Innovatiewet Strafvordering

Op 22 juni 2022 is de ‘Innovatiewet Strafvordering’ gepubliceerd (Stb. 2022, 276). Met deze wet wordt een nieuwe (tijdelijke) titel ingevoegd in het huidige Wetboek van Strafvordering op grond waarvan pilotprojecten kunnen plaatsvinden. Voor een periode van twee jaar kan het openbaar ministerie en de politie experimenteren met nieuwe procedures. Deze mogelijkheid vervalt na twee jaar, maar de werking kan bij algemene maatregel van bestuur worden verlengd. In deze blog bespreek ik de artikelen met betrekking tot het ‘vastleggen en kennisnemen van gegevens na inbeslagneming’.

Kennisnemen van berichten na inbeslagname

Artikel 556 Sv ziet op het kennisnemen van nieuwe berichten die na inbeslagneming van bijvoorbeeld een smartphone op dat apparaat binnenkomen. Het eerste lid ziet op het kennisnemen van gegevens die gedurende de eerste drie dagen na de inbeslagneming van het geautomatiseerd werk worden opgeslagen. De officier van justitie kan een daartoe strekkend bevel geven tot uiterlijk drie dagen na de inbeslagneming. Het tweede lid maakt nu duidelijk dat de officier van justitie, óók in het geval hij in de eerste drie dagen na de inbeslagneming van het geautomatiseerd werk nog geen bevel heeft gegeven, ook daarna het bevel nog mag afgeven (voor drie maanden en met mogelijke verlenging van drie maanden). Amendementen op het wetsvoorstel hebben ertoe geleid dat voor deze onderzoekshandelingen een machtiging van de rechter-commissaris nodig is.  

De netwerkzoeking na inbeslagname

Artikel 557 Sv omvat de bevoegdheid tot het verrichten van een netwerkzoeking na de inbeslagneming van een geautomatiseerd werk, zoals smartphone. Met deze bevoegdheid is het mogelijk toegang te verschaffen tot bestanden die niet op het inbeslaggenomen apparaat zijn opgeslagen, maar bijvoorbeeld op cloudopslagdiensten, zoals Dropbox, iCloud, Picasa en Google Drive. Dat is mogelijk voor zover dat redelijkerwijs nodig is ‘om de waarheid aan de dag te brengen’. Worden dergelijke gegevens aangetroffen, dan kunnen zij worden vastgelegd. Deze netwerkzoeking reikt zo ver als de netwerken waar de rechtmatige gebruiker van het apparaat toegang toe heeft. De regeling werd door de wetgever noodzakelijk geacht, omdat de huidige netwerkzoeking in artikel 125j Sv is beperkt tot de plaats en het apparaat waar een doorzoeking plaatsvindt en daarom niet mag plaatsvinden vanaf een andere plaats en apparaat, zoals op het politiebureau. De officier van justitie kan het bevel aan een opsporingsambtenaar afgeven, na een machtiging van een rechter-commissaris.

Ongedaan maken van biometrische beveiliging

Artikel 558 Sv bevat de bevoegdheid van de officier van justitie om aan een opsporingsambtenaar te bevelen dat hij biometrische beveiliging of versleuteling ongedaan maakt, in de gevallen dat een inbeslaggenomen geautomatiseerd werk biometrisch is beveiligd of de gegevens die daarop staan biometrisch zijn versleuteld. Het gaat om biometrische beveiliging in de vorm van een vingerafdruk of een opname van de iris of het gezicht. Op 9 februari 2021 (ECLI:NL:HR:2021:202) heeft de Hoge Raad zich al uitgesproken over het ontgrendelen van een smartphone met de vingerafdruk van een verdachte. In zijn arrest overweegt de Hoge Raad dat uitoefening van het dwangmiddel van inbeslagneming kan inhouden dat desnoods met toepassing van proportioneel geweld handelingen worden verricht die strekken tot het onder zich nemen of gaan houden van voorwerpen ten behoeve van de strafvordering. Daarmee vormt de onderhavige bevoegdheid een codificatie van deze recente jurisprudentie van de Hoge Raad en wordt zo een expliciete wettelijke grondslag geboden voor deze vormen van onderzoek, aldus de toelichting.

Cyber Security Beeld Nederland 2021

Deze blogpost is een samenvatting van het Cyber Security Beeld Nederland (CSBN) 2021. Het betreft de dingen die ik opvallend vond en belangrijk genoeg vond om te noemen, vanuit mijn interesse in cybercrime, cybersecurity & nationale veiligheid en het snijvlak daartussen. Aan het einde plaats ik wat observaties bij het rapport.

Cybercrime

“Cybercrime heeft een industriële omvang aangenomen. Zo domineerde de groep achter het Emotet-botnet meerdere jaren de markt van het verkrijgen en daarna doorverkopen van toegang tot slachtoffernetwerken aan onder meer ransomware-groepen. Tijdens een internationale opsporingsoperatie in 2021 om dit botnet uit de lucht te halen, onderkende de politie wereldwijd 1,75 miljoen geïnfecteerde IP-adressen, 36 miljoen gestolen inloggegevens en ruim 4 miljoen gecompromitteerde (bedrijfs)mailaccounts. Dergelijke slachtofferaantallen zijn geen uitzondering meer. Ransomware is daarbij uitgegroeid tot een cybercriminele goudmijn.

Met recht is ransomware dan ook een gamechanger te noemen voor het cybercriminele ecosysteem. Het heeft geleid tot cybercriminele groeperingen die enorm vermogend zijn geworden. Nadat het TrickBot-botnet eind 2020 goeddeels was neergehaald, zou de groep volgens gelekte interne communicatie in het jaar daarop 20 miljoen Amerikaanse dollar hebben geïnvesteerd in het herstellen en verbeteren van de aanvalsinfrastructuur en de bedrijfsvoering.

Vrijwel elke stap voor zowel het plegen als het beschermen van cybercriminaliteit wordt als dienst aangeboden. Het cybercriminele ecosysteem laat zich dan ook steeds meer kenschetsen als een volwassen, wereldwijde economische sector waar vraag en aanbod samenkomen op onder meer cybercriminele fora en waar rationele economische afwegingen worden gemaakt tussen investering, risico en rendement. Door deze dienstverlening is cybercriminaliteit toegankelijk voor een grote diversiteit aan daders

Vooral op ondergrondse, online platformen zoals gesloten cybercriminele fora, maar ook op zogeheten booter- en stressersites of Telegram-kanalen bieden zij hun producten en diensten aan.

Het merendeel van de ransomware-aanvallen kenmerkt zich als ‘Ransomware-as-a-Service’ (RaaS). Ransomware-ontwikkelaars vonden hierin een middel om hun malware op grote schaal te verspreiden, zonder zelf direct risico te lopen. RaaS biedt de afnemers van dit product de kans om ook zonder noemenswaardige programmeervaardigheden ransomware toe te passen op netwerken of systemen. Deze afnemers, ook wel affiliates genoemd, vallen onder de categorie van afhankelijke plegers. Voor elke geslaagde ransomware-aanval betalen zij de ransomware-ontwikkelaar een vast overeengekomen percentage van het betaalde losgeld.”

JJO: over ‘Operation Ladybird’ (persbericht NL Politie en van Europol) richting het Emotet botnet wordt nog het volgende interessante opgemerkt:

“Het in 2021 door de politie en het OM offline gehaalde Emotet-botnet bijvoorbeeld, besmette wereldwijd meer dan een miljoen systemen met aanvalsmethoden die niet heel geavanceerd waren. Veelal werden computers ongericht met spam besmet De volgende stappen in het aanvalsproces waren vaak wél gericht en geavanceerd.

De groep achter Emotet manifesteerde zich als dienstverlener door de toegang tot netwerken door te verkopen binnen een selecte klantenkring. Ergens in dit proces vond ook een vorm van triage plaats, waarbij de meest kapitaalkrachtige netwerken hoger werden ingeschaald.

De afnemers, in de zin van andere autonome groepen, konden vervolgens hun additionele malware (laten) plaatsen. Bijvoorbeeld TrickBot, die werd ingezet om de positie te consolideren en informatie te stelen. Uiteindelijk waren actoren met behulp van Ryuk-ransomware in staat om op deze netwerken gericht ransomware in te zetten op strategische plekken, waarbij men in staat was om op reële wijze in te schatten wat de maximale losgeldeis kon zijn. Het (dreigen met) het publiceren van de eerder gestolen data kon hierbij fungeren als extra drukmiddel.”

JJO: Ook de volgende bevinding vond ik opvallend:

“Ransomware-aanvallen hebben in zowel de Verenigde Staten als in de Europese Unie tijdens de coronapandemie ziekenhuizen, COVID-19-onderzoeksinstellingen en een distributiecentrum voor vaccins ernstig gehinderd”

Offensieve cyberoperaties van staten

JJO: Het CSBN 2021 windt er geen doekjes om:

“Cyberaanvallen door statelijke actoren zijn niet meer zeldzaam te noemen: ze zijn eerder het nieuwe normaal. Het gebruik van de digitale ruimte door statelijke actoren lijkt eerder toe dan af te nemen. Een voor de hand liggende verklaring daarvoor is dat de digitale ruimte nog steeds aan omvang en betekenis toeneemt en daarmee ook de mogelijkheden voor misbruik.

De digitale ruimte wordt door staten gebruikt om geopolitiek voordeel te behalen. Dit kan financieel-economisch voordeel zijn, het behartigen van binnenlandse politieke en veiligheidsbelangen, of het beïnvloeden van buitenlandse verhoudingen. Statelijke actoren kunnen hiervoor onder meer de volgende digitale middelen inzetten:

1. Beïnvloeding en inmenging (inclusief het verspreiden van desinformatie);

2. Spionage, waaronder economische of politieke spionage;

3. Voorbereidingshandelingen voor en daadwerkelijke verstoring en sabotage.

Nederland is doelwit van een offensief cyberprogramma van landen als Rusland en China. Zij kunnen de genoemde digitale middelen inzetten tegen een breed scala aan mogelijke doelwitten, van lokale verenigingen tot internationale veiligheidsorganisaties en van één individu tot diasporagemeenschappen. Volgens de AIVD blijft de dreiging van offensieve cyberprogramma’s tegen Nederland en de Nederlandse belangen onverminderd hoog en zal deze in de toekomst alleen maar toenemen.

Russische statelijke actoren hebben meermaals (succesvolle) digitale aanvallen uitgevoerd op een EU-lidstaat. Dit valt binnen het normbeeld van Russische statelijke actoren en de aanhoudende digitale (spionage)dreiging die daarvan uitgaat. Deze actoren voeren veelvuldig digitale aanvallen uit op onder andere EU- en NAVO-lidstaten

De Chinese digitale spionage actor APT31 heeft op grote schaal en langdurig politieke doelwitten in Europa en Noord-Amerika aangevallen. Ook in Nederland waren er doelwitten van aanvallen en verkenningsactiviteiten door deze actor. De interesse vanuit statelijke actoren voor dergelijke doelwitten illustreert het belang van goede beveiligingsmaatregelen en netwerkdetectie mogelijkheden voor Nederlandse overheidsnetwerken om aanvallen te detecteren, af te slaan en nader onderzoek mogelijk te maken.”

JJO: en elders staat nog over China:

“China is ongeëvenaard in de schaal waarop en de breedte waarin inlichtingen worden ingewonnen.”

“Groot is ook het aandeel van economische spionage, waarmee statelijke actoren bijvoorbeeld beogen de eigen concurrentiepositie te verbeteren of hoogwaardige kennis en technologie te bemachtigen zonder zelf de kosten voor research en development te maken. Exemplarisch hiervoor is de Chinese economische spionage, die zich vooral richt op technologiediefstal en voorkennis inzake voorgenomen investeringen.

Uit onderzoeken blijkt dat staten als China, Rusland en Iran offensieve cyberprogramma’s hebben, gericht tegen Nederland.176 Daaruit spreekt zowel de capaciteit als de intentie om in Nederlandse organisaties binnen te dringen. De cybercapaciteiten, kennis en expertise van China en Rusland zijn zelfs zo omvangrijk, dat de kans groot is dat zij slagen wanneer ze ergens digitaal binnen willen dringen.

Volgens gelekte documenten deed een Iraanse cyberorganisatie in 2020 onderzoek naar het hacken van industriële controlesystemen. De Iraanse onderzoekers schrijven dat ze nog niet genoeg inzicht hebben in de systemen om fysieke sabotage mogelijk te maken. Uit de documenten blijkt dat de cyberactoren specifiek zochten naar gebouwbeheersystemen, onder andere in Nederland. Dit zou passen binnen het beeld van de toenemende aandacht voor cybersabotage binnen Iran.”

Cybercrime & nationale veiligheid

JJO: Vorig jaar was één van de in het oog springende uitspraken van het CSBN dat ransomware de nationale veiligheid van Nederland bedreigde. Dit jaar zeggen ze hierover:

“Organisaties die digitaal worden aangevallen zijn veelvuldig het slachtoffer van ransomware. De inzet hiervan vormt een risico voor de nationale veiligheid als het gaat om de continuïteit van vitale processen, het weglekken en/of publiceren van vertrouwelijke of gevoelige informatie en de aantasting van de integriteit van de digitale ruimte. Vitale processen kunnen niet alleen zelf getroffen worden door ransomware, met alle gevolgen van dien, maar ook via leveranciersketens.

Dat is zeker het geval nu die aanvallen gepaard gaan met dubbele of zelfs drievoudige afpersing. Bij dubbele afpersing kunnen hackers na het versleutelen van bestanden dreigen met het publiceren van data als slachtoffers niet betalen. Bij drievoudige afpersing kunnen hackers via buitgemaakte gegevens ook klanten, partners en leveranciers van een getroffen organisatie een losgeldeis opleggen, in de hoop dat ook zij uit angst voor publicatie overgaan tot betaling.

Cybercriminelen zijn onverminderd in staat om omvangrijke schade toe te brengen aan digitale processen. Zij handelen vanuit financieel motief en hebben niet de intentie om de maatschappij te ontwrichten. Desondanks kunnen hun aanvallen zoveel impact veroorzaken dat ze nationale veiligheidsbelangen raken. De capaciteit van meerdere cybercriminele groepen is van gelijkwaardig hoog niveau als die van sommige statelijke actoren.

Statelijke actoren kunnen cybercriminelen inhuren, gedogen of onder druk zetten om cyberaanvallen op gewenste doelwitten uit te voeren. De relaties tussen staten en cybercriminelen kunnen ertoe leiden dat cybercriminelen een kant kiezen in geopolitieke conflicten. Recent illustreerde de oorlog in Oekraïne dit, toen cybercriminele groepen gelieerd aan Rusland waarschuwden tegenstanders van Rusland in het conflict digitaal aan te zullen vallen.

Hackerscollectieven kunnen ook een rol spelen in hybride conflictvoering, zoals in de oorlog in Oekraïne in 2022 het geval is. Het gevaar is dat de activiteiten van hacktivisten verkeerd geïnterpreteerd worden door landen die het slachtoffer worden van hun aanvallen, wat tot tegenreacties kan leiden. Ook kunnen statelijke actoren onder de vlag van hacktivisten opereren. Door verhoogde activiteit van hackersgroepen is de kans aanwezig dat Nederland (neven)schade ondervindt van digitale aanvallen. Indien hackers cyberaanvallen vanuit of via Nederland uitvoeren op buitenlandse doelwitten, kan Nederland ook getroffen worden door een tegenreactie. Ook Nederlandse ingezetenen kunnen deelnemen aan acties van hacktivisten en zo betrokken raken bij conflicten. Betrokkenheid bij een conflict elders door het plegen van digitale aanvallen kan onvoorziene consequenties hebben en is bovendien strafbaar.”

Food for Thought    

Het CSBN zit bomvol waardevolle informatie. Een groot deel meen ik inmiddels ook wel te herkennen uit de praktijk, input van de politie en OM en ik zie informatie terug uit jaarverslagen en publieke rapporten van de AIVD en de MIVD.

De ‘beleidshoofdstukken’, de lay-out (ongeveer de helft van rapport bestaat uit lege pagina’s en plaatjes), vaagtaalgebruik (“De dreiging die van statelijke actoren uitgaat, is niet van vandaag of gisteren, maar ontwikkelt zich al langer. Soms wordt ze diffuser, soms juist meer manifest” (??!) en veel herhaling spreekt mij minder aan.

Maar wat mij echt stoort als is dat hier en daar een voorbeeld uit een internationale context erbij wordt gehaald voor het Cyber Security Beeld Nederland en met cijfers wordt gegooid waarvan ik de betrouwbaarheid betwijfel. Denk bijvoorbeeld aan de volgende tekst:

“In april 2020 schatte Help Net Security naar aanleiding van een enquête onder meer dan 500 leidinggevenden binnen het internationale MKB in dat 46 procent van het MKB ooit slachtoffer was geweest van ransomware.”

En over de omvang van de schade van ransomware voor Nederland kunnen blijkbaar geen zinnige dingen worden gezegd. Lees bijvoorbeeld:

“De Conti-ransomwaregroep zou zelfs recent de beschikking hebben gehad over 2 miljard dollar aan virtuele valuta”. Vorige week verscheen nog een artikel in het FD waarin gesproken werd over honderden miljoenen dollars. Wat is het nu?

Verder wordt over de omvang van schade door ransomware gezegd:

“De totale economische schade van ransomware, in de zin van betaald losgeld, verlies aan bedrijfscontinuïteit, gevolgschade en herstelkosten van alle aanvallen bij elkaar opgeteld is moeilijk vast te stellen. (…) Het is niet bekend hoeveel de schade voor Nederland betreft. Deze blinde vlek heeft meerdere oorzaken.”

Maar het inschatten van de omvang lijkt mij juist wel een taak van een Nationaal Cyber Security Centrum. Of je laat daar als wiedeweerga onderzoek naar doen. Toch?

Ook vroeg ik mij af of hoe lang met het CSBN wordt doorgegaan. En hoe verhoudt het zich eigenlijk tot al die criminaliteitsmonitoren van het WODC en CBS? Zouden daar nog opties liggen of aanvullingen in liggen?

Of ben ik een te kritische lezer? Ach ja, wie weet zijn ze er volgend jaar wat voorzichtiger met welke (internationale cijfers) ze aanhalen.

Verslag hackbevoegdheid & Antwoord op Kamervragen over hacksoftware

Op 31 mei 2022 heeft de inspectie Veiligheid & Justitie haar jaarlijkse rapportage uitgebracht over het naleven van de regels omtrent de inzet van de hackbevoegdheid door de politie. De belangrijkste resultaten van het verslag worden hier weergegeven.

In totaal is de hackoperatie in 28 zaken ingezet. In 24 van de 28 is een niet vooraf goedgekeurd technisch hulpmiddel ingezet. De SkyECC-operatie valt overigens buiten het onderzoek, omdat zowel de politie als het Openbaar Ministerie hebben aangegeven dat in dit onderzoek geen sprake is geweest van de inzet van de hackbevoegdheid door Nederlandse opsporingsambtenaren (cursivering red.). De Inspectie voert geen rechtmatigheidstoezicht uit ten aanzien van de proportionaliteit van de inzet. Wel is te lezen dat in één zaak een technisch hulpmiddel is ingezet dat mogelijk standaard locatiegegevens vastlegt bij bepaalde handelingen door de gebruiker van het onderzochte geautomatiseerd werk. De Inspectie signaleert dat deze vastlegging van locatiegegevens mogelijk kenmerken heeft van stelselmatige observatie. In de zaak waarin dit hulpmiddel is ingezet, is echter geen bevel afgegeven voor het middels de hackbevoegdheid stelselmatig observeren van de betreffende verdachte.

De logging was dit jaar accurater en completer door verbeteringen in de techniek. Door diverse soorten logging te combineren met het journaal, heeft de Inspectie de uitgevoerde handelingen in voldoende mate kunnen reconstrueren om een goed beeld te krijgen van de manier waarop de politie de hackbevoegdheid heeft toegepast. In de verdiepende bijlage wordt het loggingsproces overigens nog veel uitgebreider beschreven. De politie heeft op onderdelen de kwaliteit verbeterd door eigen controles in te richten. Wat nog ontbreekt, is een overkoepelende analyse waarbij de politie per activiteit van de inzet van de bevoegdheid nagaat welke kwaliteitsborging nodig is om risico’s in het gehele proces van uitvoering voldoende te beperken. Niet is bepaald wie precies welke taken en verantwoordelijkheden heeft en aan wie verantwoordelijk wordt afgelegd. De Inspectie zegt in het voorwoord dat dit beter moet worden ingeregeld. Zolang dit niet goed is geregeld wordt het toezicht in 2022 met dezelfde diepgang uitgevoerd als de afgelopen twee keer.

In 23 van de 28 zaken is commerciële binnendringingssoftware ingezet. De inspectie rapporteert dat voor zowel de politie als de Inspectie deze software een ‘black box’ is. Het kenmerk van een ‘black-box’ is dat de resultaten zichtbaar zijn maar voor de gebruiker niet bekend is hoe de software precies werkt. Hoewel in een addendum bij het contract procedurele afspraken zijn gemaakt met de leverancier, is technisch niet afdwingbaar en controleerbaar wat de leverancier van deze software precies op welk moment doet. De leverancier kan daarbij mogelijk ook toegang verkrijgen tot de tijdens een inzet met deze software verkregen gegevens. De Inspectie heeft er begrip voor dat deze software in het belang van de opsporing wordt ingezet, maar signaleert hierdoor een ‘spanning met het rechtskader’, omdat eigenlijk alleen door de korpschef aangewezen ambtenaren toegang mogen hebben tot de verkregen gegevens.

Als procedureregel noemt de inspectie ook een toezegging uit het regeerakkoord 2017-2021 dat een screening van de leverancier plaatsvindt door de AIVD. In parlementaire stukken is niet uitgewerkt op welke aspecten de leverancier door de AIVD wordt gescreend. Deze screening is anders van inhoud dan de veiligheidsonderzoeken die de AIVD uitvoert voor personen die een vertrouwensfunctie (gaan) vervullen. In antwoord op Kamervragen over het gebruik van hacksoftware Pegasus is te lezen dat de screening door de AIVD uitgevoerd als een ‘naslagverzoek’ conform de F-taak van de Wiv 2017 in artikel 8 lid 2 sub f. Daarnaast mag de leverancier niet leveren aan de ‘dubieuze regimes’. Dit zijn landen die zich schuldig maken aan ernstige schendingen van mensenrechten of internationaal humanitair recht. In deze toets wordt de leverancier gevraagd niet te hebben geleverd aan landen waartegen vanuit de EU of de VN restrictieve sancties bestaan en wordt gecontroleerd of in het land waar de leverancier is gevestigd een exportcontroleregime bestaat waar mensenrechten een onderdeel is in de beoordeling voor het verstrekken van een exportvergunning. Over het niet leveren bij dubieuze regimes heeft de politie in 2019 een verklaring opgevraagd bij de leverancier.

Over onbekende kwetsbaarheden is ten slotte nog het volgende te lezen: ‘in 2021 heeft DIGIT in twee opsporingsonderzoeken kwetsbaarheden aangetroffen die kunnen worden gebruikt om een geautomatiseerd werk binnen te dringen. De Inspectie heeft vastgesteld dat DIGIT deze kwetsbaarheden ter beoordeling, conform de werkproces afspraken, voorgelegd heeft aan de DIGIT officier van justitie. In één van deze gevallen heeft de DIGIT officier van justitie besloten dat het daadwerkelijk een of meerdere onbekende kwetsbaarheden betreft. In dit geval heeft de officier van justitie bevolen dat het bekend maken hiervan aan de producent wordt uitgesteld. Overigens heeft DIGIT deze kwetsbaarheden in 2021 niet daadwerkelijk gebruikt om een geautomatiseerd werk binnen te dringen’.

Antwoorden Kamervragen over het gebruik van hacksoftware zoals Pegasus

Op 23 juni 2022 hebben minister Bruis Slot van Binnenlandse Zaken en Koninkrijksrelaties en Yeşilgöz-Zegerius van Justitie & Veiligheid antwoord gegeven op Kamervragen over hacksoftware. Voor de beantwoording van de vragen verscheen nog het artikel ‘AIVD gebruikt omstreden Israëlische hacksoftware‘ in de Volkskrant en in april 2022 nog het artikel: ‘Politie wil niets loslaten over haar selectie van hacksoftware‘.

De minister van Veiligheid & Justitie geeft aan dat geen informatie over leveranciers wordt gegeven, omdat het voor de afscherming van middelen en methodieken niet mogelijk is om openbaar inzicht te geven in welke software de politie gebruikt bij de uitvoering van deze bevoegdheid.

Opsporingsdiensten mogen ten behoeve van het uitvoeren van de bijzondere opsporingsbevoegdheid de hackbevoegdheid inzetten, zoals vastgelegd in artikelen 126nba, 126uba en 126zpa Sv. De uitvoering van deze bevoegdheid is centraal belegd bij een technisch team dat is ondergebracht bij de Landelijke Eenheid van de politie.

De BOB-bevoegdheid is ingezet in opsporingsonderzoeken naar een combinatie van de volgende artikelen: art. 96 lid 2 (handelingen met het oogmerk tot voorbereiding/bevorderen van misdrijven tegen de veiligheid van de staat), 140 (deelneming aan een criminele organisatie), 140a (deelneming aan een terroristische organisatie), 157 (brandstichting/teweegbrengen ontploffing), 170 (vernieling van gebouwen), 177 (omkoping van ambtenaren), 225 (valsheid in geschriften), 227a (niet naar waarheid gegevens verstrekken), 287 (doodslag), 289 (moord), 310/311 (gekwalificeerde diefstal), 317 (afpersing), 326 (oplichting), 328ter (omkoping van anderen dan ambtenaren), 416/417 (gewoonte heling) en 420bis/420ter Sr (gewoonte witwassen). Daarnaast voor overtreding van (een combinatie van) bepaalde artikelen uit de Opiumwet, Wet Wapens en munitie, de wet op het financieel toezicht en de Wet op de economische delicten.

De minister van BZK geeft aan dat art. 45 Wiv 2017 de bijzondere bevoegdheid bevat van het binnendringen van een geautomatiseerd werk. Over de wijze waarop de inlichtingen- en veiligheidsdiensten gebruikmaken van hun wettelijke bevoegdheden kan in het openbaar geen mededeling worden gedaan. Er wordt ook geen antwoord gegeven op de vraag of de AIVD en de MIVD commerciële software hebben ingezet voor de uitvoering van de hackbevoegdheid.

Evaluatie Wet computercriminaliteit III

De Wet computercriminaliteit III wordt door het WODC geëvalueerd. Bij de eerste evaluatie wordt gekeken naar één onderdeel van de wet, namelijk de bevoegdheid tot het heimelijk en op afstand binnendringen en onderzoek doen in een geautomatiseerd werk. Het tweede deel van de evaluatie zal zich richten op de gehele wet, inclusief de bevoegdheid tot binnendringen. Naar verwachting zal het eerste deel van de evaluatie in de zomer 2022 worden afgerond en vlak na de zomer 2022 gepubliceerd.

Cybercrime jurisprudentieoverzicht juli 2022

Hoge Raad acht gegevensverzameling Ennetcom rechtmatig

Op 28 juni 2022 heeft de Hoge Raad een arrest (ECLI:NL:HR:2022:900) gewezen over de rechtmatigheid van de verkrijging van Ennetcom-data en de omgang met deze data in Nederland.

Ennetcom was een Nederlandse dienstverlener voor “pgp” communicatie. Zie in dat kader ook: Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (veroordeling oprichter Ennetcom). Deze dienst maakte het mogelijk om berichten te versturen en te ontvangen op een versleutelde wijze. Voor dit ontvangen en verzenden werd typisch – en ook in de onderhavige zaak – gebruik gemaakt van Blackberry-telefoons die ongeschikt waren gemaakt voor ‘gewoon’ gebruik, in die zin dat er niet mee gebeld, ge-sms’t of gewhatsappt kon worden en er geen foto’s mee konden worden gemaakt (zie HR 8 maart 2022, ECLI:NL:PHR:2022:219, concl. AG Hartveld, r.o. 2.3).

In deze uitgebreide samenvatting (let op: het is geen commentaar of annotatie), ga ik nader op de feitelijkheden, het oordeel van de Hoge Raad over de gegevensverzameling, de uitgebreide overwegingen van het gevolgde advies van AG Harteveld over de verstrekking van Ennetcom-data en het daarop volgende oordeel van de Hoge Raad.

Gegevensverzameling en voorwaarden Canadese rechter

De feiten over de gegevensverzameling worden kort en goed opgesomd in de conclusie van de AG (r.o. 2.5-2.8).

Op 8 april 2016 is aan Canada een rechtshulpverzoek gedaan. Hierbij is een beroep gedaan op het Rechtshulpverdrag dat Nederland en Canada hebben gesloten. Dit verzoek strekte ertoe dat de data op de BES-servers in Toronto zouden worden veiliggesteld door het maken van forensische kopieën van de data op deze servers, en dat alle beschikbare gegevens van deze servers zouden worden overgedragen aan Nederland ten behoeve van nader onderzoek in Nederland. De bevoegdheid die hier naar Nederlands recht aan ten grondslag lag, betrof, althans volgens een zich tussen de stukken bevindende vordering, de doorzoeking ter vastlegging van gegevens als bedoeld in art. 125i Sv.

Op 18 april 2016 – dus één dag na de in deze zaak bewezenverklaarde moord – is het rechtshulpverzoek door de Canadese rechter toegewezen, waarna de volgende dag een doorzoeking heeft plaatsgevonden. Hier zijn, althans opnieuw volgens een zich tussen de stukken van het geding bevindende vordering, zonder tussenkomst van derden door de Canadese politie forensische kopieën van de gevraagde data gemaakt. Tussen deze data bevonden zich niet (alleen) de zogenaamde “keys” om inbeslaggenomen telefoons mee te ontsleutelen, maar ook communicatiegegevens: de inhoud van verstuurde berichten van een grote hoeveelheid gebruikers was opgeslagen op deze servers.

Op 13 september 2016 is door het Ontario Superior Court of Justice een “sending order” uitgevaardigd waarin hij het verzoek tot toezending van de data aan Nederland heeft toegewezen. Uit deze uitspraak blijkt dat in de aanloop naar deze beslissing namens Ennetcom nog bezwaar is aangetekend tegen het verzenden van deze data aan Nederland. Dit bezwaar is door de Canadese rechter gepasseerd. Uit de uitspraak wordt duidelijk dat de Canadese rechter zich realiseert dat de te verzenden data mogelijk een grote hoeveelheid privégegevens van nog onbekend gebleven personen bevatten. Dit leidt ertoe dat hij aan de verzending een aantal voorwaarden verbindt. De gestelde voorwaarden houden onder meer in dat de data in beginsel slechts gebruikt zouden mogen worden bij de berechting van enkele nader genoemde misdrijven en slechts in de vier op dat moment bij de Canadese rechter bekende strafrechtelijke onderzoeken (zie hiervoor onder 2.4).

De Canadese rechter voorzag echter dat het waarschijnlijk zou zijn dat de Ennetcom-data ook in andere Nederlandse strafrechtelijke onderzoeken relevant zou blijken. Voor dergelijke gevallen gelastte hij dat voorafgaand aan gebruik in deze onderzoeken, ter bescherming van de privégegevens van de gebruikers van Ennetcom, steeds voorafgaande toestemming van een Nederlandse rechter (“court”) nodig zou zijn.

Ten behoeve van de onderhavige moordzaak is tweemaal om toestemming gevraagd aan een rechter-commissaris – en deze is ook verkregen, om gebruik te maken van de Ennetcom-data uit Canada (2.9-2.16). Voor het samenstellen van dataset werden andere BlackBerry telefoons gebruikt. De verdachte werd kort na de liquidatie in de nabijheid van de plaats delict aangehouden. Kort na zijn aanhouding werd in een tas twee doorgebroken BlackBerry aangetroffen. Daarnaast werd een telefoon van het slachtoffer in het onderzoek betrokken.

Oordeel gegevensverzameling Hoge Raad

De Hoge Raad acht kortgezegd het verzamelen van de gegevens op basis van een rechtshulpverzoek en met toestemming van een Canadese rechter rechtmatig. Volgens de Hoge Raad mag de officier van justitie ook een machtiging mag vorderen van de rechter-commissaris voor het gebruik van dergelijke gegevens in andere strafrechtelijk onderzoeken. De Hoge Raad verwijst daarbij naar (weliswaar in een enigszins andere context HR 5 april 2022, ECLI:NL:HR:2022:475, r.o. 6.11.3). In de onderhavige zaak betrof het door het OM aanvullen van processtukken, waarbij i.v.m. een voorwaarde zoals gesteld in uitspraak van Canadese rechter, een rechterlijke machtiging diende te worden verkregen voor gebruik van gegevens in een ander onderzoek dan de vier onderzoeken ten behoeve waarvan rechtshulpverzoek aan Canadese rechter.

De Hoge Raad overweegt dat aan Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie; hierna: Richtlijn 2002/58/EG) alleen van toepassing is op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken. In hoger beroep is niet is aangevoerd en ook uit de vaststellingen van het hof niet volgt dat in deze zaak bij het gebruikmaken van de toestellen van Ennetcom en het vastleggen van gegevens op servers in Canada sprake was van zodanige verwerking van persoonsgegevens.

De voeging van “alle Ennetcom-data” als processtuk of het bieden van gelegenheid voor inzage is kortgezegd volgende Hoge Raad ook niet nodig. De Hoge Raad herhaalt in dat kader de overwegingen uit HR:2021:218, met daarin de maatstaf bij de beoordeling van verzoek tot voeging van stukken bij processtukken. De verdediging kan gemotiveerd verzoek doen tot verkrijgen van inzage in specifiek omschreven stukken. Tijdens vooronderzoek kan dergelijk verzoek worden gedaan o.g.v. de in art. 34.2-34.4 Sv geregelde procedure. Na aanvang van onderzoek ter terechtzitting beslist de zittingsrechter of en zo ja, in welke mate en op welke wijze, die inzage kan worden toegestaan.

Overwegingen AG Harteveld over voeging van Ennetcom-data

AG Harteveld overwoog hierover dat “naar Nederlands recht bestaat er zoals bekend geen als zodanig benoemd recht op inzage in of afschrift van ruwe onderzoeksdata. De verdachte kan op de voet van art. 34 Sv de officier van justitie verzoeken om specifiek omschreven stukken bij de processtukken te voegen (lid 1) en daartoe toestemming verzoeken om kennisname van bepaalde stukken (lid 2). De officier van justitie kan dit echter weigeren op de grond dat het geen processtukken zijn, waarvoor getoetst moet worden aan het relevantiecriterium (art. 149a Sv)” (6.3-6.4)

Met betrekking tot relevante EHRM-rechtspraak (met name in de zaken Rook t. Duitsland, Sigurður Einarsson e.a. t. Duitsland), overweegt de AG:

6.12 Uit het voorgaande kunnen naar het mij voorkomt de volgende gezichtspunten worden afgeleid die van belang zijn voor de vraag of de omgang met grote datasets de toets van art. 6 EVRM kan doorstaan. Daarbij is steeds van belang om welk niveau van analyse het gaat.

6.13 Op het eerste niveau gaat het om het onderzoek naar de ruwe, ongefilterde data (de pimaire dataset). Het Europees Hof lijkt de verdediging in beginsel een recht toe te kennen om mee te denken over de wijze waarop die data (de “full collection of data”) wordt onderzocht. In de praktijk kan dit betekenen dat de verdediging zelf trefwoorden kan aandragen waarop zij de data wil laten onderzoeken. In dit stadium mag wat het EHRM betreft echter wel het nodige van de verdediging verwacht worden om te specificeren wat en te motiveren waarom daarnaar gezocht moet worden. Aan verzoeken die neer zouden komen op “fishing expeditions” van de zijde van de verdediging hoeft niet tegemoet te worden gekomen. Ook schrijft het EHRM niet voor dat de verdediging dit onderzoek zelf zou moeten kunnen uitvoeren. De mogelijkheid om aan te geven hoe de data onderzocht moeten worden is in deze fase voldoende. Overigens lijkt mij dat, indien de primaire dataset door bijvoorbeeld het OM reeds is onderzocht op een moment dat de verdediging hier nog bij betrokken kon worden, niets eraan in de weg staat dat dit later wordt ingehaald, in die zin dat de verdediging dan op een later moment alsnog de gelegenheid wordt geboden om dit onderzoek te (laten) doen.

6.14. Op het tweede niveau gaat het om nader onderzoek naar de resultaten van het hierboven bedoelde initiële onderzoek. Dus om de “hits” die het resultaat zijn van het doorzoeken van de data aan de hand van zoektermen (de secundaire dataset). De aldus verworven dataset zal in de regel resultaten bevatten die lang niet allemaal relevant zijn voor de zaak en kan alsnog een grote, moeilijk overzienbare hoeveelheid data bevatten. Het EHRM constateert nochtans dat de verdediging op enige wijze de mogelijkheid moet worden geboden tot het nader (laten) onderzoeken van deze data en dat “any refusal to allow the defence to have further searches of the “tagged” documents carried out would in principle raise an issue under Article 6 § 3(b) with regard to the provision of adequate facilities for the preparation of the defence.” Hoe ernstig dit “issue” zou zijn en in hoeverre dit vatbaar is voor compensatie specificeert het hof niet. Uit de rest van de uitspraak leidt ik in elk geval wel af dat ook in deze fase nog de nodige inspanningen van de verdediging verwacht mogen worden om duidelijk te maken wat zij wil onderzoeken en waarom zij dit wil. Ook valt uit het feit dat het hof redeneert dat er in de zaak Sigurður Einarsson tegen IJsland niet genoeg redenen waren om de verdediging geen toegang te verlenen tot de secundaire dataset (“tagged documents”) op te maken dat die redenen er in andere situaties wel kunnen zijn. Het recht op toegang tot de “tagged” data is dus niet absoluut. Beperkingen aan de toegang, bijvoorbeeld op grond van privacy van andere betrokkenen, blijven in deze fase dus toelaatbaar, maar zullen wel beter uitgelegd moeten worden.

6.15. In de uitspraken van het EHRM klinkt voorts door dat het in deze fase eerder in de rede ligt dat de verdediging in staat wordt gesteld om zelf onderzoek naar de data te (laten) doen. De eis wordt echter niet gesteld dat de verdediging fysiek de beschikking krijgt over de “tagged” datasets, bijvoorbeeld in de vorm van afschrift of digitale kopieën. Wanneer de verdediging de mogelijkheid krijgt tot het doen van onderzoek op bijvoorbeeld het politiebureau of – zoals in Nederland de praktijk lijkt te zijn – bij het NFI, is dat in beginsel voldoende, mits de verdediging maar voldoende tijd krijgt dit onderzoek adequaat te verrichten. Wat precies voldoende tijd is lijkt me af te hangen van de omstandigheden van het geval en dus niet in algemene zin te zeggen, al geeft de beoordeling in de zaak Rook tegen Duitsland wel enig houvast. Wel lijkt uit de rechtspraak van het EHRM te kunnen worden afgeleid dat de verdediging een effectieve mogelijkheid tot het onderzoeken moet worden geboden, waaruit dan weer volgt dat – zoals ook in Nederland gebruik lijkt te zijn – de verdediging gebruik moet kunnen maken van software die geschikt is om de data te onderzoeken. Naar Nederlands recht zou een verzoek tot inzage in en de mogelijkheid tot het doen van onderzoek aan de secundaire dataset kunnen worden ingekleed als een verzoek als bedoeld in art. 34 lid 2 Sv.

6.16. Op het derde niveau gaat het om de dataset die het gevolg is van onderzoek op het tweede niveau. Het betreft dus de data die, na een tweede (al dan niet handmatige) selectie als relevant zijn aangemerkt: de tertiaire dataset. Het gaat hier dus in wezen om de selectie van de data die gevoegd zullen worden bij de processtukken. Deze selectie zal in Nederland in de regel onder verantwoordelijkheid van het officier van justitie geschieden – hij draagt in elk geval de verantwoordelijkheid voor de samenstelling van de processtukken (art. 149a lid 1 Sv) – al heeft de verdediging op de voet van art. 34 lid 1 Sv de mogelijkheid om te verzoeken om voeging van stukken, bijvoorbeeld indien de relevantie hiervan uit het hiervoor bedoelde eigen onderzoek is gebleken. De kennisneming van de data die tot de processtukken gaan behoren kan – behoudens de mogelijkheid van art. 149b of onder uitzonderlijke omstandigheden art. 8 EVRM – niet anders dan tijdelijk (vgl. art. 30 Sv) aan de verdachte en de zittingsrechter worden onthouden. De verdachte kan van deze stukken in beginsel tevens afschrift ontvangen (art. 32 Sv).

6.17. Wanneer ik het voorgaande toepas op de onderhavige zaak leidt dit tot de volgende conclusies. Voor zover het middel rust op de opvatting dat de verdediging het recht zou hebben op kennisneming of zelfs verstrekking van alle Ennetcom-data (de primaire dataset) kan het gelet op het onder 6.13 overwogene niet slagen. Uit hetgeen ter zitting is aangevoerd (zie hiervoor onder 2.16) blijkt voorts niet dat de verdediging op enige wijze heeft gespecificeerd en gemotiveerd wat het in de primaire dataset onderzocht wilde hebben. Het hof hoefde hier dus ook niet nader op te reageren.

Oordeel Hoge Raad

De Hoge Raad overweegt dat het Hof Arnhem-Leeuwarden (ECLI:NL:GHARL:2021:1917) in deze zaak het verzoek afgewezen omdat noodzaak daarvan niet is gebleken. Daarin ligt het oordeel besloten dat deze stukken redelijkerwijs niet van belang kunnen zijn voor de door zittingsrechter te nemen beslissingen. Het Hof heeft hieraan ten grondslag gelegd dat:

  • door verdediging niet is aangevoerd dat de door OM verstrekte stukken onjuist zijn of zodanig onvolledig zijn dat hof niet in staat is vragen genoemd in art. 348 en 350 Sv goed te beantwoorden;
  • door verdediging niet is gemotiveerd dat en, zo ja, waarom sprake zou zijn van onjuistheden of onvolledigheden die betrouwbaarheid van waarheidsvinding in twijfel trekken; en
  • door verdediging geen aanwijzingen zijn genoemd of anderszins zijn gebleken dat enige informatie onrechtmatig is verkregen.

Op grond van dit een en ander heeft het hof kennelijk ook geen aanleiding gezien de verdediging inzage te geven in de verzochte stukken en daarom dat verzoek afgewezen. Voor de afwijzing van dit laatste verzoek is bovendien van belang dat het hof, naar aanleiding van het verweer dat de PGP-gesprekken (die deel uitmaken van de in deze strafzaak wel gevoegde Ennetcom-data) van het bewijs moeten worden uitgesloten, heeft overwogen dat de inhoud van de PGP-gesprekken op een groot aantal onderdelen overeenkomt met en dus bevestiging vindt in de inhoud van andere bewijsmiddelen, dat die gesprekken “de nog ontbrekende puzzelstukjes” opleveren in die zin dat de nieuwe informatie uit die gesprekken past en aansluit bij de al bekende informatie en dat uit de stukken van de zaak blijkt op welke wijze de politie de identiteit van de personen die deelnemen aan de PGP-gesprekken heeft vastgesteld (r.o. 4.5).

Het oordeel van het Hof berust niet op onjuiste rechtsopvatting en is niet onbegrijpelijk (met andere woorden: is juist). Het beroep wordt verworpen.

Hoge Raad: Instagram-account is geen zaak of vermogensrecht

In een arrest (ECLI:NL:HR:2022:687) van 24 mei 2022 oordeelt de Hoge Raad dat een Instagram-account geen ‘voorwerp’ is dat vatbaar is voor verbeurdverklaring.

Uit de wetsgeschiedenis volgt dat slechts zaken en vermogensrechten als voor verbeurdverklaring vatbare ‘voorwerpen’ kunnen worden aangemerkt (r.o. 2.5). Het oordeel van de rechtbank dat een Instagram-account niet als een zaak of vermogensrecht kan worden aangemerkt vindt de Hoge Raad juridisch juist. Dat virtuele objecten die – kort gezegd – waarde vertegenwoordigen en overdraagbaar zijn onder omstandigheden wel als zo’n voorwerp zouden kunnen worden aangemerkt, maakt dat niet anders. De met het aanmaken van een persoonsgebonden Instagram-account geopende mogelijkheid voor de gebruiker om via een site of app beelden of andere gegevens uit te wisselen, is niet met dergelijke objecten gelijk te stellen (r.o. 2.6).

In deze samenvatting ga ik nog iets uitgebreider in op de feitelijkheden en de conclusie van AG Harteveld.

Feitelijkheden en ‘accountovername’ door de Belastingdienst

De klaagster wordt ervan verdacht dat zij via deze Instagram-accounts (valse) merkkleding zou verkopen, dan wel deze accounts zou gebruiken om mensen naar Whatsapp-groepen en andere accounts te leiden waar deze goederen werden aangeboden. In de conclusie van AG Hartveld (ECLI:NL:PHR:2022:218) is overigens te lezen dat namens de Belastingdienst werd bevestigd dat de accounts waren “overgenomen”. In deze zaak is de telefoon van de klaagster doorzocht, waarbij onder meer is gezocht naar de aanwezigheid van foto’s en lijsten van vervalste merkkleding en Whatsapp-gesprekken met potentiële afnemers. Vervolgens was het eveneens mogelijk om – via deze telefoon – toegang tot het beheer van haar Instagram-accounts te verkrijgen. Ruim twee weken later is de inbeslagneming door het OM aan Facebook (thans: Meta) per e-mail toegelicht. In deze e-mail wordt als juridische basis gewezen op onder meer art. 94 Sv in verbinding met art. 125j Sv. Daarin wordt benadrukt dat geen sprake is geweest van ‘hacking’ maar van vrijwillige toestemming (‘voluntary consent’) van de rechthebbende. Na de inbeslagname wilde het OM de accounts verbeurdverklaren, omdat sprake is geweest van strafbare feiten die zijn gepleegd met behulp van deze accounts.

Een zaak?

In de conclusie beargumenteerd AG Harteveld waarom geen sprake is van een zaak of vermogensrecht. Zaken zijn volgens art. 3:2 BW voor menselijke beheersing vatbare stoffelijke objecten. Volgens de AG is het ‘evident’ dat een gebruiksrecht op een Instagram-account geen voor menselijke beheersing vatbaar stoffelijk object is en dus geen zaak in de zin van art. 3:2 BW (r.o. 3.29).

Een vermogensrecht?

De AG gaat er ook uitgebreid op in waarom een Instagram-account geen vermogensrecht is (r.o. 3.28-3.41). Volgens art. 3:6 BW zijn vermogensrechten rechten die, hetzij afzonderlijk hetzij tezamen met een ander recht, overdraagbaar zijn, of ertoe strekken rechthebbende stoffelijk voordeel te verschaffen, ofwel verkregen zijn in ruil voor verstrekt of in het vooruitzicht gesteld stoffelijk voordeel (vgl. HR:2019:1909). De AG overweegt dat ‘aangezien een gebruiksrecht op een Instagram-account geen vorderingsrecht is (noch een beperkt recht), terwijl de wet evenmin iets bepaalt over de overdraagbaarheid van Instagram-accounts, zou zo’n recht slechts overdraagbaar zijn indien deze accounts vatbaar zijn voor eigendom. Omdat een Instagram-account geen zaak is, is eigendom evenwel niet mogelijk (zie art. 5:1 BW).

Het kan ook niet worden gekwalificeerd als een recht dat ertoe strekt de rechthebbende voordeel te verstrekken. Hoewel het op tal van manieren mogelijk is om geld te verdienen met behulp een Instagram-account vloeit dit voordeel niet, althans niet rechtstreeks, voort uit het gebruiksrecht. Hiervoor is het immers nodig dat de gebruiker aanvullende actie onderneemt die los staat van de verbintenis met Instagram, bijvoorbeeld door overeenkomsten met derden te sluiten. Voor zover dus gesproken kan worden van “voordeel” aan de zijde van de gebruiker, is volgens de AG doorgaans het gevolg van de nevenwerking van het gebruiksrecht. Dit is in het algemeen onvoldoende om van een vermogensrecht te kunnen spreken.

Het zijn volgens de AG ook geen ‘rechten die verkregen zijn in ruil voor verstrekt of in het vooruitzicht gesteld voordeel’. Hij overweegt dat gebruikers Instagram niet betalen Instagram in ruil voor een Instagram account, maar zij verstrekken (in plaats daarvan) informatie over zichzelf. Zo krijgt Instagram de mogelijkheid om gericht te (laten) adverteren. Ten slotte over de vraag of het gebruiksrecht op een account ‘op geld waardeerbaar is’, overweegt de AG in r.o. 3.39 het volgende:

“Vóór de gedachte dat gebruiksrechten op Instagram-accounts op geld waardeerbaar zijn spreekt het argument dat de (aanzienlijke) hoeveelheid “volgers” dat aan een account kleeft een zekere waarde vertegenwoordigt omdat het van betekenis is voor de commerciële potentie van het account. Daar staat echter tegenover dat die volgers moeilijk los gezien kunnen worden van de rechthebbende op het account, degene die wordt “gevolgd”. Zonder die persoon (of in het geval van een professioneel account: de professionele entiteit) verliest een gebruiksrecht op een account naar het mij voorkomt in elk geval een groot deel van zijn waarde.

Voor zover het loutere verzamelen van (een aanzienlijke hoeveelheid) volgers al een zekere waarde zou vertegenwoordigen, die zou uitstijgen boven de waarde die samenhangt met de gebruiker van het account, vertoont die waarde een sterke gelijkenis met goodwill. Over goodwill bestaat in de literatuur consensus dat dit niet als vermogensrecht kan worden aangemerkt”

Virtuele objecten kunnen wel zaken zijn

De Hoge Raad sluit hierbij in het arrest op aan. Dat virtuele objecten die waarde vertegenwoordigen en overdraagbaar zijn onder omstandigheden wel als zo’n voorwerp zouden kunnen worden aangemerkt (zie o.a. het Runescape-arrest (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251)), maakt dat niet anders (r.o. 2.6).

Alternatieven naast verbeurdverklaring

Ten slotte wijst de AG er in conclusie nog op de wet andere mogelijkheden biedt om accounts op sociale media – of daarop gedeelde informatie – ontoegankelijk te maken dan wel te laten vernietigen. Daarbij kan gedacht worden aan een beroep op de ‘Gedragscode notice-and-take-down’ en artikel 126o en 126p Sv. Voor deze laatste bevoegdheid tot een ontoegankelijkheidsmaking is ook een machtiging van een rechter-commissaris is vereist.

Wijzigen van saldo cadeaukaart is geen computervredebreuk

De rechtbank Noord-Holland heeft op 28 juni 2022 een verdachte vrijgesproken (ECLI:NL:RBNHO:2022:5561) van computervredebreuk, maar veroordeeld voor diefstal en oplichting. De verdachte krijgt een gevangenisstraf opgelegd van 30 dagen, waarvan 27 dagen voorwaardelijk en een proeftijd van 1 jaar. De overwegingen omtrent computervredebreuk en diefstal met de vraag of de voucher een ‘goed’ is, zijn lezenwaardig.  

De verdachte heeft op 27 december 2018 samen met de medeverdachte ontdekt dat de cadeaukaartcodes die zij van Albert Heijn kregen te dupliceren waren. Dat was mogelijk door tegelijk dezelfde code op meerdere apparaten of meerdere openstaande tabbladen naar de website te sturen en zo tegelijk meerdere vouchers te verkrijgen. Op sommige momenten lukte het om zo met één code tien vouchers te krijgen. De medeverdachte heeft van twee collega’s cadeaukaarten overgekocht om dit te kunnen doen.

Kort daarna ontdekten zij dat met een ‘brute force attack’ op het tekstveld van de website, waarbij door een programma willekeurige cijfercombinaties worden geprobeerd, cadeaukaartcodes gevonden konden worden, waarmee de website kon worden benaderd. Deze brute force attack hebben zij aanvankelijk uitgevoerd met het programma ‘Burp Suite’. Na ontdekking is de medeverdachte ontslagen bij Albert Heijn.

Als reactie op de brute force attacks is de website verder beveiligd met onder meer een blokkade van IP-adressen die meerdere keren werden gebruikt en een tweestapsverificatie. Daarbij moest een telefoonnummer worden ingevoerd waar een code naartoe werd gestuurd die weer op de website moest worden ingevoerd. De verdachte en de medeverdachte zijn in de loop van februari en maart 2019 op zoek gegaan naar manieren om deze beveiligingen te omzeilen. De verdachte heeft een PHP-script geschreven om brute force attacks uit te kunnen blijven voeren. Hierbij hadden zij de beschikking over 10.000 verschillende IP-adressen. Daarnaast hebben ze gebruik gemaakt van een grote hoeveelheid verschillende simkaarten. In totaal zijn 700 vouchers verzilverd ter waarde van ongeveer € 17.500,-.

De rechtbank overweegt of sprake is van computervredebreuk. Zij gaat er daarbij vanuit dat de ‘activiteiten op een actieve website’ activiteiten op de achterliggende server impliceren. Bij de overweging of sprake is van (wederrechtelijk) binnendringen, stelt de rechtbank allereerst vast dat geen sprake is geweest van de in de tenlastelegging omschreven feitelijke gedraging “inloggen dan wel toegang verkrijgen tot de website door middel van codes”. Uit het dossier blijkt dat de website van Albert Heijn vrij toegankelijk was; er hoefde niet ingelogd te worden. Nadat men op de website een voucher had uitgezocht, hoefde pas een code ingevoerd te worden. Er zijn onvoldoende aanknopingspunten in het dossier die houvast bieden voor de vaststelling dat zij toegang hebben verkregen tot het geautomatiseerde werk met de daarop opgeslagen afgeschermde gegevens. Er is weliswaar sprake geweest van het gebruik van een valse sleutel, als bedoeld in art. 138ab lid 1 Sr, maar de strafbepaling kan volgens de rechtbank niet zo worden gelezen dat deze handelwijze als zodanig reeds het zich verschaffen van toegang oplevert.

Ten aanzien van het betoog van de verdediging dat een voucher geen goed is als bedoeld in art. 310 Sr, overweegt de rechtbank als volgt. Onder het begrip ‘goed’ valt elk goed dat vatbaar is om voor de bezitter (economische of anderszins) waarde te hebben. Dit kunnen ook niet-stoffelijke objecten zijn, als het gaat om een object dat naar zijn aard geschikt is om aan de beschikkingsmacht van een ander te worden onttrokken. Het begrip ‘beschikkingsmacht’ wordt in de jurisprudentie onder meer geduid als het hebben van ‘feitelijke en exclusieve heerschappij’ over het goed (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251 (Runescape)).

De digitale aard van de voucher, bestaande uit een reeks cijfers, staat er op zichzelf niet aan in de weg om het aan te merken als goed. Een voucher vertegenwoordigt een concreet vastgestelde economische waarde en is daarnaast overdraagbaar. Ook behoorden de vouchers toe aan Ahold Delhaize of al aan diens werknemers. De rechtbank overweegt dat om van diefstal te kunnen spreken, is niet noodzakelijk dat vaststaat aan wie een goed toebehoorde, maar dát het aan iemand toebehoorde. De rechtbank concludeert dat sprake is van diefstal, omdat de verdachte en/of één van zijn medeverdachten actief een aantal handelingen heeft verricht, die ‘de grondtrekken hebben van winkelen in een virtuele winkel’. De feitelijke en exclusieve heerschappij van de voucher is hiermee overgegaan naar de verdachte en/of zijn medeverdachten. De rechtbank is dan ook van oordeel dat de verdachte, tezamen en in vereniging met zijn medeverdachte(n), de vouchers heeft weggenomen.

Cybercrime jurisprudentieoverzicht mei 2022

Bulk en EncroChat

Op 17 maart 2022 heeft de rechtbank Amsterdam een verdachte veroordeeld (ECLI:NL:RBAMS:2022:1273) voor onder andere drugshandel. De verdachte was werkzaam in een drugslaboratorium en had als aanspreekpunt voor de criminele organisatie een essentiële rol. Daarnaast wordt hij (mede) verantwoordelijk gehouden voor de inrichting van het laboratorium en het productieproces van de handel in cocaïne. Hij is veroordeeld voor vier jaar gevangenisstraf.

De overwegingen over privacy en bulkdata zijn met name interessant om te lezen. De rechtbank overweegt dat er geen sprake is geweest van ‘bulkdata’ in de zin van ongedifferentieerde dataverzameling (zie in soortgelijke zin ook (Rb. Noord-Holland 4 mei 2022, ECLI:NL:RBNHO:2022:3899)). Het ging hier om een afgebakende groep, namelijk de gebruikers van EncroChat, en om een concrete verdenking, namelijk dat EncroChat werd gebruikt, geheel of in overwegende mate, door deelnemers aan georganiseerde criminaliteit. Dat is een essentieel andere situatie dan bijvoorbeeld het bewaren van alle metadata van alle abonnees van een telecomprovider ten behoeve van eventuele toekomstige strafrechtelijke onderzoeken.

Zie over bulkbevoegdheden en strafvordering ook het recente artikel van M. Galič, ‘Bulkbevoegdheden en strafrechtelijk onderzoek – Lessen uit de jurisprudentie van het EHRM voor de normering van grootschalige data-analyse’, TBS&H 2022/2.7 (in een themanummer over cryptophones). In dat themanummer is onder andere ook een overzichtartikel van EncroChat-jurisprudentie te vinden (tot februari 2022): B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2 en een bijdrage van S. Royer & R. Vanleeuw, ‘Cryptofoons, privacyvriendelijke applicaties en het vermoeden van onschuld’, TBS&H 2022/2.3.

Diefstal van bitcoins

Op 7 april 2022 is een verdachte veroordeeld (ECLI:NL:RBMNE:2022:1414) voor diefstal van Bitcoins en Bitcoin Cash. De virtuele valuta had een waarde van € 120.000,-. De verdachte wordt veroordeeld voor zowel computervredebreuk als diefstal. De diefstal kwam aan het ligt toen het slachtoffer zag dat 30 Bitcoins uit zijn wallet waren weggenomen, vanaf de computer op zijn tandartsenpraktijk waar zijn blockchain-account op stond. Uit onderzoek van het IT beveiligingsbedrijf Fox IT bleek dat een ‘Remote Dekstop Protocol’ was geactiveerd op de computer, hetgeen leidde tot nader onderzoek. Uit het bewijs blijkt dat de verdachte door middel van een ‘remote desktop’-sessie toegang had verkregen tot het systeem van de aangever.

De verbalisant stelde met Chainalysis vast dat de Bitcoins uit de wallet van de aangever waren verstuurd naar een ander Bitcoin-adres. Vervolgens waren de Bitcoins opgesplitst in negen transacties. Alle transacties werden uiteindelijk naar Shapeshift.io verzonden (Shapeshift.io is een platform waar je cryptocurrencies kunt wisselen, een soort digitaal wisselkantoor, maar staat ook wel bekend als ‘Bitcoinmixer’). De rechtbank overweegt dat ‘een mixer een soort dienst is die Bitcointransacties door elkaar husselt, zodat het spoor onderbroken wordt en het traceren van de transacties vrijwel onmogelijk wordt’.

De verdachte is veroordeeld tot (slechts) een taakstraf van 240 uren en een voorwaardelijke gevangenisstraf van zes maanden, een hogere straf dan de officier van justitie had gevorderd. De rechtbank houdt bij de strafoplegging rekening met het feit dat verdachte vader is van twee jonge kinderen en een gezin te onderhouden heeft en een overschrijding van de redelijke termijn.

Arrest over controle van gegevensdragers

Op 15 maart 2022 heeft de Hoge Raad een arrest (ECLI:NL:HR:2022:338) gewezen over het stellen van bijzondere voorwaarden bij zedendelinquenten. In deze zaak ging het om de volgende voorwaarden:

“3. de veroordeelde onthoudt zich op welke wijze dan ook van het seksueel getint communiceren met minderjarigen, gedrag dat is gericht op een digitale omgeving waarin kinderpornografisch materiaal kan worden verkregen en gedrag dat is gericht op een digitale omgeving waarin over seksuele handelingen met minderjarigen wordt gecommuniceerd,

a. waarbij de veroordeelde tijdens de gesprekken met de reclassering bespreekt hoe hij denkt dit gedrag te voorkomen;

b. waarbij het toezicht op deze voorwaarde onder andere kan bestaan uit controles van computers en andere apparatuur;

c. waarbij de betrokkene meewerkt aan controle van digitale gegevensdragers tijdens een huisbezoek;”

Kortgezegd overweegt de Hoge Raad met betrekking tot de ‘Toezichtgeoriënteerde gedragsvoorwaarde’ dat er sprake moet zijn dat ‘er ernstig rekening mee moet worden gehouden dat veroordeelde wederom misdrijf zal begaan dat gericht is tegen of gevaar veroorzaakt voor onaantastbaarheid van lichaam van een of meer personen” art. 14c Sr). De door het hof gestelde bijzondere voorwaarde dat de veroordeelde ‘meewerkt aan controle van digitale gegevensdragers tijdens huisbezoek’ voldoet niet aan hiervoor genoemde eisen en is daarom in strijd met art. 14c.2.14 Sr. Zo’n voorwaarde moet volgens de Hoge Raad voldoende precies het daarin gevatte gedragsvoorschrift formuleren. Zij mag echter niet gedrag van de verdachte omvatten dat in feite overeenkomt met het meewerken aan door de politie uit te oefenen veelomvattende en ingrijpende dwangmiddelen (met verwijzing naar HR 7 juli 2020, ECLI:NL:HR:2020:1215, SR-Updates.nl 2020-0260, m.nt. J.H.J. Verbaan).

Hoewel hof voldoende duidelijk tot uitdrukking heeft gebracht dat deze bijzondere voorwaarde het toezicht op naleving van bijzondere voorwaarden beoogt te regelen, blijkt uit voorwaarde immers niet met welke frequentie en op welke wijze controles van gegevensdragers mogen worden uitgevoerd, welke functionarissen daarbij betrokken mogen zijn en hoe is gewaarborgd dat persoonlijke levenssfeer van verdachte daarbij niet verdergaand wordt beperkt dan nodig is voor beoogd toezicht. De klacht slaagt.  

Gebruik van risicoscore en veroordeling voor kinderopvangtoeslagfraude

Op 5 april 2022 veroordeelde (ECLI:NL:RBAMS:2022:1827) de rechtbank Amsterdam een verdachte voor het medeplegen valsheid in geschrift, gewoontewitwassen en als leider deelnemen aan een criminele organisatie in verband met kinderopvangetoeslagfraude. Volgens de Fiscale Inlichtingen- en Opsporingsdienst (FIOD) kunnen drie stadia bij kinderopvangtoeslagfraude worden geïdentificeerd. Het eerste stadium is het werven van aanvragers. In het eerste stadium van ‘werven’ worden personen benaderd en erop worden gewezen dat zij kinderopvang toeslag aan te vragen. De daders bieden daarbij aan te helpen en doen zich voor als belastingmedewerker. Het tweede stadium is het indienen van de aanvraag tot kinderopvangtoeslag. Aan aanvragers werd gevraagd om hun DigiD-wachtwoord, bankgegevens en andere persoonlijke gegevens af te geven. Daarvan worden valse bescheiden opgemaakt en bij de aanvraag gevoegd. In het derde stadium van betaling werd met aanvragers afgesproken welk deel van de ontvangen kinderopvangtoeslag zij moesten afdragen, aan wie zij dit moesten afdragen en hoe zij dit moesten betalen. De zaak is met name interessant vanwege de overwegingen omtrent het ‘frauderisico’ die de Belastingdienst hanteerde.

Het onderzoek met de naam ‘Bonsai’ is begonnen na een melding van het Fraudeteam van de Belastingdienst Toeslagen dat een persoon bij haar aanvraag van kinderopvangtoeslag valse bewijsstukken had aangeleverd. Naar aanleiding hiervan is onderzocht welk IP-adres is gebruikt voor die aanvraag. Het bleek dat nog voor zeven andere personen via dit IP-adres kinderopvangtoeslag te zijn aangevraagd. Naar aanleiding daarvan is ook onderzoek gedaan naar de aanvragen van deze zeven personen. Daarbij was in meerdere gevallen ook sprake van een onjuiste aanvraag waardoor onterecht kinderopvangtoeslag is uitgekeerd. Uit vervolgonderzoek is gebleken dat de aanvragen van deze zeven personen aan in totaal 23 IP-adressen zijn te koppelen. Vanaf deze 23 IP-adressen zijn in totaal voor 50 personen onjuiste aanvragen ingediend, waarbij voor ongeveer 30 personen het vermoeden bestond dat ook valse documenten waren ingestuurd.

Aan de hand van de tenaamstellingen van de IP-adressen kwamen enkele verdachten in beeld en zijn huiszoekingen gedaan. Op de laptops die zijn aangetroffen in de woningen van een aantal verdachten zijn IP-adressen aangetroffen die zijn gebruikt bij de aanvragen van kinderopvangtoeslag. Op die laptops zijn ook sporen van digitaal contact tussen de aanvragers en de Belastingdienst Toeslagen aangetroffen. Daarnaast zijn in de woning van de verdachte 11 DigiD-codes aangetroffen waarvan er vijf zijn te herleiden tot onjuiste aanvragen. Ook zijn op de telefoon en laptop van een medeverdachte chatsessies met de verdachte over kinderopvangtoeslag en betalingen aangetroffen.

De verdediging voert het interessante verweer dat uit het procesdossier valt niet af te leiden op welke basis de aanvrager is geselecteerd, zodat niet kan worden uitgesloten dat dit is gebeurd op basis van discriminatoire algoritmes. Gelet op het feit dat – indien er sprake is geweest van een selectie op basis van discriminatoire algoritmes – heeft er volgens de verdediging een ernstige schending plaatsgevonden en moet er worden overgegaan tot uitsluiting van het bewijs dat door middel van het onrechtmatige, niet onafhankelijke en niet onpartijdige onderzoek is verkregen.

In haar verweer verwijst het Openbaar Ministerie naar de brief ‘Openbaarmaking risicoclassificatiemodel Toeslagen’ van 26 november 2021, waarin de werkwijze van de Belastingdienst Toeslagen uiteen wordt gezet. Wat uit die brief in ieder geval kan worden afgeleid is dat er met algoritmes werd gewerkt bij de Belastingdienst Toeslagen en dat op basis van meerdere indicatoren werd gekomen tot een risico-score per aanvraag. Scoorde een aanvraag hoog, dan liep die aanvraag meer kans om gecontroleerd te worden. Over de wenselijkheid van de gehanteerde indicatoren is veel politiek debat gevoerd, met name ook over een indicator op het gebied van nationaliteit. ‘Persoon 1’, waarnaar wordt verwezen, had in ieder geval de Nederlandse nationaliteit. In dat geval werd er door de Belastingdienst Toeslagen geen nadere selectie gemaakt op het bestaan van een eventuele tweede nationaliteit bij de selectie van het controleren van de aanvragen kinderopvangtoeslag. De keuze om de aanvraag van ‘persoon 1’ te controleren had dus niet te maken met haar afkomst, aldus het Openbaar Ministerie.

De rechtbank overweegt dat in het rapport ‘De verwerking van de nationaliteit van aanvragers van kinderopvangtoeslag’ van juli 2020 is geconstateerd dat er met selectie op basis van nationaliteit in het model sprake was van een overtreding. Deze verwerking was niet noodzakelijk omdat er minder vergaande mogelijkheden voorhanden waren. Deze overtreding is door de Autoriteit Persoonsgegevens als discriminerend en daarmee onbehoorlijk aangemerkt. De rechtbank stelt vast dat er meerdere indicatoren voor de Belastingdienst Toeslagen waren om te bepalen of een aanvraag al dan niet als risicovol moest worden aangemerkt. Medewerkers van Toeslagen ontwikkelden het model in 2013 aan de hand van een set risico-indicatoren en op basis van voorbeelden van juiste en onjuiste toeslagaanvragen. Door het model te voeden met duizenden voorbeelden van handmatig behandelde aanvragen, herkende het model statistische verbanden tussen indicatoren en voorspelde het model op basis daarvan hoe groot het risico was op onjuistheden in de toeslagaanvragen. Het model werd daarmee in de loop van de tijd aangepast en het model leerde welke posten (on)terecht van een hoge risicoscore waren voorzien. Elke maand kregen de toeslagaanvragen die in het Toeslagen Verstrekkingen Systeem (TVS) klaar stonden voor ‘formeel beschikken’ een risicoscore van 0 tot 1. De meest risicovolle aanvragen kregen een risicoscore dicht bij 1 en de minst risicovolle aanvragen een risicoscore dicht bij 0. De indicatoren voor de kinderopvangtoeslag zagen op de situatie van de opvang (soort opvang zoals gastouder of buitenschoolse opvang, afstand tussen woon- en opvangadres) en op de situatie van de aanvrager (zoals inkomen, toeslagschulden, partner of alleenstaand, leeftijd en aantal kinderen).

Het model heeft ook gebruik gemaakt van de indicator ‘Nederlanderschap Ja/Nee’. Deze indicator was in het model opgenomen, vanwege enerzijds fraude via toeslagaanvragers zonder Nederlandse nationaliteit die in dezelfde periode als de ontwikkeling van het model speelde en anderzijds omdat medewerkers van Toeslagen de ervaring hadden dat toeslagaanvragers zonder Nederlandse nationaliteit soms moeite hadden met het aanvragen van toeslagen en er vaker fouten in hun toeslagaanvragen werden aangetroffen. Deze indicator gaf een ‘Ja’ gaf als de aanvrager de Nederlandse nationaliteit bezat, ook als daarnaast sprake was van nog een andere nationaliteit. Dus ongeacht of er sprake was van meerdere nationaliteiten, iemand met alleen de Nederlandse nationaliteit werd exact hetzelfde gescoord als iemand met een Nederlandse en andere nationaliteit. De rechtbank concludeert dat volgens de hiervoor omschreven werkwijze van de Belastingdienst Toeslagen niet verder werd geselecteerd op een eventuele tweede nationaliteit en daarmee was er op dit vlak geen sprake van een risico-indicatie. Het dossier bevat geen aanwijzingen dat discriminatoire, indicatoren zoals haar Surinaamse naam of uiterlijke kenmerken daarbij een rol hebben gespeeld.

In de beoordeling overweegt de rechtbank dat de verdachte en zijn mededaders zich op grote schaal bezighielden met het valselijk opmaken van stukken en indienen van aanvraag- en wijzigingsformulieren kinderopvangtoeslag en hebben de verkregen gelden vervolgens witgewassen. Daarmee hebben zij misbruik gemaakt van het systeem van de Belastingdienst, waarvan het doel is miljoenen ouders op een zo efficiënt mogelijke manier financieel te ondersteunen als zij gebruik maken van kinderopvang. De Belastingdienst is gedurende een lange periode voor honderdduizenden euro’s opgelicht. De verdachte wordt veroordeeld tot twee jaar gevangenisstraf, waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar.

Diefstal met geweld en digitaal bewijs

Op 18 maart 2022 verscheen er een uitspraak (ECLI:NL:RBGEL:2022:1253) over diefstal met geweld, waarbij een mix van fysiek als digitaal bewijs een belangrijke rol speelde. De zaak gaat over een verdachte en medeverdachte (haar schoonzus) die met mannen afspraken en vervolgens diefstal pleegden.

In de eerste zaak werd afgesproken via de datingsite ‘knuz.nl’. Het slachtoffer werd gedrogeerd door iets in de koffie te doen. Het slachtoffer geeft aan dat hij nog hoorde dat ‘ze’ tegen hem zeiden dat hij geld moest geven zodat ze sigaretten konden halen. Aangever heeft verklaard dat hij toen waarschijnlijk het geld heeft gepakt dat hij contant in huis had. Dat was 150 euro. Bij het sporenonderzoek in de woning aan van aangever te Heerewaarden hebben verbalisanten een restje koffie, dat nog in de mok zat waaruit aangever had gedronken, in beslag genomen. Daarvan is een monster genomen. Ook van koffiebekers van de vrouwen die op bezoek waren is een monster afgenomen. Het Nederlands Forensisch Instituut (NFI) heeft die monsters onderzocht en heeft vastgesteld dat het monster van het restant koffie benzodiazepinen (te weten temazepam en oxazepam) bevatte. Door het NFI is gerapporteerd dat benzodiazepines stoffen zijn die een kalmerende, slaapverwekkende en spierverslappende werking hebben. Op de koffiemokken is ook DNA gevonden die een match opleverde met een DNA-profiel van de medeverdachte.

Bij een tweede slachtoffer werd context gelegd via ‘Lexa.nl’ en gebeurde iets soortgelijks. Bij hem werden dure goederen gestolen. In de tweede zaak werd een onderzoek ingesteld naar de historische telecommunicatiegegevens van het mobiele telefoonnummer en bijbehorend imei-nummer. Uit die gegevens is vast komen te staan dat, op twee gesprekken na, tijdens alle verkregen gesprekken gebruik werd gemaakt van de zendmast op een bepaald adres in Zeist, dat binnen de zendrichting van de zendmast valt. Bovendien zijn de ‘de Lexa-profielen uitgevraagd’. Een van de accounts maakte gebruik van ene IP-adres stond die ‘op naam stond van de verdachte’.

Bij het derde slachtoffer werd contact gelegd via de site ‘NL-Date’. Bij hem zijn dure horloges gestolen na een bezoek. Ook daarbij leidde een monster van een kopie tot een DNA-match met de verdachte op. Het ‘gebruikers ID’ bij NL-Date maakte bovendien gebruik van het IP-adres op naam van verdachte en op naam van haar schoonzus.

De rechtbank acht de diefstal bij de drie slachtoffers bewezen en overweegt dat het tenlastegelegde op grond van artikel 81 Sr kan worden bewezen, omdat het toedienen van een dergelijk middel als een vorm van geweld kan worden beschouwd. Het slachtoffer is in een staat van bewusteloosheid of onmacht is gebracht, waardoor de fysieke macht tot weerstand is gebroken.

De verdachte in de onderhavige zaak werd veroordeeld voor 12 maanden gevangenisstraf, waarvan 8 maanden voorwaardelijk.

Themanummer over cryptophones

In mei 2022 is een themanummer over cryptophones verschenen in het Tijdschrift voor Bijzonder Strafrecht en Rechtshandhaving (TBS&H). Het themanummer bevat hele actuele en relevante bijdragen (zie het overzicht hieronder).

In het artikel die ik samen met Bart Schermer heb geschreven bieden we een overzicht en analyse van de EncroChat-jurisprudentie (tot en met februari 2022). Daarnaast heb ik een annotatie geschreven over de veroordeling van de oprichter van Ennetcom.

Veel bijdragen zijn van collega’s van de Universiteit Utrecht. Met speciale dank voor de inspanningen van Dave van Toor die het themanummer heeft gecoördineerd!

Inhoudsopgave:

D.A.G. van Toor, ‘Het enkele gebruik van cryptophones als basis voor procesrechtelijke concepten’, TBS&H 2022/2.1

B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2

S. Royer & R. Vanleeuw, ‘Cryptofoons, privacyvriendelijke applicaties en het vermoeden van onschuld’, TBS&H 2022/2.3

D.A.G. van Toor, ‘Het gebruik van resultaten uit de Encro­Chat-­hack in de Duitse strafrechtspleging’, TBS&H 2022/2.4

L.W. Verbeek & T. Beekhuis, ‘Executieve jurisdictie: het (grote) obstakel in grensoverschrijdende opspo­ringsonderzoeken naar (gebruikers van) cryptoaanbieders?’, TBS&H 2022/2.5

M.M. Egberts, ‘De reikwijdte van het inzagerecht en ‘equality of arms’ in het licht van grote datasets, Hansken en toekomstige ontwikkelingen’, TBS&H 2022/2.6

M. Galič, ‘Bulkbevoegdheden en strafrechtelijk onderzoek. Lessen uit de jurisprudentie van het EHRM voor de normering van grootschalige data-analyse’, TBS&H 2022/2.7

Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (Oprichter van cryptotelefoonaanbieder Ennetcom veroordeeld)

Reactie internetconsultatie Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma

Tot 17 april 2022 kan je reageren op internetconsultatie.nl op het wetsvoorstel ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’.

Het wetsvoorstel is belangrijk, omdat het nieuwe bepalingen bevat met betrekking tot de hackbevoegdheid en onderzoeksopdrachtgerichte interceptie (bulkinterceptie). Het idee is toezicht deels te verleggen van vooraf naar toezicht tijdens en achteraf. Op die manier wordt de diensten meer flexibiliteit en meer armslag gegeven. Ook wordt een beroepsprocedure geïntroduceerd bij de Afdeling bestuursrechtspraak van de Raad van State.

Het betreffen wijzigingen in een tijdelijke wet gedurende vier jaar, maar het zijn desalniettemin hele belangrijke wijzigingen. Dat maakt volgens ons een tussentijdse evaluatie noodzakelijk voor de aankomende grote wetswijziging van de Wet op de inlichtingen- en veiligheidsdiensten 2017. In onze reactie (.pdf) op internetconsultatie gaan we verder in op de reikwijdte van het wetsvoorstel, de inzet van de hackbevoegdheid in het kader van strategische operaties en het voorgestelde beroepsstelsel.

Kortgezegd vinden we dat de reikwijdte van het wetsvoorstel beter moet worden omgeschreven en de ministers ook zouden moeten reageren op wat de rol van de diensten is bij criminele groeperingen die de nationale veiligheid bedreigen, bijvoorbeeld door de inzet van ransomware. Ook vinden we dat de inzet van de hackbevoegdheid in de context van ‘strategische operaties’ beter moet worden uitgelegd. Willen de ministers misschien aansluiten bij het concept van ‘active cyber defense’? Dan kan dat ook beter worden omschreven.

Ten slotte vinden we dat de beroepsprocedure bij de Afdeling niet voldoende wordt uitgewerkt in het wetsvoorstel. De noodzaak van de beroepsprocedure en de verhouding met de Awb en de Procesregeling met de mogelijkheid van de inzet van deskundigen en amicus curiae, moet duidelijker. Ook bevelen we aan eens over de grens te kijken hoe bijvoorbeeld de ‘Foreign Intelligence Surveillance Court’ (FISC) te werk gaat.

Jan-Jaap Oerlemans & Sophie Harleman

Over het strafbaar stellen van spionage

Vorige week is een interview met mij (‘Q&A met hoogleraar Jan-Jaap Oerlemans‘) verschenen over de plannen van het kabinet om ‘spionage strafbaar te stellen’.

In het interview geef ik aan dat veel delicten al van toepassing kunnen zijn op de situatie dat een persoon gegevens verstrekt aan een ander persoon (mogelijk een inlichtingenofficier van een andere staat).

Daarbij kan je denken computerdelicten die van toepassing kunnen zijn bij het verzamelen van die gegevens, zoals computervredebreuk (art. 138ab Sr) en – met name ook – het verspreiden van niet-openbare gegevens (artikel 138c Sr). Dat laatste artikel is nog tamelijk recent ingevoerd met de inwerkingtreding van de Wet computercriminaliteit III op 1 maart 2019.

Ook kan je denken aan de huidige bepalingen met betrekking tot het openbaren van staatsgeheimen (artikel 98 Sr e.v.), ambtelijke omkoping (artikel 272 Sr) of het openbaren van bedrijfsgeheimen (artikel 273 Sr).

Gezien deze bepalingen is het belangrijk dat de minister van Justitie & Veiligheid goed uitlegt waarom de wetswijzigingen noodzakelijk zijn. Op het eerste gezicht zie ik de noodzaak niet zo, behalve dat gedacht kan worden aan hogere maximale gevangenisstraffen, omdat het dan eenvoudiger wordt bepaalde bijzondere opsporingsbevoegdheden in te zetten.

In het interview gaf ik aan dat het belangrijk is dat het openbaar ministerie in de beslissing om te vervolgen in oogmerking moet nemen of er sprake is van een klokkenluidersituatie en of het in het belang van Nederland is om vervolging in te stellen, of dat het bijvoorbeeld beter is een buitenlandse spion het land uit te zetten.

== UPDATE ==

Op 28 februari 2022 is het wetsvoorstel en de memorie van toelichting op internetconsultatie.nl verschenen (tot en met 25 april 2022 kan men reageren).

Mijn eerste indruk: in het wetsvoorstel komen enkele nieuwe strafbaarstellingen die strafbaar stellen: ‘het verrichten van handelingen voor een buitenlandse mogendheid of inlichtingen of een voorwerp te verstrekken’, als de verdachte weet dat

daarvan gevaar is te duchten voor de veiligheid van de staat, van zijn bondgenoten of van een volkenrechtelijke organisatie, voor de vitale infrastructuur, voor de integriteit en exclusiviteit van hoogwaardige technologieën, of voor de veiligheid van een of meer personen.

De ratio van het conceptwetsvoorstel is dat ‘het strafrecht op dit moment nog onvoldoende mogelijkheden biedt om op te treden tegen spionageactiviteiten waarbij geen sprake is van een schending van (staats-, ambts- of bedrijfs-) geheimen, maar die wel de Nederlandse belangen ernstig schaden, of waarbij andere schadelijke handelingen worden verricht dan het verstrekken van informatie’. De voorgenomen wetswijzigingen zijn ook van belang om de Nederlandse strafwetgeving op een gelijkwaardig niveau te houden met de wetgeving in andere Europese landen.

Ook wordt een strafverzwaring geïntroduceerd als computerdelicten worden gepleegd met – eenvoudig gezegd – het oogmerk van spionage. Het gaat daarbij in het bijzonder om aanpassingen van het delict over het overnemen van niet-openbare gegevens (artikel 138b Sr) en het overnemen van gegevens na computervredebreuk (artikel 138ab Sr).

Ik ga het conceptwetsvoorstel uiteraard verder bestuderen, maar ik ben benieuwd wat anderen ervan vinden. Dus een mail of een comment is altijd welkom!

Cybercrime jurisprudentieoverzicht februari 2022

Hoge Raad wijst arrest over ddos-aanvallen

Op 24 december 2021 heeft de Hoge Raad een arrest (ECLI:NL:HR:2021:1944) gewezen over ddos-aanvallen. Het arrest gaat met name over het begrip ‘geautomatiseerd werk’ in de zin van art. 80sexies (oud) Sr in de context van het delict voor ddos-aanvallen (artikel 138b Sr).

De raadsman had in de zaak in eerste aanleg aangevoerd dat op grond van het voorliggende dossier niet kan worden vastgesteld dat ten gevolge verdachtes gedragingen aanvallen zijn uitgevoerd op een bepaalde website en dat de toegang tot die website daardoor daadwerkelijk is belemmerd.

Het Hof overwoog dat om van ‘het belemmeren van het gebruik van een geautomatiseerd werk’ te kunnen spreken, het is vereist dat vast komt te staan dat het gebruik van het desbetreffende geautomatiseerd werk daadwerkelijk wordt belemmerd. Uit de bewijsmiddelen volgt naar het oordeel van het hof dat de website door verdachtes toedoen meermalen is aangevallen door middel van een DDoS-aanval én dat de toegang tot die website daardoor (tijdelijk) metterdaad belemmerd is geweest. Dat het de verdachte kennelijk niet is gelukt om de website volledig en voor een lange periode ‘uit de lucht te halen’, doet hier niet aan af: ook een lijdelijke belemmering van de toegang tot de website is voldoende om tot een bewezenverklaring van het primair tenlastegelegde te kunnen komen. Het hof verwerpt daarop het verweer.

In het oude begrip van ‘geautomatiseerd werk’ (art. 80sexies Sr (oud)) was vereist dat het werk drie functies vervult, te weten opslag, verwerking en overdracht van gegevens. Niet alleen zelfstandige apparaten die aan deze drievoudige eis voldoen, zijn geautomatiseerde werken, maar ook netwerken, bestaande uit computers die door middel van via het internet verspreide software met elkaar zijn verbonden en/of telecommunicatievoorzieningen vallen onder dat begrip, evenals delen van zulke geautomatiseerde werken (HR 26 maart 2013, ECLI:NL:HR:2013:BY9718, NJ 2013/468, m.nt. Reijntjes en HR 22 februari 2011, ECLI:NL:HR:2011:BN9287, NJ 2012/62, m.nt. Keijzer (opmerking JJO: ter zijde: waarom verwijst de HR alleen naar een NJ met annotatie, maar niet naar anderen en niet het ECLI-nummer?). Een belemmering van de werking van een computerprogramma waarmee een of meer van die functies, kan worden aangemerkt als een belemmering van de werking van dit geautomatiseerd werk.

Het hof heeft vastgesteld dat de verdachte via een bepaalde website zestien ddos-aanvallen heeft laten uitvoeren op een andere website, en dat de toegang tot de website ‘internetsite 2’ door deze aanvallen daadwerkelijk (tijdelijk) belemmerd is geweest. Op grond hiervan heeft het hof bewezenverklaard dat de verdachte de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd. In het licht van de onder r.o. 2.5 en r.o. 2.6 weergegeven wetsgeschiedenis en gelet op wat onder r.o. 2.7 is vooropgesteld, geeft dit oordeel niet blijk van een onjuiste rechtsopvatting. Het is ook niet onbegrijpelijk, in aanmerking genomen dat de instandhouding van een actieve website vereist dat een geautomatiseerd werk in de onder 2.7 bedoelde zin in werking is, en dat het uitvoeren van een DDoS-aanval de toegang tot die website belemmert, wat meebrengt dat daardoor ook de werking van dit geautomatiseerd werk, voor zover het de functionaliteit van die website in stand houdt, wordt belemmerd. Om deze reden faalt het cassatiemiddel.

Opmerking JJO: mij ontgaat om eerlijk te zijn het nut van dit arrest. Het is vrij onduidelijk opgeschreven (zeker vergeleken met arresten van het Amerikaanse Hooggerechtshof). Het gedoe over het begrip geautomatiseerd werk vind ik ook wat vermoeiend. Het is toch niet zo lastig in een tenlastelegging op te schrijven waarin je opschrijft dat een ‘server’ is platgelegd in de zin van artikel 138b Sr? Uiteraard ben ik benieuwd als mensen de waarde van het arrest beter kunnen duiden :-).

== Update ==

In NJ 2022/124 legt prof. em. Reijntjes (ook in soms onduidelijk en ouderwets taalgebruik) uit dat hier het punt is dat de Hoge Raad in dit arrest door middel van een teleologische interpretatie van de wet het begrip ‘geautomatiseerd werk’ verruimt en van toepassing verklaart op websites:

“De rechtszekerheid (lex certa!) lijkt hierbij niet in het geding; voor een gewoon burger, die wist dat art. 138bis Sr specifiek tegen DDos-aanvallen gericht was, kan het niet als een verrassing zijn gekomen dat de Hoge Raad dat voorschrift dan ook werkelijk in die zin leest. Het zijn alleen de juristen, die schrikken van een teleologische interpretatie, die de letter van de wet opzij schuift.”

Het roept inderdaad wel de vraag op of dan ook kan worden volgehouden dat een ‘account’ niet als geautomatiseerd werk kwalificeert, zoals het Hof Den Haag in september 2020 nog in een arrest duidelijk maakte.

Veroordelingen voor ddos-aanvallen

In januari 2022 waren er een aantal opvallende veroordelingen voor ddos-aanvallen. De zaak van de rechtbank Den Haag (ECLI:NL:RBDHA:2022:22) liet lang op zich wachten, omdat de verdachte op 1 februari 2018 in verzekering was gesteld en pas op 22 februari 2022 eindvonnis wijst.

De verdachte heeft zich gedurende een periode van acht maanden schuldig gemaakt aan het plegen van een groot aantal DDoS-aanvallen op webservers van banken, bedrijven en overheidsinstanties. De rechtbank oordeelt dat er met de handelingen van de verdachte een gemeen gevaar voor goederen en voor de verlening van diensten te duchten was (zoals is vereist voor het delict in artikel 161sexies Sr). Zij verwijst daartoe naar het arrest van de Hoge Raad van 22 februari 2011, ECLI:NL:HR:BN9287, waarin is geoordeeld dat onder ‘gemeen gevaar’ mede wordt verstaan het gevaar voor een ongestoorde dienstverlening aan een onbestemd, doch aanmerkelijk aantal afnemers. Uit de bewijsmiddelen die zijn opgenomen in bijlage II blijkt dat er voor een (groot) aantal afnemers van diensten en goederen een verstoring is opgetreden, dan wel kon optreden tijdens de ddos-aanvallen van de verdachte.

Vanwege de forse overschrijding van de redelijk termijn krijgt de verdachte verder geen gevangenisstraf, maar een werkstraf van 200 uur. De forse vorderingen van materiele schade (oplopend tot ruim 8 ton) worden door de rechtbank niet toegewezen. Met betrekking tot de hoogte van de schade is de rechtbank met de officier van justitie en de verdediging van oordeel dat deze, mede gelet op de gemotiveerde betwisting daarvan, vooralsnog onvoldoende is onderbouwd. Nader onderzoek is noodzakelijk en dit levert naar het oordeel van de rechtbank een onevenredige belasting van het strafgeding op. Zij verklaart daarom de benadeelde partijen niet-ontvankelijk in de vordering. De vordering kan bij de burgerlijke rechter worden aangebracht.

De Rechtbank Den Haag veroordeelde verder op 4 januari 2022 (ECLI:NL:RBDHA:2022:22) een man van twintig voor DDoS aanvallen op mijnoverheid.nl en overheid.nl in maart 2020, als gevolg waarvan deze websites tijdelijk niet bereikbaar waren. Deze aanvallen zijn te kwalificeren als gericht tegen een geautomatiseerd werk behorende tot de vitale infrastructuur (artikel 138b Sr), waarbij ook een gemeen gevaar voor de verlening van diensten was te duchten (artikel 161sexies Sr). Ook wordt de verdachte veroordeeld voor bedreiging met de dood van politieagenten.

De raadsman had vrijspraak bepleit omdat uit het procesdossier niet blijkt dat de handelingen van de verdachte daadwerkelijk een stoornis in de gang of werking van de webserver van overheid.nl hebben veroorzaakt (feit 1) of de toegang tot en het gebruik van deze webserver hebben belemmerd (feit 2). Voor zover dit zou blijken uit het rapport van Solvinity van 26 maart 2020, dat als bijlage bij de vordering van de benadeelde partij is gevoegd, kan de rechtbank dit rapport volgens de raadsman niet gebruiken voor het bewijs. Het rapport is namelijk zeer kort voor de terechtzitting in het geding gebracht en niet geverifieerd door opsporingsambtenaren aan de hand van een ambtsedig opgemaakt proces-verbaal, aldus de verdediging.

In dit kader is het van belang op te merken dat het Hof Den Haag op 27 januari 2022 in twee arresten (ECLI:NL:GHDHA:2022:57, ECLI:NL:GHDHA:2022:58) zich heeft uitgesproken over de toelaatbaarheid van het verrichten van het voorbereid onderzoek door en in opdracht van een verzekeringsmaatschappij. De rechtbank heeft eerder de officier van justitie niet-ontvankelijk verklaard in twee zaken, omdat in deze zaken is het voorbereidend onderzoek verricht door en in opdracht van verzekeringsmaatschappijen. In dat geval vindt vervolging plaats, zonder dat van opsporing sprake is geweest. Volgens het hof wordt daarmee een fundamentele inbreuk gemaakt op het strafvorderlijk systeem, dat vereist dat vervolging plaatsvindt naar aanleiding van een opsporingsonderzoek. Opsporing gebeurt onder gezag van de officier van justitie door ambtenaren, die bij de wet zijn aangewezen (zie artikelen 132a, 141 en 167 van het wetboek van strafvordering). Deze bepalingen vormen het fundament voor een integere en onafhankelijke rechtspraak die de waarheidsvinding tot doel heeft. Door een inbreuk hierop te maken, is het wettelijk systeem in de kern geraakt, aldus het hof. Het gevolg daarvan is dat de officier van justitie in deze zaken niet ontvankelijk is verklaard. Het verdient de voorkeur als resultaten van onderzoek door een verzekeringsmaatschappij inhoudelijk worden getoetst en vervolgens worden ingebracht in het opsporingsonderzoek dat onder gezag van de officier van justitie staat, voor het dossier aan de rechter wordt aangeboden.   

In de onderhavige zaak is de rechtbank van oordeel dat het rapport van Solvinity wel degelijk kan worden gebruikt voor het bewijs. Het is een geschrift dat aan het dossier is toegevoegd en ter terechtzitting is besproken. Naar vaste rechtspraak van de Hoge Raad verzet geen rechtsregel zich in een dergelijk geval tegen het gebruik daarvan als bewijsmiddel. Geen rechtsregel gebiedt voorts dat een dergelijk rapport zou moeten worden geverifieerd door een opsporingsambtenaar. De inhoud van het rapport biedt voorts geen enkele aanleiding om de betrouwbaarheid of juistheid daarvan in twijfel te trekken.

Bij het bepalen van de straf in de ddos-zaak houdt de rechtbank onder meer rekening met de omstandigheid dat de DDoS zijn gepleegd in de beginfase van de coronapandemie, toen veel mensen behoefte hadden aan de informatie van de overheid over de verspreiding van het virus en de maatregelen ter bestrijding daarvan door de overheid. De rechtbank houdt bij de straftoemeting tevens rekening met ‘sterke aanwijzingen voor persoonlijkheidsproblematiek’, de jonge leeftijd van de verdachte, zijn houding tijdens de zitting en een blanco strafblad. De rechtbank legt de verdachte een voorwaardelijke gevangenisstraf op van drie maanden, een onvoorwaardelijke taakstraf van 120 uur, een proeftijd van drie jaar, alsmede een schadevergoeding van € 9.213,75.

Veroordeling voor aankoop wapen via het darkweb van een undercoveragent

De rechtbank Noord-Nederland heeft op 17 februari 2022 een verdachte veroordeeld (ECLI:NL:RBNNE:2022:402) voor een poging tot het voorhanden krijgen van een vuurwapen op grond van de Wet wapens en munitie. De verdachte is op het darkweb op zoek gegaan naar een wapen en heeft vervolgens via Protonmail contact had gelegd met een undercoveragent (en niet met een wapenleverancier).

De bewijsoverwegingen zijn interessant om te lezen. Zo is te lezen dat de ‘blijkens door Google verstrekte gegevens’ het Gmailadres was aangemaakt middels een Sloveens IP-adres, door een gebruiker met een accountnaam van de verdachte. Het emailadres [emailadres] @gmail.com is gekoppeld aan een Skype-account met de username [verdachte] en de locatie Slov.Konjice, Slovenia. Blijkens onderzoek in politiesystemen verblijft op het adres [straatnaam] te [woonplaats], een man genaamd [verdachte], geboren op [geboortedatum] 1976 te [geboorteplaats] (voormalig Joegoslavië, nu Slovenië). De gesprekken tussen de undercoveragent en de verdachte zijn als proces-verbaal bijgevoegd en te lezen in te uitspraak. Na verloop van tijd ging de communicatie over naar protonmail en werd de prijs van 1500 euro voor een vuurwerpen van het merk Beretta, type 92 FS in het kaliber 9×19 millimeter.

De rechtbank oordeelt dat sprake is van het begin van een uitvoering, gericht op de aankoop en daarmee het voorhanden krijgen van het betreffende vuurwapen. Het feit dat de verkoop niet is doorgegaan is enkel gelegen in de omstandigheid dat de verkoper een infiltrant van de politie betrof en niet doordat verdachte de koop niet wilde doorzetten. Bovendien acht de rechtbank de verklaring van verdachte dat hij enkel nieuwsgierig was gelet op bovenstaande bewijsmiddelen, in het bijzonder de inhoud van de door hem verstuurde berichten, ongeloofwaardig.

De rechtbank overweegt dat het ongecontroleerde bezit van een vuurwapen roept een onaanvaardbaar gevaar voor de veiligheid van anderen in het leven. Het blijft de vraag wat de verdachte van plan was met het wapen, omdat hij daarover geen openheid van zaken heeft willen geven. De rechtbank rekent dit verdachte ernstig aan. De rechtbank veroordeelt verdachte tot een gevangenisstraf voor de duur van zes maanden waarvan drie maanden voorwaardelijk met een proeftijd van twee jaren. De rechtbank acht het geldbedrag van €1.500,- vatbaar voor verbeurdverklaring nu het geldbedrag aan verdachte toebehoort en het bestemd was voor het begaan van het bewezenverklaarde feit (het betrof immers het aankoopbedrag voor het wapen).

Veroordelingen voor wraakporno

Op 1 februari 2022 heeft de rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2022:294) voor dwang, wraakporno en afdreiging.

De verdachte ontmoette het slachtoffer via ‘Yubo’, een soort dating app. De verdachte verspreidde een filmpje via Telegram van een meisje dat zichzelf bevredigd. Dit was niet het slachtoffer, maar de verdachte deed alsof zij dat was en verspreidde haar profiel van Instagram en Snapchat in hetzelfde kanaal, samen met (niet-naakt)foto’s die zij naar de verdachte had verstuurd. De tekst bij het bericht was: “[slachtoffer 2] uit [woonplaats], zit op school in [plaats] en hockeyt ook nog, deze vieze kk kebber ligt wekelijks met een andere boy in bed en vind dat nog leuk ook, maak de helemaal kapot deze kleine kanker hoer [telefoonnummer]”. De Telegramgroep had op dat moment 88.215 leden.

De rechtbank overweegt dat uit de verklaring van aangeefster en uit de app-gesprekken volgt dat de verdachte het slachtoffer dwong om contact met hem te houden en dreigde haar toekomst te verpesten en haar gegevens online te plaatsen als aangeefster hem niet zou deblokkeren. Het ten laste gelegde delict dwang ten opzichte van het eerste slachtoffer is daarmee wettig en overtuigend bewezen.

Ten opzichte van een tweede slachtoffer heeft de verdachte zich schuldig gemaakt aan afdreiging door haar te dwingen naaktfoto’s en -filmpjes van zichzelf aan hem te sturen, onder de bedreiging dat hij anders haar foto’s zou gaan lekken op Telegram. Het minderjarige slachtoffer heeft vervolgens onder die druk meerdere naaktfoto’s en -filmpjes van zichzelf aan verdachte gestuurd. Het openbaar maken van de video in de appgroep ziet de rechtbank als wraakporno, omdat de filmpjes van seksuele aard waarop een onbekend gebleven persoon te zien is en de daarbij geplaatste foto’s van het account van het slachtoffer, nadeel opleveren voor het tweede slachtoffer.

De verdachte wordt veroordeeld tot een jeugddetentie van 210 dagen (met aftrek van voorarrest) en een proeftijd van twee jaren. Ook krijgt de verdachte voor drie jaar een vrijheidsbeperkende maatregel (contactverbod) opgelegd.

De rechtbank Den Haag heeft op 26 januari 2022 een verdachte veroordeeld (ECLI:NL:RBDHA:2022:467) voor identiteitsfraude, belaging, ‘sextortion’ (afdreiging) en wraakporno. De verdachte heeft zich schuldig gemaakt aan identiteitsfraude door de gegevens van zijn ex-partner [slachtoffer] te misbruiken bij het afsluiten van een telefoonabonnement bij KPN, bij een bestelling van een iPhone 12 Pro en het aanmaken van een account op de website Werksters.nl. Door haar gegevens te gebruiken heeft hij haar overlast en nadeel bezorgd.

De verdachte dreigde een tweede slachtoffer dat zij toegangstickets voor Decibel aan hem moest sturen, omdat anders seksfilmpjes zouden worden verspreid. Hoewel het slachtoffer aan dit dreigement toegaf, heeft de verdachte die desbetreffende seksfilmpjes aan verscheidene vrienden van het slachtoffer gestuurd. De verdachte heeft aangevoerd dat het iemand anders moet zijn geweest die deze berichten heeft verstuurd, omdat zijn Instagram account gehackt is geweest. Deze bewering houdt naar het oordeel van de rechtbank geen stand. De rechtbank acht onaannemelijk dat een ander zich niet alleen heeft uitgegeven als de verdachte, maar ook toegang heeft gehad tot zijn telefoon, Instagramaccount en mailaccount. Dat deze persoon bovendien de beschikking heeft gehad over de betreffende seksfilmpjes die op de telefoon van verdachte stonden, acht de rechtbank volstrekt onaannemelijk.

De rechtbank overweegt ook of sprake is van belaging (zoals bedoeld in artikel 285d Sr). Bij de beoordeling van de vraag of sprake is van belaging als bedoeld in art. 285b, eerste lid, Sr zijn verschillende factoren van belang, te weten de aard, de duur, de frequentie en de intensiteit van de gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer (HR 29 juni 2004, ECLI:NL:HR:2004:AO5710; HR 4 november 2014, ECLI:NL:HR:2014:3095). Uit de verklaringen van het tweede slachtoffer blijkt duidelijk dat zij geen contact wilde met de verdachte en dat zij hem meerdere malen heeft verzocht om haar met rust te laten. Ook heeft zij hem op een bepaald moment op WhatsApp en Instagram geblokkeerd. De verdachte zelf wist ook dat zij geen contact met hem wilde, zo heeft hij bij de rechter-commissaris verklaard dat zij hem negeerde, maar dat hij toch contact bleef zoeken. De verdachte had zodoende moeten begrijpen dat hij geen contact meer moest opnemen met het slachtoffer. Het enkele feit dat slachtoffer in de tenlastegelegde periode eenmalig zelf contact heeft gezocht met de verdachte doet hier niet aan af. Het handelen van de verdachte heeft een grote impact gehad op het persoonlijk leven van slachtoffer.

De rechtbank is van oordeel dat de aard, duur, frequentie en intensiteit van de hiervoor vastgestelde gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer – naar objectieve maatstaven bezien – zodanig zijn geweest dat van een stelselmatige inbreuk op haar persoonlijke levenssfeer sprake is geweest. Deze inbreuk was bovendien wederrechtelijk.

De rechtbank acht daarmee bewezen dat de verdachte zich aan de ten laste gelegde belaging schuldig heeft gemaakt. De rechtbank legt aan de verdachte een gevangenisstraf op voor de duur van acht maanden, met als bijzondere voorwaarden een contactverbod en een locatieverbod.

Meer duidelijkheid over Ironchat-operatie

Op 6 november 2018 maakte het Openbaar Ministerie bekend dat de politie Oost-Nederland en het Openbaar Ministerie (OM) er in 2017 waren geslaagd de versleutelde chatapplicatie ‘Ironchat’ te ontsleutelen. In het persbericht is de lezen:

“Dankzij deze operatie hebben politie en Openbaar Ministerie een goede informatiepositie gekregen. Er zijn ruim 258.000 chatberichten meegelezen en dat levert veel informatie op. Deze informatie kan leiden tot beslissende doorbraken in lopende onderzoeken. Ook kunnen de gegevens worden gebruikt om nieuwe strafrechtelijke onderzoeken op te starten. Op deze manier is er bewijs in lopende onderzoeken verkregen en kunnen nieuwe criminele activiteiten gestopt worden.”

Ironchat betrof een applicatie die stond op zogenoemde ‘cryptotelefoons’ of ‘PGP-telefoons’, waarbij PGP staat voor de versleutelingstechniek ‘Pretty Good Privacy’.

Rechtspraak

In 2020 is er enige rechtspraak op rechtspraak.nl gepubliceerd waar het verloop van de Ironchat-operatie wordt toegelicht (zie ECLI:NL:RBOVE:2020:1563, ECLI:NL:RBOVE:2020:1587, ECLI:NL:RBOVE:2020:1558, ECLI:NL:RBOVE:2020:1592). De rechtbank Overijssel heeft op 23 april 2020 in die uitspraken zes verdachten veroordeeld voor ernstige misdrijven, waarbij gebruik is gemaakt van de chatberichten. Na onderzoek van de gegevens die zijn veilig gesteld in de Ironchat-operatie kwamen er een aantal mensen naar voren kwam die ‘via bepaalde Ironchataccounts met elkaar chatte over – kort gezegd – de bereiding en het voorhanden hebben van, de handel in en de export van harddrugs. Daarnaast werd gechat over het voorbereiden van een aanslag op personen en panden (mogelijk) gelieerd aan een voormalige motorclub. Vervolgens is in het TGO (Team Grootschalige Opsporing) onderzoek naar deze strafbare feiten verricht’.

Voor de bewijsvoering komt het in belangrijke mate aan op de inhoud van de ter beschikking gekomen chatberichten. Er werd gebruik gemaakt van telefoons van met name het merk ‘Wileyfox’ en laptops waarop de applicatie Ironchat was geïnstalleerd.

Onderzoek richting leverancier en applicatie Ironchat

In de uitspraken is te lezen dat het opsporingsonderzoek ‘Orwell’ zich concentreerde zich op de verdenking tegen het bedrijf dat leverancier van de cryptotelefoons genoemd en een chatapplicatie met de naam Ironchat. De server waarvan gebruik werd gemaakt stond in het Verenigd Koninkrijk, bij een (geanonimiseerd) bedrijf. In het onderzoek Orwell verkreeg het OM met een Europees Opsporingsbevel (EOB) van de Britse autoriteiten een kopie van de inhoud van die server, een zogenoemde ‘image’. De Nederlandse politie onderzocht de inhoud daarvan.

De Engelse autoriteiten besloten daarnaast een eigen onderzoek te starten naar de communicatie die werd gevoerd over de zich in hun land bevindende server. De rechtbank overweegt dat zij ‘naar eigen recht, op basis van eigen bevoegdheden en met medeweten van een ander bedrijf’ (JJO: de hosting provider neem ik aan?), ‘de chatberichten onderschept, ontsleuteld en vervolgens die chatberichten heeft doorgeleid naar de Nederlandse autoriteiten’. De Britse autoriteiten hebben toestemming gegeven voor het gebruik daarvan in opsporingsonderzoeken in Nederland. Die chatberichten maken deel uit van het dossier in een ander opsporingsonderzoek (‘Metaal’ genoemd).

De rechtbank overweegt dat ‘voldoende duidelijk is op welke wijze de inhoud van de chatgesprekken is verkregen. Er is niet gebleken van enig vormverzuim. Het verweer wordt verworpen. De officier van justitie is ontvankelijk in de vervolging’.

Nederlands onderzoek naar crimineel verband dat gebruik maakte van de telefoons

De verdachten in de genoemde zaken worden veroordeeld, mede op basis van het bewijs dat is verzameld binnen het opsporingsonderzoek ‘Goliath’. In dat onderzoek richtte de politie en het Openbaar Ministerie zich ‘op het georganiseerde verband dat gebruik maakte van de diensten van het Nederlandse bedrijf dat PGP-telefoons leverde, waarbij allereerst het identificeren van onbekende (NN) personen die Ironchat gebruikten van belang werd geacht’.