondere voorwaarden bij zedendelinquenten. In deze zaak ging het om de volgende voorwaarden:

“3. de veroordeelde onthoudt zich op welke wijze dan ook van het seksueel getint communiceren met minderjarigen, gedrag dat is gericht op een digitale omgeving waarin kinderpornografisch materiaal kan worden verkregen en gedrag dat is gericht op een digitale omgeving waarin over seksuele handelingen met minderjarigen wordt gecommuniceerd,

a. waarbij de veroordeelde tijdens de gesprekken met de reclassering bespreekt hoe hij denkt dit gedrag te voorkomen;

b. waarbij het toezicht op deze voorwaarde onder andere kan bestaan uit controles van computers en andere apparatuur;

c. waarbij de betrokkene meewerkt aan controle van digitale gegevensdragers tijdens een huisbezoek;”

Kortgezegd overweegt de Hoge Raad met betrekking tot de ‘Toezichtgeoriënteerde gedragsvoorwaarde’ dat er sprake moet zijn dat ‘er ernstig rekening mee moet worden gehouden dat veroordeelde wederom misdrijf zal begaan dat gericht is tegen of gevaar veroorzaakt voor onaantastbaarheid van lichaam van een of meer personen” art. 14c Sr). De door het hof gestelde bijzondere voorwaarde dat de veroordeelde ‘meewerkt aan controle van digitale gegevensdragers tijdens huisbezoek’ voldoet niet aan hiervoor genoemde eisen en is daarom in strijd met art. 14c.2.14 Sr. Zo’n voorwaarde moet volgens de Hoge Raad voldoende precies het daarin gevatte gedragsvoorschrift formuleren. Zij mag echter niet gedrag van de verdachte omvatten dat in feite overeenkomt met het meewerken aan door de politie uit te oefenen veelomvattende en ingrijpende dwangmiddelen (met verwijzing naar HR 7 juli 2020, ECLI:NL:HR:2020:1215, SR-Updates.nl 2020-0260, m.nt. J.H.J. Verbaan).

Hoewel hof voldoende duidelijk tot uitdrukking heeft gebracht dat deze bijzondere voorwaarde het toezicht op naleving van bijzondere voorwaarden beoogt te regelen, blijkt uit voorwaarde immers niet met welke frequentie en op welke wijze controles van gegevensdragers mogen worden uitgevoerd, welke functionarissen daarbij betrokken mogen zijn en hoe is gewaarborgd dat persoonlijke levenssfeer van verdachte daarbij niet verdergaand wordt beperkt dan nodig is voor beoogd toezicht. De klacht slaagt.  

Gebruik van risicoscore en veroordeling voor kinderopvangtoeslagfraude

Op 5 april 2022 veroordeelde (ECLI:NL:RBAMS:2022:1827) de rechtbank Amsterdam een verdachte voor het medeplegen valsheid in geschrift, gewoontewitwassen en als leider deelnemen aan een criminele organisatie in verband met kinderopvangetoeslagfraude. Volgens de Fiscale Inlichtingen- en Opsporingsdienst (FIOD) kunnen drie stadia bij kinderopvangtoeslagfraude worden geïdentificeerd. Het eerste stadium is het werven van aanvragers. In het eerste stadium van ‘werven’ worden personen benaderd en erop worden gewezen dat zij kinderopvang toeslag aan te vragen. De daders bieden daarbij aan te helpen en doen zich voor als belastingmedewerker. Het tweede stadium is het indienen van de aanvraag tot kinderopvangtoeslag. Aan aanvragers werd gevraagd om hun DigiD-wachtwoord, bankgegevens en andere persoonlijke gegevens af te geven. Daarvan worden valse bescheiden opgemaakt en bij de aanvraag gevoegd. In het derde stadium van betaling werd met aanvragers afgesproken welk deel van de ontvangen kinderopvangtoeslag zij moesten afdragen, aan wie zij dit moesten afdragen en hoe zij dit moesten betalen. De zaak is met name interessant vanwege de overwegingen omtrent het ‘frauderisico’ die de Belastingdienst hanteerde.

Het onderzoek met de naam ‘Bonsai’ is begonnen na een melding van het Fraudeteam van de Belastingdienst Toeslagen dat een persoon bij haar aanvraag van kinderopvangtoeslag valse bewijsstukken had aangeleverd. Naar aanleiding hiervan is onderzocht welk IP-adres is gebruikt voor die aanvraag. Het bleek dat nog voor zeven andere personen via dit IP-adres kinderopvangtoeslag te zijn aangevraagd. Naar aanleiding daarvan is ook onderzoek gedaan naar de aanvragen van deze zeven personen. Daarbij was in meerdere gevallen ook sprake van een onjuiste aanvraag waardoor onterecht kinderopvangtoeslag is uitgekeerd. Uit vervolgonderzoek is gebleken dat de aanvragen van deze zeven personen aan in totaal 23 IP-adressen zijn te koppelen. Vanaf deze 23 IP-adressen zijn in totaal voor 50 personen onjuiste aanvragen ingediend, waarbij voor ongeveer 30 personen het vermoeden bestond dat ook valse documenten waren ingestuurd.

Aan de hand van de tenaamstellingen van de IP-adressen kwamen enkele verdachten in beeld en zijn huiszoekingen gedaan. Op de laptops die zijn aangetroffen in de woningen van een aantal verdachten zijn IP-adressen aangetroffen die zijn gebruikt bij de aanvragen van kinderopvangtoeslag. Op die laptops zijn ook sporen van digitaal contact tussen de aanvragers en de Belastingdienst Toeslagen aangetroffen. Daarnaast zijn in de woning van de verdachte 11 DigiD-codes aangetroffen waarvan er vijf zijn te herleiden tot onjuiste aanvragen. Ook zijn op de telefoon en laptop van een medeverdachte chatsessies met de verdachte over kinderopvangtoeslag en betalingen aangetroffen.

De verdediging voert het interessante verweer dat uit het procesdossier valt niet af te leiden op welke basis de aanvrager is geselecteerd, zodat niet kan worden uitgesloten dat dit is gebeurd op basis van discriminatoire algoritmes. Gelet op het feit dat – indien er sprake is geweest van een selectie op basis van discriminatoire algoritmes – heeft er volgens de verdediging een ernstige schending plaatsgevonden en moet er worden overgegaan tot uitsluiting van het bewijs dat door middel van het onrechtmatige, niet onafhankelijke en niet onpartijdige onderzoek is verkregen.

In haar verweer verwijst het Openbaar Ministerie naar de brief ‘Openbaarmaking risicoclassificatiemodel Toeslagen’ van 26 november 2021, waarin de werkwijze van de Belastingdienst Toeslagen uiteen wordt gezet. Wat uit die brief in ieder geval kan worden afgeleid is dat er met algoritmes werd gewerkt bij de Belastingdienst Toeslagen en dat op basis van meerdere indicatoren werd gekomen tot een risico-score per aanvraag. Scoorde een aanvraag hoog, dan liep die aanvraag meer kans om gecontroleerd te worden. Over de wenselijkheid van de gehanteerde indicatoren is veel politiek debat gevoerd, met name ook over een indicator op het gebied van nationaliteit. ‘Persoon 1’, waarnaar wordt verwezen, had in ieder geval de Nederlandse nationaliteit. In dat geval werd er door de Belastingdienst Toeslagen geen nadere selectie gemaakt op het bestaan van een eventuele tweede nationaliteit bij de selectie van het controleren van de aanvragen kinderopvangtoeslag. De keuze om de aanvraag van ‘persoon 1’ te controleren had dus niet te maken met haar afkomst, aldus het Openbaar Ministerie.

De rechtbank overweegt dat in het rapport ‘De verwerking van de nationaliteit van aanvragers van kinderopvangtoeslag’ van juli 2020 is geconstateerd dat er met selectie op basis van nationaliteit in het model sprake was van een overtreding. Deze verwerking was niet noodzakelijk omdat er minder vergaande mogelijkheden voorhanden waren. Deze overtreding is door de Autoriteit Persoonsgegevens als discriminerend en daarmee onbehoorlijk aangemerkt. De rechtbank stelt vast dat er meerdere indicatoren voor de Belastingdienst Toeslagen waren om te bepalen of een aanvraag al dan niet als risicovol moest worden aangemerkt. Medewerkers van Toeslagen ontwikkelden het model in 2013 aan de hand van een set risico-indicatoren en op basis van voorbeelden van juiste en onjuiste toeslagaanvragen. Door het model te voeden met duizenden voorbeelden van handmatig behandelde aanvragen, herkende het model statistische verbanden tussen indicatoren en voorspelde het model op basis daarvan hoe groot het risico was op onjuistheden in de toeslagaanvragen. Het model werd daarmee in de loop van de tijd aangepast en het model leerde welke posten (on)terecht van een hoge risicoscore waren voorzien. Elke maand kregen de toeslagaanvragen die in het Toeslagen Verstrekkingen Systeem (TVS) klaar stonden voor ‘formeel beschikken’ een risicoscore van 0 tot 1. De meest risicovolle aanvragen kregen een risicoscore dicht bij 1 en de minst risicovolle aanvragen een risicoscore dicht bij 0. De indicatoren voor de kinderopvangtoeslag zagen op de situatie van de opvang (soort opvang zoals gastouder of buitenschoolse opvang, afstand tussen woon- en opvangadres) en op de situatie van de aanvrager (zoals inkomen, toeslagschulden, partner of alleenstaand, leeftijd en aantal kinderen).

Het model heeft ook gebruik gemaakt van de indicator ‘Nederlanderschap Ja/Nee’. Deze indicator was in het model opgenomen, vanwege enerzijds fraude via toeslagaanvragers zonder Nederlandse nationaliteit die in dezelfde periode als de ontwikkeling van het model speelde en anderzijds omdat medewerkers van Toeslagen de ervaring hadden dat toeslagaanvragers zonder Nederlandse nationaliteit soms moeite hadden met het aanvragen van toeslagen en er vaker fouten in hun toeslagaanvragen werden aangetroffen. Deze indicator gaf een ‘Ja’ gaf als de aanvrager de Nederlandse nationaliteit bezat, ook als daarnaast sprake was van nog een andere nationaliteit. Dus ongeacht of er sprake was van meerdere nationaliteiten, iemand met alleen de Nederlandse nationaliteit werd exact hetzelfde gescoord als iemand met een Nederlandse en andere nationaliteit. De rechtbank concludeert dat volgens de hiervoor omschreven werkwijze van de Belastingdienst Toeslagen niet verder werd geselecteerd op een eventuele tweede nationaliteit en daarmee was er op dit vlak geen sprake van een risico-indicatie. Het dossier bevat geen aanwijzingen dat discriminatoire, indicatoren zoals haar Surinaamse naam of uiterlijke kenmerken daarbij een rol hebben gespeeld.

In de beoordeling overweegt de rechtbank dat de verdachte en zijn mededaders zich op grote schaal bezighielden met het valselijk opmaken van stukken en indienen van aanvraag- en wijzigingsformulieren kinderopvangtoeslag en hebben de verkregen gelden vervolgens witgewassen. Daarmee hebben zij misbruik gemaakt van het systeem van de Belastingdienst, waarvan het doel is miljoenen ouders op een zo efficiënt mogelijke manier financieel te ondersteunen als zij gebruik maken van kinderopvang. De Belastingdienst is gedurende een lange periode voor honderdduizenden euro’s opgelicht. De verdachte wordt veroordeeld tot twee jaar gevangenisstraf, waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar.

Diefstal met geweld en digitaal bewijs

Op 18 maart 2022 verscheen er een uitspraak (ECLI:NL:RBGEL:2022:1253) over diefstal met geweld, waarbij een mix van fysiek als digitaal bewijs een belangrijke rol speelde. De zaak gaat over een verdachte en medeverdachte (haar schoonzus) die met mannen afspraken en vervolgens diefstal pleegden.

In de eerste zaak werd afgesproken via de datingsite ‘knuz.nl’. Het slachtoffer werd gedrogeerd door iets in de koffie te doen. Het slachtoffer geeft aan dat hij nog hoorde dat ‘ze’ tegen hem zeiden dat hij geld moest geven zodat ze sigaretten konden halen. Aangever heeft verklaard dat hij toen waarschijnlijk het geld heeft gepakt dat hij contant in huis had. Dat was 150 euro. Bij het sporenonderzoek in de woning aan van aangever te Heerewaarden hebben verbalisanten een restje koffie, dat nog in de mok zat waaruit aangever had gedronken, in beslag genomen. Daarvan is een monster genomen. Ook van koffiebekers van de vrouwen die op bezoek waren is een monster afgenomen. Het Nederlands Forensisch Instituut (NFI) heeft die monsters onderzocht en heeft vastgesteld dat het monster van het restant koffie benzodiazepinen (te weten temazepam en oxazepam) bevatte. Door het NFI is gerapporteerd dat benzodiazepines stoffen zijn die een kalmerende, slaapverwekkende en spierverslappende werking hebben. Op de koffiemokken is ook DNA gevonden die een match opleverde met een DNA-profiel van de medeverdachte.

Bij een tweede slachtoffer werd context gelegd via ‘Lexa.nl’ en gebeurde iets soortgelijks. Bij hem werden dure goederen gestolen. In de tweede zaak werd een onderzoek ingesteld naar de historische telecommunicatiegegevens van het mobiele telefoonnummer en bijbehorend imei-nummer. Uit die gegevens is vast komen te staan dat, op twee gesprekken na, tijdens alle verkregen gesprekken gebruik werd gemaakt van de zendmast op een bepaald adres in Zeist, dat binnen de zendrichting van de zendmast valt. Bovendien zijn de ‘de Lexa-profielen uitgevraagd’. Een van de accounts maakte gebruik van ene IP-adres stond die ‘op naam stond van de verdachte’.

Bij het derde slachtoffer werd contact gelegd via de site ‘NL-Date’. Bij hem zijn dure horloges gestolen na een bezoek. Ook daarbij leidde een monster van een kopie tot een DNA-match met de verdachte op. Het ‘gebruikers ID’ bij NL-Date maakte bovendien gebruik van het IP-adres op naam van verdachte en op naam van haar schoonzus.

De rechtbank acht de diefstal bij de drie slachtoffers bewezen en overweegt dat het tenlastegelegde op grond van artikel 81 Sr kan worden bewezen, omdat het toedienen van een dergelijk middel als een vorm van geweld kan worden beschouwd. Het slachtoffer is in een staat van bewusteloosheid of onmacht is gebracht, waardoor de fysieke macht tot weerstand is gebroken.

De verdachte in de onderhavige zaak werd veroordeeld voor 12 maanden gevangenisstraf, waarvan 8 maanden voorwaardelijk.

Themanummer over cryptophones

In mei 2022 is een themanummer over cryptophones verschenen in het Tijdschrift voor Bijzonder Strafrecht en Rechtshandhaving (TBS&H). Het themanummer bevat hele actuele en relevante bijdragen (zie het overzicht hieronder).

In het artikel die ik samen met Bart Schermer heb geschreven bieden we een overzicht en analyse van de EncroChat-jurisprudentie (tot en met februari 2022). Daarnaast heb ik een annotatie geschreven over de veroordeling van de oprichter van Ennetcom.

Veel bijdragen zijn van collega’s van de Universiteit Utrecht. Met speciale dank voor de inspanningen van Dave van Toor die het themanummer heeft gecoördineerd!

Inhoudsopgave:

D.A.G. van Toor, ‘Het enkele gebruik van cryptophones als basis voor procesrechtelijke concepten’, TBS&H 2022/2.1

B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2

S. Royer & R. Vanleeuw, ‘Cryptofoons, privacyvriendelijke applicaties en het vermoeden van onschuld’, TBS&H 2022/2.3

D.A.G. van Toor, ‘Het gebruik van resultaten uit de Encro­Chat-­hack in de Duitse strafrechtspleging’, TBS&H 2022/2.4

L.W. Verbeek & T. Beekhuis, ‘Executieve jurisdictie: het (grote) obstakel in grensoverschrijdende opspo­ringsonderzoeken naar (gebruikers van) cryptoaanbieders?’, TBS&H 2022/2.5

M.M. Egberts, ‘De reikwijdte van het inzagerecht en ‘equality of arms’ in het licht van grote datasets, Hansken en toekomstige ontwikkelingen’, TBS&H 2022/2.6

M. Galič, ‘Bulkbevoegdheden en strafrechtelijk onderzoek. Lessen uit de jurisprudentie van het EHRM voor de normering van grootschalige data-analyse’, TBS&H 2022/2.7

Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (Oprichter van cryptotelefoonaanbieder Ennetcom veroordeeld)

Reactie internetconsultatie Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma

Tot 17 april 2022 kan je reageren op internetconsultatie.nl op het wetsvoorstel ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’.

Het wetsvoorstel is belangrijk, omdat het nieuwe bepalingen bevat met betrekking tot de hackbevoegdheid en onderzoeksopdrachtgerichte interceptie (bulkinterceptie). Het idee is toezicht deels te verleggen van vooraf naar toezicht tijdens en achteraf. Op die manier wordt de diensten meer flexibiliteit en meer armslag gegeven. Ook wordt een beroepsprocedure geïntroduceerd bij de Afdeling bestuursrechtspraak van de Raad van State.

Het betreffen wijzigingen in een tijdelijke wet gedurende vier jaar, maar het zijn desalniettemin hele belangrijke wijzigingen. Dat maakt volgens ons een tussentijdse evaluatie noodzakelijk voor de aankomende grote wetswijziging van de Wet op de inlichtingen- en veiligheidsdiensten 2017. In onze reactie (.pdf) op internetconsultatie gaan we verder in op de reikwijdte van het wetsvoorstel, de inzet van de hackbevoegdheid in het kader van strategische operaties en het voorgestelde beroepsstelsel.

Kortgezegd vinden we dat de reikwijdte van het wetsvoorstel beter moet worden omgeschreven en de ministers ook zouden moeten reageren op wat de rol van de diensten is bij criminele groeperingen die de nationale veiligheid bedreigen, bijvoorbeeld door de inzet van ransomware. Ook vinden we dat de inzet van de hackbevoegdheid in de context van ‘strategische operaties’ beter moet worden uitgelegd. Willen de ministers misschien aansluiten bij het concept van ‘active cyber defense’? Dan kan dat ook beter worden omschreven.

Ten slotte vinden we dat de beroepsprocedure bij de Afdeling niet voldoende wordt uitgewerkt in het wetsvoorstel. De noodzaak van de beroepsprocedure en de verhouding met de Awb en de Procesregeling met de mogelijkheid van de inzet van deskundigen en amicus curiae, moet duidelijker. Ook bevelen we aan eens over de grens te kijken hoe bijvoorbeeld de ‘Foreign Intelligence Surveillance Court’ (FISC) te werk gaat.

Jan-Jaap Oerlemans & Sophie Harleman

Over het strafbaar stellen van spionage

Vorige week is een interview met mij (‘Q&A met hoogleraar Jan-Jaap Oerlemans‘) verschenen over de plannen van het kabinet om ‘spionage strafbaar te stellen’.

In het interview geef ik aan dat veel delicten al van toepassing kunnen zijn op de situatie dat een persoon gegevens verstrekt aan een ander persoon (mogelijk een inlichtingenofficier van een andere staat).

Daarbij kan je denken computerdelicten die van toepassing kunnen zijn bij het verzamelen van die gegevens, zoals computervredebreuk (art. 138ab Sr) en – met name ook – het verspreiden van niet-openbare gegevens (artikel 138c Sr). Dat laatste artikel is nog tamelijk recent ingevoerd met de inwerkingtreding van de Wet computercriminaliteit III op 1 maart 2019.

Ook kan je denken aan de huidige bepalingen met betrekking tot het openbaren van staatsgeheimen (artikel 98 Sr e.v.), ambtelijke omkoping (artikel 272 Sr) of het openbaren van bedrijfsgeheimen (artikel 273 Sr).

Gezien deze bepalingen is het belangrijk dat de minister van Justitie & Veiligheid goed uitlegt waarom de wetswijzigingen noodzakelijk zijn. Op het eerste gezicht zie ik de noodzaak niet zo, behalve dat gedacht kan worden aan hogere maximale gevangenisstraffen, omdat het dan eenvoudiger wordt bepaalde bijzondere opsporingsbevoegdheden in te zetten.

In het interview gaf ik aan dat het belangrijk is dat het openbaar ministerie in de beslissing om te vervolgen in oogmerking moet nemen of er sprake is van een klokkenluidersituatie en of het in het belang van Nederland is om vervolging in te stellen, of dat het bijvoorbeeld beter is een buitenlandse spion het land uit te zetten.

== UPDATE ==

Op 28 februari 2022 is het wetsvoorstel en de memorie van toelichting op internetconsultatie.nl verschenen (tot en met 25 april 2022 kan men reageren).

Mijn eerste indruk: in het wetsvoorstel komen enkele nieuwe strafbaarstellingen die strafbaar stellen: ‘het verrichten van handelingen voor een buitenlandse mogendheid of inlichtingen of een voorwerp te verstrekken’, als de verdachte weet dat

daarvan gevaar is te duchten voor de veiligheid van de staat, van zijn bondgenoten of van een volkenrechtelijke organisatie, voor de vitale infrastructuur, voor de integriteit en exclusiviteit van hoogwaardige technologieën, of voor de veiligheid van een of meer personen.

De ratio van het conceptwetsvoorstel is dat ‘het strafrecht op dit moment nog onvoldoende mogelijkheden biedt om op te treden tegen spionageactiviteiten waarbij geen sprake is van een schending van (staats-, ambts- of bedrijfs-) geheimen, maar die wel de Nederlandse belangen ernstig schaden, of waarbij andere schadelijke handelingen worden verricht dan het verstrekken van informatie’. De voorgenomen wetswijzigingen zijn ook van belang om de Nederlandse strafwetgeving op een gelijkwaardig niveau te houden met de wetgeving in andere Europese landen.

Ook wordt een strafverzwaring geïntroduceerd als computerdelicten worden gepleegd met – eenvoudig gezegd – het oogmerk van spionage. Het gaat daarbij in het bijzonder om aanpassingen van het delict over het overnemen van niet-openbare gegevens (artikel 138b Sr) en het overnemen van gegevens na computervredebreuk (artikel 138ab Sr).

Ik ga het conceptwetsvoorstel uiteraard verder bestuderen, maar ik ben benieuwd wat anderen ervan vinden. Dus een mail of een comment is altijd welkom!

Cybercrime jurisprudentieoverzicht februari 2022

Hoge Raad wijst arrest over ddos-aanvallen

Op 24 december 2021 heeft de Hoge Raad een arrest (ECLI:NL:HR:2021:1944) gewezen over ddos-aanvallen. Het arrest gaat met name over het begrip ‘geautomatiseerd werk’ in de zin van art. 80sexies (oud) Sr in de context van het delict voor ddos-aanvallen (artikel 138b Sr).

De raadsman had in de zaak in eerste aanleg aangevoerd dat op grond van het voorliggende dossier niet kan worden vastgesteld dat ten gevolge verdachtes gedragingen aanvallen zijn uitgevoerd op een bepaalde website en dat de toegang tot die website daardoor daadwerkelijk is belemmerd.

Het Hof overwoog dat om van ‘het belemmeren van het gebruik van een geautomatiseerd werk’ te kunnen spreken, het is vereist dat vast komt te staan dat het gebruik van het desbetreffende geautomatiseerd werk daadwerkelijk wordt belemmerd. Uit de bewijsmiddelen volgt naar het oordeel van het hof dat de website door verdachtes toedoen meermalen is aangevallen door middel van een DDoS-aanval én dat de toegang tot die website daardoor (tijdelijk) metterdaad belemmerd is geweest. Dat het de verdachte kennelijk niet is gelukt om de website volledig en voor een lange periode ‘uit de lucht te halen’, doet hier niet aan af: ook een lijdelijke belemmering van de toegang tot de website is voldoende om tot een bewezenverklaring van het primair tenlastegelegde te kunnen komen. Het hof verwerpt daarop het verweer.

In het oude begrip van ‘geautomatiseerd werk’ (art. 80sexies Sr (oud)) was vereist dat het werk drie functies vervult, te weten opslag, verwerking en overdracht van gegevens. Niet alleen zelfstandige apparaten die aan deze drievoudige eis voldoen, zijn geautomatiseerde werken, maar ook netwerken, bestaande uit computers die door middel van via het internet verspreide software met elkaar zijn verbonden en/of telecommunicatievoorzieningen vallen onder dat begrip, evenals delen van zulke geautomatiseerde werken (HR 26 maart 2013, ECLI:NL:HR:2013:BY9718, NJ 2013/468, m.nt. Reijntjes en HR 22 februari 2011, ECLI:NL:HR:2011:BN9287, NJ 2012/62, m.nt. Keijzer (opmerking JJO: ter zijde: waarom verwijst de HR alleen naar een NJ met annotatie, maar niet naar anderen en niet het ECLI-nummer?). Een belemmering van de werking van een computerprogramma waarmee een of meer van die functies, kan worden aangemerkt als een belemmering van de werking van dit geautomatiseerd werk.

Het hof heeft vastgesteld dat de verdachte via een bepaalde website zestien ddos-aanvallen heeft laten uitvoeren op een andere website, en dat de toegang tot de website ‘internetsite 2’ door deze aanvallen daadwerkelijk (tijdelijk) belemmerd is geweest. Op grond hiervan heeft het hof bewezenverklaard dat de verdachte de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd. In het licht van de onder r.o. 2.5 en r.o. 2.6 weergegeven wetsgeschiedenis en gelet op wat onder r.o. 2.7 is vooropgesteld, geeft dit oordeel niet blijk van een onjuiste rechtsopvatting. Het is ook niet onbegrijpelijk, in aanmerking genomen dat de instandhouding van een actieve website vereist dat een geautomatiseerd werk in de onder 2.7 bedoelde zin in werking is, en dat het uitvoeren van een DDoS-aanval de toegang tot die website belemmert, wat meebrengt dat daardoor ook de werking van dit geautomatiseerd werk, voor zover het de functionaliteit van die website in stand houdt, wordt belemmerd. Om deze reden faalt het cassatiemiddel.

Opmerking JJO: mij ontgaat om eerlijk te zijn het nut van dit arrest. Het is vrij onduidelijk opgeschreven (zeker vergeleken met arresten van het Amerikaanse Hooggerechtshof). Het gedoe over het begrip geautomatiseerd werk vind ik ook wat vermoeiend. Het is toch niet zo lastig in een tenlastelegging op te schrijven waarin je opschrijft dat een ‘server’ is platgelegd in de zin van artikel 138b Sr? Uiteraard ben ik benieuwd als mensen de waarde van het arrest beter kunnen duiden :-).

== Update ==

In NJ 2022/124 legt prof. em. Reijntjes (ook in soms onduidelijk en ouderwets taalgebruik) uit dat hier het punt is dat de Hoge Raad in dit arrest door middel van een teleologische interpretatie van de wet het begrip ‘geautomatiseerd werk’ verruimt en van toepassing verklaart op websites:

“De rechtszekerheid (lex certa!) lijkt hierbij niet in het geding; voor een gewoon burger, die wist dat art. 138bis Sr specifiek tegen DDos-aanvallen gericht was, kan het niet als een verrassing zijn gekomen dat de Hoge Raad dat voorschrift dan ook werkelijk in die zin leest. Het zijn alleen de juristen, die schrikken van een teleologische interpretatie, die de letter van de wet opzij schuift.”

Het roept inderdaad wel de vraag op of dan ook kan worden volgehouden dat een ‘account’ niet als geautomatiseerd werk kwalificeert, zoals het Hof Den Haag in september 2020 nog in een arrest duidelijk maakte.

Veroordelingen voor ddos-aanvallen

In januari 2022 waren er een aantal opvallende veroordelingen voor ddos-aanvallen. De zaak van de rechtbank Den Haag (ECLI:NL:RBDHA:2022:22) liet lang op zich wachten, omdat de verdachte op 1 februari 2018 in verzekering was gesteld en pas op 22 februari 2022 eindvonnis wijst.

De verdachte heeft zich gedurende een periode van acht maanden schuldig gemaakt aan het plegen van een groot aantal DDoS-aanvallen op webservers van banken, bedrijven en overheidsinstanties. De rechtbank oordeelt dat er met de handelingen van de verdachte een gemeen gevaar voor goederen en voor de verlening van diensten te duchten was (zoals is vereist voor het delict in artikel 161sexies Sr). Zij verwijst daartoe naar het arrest van de Hoge Raad van 22 februari 2011, ECLI:NL:HR:BN9287, waarin is geoordeeld dat onder ‘gemeen gevaar’ mede wordt verstaan het gevaar voor een ongestoorde dienstverlening aan een onbestemd, doch aanmerkelijk aantal afnemers. Uit de bewijsmiddelen die zijn opgenomen in bijlage II blijkt dat er voor een (groot) aantal afnemers van diensten en goederen een verstoring is opgetreden, dan wel kon optreden tijdens de ddos-aanvallen van de verdachte.

Vanwege de forse overschrijding van de redelijk termijn krijgt de verdachte verder geen gevangenisstraf, maar een werkstraf van 200 uur. De forse vorderingen van materiele schade (oplopend tot ruim 8 ton) worden door de rechtbank niet toegewezen. Met betrekking tot de hoogte van de schade is de rechtbank met de officier van justitie en de verdediging van oordeel dat deze, mede gelet op de gemotiveerde betwisting daarvan, vooralsnog onvoldoende is onderbouwd. Nader onderzoek is noodzakelijk en dit levert naar het oordeel van de rechtbank een onevenredige belasting van het strafgeding op. Zij verklaart daarom de benadeelde partijen niet-ontvankelijk in de vordering. De vordering kan bij de burgerlijke rechter worden aangebracht.

De Rechtbank Den Haag veroordeelde verder op 4 januari 2022 (ECLI:NL:RBDHA:2022:22) een man van twintig voor DDoS aanvallen op mijnoverheid.nl en overheid.nl in maart 2020, als gevolg waarvan deze websites tijdelijk niet bereikbaar waren. Deze aanvallen zijn te kwalificeren als gericht tegen een geautomatiseerd werk behorende tot de vitale infrastructuur (artikel 138b Sr), waarbij ook een gemeen gevaar voor de verlening van diensten was te duchten (artikel 161sexies Sr). Ook wordt de verdachte veroordeeld voor bedreiging met de dood van politieagenten.

De raadsman had vrijspraak bepleit omdat uit het procesdossier niet blijkt dat de handelingen van de verdachte daadwerkelijk een stoornis in de gang of werking van de webserver van overheid.nl hebben veroorzaakt (feit 1) of de toegang tot en het gebruik van deze webserver hebben belemmerd (feit 2). Voor zover dit zou blijken uit het rapport van Solvinity van 26 maart 2020, dat als bijlage bij de vordering van de benadeelde partij is gevoegd, kan de rechtbank dit rapport volgens de raadsman niet gebruiken voor het bewijs. Het rapport is namelijk zeer kort voor de terechtzitting in het geding gebracht en niet geverifieerd door opsporingsambtenaren aan de hand van een ambtsedig opgemaakt proces-verbaal, aldus de verdediging.

In dit kader is het van belang op te merken dat het Hof Den Haag op 27 januari 2022 in twee arresten (ECLI:NL:GHDHA:2022:57, ECLI:NL:GHDHA:2022:58) zich heeft uitgesproken over de toelaatbaarheid van het verrichten van het voorbereid onderzoek door en in opdracht van een verzekeringsmaatschappij. De rechtbank heeft eerder de officier van justitie niet-ontvankelijk verklaard in twee zaken, omdat in deze zaken is het voorbereidend onderzoek verricht door en in opdracht van verzekeringsmaatschappijen. In dat geval vindt vervolging plaats, zonder dat van opsporing sprake is geweest. Volgens het hof wordt daarmee een fundamentele inbreuk gemaakt op het strafvorderlijk systeem, dat vereist dat vervolging plaatsvindt naar aanleiding van een opsporingsonderzoek. Opsporing gebeurt onder gezag van de officier van justitie door ambtenaren, die bij de wet zijn aangewezen (zie artikelen 132a, 141 en 167 van het wetboek van strafvordering). Deze bepalingen vormen het fundament voor een integere en onafhankelijke rechtspraak die de waarheidsvinding tot doel heeft. Door een inbreuk hierop te maken, is het wettelijk systeem in de kern geraakt, aldus het hof. Het gevolg daarvan is dat de officier van justitie in deze zaken niet ontvankelijk is verklaard. Het verdient de voorkeur als resultaten van onderzoek door een verzekeringsmaatschappij inhoudelijk worden getoetst en vervolgens worden ingebracht in het opsporingsonderzoek dat onder gezag van de officier van justitie staat, voor het dossier aan de rechter wordt aangeboden.   

In de onderhavige zaak is de rechtbank van oordeel dat het rapport van Solvinity wel degelijk kan worden gebruikt voor het bewijs. Het is een geschrift dat aan het dossier is toegevoegd en ter terechtzitting is besproken. Naar vaste rechtspraak van de Hoge Raad verzet geen rechtsregel zich in een dergelijk geval tegen het gebruik daarvan als bewijsmiddel. Geen rechtsregel gebiedt voorts dat een dergelijk rapport zou moeten worden geverifieerd door een opsporingsambtenaar. De inhoud van het rapport biedt voorts geen enkele aanleiding om de betrouwbaarheid of juistheid daarvan in twijfel te trekken.

Bij het bepalen van de straf in de ddos-zaak houdt de rechtbank onder meer rekening met de omstandigheid dat de DDoS zijn gepleegd in de beginfase van de coronapandemie, toen veel mensen behoefte hadden aan de informatie van de overheid over de verspreiding van het virus en de maatregelen ter bestrijding daarvan door de overheid. De rechtbank houdt bij de straftoemeting tevens rekening met ‘sterke aanwijzingen voor persoonlijkheidsproblematiek’, de jonge leeftijd van de verdachte, zijn houding tijdens de zitting en een blanco strafblad. De rechtbank legt de verdachte een voorwaardelijke gevangenisstraf op van drie maanden, een onvoorwaardelijke taakstraf van 120 uur, een proeftijd van drie jaar, alsmede een schadevergoeding van € 9.213,75.

Veroordeling voor aankoop wapen via het darkweb van een undercoveragent

De rechtbank Noord-Nederland heeft op 17 februari 2022 een verdachte veroordeeld (ECLI:NL:RBNNE:2022:402) voor een poging tot het voorhanden krijgen van een vuurwapen op grond van de Wet wapens en munitie. De verdachte is op het darkweb op zoek gegaan naar een wapen en heeft vervolgens via Protonmail contact had gelegd met een undercoveragent (en niet met een wapenleverancier).

De bewijsoverwegingen zijn interessant om te lezen. Zo is te lezen dat de ‘blijkens door Google verstrekte gegevens’ het Gmailadres was aangemaakt middels een Sloveens IP-adres, door een gebruiker met een accountnaam van de verdachte. Het emailadres [emailadres] @gmail.com is gekoppeld aan een Skype-account met de username [verdachte] en de locatie Slov.Konjice, Slovenia. Blijkens onderzoek in politiesystemen verblijft op het adres [straatnaam] te [woonplaats], een man genaamd [verdachte], geboren op [geboortedatum] 1976 te [geboorteplaats] (voormalig Joegoslavië, nu Slovenië). De gesprekken tussen de undercoveragent en de verdachte zijn als proces-verbaal bijgevoegd en te lezen in te uitspraak. Na verloop van tijd ging de communicatie over naar protonmail en werd de prijs van 1500 euro voor een vuurwerpen van het merk Beretta, type 92 FS in het kaliber 9×19 millimeter.

De rechtbank oordeelt dat sprake is van het begin van een uitvoering, gericht op de aankoop en daarmee het voorhanden krijgen van het betreffende vuurwapen. Het feit dat de verkoop niet is doorgegaan is enkel gelegen in de omstandigheid dat de verkoper een infiltrant van de politie betrof en niet doordat verdachte de koop niet wilde doorzetten. Bovendien acht de rechtbank de verklaring van verdachte dat hij enkel nieuwsgierig was gelet op bovenstaande bewijsmiddelen, in het bijzonder de inhoud van de door hem verstuurde berichten, ongeloofwaardig.

De rechtbank overweegt dat het ongecontroleerde bezit van een vuurwapen roept een onaanvaardbaar gevaar voor de veiligheid van anderen in het leven. Het blijft de vraag wat de verdachte van plan was met het wapen, omdat hij daarover geen openheid van zaken heeft willen geven. De rechtbank rekent dit verdachte ernstig aan. De rechtbank veroordeelt verdachte tot een gevangenisstraf voor de duur van zes maanden waarvan drie maanden voorwaardelijk met een proeftijd van twee jaren. De rechtbank acht het geldbedrag van €1.500,- vatbaar voor verbeurdverklaring nu het geldbedrag aan verdachte toebehoort en het bestemd was voor het begaan van het bewezenverklaarde feit (het betrof immers het aankoopbedrag voor het wapen).

Veroordelingen voor wraakporno

Op 1 februari 2022 heeft de rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2022:294) voor dwang, wraakporno en afdreiging.

De verdachte ontmoette het slachtoffer via ‘Yubo’, een soort dating app. De verdachte verspreidde een filmpje via Telegram van een meisje dat zichzelf bevredigd. Dit was niet het slachtoffer, maar de verdachte deed alsof zij dat was en verspreidde haar profiel van Instagram en Snapchat in hetzelfde kanaal, samen met (niet-naakt)foto’s die zij naar de verdachte had verstuurd. De tekst bij het bericht was: “[slachtoffer 2] uit [woonplaats], zit op school in [plaats] en hockeyt ook nog, deze vieze kk kebber ligt wekelijks met een andere boy in bed en vind dat nog leuk ook, maak de helemaal kapot deze kleine kanker hoer [telefoonnummer]”. De Telegramgroep had op dat moment 88.215 leden.

De rechtbank overweegt dat uit de verklaring van aangeefster en uit de app-gesprekken volgt dat de verdachte het slachtoffer dwong om contact met hem te houden en dreigde haar toekomst te verpesten en haar gegevens online te plaatsen als aangeefster hem niet zou deblokkeren. Het ten laste gelegde delict dwang ten opzichte van het eerste slachtoffer is daarmee wettig en overtuigend bewezen.

Ten opzichte van een tweede slachtoffer heeft de verdachte zich schuldig gemaakt aan afdreiging door haar te dwingen naaktfoto’s en -filmpjes van zichzelf aan hem te sturen, onder de bedreiging dat hij anders haar foto’s zou gaan lekken op Telegram. Het minderjarige slachtoffer heeft vervolgens onder die druk meerdere naaktfoto’s en -filmpjes van zichzelf aan verdachte gestuurd. Het openbaar maken van de video in de appgroep ziet de rechtbank als wraakporno, omdat de filmpjes van seksuele aard waarop een onbekend gebleven persoon te zien is en de daarbij geplaatste foto’s van het account van het slachtoffer, nadeel opleveren voor het tweede slachtoffer.

De verdachte wordt veroordeeld tot een jeugddetentie van 210 dagen (met aftrek van voorarrest) en een proeftijd van twee jaren. Ook krijgt de verdachte voor drie jaar een vrijheidsbeperkende maatregel (contactverbod) opgelegd.

De rechtbank Den Haag heeft op 26 januari 2022 een verdachte veroordeeld (ECLI:NL:RBDHA:2022:467) voor identiteitsfraude, belaging, ‘sextortion’ (afdreiging) en wraakporno. De verdachte heeft zich schuldig gemaakt aan identiteitsfraude door de gegevens van zijn ex-partner [slachtoffer] te misbruiken bij het afsluiten van een telefoonabonnement bij KPN, bij een bestelling van een iPhone 12 Pro en het aanmaken van een account op de website Werksters.nl. Door haar gegevens te gebruiken heeft hij haar overlast en nadeel bezorgd.

De verdachte dreigde een tweede slachtoffer dat zij toegangstickets voor Decibel aan hem moest sturen, omdat anders seksfilmpjes zouden worden verspreid. Hoewel het slachtoffer aan dit dreigement toegaf, heeft de verdachte die desbetreffende seksfilmpjes aan verscheidene vrienden van het slachtoffer gestuurd. De verdachte heeft aangevoerd dat het iemand anders moet zijn geweest die deze berichten heeft verstuurd, omdat zijn Instagram account gehackt is geweest. Deze bewering houdt naar het oordeel van de rechtbank geen stand. De rechtbank acht onaannemelijk dat een ander zich niet alleen heeft uitgegeven als de verdachte, maar ook toegang heeft gehad tot zijn telefoon, Instagramaccount en mailaccount. Dat deze persoon bovendien de beschikking heeft gehad over de betreffende seksfilmpjes die op de telefoon van verdachte stonden, acht de rechtbank volstrekt onaannemelijk.

De rechtbank overweegt ook of sprake is van belaging (zoals bedoeld in artikel 285d Sr). Bij de beoordeling van de vraag of sprake is van belaging als bedoeld in art. 285b, eerste lid, Sr zijn verschillende factoren van belang, te weten de aard, de duur, de frequentie en de intensiteit van de gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer (HR 29 juni 2004, ECLI:NL:HR:2004:AO5710; HR 4 november 2014, ECLI:NL:HR:2014:3095). Uit de verklaringen van het tweede slachtoffer blijkt duidelijk dat zij geen contact wilde met de verdachte en dat zij hem meerdere malen heeft verzocht om haar met rust te laten. Ook heeft zij hem op een bepaald moment op WhatsApp en Instagram geblokkeerd. De verdachte zelf wist ook dat zij geen contact met hem wilde, zo heeft hij bij de rechter-commissaris verklaard dat zij hem negeerde, maar dat hij toch contact bleef zoeken. De verdachte had zodoende moeten begrijpen dat hij geen contact meer moest opnemen met het slachtoffer. Het enkele feit dat slachtoffer in de tenlastegelegde periode eenmalig zelf contact heeft gezocht met de verdachte doet hier niet aan af. Het handelen van de verdachte heeft een grote impact gehad op het persoonlijk leven van slachtoffer.

De rechtbank is van oordeel dat de aard, duur, frequentie en intensiteit van de hiervoor vastgestelde gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer – naar objectieve maatstaven bezien – zodanig zijn geweest dat van een stelselmatige inbreuk op haar persoonlijke levenssfeer sprake is geweest. Deze inbreuk was bovendien wederrechtelijk.

De rechtbank acht daarmee bewezen dat de verdachte zich aan de ten laste gelegde belaging schuldig heeft gemaakt. De rechtbank legt aan de verdachte een gevangenisstraf op voor de duur van acht maanden, met als bijzondere voorwaarden een contactverbod en een locatieverbod.

Overzicht cryptophone-operaties

Zo’n drie jaar geleden, in november 2018, verscheen het eerste persbericht op OM.nl over het veiligstellen van berichten die zijn verstuurd met ‘cryptotelefoons’ (ook wel ‘PGP-telefoons’ genoemd).

De beschikbare informatie over de operaties die zich richten op het veiligstellen van de berichten die via de apps zijn verstuurd heb ik in de afgelopen maanden de volgende blogberichten hieronder op een rijtje gezet.

  1. Ennetcom (2016)
  2. PGP Safe (2017)
  3. Ironchat (2017)
  4. EncroChat (2020)
  5. Sky ECC (2020)

Waarom een overzicht?

Anno 2021 zijn er al meer dan 200 uitspraken beschikbaar op rechtspraak.nl met veroordelingen van criminelen, waarbij bewijs uit de cryptotelefoons een belangrijke rol speelt. In de media worden de berichten ook wel een ‘goudmijn aan bewijs’ genoemd en de gegevens vormen een game changer voor de politie. Strafrechtadvocaten trekken vaak de rechtmatigheid van de operaties in twijfel, maar vooralsnog lijkt de verdediging bot te vangen.

De operaties zijn blijkbaar bijzonder belangrijk voor de strafrechtpraktijk en toch is er relatief weinig bekend over de operaties. Ook geniet het nog vrij weinig aandacht van strafrechtwetenschappers.

De grote hoeveelheid jurisprudentie en onduidelijkheid over de ‘wat’, ‘wanneer’ en ‘hoe’-vragen vormde voor mij aanleiding een overzicht te maken (ook voor mijzelf voor toekomstige publicaties). Daarbij heb ik mij gebaseerd op persberichten van het OM, de politie en rechtspraak.

Wat en wanneer

  1. Ennetcom (2016)

Leverancier van cryptotelefoons met apps op een Blackberry telefoon. Oprichters van het bedrijf zijn uiteindelijk veroordeeld voor deelname aan een criminele organisatie, gewoontewitwassen en medeplegen van valsheid in geschrifte. Tijdens de operatie zijn 3,6 miljoen berichten veiliggesteld.

Leverancier van cryptotelefoons met apps op Android en Blackberry toestellen. Oprichters bedrijf worden verdacht van onder meer witwassen, overtreding van de Telecommunicatiewet en valsheid in geschrifte. Tijdens de operatie zijn 700.000 berichten veiliggesteld.

Leverancier van Wileyfox-telefoons met Ironchat-app er op. Onderzoek gericht op de oprichters van het bedrijf (verdenkingen nog onduidelijk). Tijdens de operatie zijn 258.000 berichten veiliggesteld.

Leverancier van cryptotelefoons met EncroChat (en andere Encro) apps. Redelijk vermoeden dat Encro en de gebruikers zich in georganiseerd verband schuldig maakten aan witwassen, deelname aan criminele organisaties, etc. Tijdens de operatie zijn 25 miljoen berichten veiliggesteld.  

Leverancier van cryptotelefoons met Sky ECC app. Sky ECC en de daaraan gelieerde (natuurlijke) personen verdacht van deelname aan een criminele organisatie en (gewoonte)witwassen.  Tijdens de operatie zijn honderden miljoenen berichten veiliggesteld.  

Hoe

1.      Ennetcom (2016)
Via een rechtshulpverzoek aan Canada, met machtiging van een Canadese rechter. NL grondslag: 125i Sv. Canadese rechter verbond voorwaarden aan verstrekking en gebruik van gegevens aan Nederlandse opsporingsinstanties.  
 
2.      PGP Safe (2017)
Via een rechtshulpverzoek aan Costa Rica, met assistentie van Nederlandse politie. Machtiging voor bevel tot binnentreden, de doorzoeking en de beslaglegging afgegeven door het Gerecht in Strafzaken van het Eerste District San Jose. Aan de verstrekking van de veilig gestelde gegevens zijn geen beperkingen aan Nederland opgelegd.
 
3.      Ironchat (2017)
Via Europees Opsporingsbevel aan het Verenigd Koninkrijk en verstrekking van een kopie van de server (een image). Parallel onderzoek voor VK-autoriteiten. Zij hebben gegevens verstrekt aan Nederland, zonder beperkingen. Grondslag strafvordering voor operatie onduidelijk.
 
4.      EncroChat (2020)
Via JIT. Franse autoriteiten verzamelden gegevens met inzet “interceptietool”.  Extra machtiging voor inzet hackbevoegdheid (126uba Sv) op verdachten met verdenking van betrokkenheid/beramen van het plegen van misdrijven in georganiseerd verband. Beperkingen en vereisten aan onderzoek opgelegd door Nederlandse rechter-commissaris in een machtiging voor het onderzoeken van gegevens van Nederlandse ingezetenen.
 
5.      Sky ECC (2020)
Via JIT. Franse autoriteiten vergaren gegevens met inzet “interceptietool”. Door Nederlandse opsporingsambtenaren is technische expertise en/of bijstand geleverd met betrekking tot de ontwikkeling en plaatsing van de tool. De in Frankrijk vergaarde informatie is aanvankelijk vrijwillig op basis van artikel 26 van het Cybercrimeverdrag gedeeld met het Nederlandse Openbaar Ministerie. Later zijn ook machtigingen Nederlandse rechter-commissaris verleend. De vorderingen en machtigingen zagen op de toepassing van de artikelen 126t lid 1 en 126t lid 6 Sv (onderzoek communicatie door middel van een geautomatiseerd werk bij georganiseerde criminaliteit) en later ook op aanvullende, ondersteunende vorderingen op de voet van artikel 126uba Sv (hackbevoegdheid bij verdenking betrokkenheid beramen/plegen misdrijven in georganiseerd verband).

Meer duidelijkheid over Ironchat-operatie

Op 6 november 2018 maakte het Openbaar Ministerie bekend dat de politie Oost-Nederland en het Openbaar Ministerie (OM) er in 2017 waren geslaagd de versleutelde chatapplicatie ‘Ironchat’ te ontsleutelen. In het persbericht is de lezen:

“Dankzij deze operatie hebben politie en Openbaar Ministerie een goede informatiepositie gekregen. Er zijn ruim 258.000 chatberichten meegelezen en dat levert veel informatie op. Deze informatie kan leiden tot beslissende doorbraken in lopende onderzoeken. Ook kunnen de gegevens worden gebruikt om nieuwe strafrechtelijke onderzoeken op te starten. Op deze manier is er bewijs in lopende onderzoeken verkregen en kunnen nieuwe criminele activiteiten gestopt worden.”

Ironchat betrof een applicatie die stond op zogenoemde ‘cryptotelefoons’ of ‘PGP-telefoons’, waarbij PGP staat voor de versleutelingstechniek ‘Pretty Good Privacy’.

Rechtspraak

In 2020 is er enige rechtspraak op rechtspraak.nl gepubliceerd waar het verloop van de Ironchat-operatie wordt toegelicht (zie ECLI:NL:RBOVE:2020:1563, ECLI:NL:RBOVE:2020:1587, ECLI:NL:RBOVE:2020:1558, ECLI:NL:RBOVE:2020:1592). De rechtbank Overijssel heeft op 23 april 2020 in die uitspraken zes verdachten veroordeeld voor ernstige misdrijven, waarbij gebruik is gemaakt van de chatberichten. Na onderzoek van de gegevens die zijn veilig gesteld in de Ironchat-operatie kwamen er een aantal mensen naar voren kwam die ‘via bepaalde Ironchataccounts met elkaar chatte over – kort gezegd – de bereiding en het voorhanden hebben van, de handel in en de export van harddrugs. Daarnaast werd gechat over het voorbereiden van een aanslag op personen en panden (mogelijk) gelieerd aan een voormalige motorclub. Vervolgens is in het TGO (Team Grootschalige Opsporing) onderzoek naar deze strafbare feiten verricht’.

Voor de bewijsvoering komt het in belangrijke mate aan op de inhoud van de ter beschikking gekomen chatberichten. Er werd gebruik gemaakt van telefoons van met name het merk ‘Wileyfox’ en laptops waarop de applicatie Ironchat was geïnstalleerd.

Onderzoek richting leverancier en applicatie Ironchat

In de uitspraken is te lezen dat het opsporingsonderzoek ‘Orwell’ zich concentreerde zich op de verdenking tegen het bedrijf dat leverancier van de cryptotelefoons genoemd en een chatapplicatie met de naam Ironchat. De server waarvan gebruik werd gemaakt stond in het Verenigd Koninkrijk, bij een (geanonimiseerd) bedrijf. In het onderzoek Orwell verkreeg het OM met een Europees Opsporingsbevel (EOB) van de Britse autoriteiten een kopie van de inhoud van die server, een zogenoemde ‘image’. De Nederlandse politie onderzocht de inhoud daarvan.

De Engelse autoriteiten besloten daarnaast een eigen onderzoek te starten naar de communicatie die werd gevoerd over de zich in hun land bevindende server. De rechtbank overweegt dat zij ‘naar eigen recht, op basis van eigen bevoegdheden en met medeweten van een ander bedrijf’ (JJO: de hosting provider neem ik aan?), ‘de chatberichten onderschept, ontsleuteld en vervolgens die chatberichten heeft doorgeleid naar de Nederlandse autoriteiten’. De Britse autoriteiten hebben toestemming gegeven voor het gebruik daarvan in opsporingsonderzoeken in Nederland. Die chatberichten maken deel uit van het dossier in een ander opsporingsonderzoek (‘Metaal’ genoemd).

De rechtbank overweegt dat ‘voldoende duidelijk is op welke wijze de inhoud van de chatgesprekken is verkregen. Er is niet gebleken van enig vormverzuim. Het verweer wordt verworpen. De officier van justitie is ontvankelijk in de vervolging’.

Nederlands onderzoek naar crimineel verband dat gebruik maakte van de telefoons

De verdachten in de genoemde zaken worden veroordeeld, mede op basis van het bewijs dat is verzameld binnen het opsporingsonderzoek ‘Goliath’. In dat onderzoek richtte de politie en het Openbaar Ministerie zich ‘op het georganiseerde verband dat gebruik maakte van de diensten van het Nederlandse bedrijf dat PGP-telefoons leverde, waarbij allereerst het identificeren van onbekende (NN) personen die Ironchat gebruikten van belang werd geacht’.

Meer duidelijkheid over PGP Safe-operatie

Het Team High Tech Crime van de Landelijke Eenheid en het Landelijk Parket is in mei 2015 een onderzoek gestart naar een bedrijf die cryptotelefoons leverde onder de merknaam ‘PGP Safe’. Het opsporingsonderzoek kreeg de naam ‘26Sassenheim’.

Volgens dit persbericht en dit persbericht viel het doek voor PGP Safe op 9 mei 2017. In Nederland, Costa Rica, Duitsland en Oostenrijk vonden er gelijktijdig doorzoekingen plaats en werd bewijs veiliggesteld, waaronder de sleutels om de PGP-berichten te ontsleutelen. In het persbericht van 2017 is verder te lezen dat gegevens veiliggesteld van de technische infrastructuur die door PGP Safe gebruikt werd om de versleutelde PGP-berichten te versturen. In deze data werden meer dan 700.000 versleutelde berichten gevonden, waarvan er destijds ruim 337.000 ontsleuteld en leesbaar waren gemaakt.

Aanpak van facilitators

In 2017 zei het OM over de zaak:

“De politie en het Openbaar Ministerie treden hard op tegen mensen die criminelen/criminele organisaties (digitaal) ondersteunen of faciliteren. Deze zogenoemde facilitators worden vervolgd en hun criminele vermogen wordt afgepakt.

De PGP BlackBerry’s zoals door de verdachten in onderzoek 26Sassenheim werden verkocht, zijn vooral in gebruik bij criminelen.”

In het persbericht van 7 december 2021 staat dat 5 jaar gevangenisstraf wordt geëist tegen de leveranciers van de PGP Safe-cryptotelefoons.

=== UPDATE ===

 In de uitspraak van de rechtbank Rotterdam van 20 januari 2022 (ECLI:NL:RBROT:2022:363) is te lezen dat de verdenking aanvankelijk was dat de verdachte zich tezamen met anderen als professionele facilitator van versleutelde communicatie schuldig zou hebben gemaakt aan overtreding van witwassen (art. 420bis Sr) en deelneming aan een criminele organisatie (art. 140 Sr). De verdachte werd verdacht tezamen met anderen een eigen BlackBerry Enterprise Server (BES) in gebruik te hebben waaraan hij te verkopen BlackBerry’s koppelde om zo versleutelde en te wissen communicatie mogelijk te maken. BES is software waarmee een centraal te beheren datacommunicatiearchitectuur opgezet en onderhouden kan worden. Deze BlackBerry’s en de daarbij behorende abonnementen werden – volgens de verdenking – verkocht aan criminelen, die hiermee veilig en buiten het bereik van politie en justitie onderling konden communiceren.

De rechtbank overweegt dat ‘het gronddelict is het in strijd met de Telecommunicatiewet op de markt brengen van gemodificeerde, niet gekeurde PGP-encrypted BB’s. Met dat op de markt brengen werden inkomsten gegenereerd die uit dat misdrijf afkomstig waren.’ Maar de rechtbank ‘ziet niet in dat met deze overtreding crimineel geld kan zijn verdiend zoals in de tenlastelegging onder de feiten 1 en 2 is opgenomen en daarvoor is ook geen enkele aanwijzing te vinden in het dossier. Het causaal verband tussen de ten laste gelegde geldbedragen en dit gronddelict ontbreekt daarom’. De verdachte wordt van deze overtreding vrijgesproken. De rechtbank overweegt ook dat voor het de overtreding van de Telecommunicatiewet voor de hand had gelegen de met bestuursrechtelijke handhaving belaste instanties in te schakelen voor de verdere beoordeling en afdoening hiervan, in plaats van deze strafrechtelijke weg te bewandelen. De rechtbank verklaart de officier van justitie om deze redenen niet-ontvankelijk in de strafvervolging van overtreding van de Telecommunicatiewet en de Wet op de economische delicten.

De rechtbank overweegt ook dat het bedrijf de enige distributeur van de PGP-encrypted BlackBerry’s met de bijbehorende abonnementen. De PGP-software die op deze BlackBerry’s was geïnstalleerd bevatte een applicatie (genaamd Emergency Wipe) om zelf alle op de BB aanwezige gegevens te wissen. Daarnaast verleende de organisatie als aanvullende dienst ook ‘beheer op afstand’. Dit hield onder meer in dat de inhoud van een BB op verzoek van de klant, door tussenkomst van [naam rechtspersoon], op afstand kon worden gewist (een zogenaamd ‘wipe- of kill-verzoek’). Na onderzoek van in beslag genomen PGP-encrypted BlackBerry’s van de medeverdachte en de daarop aangetroffen e-mailcorrespondentie is een groot aantal van deze wipe- of kill-verzoeken aangetroffen. Deze mailwisselingen zijn vergeleken met gegevens in de politiesystemen en ook met de naar aanleiding van een rechtshulpverzoek aan de Costa Ricaanse autoriteiten verkregen en ontsleutelde data van de BlackBerry Enterprise Server (BES) van de Canadese leverancier die zich bevond in Costa Rica.

Daarbij is gebleken dat in de vier in de tenlastelegging vermelde gevallen een wipe- of kill-verzoek was gedaan nadat de gebruiker van de betreffende BlackBerry was aangehouden en de telefoon in beslag was genomen. Deze verzoeken zijn dus gedaan om te voorkomen dat de politie belastende informatie uit de telefoons zou kunnen halen. Deze verzoeken zagen op BlackBerry’s met e-mailadressen die eindigen op een bepaalde domeinnaam. Het betreffen dus BlackBerry’s en/of abonnementen die zijn verkocht door de organisatie. Gelet hierop acht de rechtbank bewezen dat de organisatie zich tezamen en in vereniging met elkaar schuldig hebben gemaakt aan begunstiging, zoals strafbaar gesteld in artikel 189, eerste lid onder 3 Sr. Bewezen is dat zij door te voldoen aan genoemde wipe- of kill-verzoeken opzettelijk voorwerpen (in dit geval: de inhoud van de telefoons) die kunnen dienen om de waarheid aan de dag te brengen, aan het onderzoek van de ambtenaren van justitie of politie hebben onttrokken, met het oogmerk om de inbeslagneming van die voorwerpen te beletten of te verijdelen. De verdachte heeft, hoewel in hij de positie was om dat te doen, niet verhinderd dat dergelijke verzoeken werden uitgevoerd. De rechtbank is gelet hierop van oordeel dat de verdachte voorwaardelijk opzet heeft gehad op de begunstiging. Niet vereist is dat hij wetenschap heeft gehad van de concrete verzoeken zelf en de uitvoering daarvan.

De verdachte wordt dus veroordeeld voor valsheid in geschrifte en het Nederlandse equivalent van ‘obstruction of justice’ (‘begunstiging’). De rechtbank overweegt nog in de strafbestelling het volgende:

“De handel in de PGP-encrypted telefoons is in beginsel legaal. Dat geldt ook voor de dienst van het op verzoek op afstand wissen van de inhoud van telefoons. Door dit ook te doen in zaken waarin de gebruiker van de telefoon door de politie is aangehouden en waarbij de telefoon in beslag is genomen, heeft de organisatie [naam rechtspersoon] hiermee echter strafbaar gehandeld. Daarmee is in de zaken tegen die betreffende gebruikers mogelijk bewijs vernietigd en het onderzoek door politie en justitie bemoeilijkt. De verdachte heeft hieraan feitelijke leiding gegeven en op die manier eraan bijgedragen dat de opsporing van andere strafbare feiten werd gefrustreerd. Het valt de verdachte te verwijten dat hij met deze handel criminelen heeft willen helpen uit handen van politie en justitie te blijven. In het kader van de vaststelling van de op te leggen straf is evenwel relevant dat niet is vast te stellen in welke omvang dit handelen heeft plaatsgevonden.”

De verdachte krijgt 65 dagen gevangenisstraf en een geldboete van 10.000 euro opgelegd. De gevangenisstraf is gelijk aan de dagen die de verdachte reeds in verzekering en voorlopige hechtenis heeft doorgebracht. Ook ontvangt de verdachte een deel van het inbeslaggenomen geld en voorwerpen terug.

=== EINDE UPDATE ==

Andere jurisprudentie

Gezien het aantal berichten die zijn veilig gesteld is het wat vreemd dat de eerste gepubliceerde rechtszaken op rechtspraak.nl zich tot 2021 op zich laten wachten (zie ECLI:NL:RBMNE:2021:1213) en (ECLI:NL:RBROT:2021:9906). In deze uitspraken wordt gerefereerd naar de PGP Safe-operatie en onderzoek ’26Sassenheim’, omdat berichten die daarin zijn veiliggesteld door een officier van justitie op grond van art. 126dd Sv worden gedeeld ten behoeve van andere opsporingsonderzoeken. Door de beschikbare rechtspraak naast elkaar te leggen komen er (na wat puzzelen) de volgende feiten over de operatie naar boven:

Het onderzoek 26Sassenheim richt zich op de faciliterende rol van de aanbieders van PGPSafe. In dat onderzoek is op 24 april 2017 een rechtshulpverzoek gedaan aan Costa Rica om onderzoekshandelingen te verrichten aan de infrastructuur van de leverancier van PGPSafe-diensten en -producten.

Rechtshulpverzoek aan Costa Rica

In de periode van 9 mei 2017 tot en met 11 mei 2017 is dat rechtshulpverzoek door de autoriteiten van Costa Rica uitgevoerd, daarbij geassisteerd door de Nederlandse politie. De uit die zoeking voortvloeiende versleutelde data (onder andere mailserverdata) zijn veiliggesteld, op 12 juni 2017 aan Nederland verstrekt en daar vervolgens ontsleuteld. De Costa Ricaanse autoriteiten hebben, anders dan de Canadese, geen clausulering of restricties verbonden aan het gebruik van die data’. Opvallend is nog wel dat in het geval PGP-safe blijkbaar “slechts een gedeelte” van de server is veiliggesteld, ‘omdat de Costa Ricaanse autoriteiten de doorzoeking beëindigden voordat alles was gekopieerd’.

Onderzoekswensen van de verdediging voor toetsing op rechtmatigheid

In de meest recente zaak van 11 oktober 2021 van de Rechtbank Rotterdam (ECLI:NL:RBROT:2021:9906) verzoekt de verdediging onder andere om meer informatie het rechtshulpverzoek (JJO: ik begrijp: het verzoek zelf en de onderliggende stukken) aan Costa Rica en het bevel tot binnentreden, de doorzoeking en de beslaglegging van het Gerecht in Strafzaken van het Eerste District San Jose (Costa Rica).

De officier van justitie heeft zich – door de rechtbank samengevat – op het standpunt gesteld dat het onderzoek in Costa Rica rechtmatig is verricht. Bovendien staat het vertrouwensbeginsel in de weg aan een oordeel van de rechtbank over de gang van zaken in Costa Rica. Zelfs wanneer er sprake zou zijn van eventuele onrechtmatigheden in het onderzoek 26Sassenheim, dan zou deze het onderzoek Sartell niet aangaan, omdat het onderzoek 26Sassenheim niet heeft te gelden als voorbereidend onderzoek van het onderzoek Sartell. Met het verstrekken van een ‘binder’ over de PGP Safe-operatie is volgens de officier van justitie voldoende informatie over de zaak verstrekt.

De rechtbank oordeelt dat met het inbrengen van de binder Ennetcom & PGPSafe en het verstrekken van toegang tot de eigen PGPSafedata en specifiek te onderzoeken gesprekken de officier van justitie al grotendeels tegemoet is gekomen aan de onderzoekswensen van de verdediging. De verdediging heeft deze onderzoekswensen met name geformuleerd om de toegepaste methoden van opsporing, de resultaten van het onderzoek van de server(s) in Costa Rica en de selectie van de data ten behoeve van Sartell te kunnen betwisten.

De rechtbank onderschrijft dat de verdediging het recht toekomt om het door de officier van justitie aangedragen bewijs te betwisten. Met het inbrengen van de binder Ennetcom & PGPSafe heeft de officier van justitie echter naar het oordeel van de rechtbank de verdediging voldoende voorzien van de informatie die redelijkerwijs relevant kan worden geacht voor de hiervoor bedoelde betwisting.

Toets op betrouwbaarheid PGPSafe data

In de uitspraak van de rechtbank Rotterdam van 11 april 2022 (ECLI:NL:RBROT:2022:2674) wordt het volgende gezegd over de authenticiteit van de data en betrouwbaarheid van de data:

De authenticiteit van de data

Het is juist dat in Costa Rica bij het kopiëren van de data de data op de server niet zijn gehasht. Die hashwaarde kan dus niet worden vergeleken met de hashwaarde van de data op de door de Costa Ricaanse autoriteiten aan de Nederlandse politie geleverde harde schijven. Dit valt het OM echter niet te verwijten aangezien dit toen geen Nederlandse aangelegenheid is geweest.

Hieraan behoeft echter evenmin een gevolg voor de betrouwbaarheid van die data verbonden te worden, nu van enige manipulatie van die data voordat deze bij de Nederlandse politie is aanbeland niet is gebleken. De rechtbank neemt daarbij in ogenschouw dat met het verbreken van de verbinding tussen de servers en het internet, het verzegelen van de servers op het moment dat de Costa Ricaanse autoriteiten niet aanwezig waren en het verpakken en verzegelen van het gekopieerde materiaal, dat naar Nederland is gestuurd de kans dat die data toen zouden zijn gemanipuleerd uitermate klein kan worden geacht. Het dossier biedt hiervoor ook overigens geen begin van aannemelijkheid.

Na ontvangst van de harde schijven uit Costa Rica zijn de data volgens de regelen der kunst gekopieerd naar het onderzoeksnetwerk van de Nederlandse politie. Ook hierin ligt geen reden te veronderstellen dat de data niet op forensisch verantwoorde wijze zijn veiliggesteld en ligt hierin geen grond om de data voor het bewijs uit te moeten sluiten.

Tijdstempels

Het feit dat die verschillen zich kunnen voordoen is al in een eerder stadium door de deskundigen in de binder Ennetcom & PGPSafe onderkend. Echter, daaruit volgt nog niet dat de inhoud van het bericht daarmee onjuist is.

De verdediging heeft voorts gesteld dat de onbetrouwbaarheid van de PGPSafeberichten onder meer blijkt uit de verschillen die zich soms voordoen bij de vermelding van de tijdstippen van verzending en ontvangst die aan die berichten zijn gekoppeld in de lijn van de verzender en die van de ontvanger.

Deze verschillen in tijdstempels kunnen zich bij voorbeeld al voordoen wanneer men zich op dat moment in verschillende tijdzones bevindt, verschillende bestuurssystemen worden gehanteerd, waardoor een doorgestuurd bericht anders wordt getypeerd en/of met een ander tijdstempel (gemodificeerd, benaderd, gecreëerd) wordt opgeslagen op de server of het toestel of de tijdsinstellingen van het toestel zelf anders zijn ingesteld. Hoewel dit meebrengt dat het tijdstip van verzenden respectievelijk ontvangen van een bericht altijd een kritische blik vereist, kan hieruit niet zonder meer en niet zonder nadere specifieke toelichting de onbetrouwbaarheid van (de inhoud van) die berichten afgeleid worden.

New book on cybercrime

Yesterday, our new book ‘Essentials in cybercrime. A criminological overview for education and practice’ became available. Wytske van der Wagen, Marleen Weulen Kranenbarg, and me, are the editors of the book and we are proud of the result. In this blog post, I’ll briefly introduce the book and explain its background.

Background

A study book about the essentials of cybercrime was in our view necessary, in order to bring together knowledge about cybercrime in a conveniently arranged manner. That is why, in 2020, we published our (Dutch) book ‘Basisboek Cybercriminaliteit’, in which all the necessary basic knowledge about cybercrime was provided.

As some universities expressed the desire for an English version of the book, we decided to move forward with a translation. The current book is however not a literal translation. It is more internationally oriented, especially when it comes to legislation, it includes the most recent studies, and it also provides an entirely new chapter on organized cybercrime (Chapter 5). Like the Dutch version of our book, it aims to provide the essential knowledge of various facets of cybercrime.

Aim of the book and intended audience

Our book is intended for students and professionals who want to learn more about cybercrime. The book offers insight into the various manifestations and features of cybercrime, offender and victim characteristics, quantitative and qualitative methods for studying crime in the digital domain, criminological theories that can be used to understand cybercrime, and possible interventions.

In addition to criminological aspects, the book also deals with a number of legal topics, including the criminalisation of cybercrime, the detections process and the investigative powers that can be used by the police in the online domain.

The book is introductory in nature and is therefore are also suitable for those who are new to the subject of cybercrime. At the same time, the book discusses the various topics in depth and incorporates a broad range of studies and perspectives.

Contents and (co-)authors

In this book, we combine our own criminological and legal expertise in the development of cybercrime, our knowledge about cybercrime offenders and victims, and the investigation of cybercrime. We also asked experts in the fields of organised cybercrime, the victimisation of cybercrime and cybercrime interventions to complement our understanding of cybercrime and to contribute to this book.

We therefore thank our guest authors – Rik Beerthuizen, Maša Galič, Tamar Fischer, Thomas Holt, André van der Laan, Rutger Leukfeldt, Sifra Matthijsse, Take Sipma and Elina van ’t Zand – for their important contributions to this book.

Availability

Our book is published by Eleven and now available in the store of Eleven Publishing (with Chapter 1 freely available) and stores like Bol.com.

After 1 year, I will make Chapter 3 about ‘Types of cybercrime and their criminalisation’ and Chapter 8 about ‘Cybercrime investigations’ available in open access.

Cybercrime jurisprudentieoverzicht december 2021

Hoge Raad wijst nieuw arrest over computervredebreuk

De Hoge Raad heeft op 30 november 2021 een arrest (ECLI:NL:HR:2021:1691) gewezen over de begrippen ‘wederrechtelijk binnengedrongen’, ‘valse sleutel’ en ‘valse hoedanigheid’ in een tenlastelegging over computervredebreuk (art. 138ab Sr). Het ging in deze zaak om een ‘politiemol’; een verdachte die jarenlang vertrouwelijke informatie heeft opgezocht in politiesystemen en die (tegen betaling) heeft gedeeld met personen uit het criminele circuit. Daarnaast wordt hem witwassen verweten en het voorhanden hebben van valse reisdocumenten.

De verdachte had als politieambtenaar met een autorisatie toegang tot het beveiligde politiesysteem ‘Blue View’. Het systeem was beveiligd met een gebruikersnaam (zijn dienstnummer) en een wachtwoord. Het hof Amsterdam heeft reeds vastgesteld dat die autorisatie aan de verdachte was verstrekt om in het kader van zijn werk als politieambtenaar naspeuringen te verrichten, maar dat de verdachte het systeem vervolgens heeft bevraagd op gegevens over personen zonder dat daarvoor in de uitoefening van zijn politietaak enige aanleiding bestond. Op die manier kreeg de verdachte zonder daartoe bevoegd te zijn inzage in gegevens en nam hij deze gegevens over. Op grond hiervan heeft het hof geoordeeld dat de verdachte zijn autorisatie voor toegang tot het systeem Blue View heeft ‘misbruikt om informatie/gegevens over criminelen in te zien, deze informatie/gegevens over te nemen en deze informatie/gegevens ook aan deze criminelen te verstrekken’.

De Hoge Raad overweegt dat het oordeel van het hof Amsterdam dat hier ‘met behulp van een “valse sleutel” computervredebreuk’ wordt gepleegd, juist is (of zoals de HR dat formuleert: ‘geeft niet blijk van een onjuiste rechtsopvatting. Dat oordeel is ook niet onbegrijpelijk’). Daarbij wordt aansluiting gezocht in de wetsgeschiedenis. Zie r.o. 2.2.2:

In de Kamerstukken van het toenmalige wetsvoorstel wordt over het bestanddeel ‘valse sleutel’ weergegeven dat een password een sleutel is die de gebruiker toegang geeft tot het systeem of tot een deel daarvan. Daarbij werd aangehaald dat de Hoge Raad in zijn arrest van 20 mei 1986, ECLI:NL:HR:1986:AC9359, NJ 1987/130, heeft bepaald dat een huissleutel die wordt gebruikt tot opening van een slot door iemand die daartoe niet is gerechtigd, een valse sleutel is en dat niet is vereist dat ten aanzien van de sleutel enige beveiligingsmaatregel is genomen.

Onder verwijzing naar artikel 90 Sr, waarin geen definitie van het begrip ‘valse sleutels’ wordt gegeven maar enkel wordt aangegeven wat onder het begrip dient te worden begrepen (‘alle tot opening van het slot niet bestemde werktuigen’) – waarbij de wetgever heeft aangegeven dat “(O)nverschillig (is) of het werktuig al of niet een sleutel is, zoo het slechts niet die sleutel is, die voor opening van dat slot bestemd is.” (zie H.J. Smidt, Geschiedenis van het Wetboek van Strafrecht, Deel I, tweede druk, p. 544) – stelt het hof dat de jurisprudentie van de Hoge Raad verder ter zake van ‘valse sleutel’ heeft uitgemaakt dat ook onrechtmatig gebruik van bijvoorbeeld een bankpas of een tankpas kan worden aangemerkt als het gebruik maken van een ‘valse sleutel’. Anders gezegd: de Hoge Raad geeft een ruime uitleg aan het begrip ‘valse sleutels’ waarbij ook gebruik door een onbevoegde als een ‘valse sleutel’ kan worden aangemerkt (vgl. CAG Knigge in ECLI:NL:PHR:2017:1012 onder verwijzing naar HR 3 oktober 2017, ECLI:NL:HR:2017:2546).

Het oordeel van het hof Amsterdam dat de verdachte ook door het aannemen van een “valse hoedanigheid” computervredebreuk heeft gepleegd, ‘kan echter niet zonder meer uit de bewijsvoering worden afgeleid’. De door het hof in aanmerking genomen omstandigheid ‘dat de verdachte met het misbruik van zijn autorisatie het door zijn collega’s en de maatschappij in hem gestelde vertrouwen heeft geschonden’, volstaat daartoe niet. De Hoge Raad neemt daarbij in aanmerking dat niet blijkt dat de verdachte al een valse hoedanigheid had aangenomen toen hem de autorisatie werd verstrekt.

Het hof overwoog hierover destijds dat met betrekking tot het aannemen van een valse hoedanigheid dat het ‘in de kern erom gaat dat het handelen van de verdachte ertoe kan leiden dat bij de ander een onjuiste voorstelling van zaken in het leven wordt geroepen met betrekking tot de ‘persoon’ van de verdachte wat betreft diens hoedanigheid om daarvan misbruik te maken’ (met verwijzing naar HR 20 december 2016, ECLI:NL:HR:2016:2892, NJ 2017/158, m.nt. Keijzer, rov. 2.3.4).

Het slagen van de hierop gerichte klacht leidt niet tot cassatie, omdat het weglaten van dit deel van de bewezenverklaring de aard en de ernst van het bewezenverklaarde in zijn geheel beschouwd niet aantast.

Aanranding of ontucht zonder feitelijke aanraking

De rechtbank Overijssel veroordeelde (ECLI:NL:RBOVE:2021:4261) op 15 november 2021 een verdachte voor onder andere aanranding. Ook was ontucht ten laste gelegd, maar dat werd niet bewezen geacht.

De rechtbank overweegt of er voor ontucht het vereiste ‘relevante interactie’ is tussen de verdachte en het slachtoffer. De rechtbank verwijst hiervoor naar het ‘Pollepel’-arrest (HR 11 oktober 2005, ECLI:NL:HR:2005:AT972, r.o. 3.4 (JJO: gek genoeg kan ik dit arrest niet vinden op rechtspraak.nl en ik vermoed dat een foutje is gemaakt. Ik hoor graag wat wel de goede verwijzing is) van de Hoge Raad waarin – kort gezegd – bepaald dat seksuele handelingen die gepleegd zijn door een ander dan degene die de dwang heeft uitgeoefend, volgens de wetsgeschiedenis niet vallen onder de reikwijdte van artikel 242 Sr. Het dwingen van een ander tot het plegen of dulden van ontuchtige handelingen, ook als deze mede bestaan uit het seksueel binnendringen van het lichaam, levert volgens de wetsgeschiedenis feitelijke aanranding van de eerbaarheid op, als bedoeld in art. 246 Sr. Dit is ook zo als het slachtoffer wordt gedwongen bij zichzelf zulke handelingen te verrichten.

De rechtbank is van oordeel dat naast artikel 242 Sr ook artikel 245 Sr valt onder de werking van het ‘Pollepel’-arrest. Daaruit volgt dat artikel 245 Sr toepassing mist indien de verdachte het binnendringen niet zelf heeft gepleegd, zoals in de onderhavige casus. De verdachte kan daarom ook niet worden verweten dat hij zich heeft schuldig gemaakt aan het ten laste gelegde seksueel binnendringen van het lichaam van een persoon tussen de 12 en de 16 jaar.

Wel is sprake van aanranding. Daar kan ook sprake van zijn indien geen lichamelijke aanraking heeft plaatsgevonden tussen verdachte en slachtoffer (met verwijzing naar HR 22 maart 2011, ECLI:NL:HR:2011:BP1379). Daartoe is wel vereist dat, gelet op alle omstandigheden van het geval, tussen verdachte en slachtoffer een relevante interactie heeft plaatsgevonden. De verdachte heeft het slachtoffer niet fysiek aangeraakt, maar door bedreiging met openbaarmaking van beeldmateriaal haar gedwongen tot het verrichten van seksuele handelingen. De rechtbank is van oordeel dat daarmee sprake was van de vereiste relevante interactie tussen verdachte en het slachtoffer.  

De verdachte wordt veroordeeld tot een geheel voorwaardelijke gevangenisstraf van 6 maanden, met een proeftijd van drie jaar en 240 uur taakstraf.

Vergelijkbaar is de uitspraak van Midden-Nederland op 30 november 2021 (ECLI:NL:RBMNE:2021:5821). Daarbij werd een verdachte veroordeeld voor ontucht met een minderjarige (jonger dan 16 jaar) en het gewoonte maken van het verspreiden, verwerven, bezitten en zich de toegang verschaffen tot kinderpornografisch materiaal.

De rechtbank acht bewezen dat (ook) ontuchtige handelingen via de webcam zijn uitgevoerd. Anders dan de raadsman is de rechtbank van oordeel dat in de chatgesprekken tussen verdachte en het slachtoffer sprake is van relevante interactie, hetgeen vereist is voor een bewezenverklaring van ontuchtige handelingen zonder lichamelijk contact. Uit de inhoud van de chatgesprekken en uit de verklaring van verdachte volgt dat sprake is van actie en reactie in de gesprekken, waarbij het initiatief voor het seksuele contact via de webcam van verdachte uitgaat, hetgeen vervolgens leidt tot de ontuchtige handelingen zoals die zijn beschreven in de tenlastelegging.

Heimelijk forensische kopie van telefoon gemaakt

Een uitspraak van de rechtbank Midden-Nederland van 12 oktober 2021 (ECLI:NL:RBMNE:2021:4932) is het vermelden waard vanwege opvallende overwegingen omtrent de rechtmatigheid van een onderzoek aan een smartphone. De verdachte wordt in deze zaak veroordeeld voor een voorwaardelijke gevangenisstraf voor deelname aan criminele organisatie, het medeplegen van dealen van cocaïne en het voorhanden hebben van drugs.

De verdediging stelt in deze zaak dat de heimelijke inbeslagname van de twee telefoons (en het heimelijk maken van een forensische kopie daarvan) onrechtmatig heeft plaatsgevonden, omdat er geen machtiging van de rechter-commissaris is afgegeven voor deze handeling. Daarnaast zouden telefoons niet op deze manier, zonder kennisgeving, op basis van art. 94 Sv in beslag genomen hadden mogen worden.

De rechtbank overweegt in par. 4.3 dat de verdachte verband met een vernieling is aangehouden. Tijdens zijn insluiting heeft de politie twee telefoons kort in beslag genomen en van één van die telefoons is een forensische kopie gemaakt. De verdachte is hierover niet in kennis gesteld.

De rechtbank overweegt dat deze handelswijze niet bij wet is voorzien. Er is in strijd gehandeld met art. 94 Sv, omdat de verdachte is niet van de inbeslagname op de hoogte gebracht. In tegenstelling tot wat de officier van justitie heeft betoogd, biedt ook art. 126g Sv geen grondslag voor deze heimelijke inbeslagname. Het stelselmatig volgen of waarnemen van een persoon is iets wezenlijks anders dan het kopiëren van de inhoud van een telefoon.

Toch overweegt de rechtbank dan geen sprake is van een ‘ernstige privacy-schending’, omdat het een ‘dealertelefoon’ is geweest die weinig sociale contacten bevatte en daarnaast was de inbreuk op het eigendomsrecht van de verdachte ‘zeer beperkt’, omdat de verdachte na vrijlating weer beschikking kreeg over de telefoon.

De rechtbank komt tot de vaststelling dat er sprake is geweest van twee vormverzuimen in het voorbereidend onderzoek jegens verdachte, te weten de heimelijke inbeslagname van de telefoons en het verstrekken van de historische verkeersgegevens. Op basis van voornoemde beoordeling van de vormverzuimen – wat betreft de aard en de ernst van het verzuim en het nadeel van verdachte – komt de rechtbank tot de conclusie dat het nadeel dat verdachte daarmee heeft geleden zeer beperkt is gebleven en door de verdediging weinig specifiek is onderbouwd. De rechtbank volstaat daarom met de constatering dat er sprake is van vormverzuimen heeft plaatsgevonden en verbindt hier geen verdere gevolgen aan.

Veroordeling voor QR-code fraude

Op 21 oktober 2021 veroordeelde (ECLI:NL:RBAMS:2021:6000) de rechtbank Amsterdam een verdachte voor oplichting en het aanwezig hebben van harddrugs. De feiten over oplichting en overwegingen omtrent de vraag of een internetbankieren-applicatie een geautomatiseerd werk is, zijn interessant.

De verdachte pleegde ‘QR-fraude’ gebruik van de ING internetbankieren-app. De fraudeur vroeg het slachtoffer om een overboeking via de telefoon en vraagt dan om de telefoon om zijn rekeningnummer in te voeren. Ondertussen scant hij dan een QR-code en neemt de bankrekening-app over. Op de telefoon waar de rekening wordt gehouden, komt een bevestiging binnen die gebruikt moet worden op de telefoon met de QR-code. De fraudeur heeft dus de QR-code aangevraagd. Op het moment dat de fraudeur met de QR-code en de bevestigingscode de rekening heeft overgenomen, heeft de fraudeur de beschikking over de rekening

Voor computervredebreuk wordt de verdachte vrijgesproken, omdat in de tenlastelegging de internetbankieren-applicatie als geautomatiseerd werk werd aangemerkt in de zin van artikel 80sexies Sr. Dat kan niet, omdat het bij gaat om ‘fysieke apparaten’, aldus de rechtbank. De rechtbank wijst erop dat servers als zijnde een geautomatiseerd werk niet in de tenlastelegging worden genoemd. De rechtbank acht ook niet bewezen dat verdachte bankgegevens/een QR-code heeft gestolen, omdat uit het dossier niet blijkt dat deze buiten het bereik van de rechthebbende zijn gebracht. De officier van justitie kan uit deze uitspraak aldus de nodige lessen trekken bij het formuleren van een tenlastelegging bij QR-code fraude.  

Geheimhouding details EncroChat-operatie

In een uitspraak van 11 oktober 2021 (ECLI:NL:RBROT:2021:10412) gaat de rechtbank Rotterdam nader in op de redenen waarom geheimhouding van bepaalde details van de EncroChat-operatie noodzakelijk is. De beslissing op een vordering ex 149b Sv strekt tot onthouding van gegevens betreffende het interceptiemiddel en onthouding van (identificerende) gegevens betreffende zaaksofficieren van justitie en verdachten en getuigen.

Op grond van art. 187d lid 1 sub b Sv moet worden overwogen of het achterwege laten van toevoegen van de zwartgelakte stukken noodzakelijk is vanwege een “zwaarwegend opsporingsbelang”. Hoe het binnendringen in de telefoontoestellen van EncroChat-gebruikers precies is gebeurt wordt in die stukken niet prijsgegeven. De rechters-commissarissen stellen vast dat de weggelakte passages, zoals vermeld door de officieren van justitie, zien op de aard en werking van het ingezette interceptiemiddel.

Naar het oordeel van de rechters-commissarissen kan de onthulling daarvan verstrekkende gevolgen hebben voor lopende en toekomstige onderzoeken die afhankelijk zijn van een succesvolle inzet van (een) soortgelijk(e) interceptiemiddel(en). Kennisneming van deze werkwijze(n) door de verdachte(n) of door derden maakt immers dat zij daarop kunnen anticiperen en dat de informatiegaring, onderzoeksvoorbereiding en opsporingsmogelijkheden aan effectiviteit zullen inboeten of niet langer mogelijk zullen zijn. Gelet daarop wordt het onthouden van die passages aan de processtukken noodzakelijk geacht. Nu het weglaten uitsluitend de technische aspecten van de gebruikte opsporingsmethodiek betreft, is de verdediging met het achterwege laten van het voegen van die betreffende specifieke informatie volgens de rechtbank niet op enigerlei wijze in zijn belang geschaad.

Ook stellen de rechters-commissarissen stellen vast dat de passages die in de bovengenoemde stukken door de officieren van justitie zijn zwartgelakt, zien op (identificerende) gegevens van de betrokken zaaksofficieren van justitie alsmede van verdachten en getuigen uit andere onderzoeken. Het bekend worden van de namen van de officieren van justitie levert een potentieel veiligheidsrisico voor hen op waarvan zij ernstige overlast kunnen ondervinden en waardoor zij in de uitoefening van hun ambt ernstig kunnen worden belemmerd.