Cybercrime jurisprudentieoverzicht januari 2021

Beslissingen in EncroChat-zaken

De rechtbank Amsterdam heeft op 18 december 2020 enkele belangrijke beslissingen genomen in de bekende EncroChat-zaken (het onderzoek wordt ‘26Douglasville’ genoemd) (Rb. Amsterdam 18 december 2020, ECLI:NL:RBAMS:2020:6443). De verdediging verzoekt tot toegang tot stukken uit een ander onderzoek (‘26Lemont’) om onderzoek te doen naar de rechtmatigheid van het onderzoek naar de EncroChat-hack ter nadere onderbouwing van hun verweer.

Kortgezegd meent het Openbaar Ministerie er geen aanleiding is om de door de verdediging gevraagde stukken aan het dossier toe te voegen, omdat een bevoegde rechterlijke autoriteit zowel in Frankrijk als in Nederland heeft getoetst of de gehanteerde werkwijze rechtmatig was. Toch blijft dan nog steeds onduidelijk wat de werkwijze precies was.

De rechtbank stelt kortgezegd dat het internationaal vertrouwensbeginsel impliceert dat het niet tot de taak van de Nederlandse strafrechter behoort om te toetsen of een door een andere EVRM-lidstaat uitgevoerd strafrechtelijk onderzoek in overeenstemming is met de in die lidstaat geldende rechtsregels (met verwijzing naar HR 5 oktober 2010, ECLI:NL:HR:2010:BL5629). Er hoeven past rechtsgevolgen te worden verbonden aan de vormverzuimen als het recht op een eerlijk proces onvoldoende kan worden gewaarborgd. De rechtbank vindt dat de verdediging onvoldoende onderbouwd waarom de stukken moeten worden versterkt. Persoonlijk heb ik begrip voor het pleidooi van de advocaten en tegelijkertijd begrijp ik de verwijzing naar staande jurisprudentie van de rechtbank. Het is een zaak die ik zeker met interesse blijf volgen.

De rechtbank overweegt zelfs dat door de raadslieden onvoldoende is onderbouwd dat onderzoek 26Lemont heeft te gelden als een voorbereidend onderzoek naar de verdachten in onderzoek 26Douglasville. De JIT-overeenkomst vormt de basis waarop de door de Franse autoriteiten vergaarde informatie uit onderzoek 26Lemont aan Nederland is verstrekt. De rechtbank draagt (vooralsnog) het Openbaar Ministerie niet op de JIT-overeenkomst aan het dossier toe te voegen. De hele constructie met JIT’s begrijp ik persoonlijk nog niet goed, dus deze overweging kan ik niet op waarde schatten.

Zie ook deze fascinerende podcast van 25 oktober 2020 op AD.nl over de EncroChat-zaken.

Hoger beroep in moordzaak en Google-tijdlijn gegevens

Het Hof Arnhem-Leeuwarden heeft op 1 december 2020 een verdachte in hoger beroep veroordeeld (ECLI:NL:GHARL:2020:9865) tot een gevangenisstraf van 20 jaar voor het medeplegen van de moord op haar echtgenoot. Het hof leunt voor de bewijsvoering sterkt op de resultaten van de Google Timeline behorende bij het Google-account van het slachtoffer, terwijl de verdachte ontkent. Eerder heb ik ook over de zaak in eerste aanleg (Rb. Noord-Nederland 11 juli 2019, ECLI:NL:RBNNE:2019:2986) bericht. De zaak is interessant omdat de bewijsvoering sterk op de gegevens van Google berust terwijl de betrouwbaarheid daarvan wordt betwist. Mijn verwachting is dat deze gegevens vaker gebruikt zullen worden. Zie ook deze artikelen in Wired (‘How Your Digital Trails Wind Up in the Police’s Hands‘) over digitaal bewijs van Google, onder andere over de fascinerende ‘geofence-warrants‘, waarbij Google verkeersgegevens van Androidtelefoons in een bepaald gebied en een bepaalde tijd aan opsporingsinstanties moeten verstrekken.

Het hof stelt voorop dat aan de hand van gebruikersactiviteiten en locatiegegevens van het Googleaccount van het slachtoffer inzicht is verkregen in een tijdlijn met locaties en daarbij behorende activiteitgegevens, waaronder gebruikersactiviteiten (de Google Timeline). Het hof gebruikt de ‘confidence-waarde’ van Google om te bepalen wat de mate van waarschijnlijkheid dat de geschatte type activiteit (door Google) correct is. Zo wordt in het arrest beschreven: ‘Om 00:27:38 uur bevindt het toestel van het slachtoffer zich volgens de locatiegegevens van Google met een waarschijnlijkheid van 95% op een gebruiker die aan het lopen is. Volgens de gebruikersactiviteiten van Google verandert de hoek waarop het toestel zich bevindt aanzienlijk om 00:40:09 uur, met een waarschijnlijkheid van 100%. Om 00:43:18 uur beweegt het toestel niet, met een waarschijnlijkheid van 100%’.

In eerste aanleg is een contra-expertise verricht naar de Google Timeline. De Telecomdeskundige van het Nationaal Forensisch Onderzoeksbureau (hierna: NFO) heeft in eerste aanleg ter terechtzitting verklaard dat hij zijn eigen script op de ruwe data van Google Timeline heeft toegepast. De gegenereerde tijdstippen en positie heeft hij geplot in Google Maps en daaruit kwamen exact dezelfde posities naar voren als weergegeven in het politieonderzoek. In hoger beroep bepleit de verdediging dat de gegevens niet betrouwbaar zijn. Daarbij is een rapport ingebracht van het ‘Nederlands Forensisch Incident Response’ (hierna: NFIR). Ik mis de technische expertise en details van de zaak om het digitaal bewijs op waarde te schatten. De tegenstelling over de betrouwbaarheid is in ieder geval opvallend.

Het hof overweegt daarover dat tussen de digitale experts van de politie, het NFO en het NFIR consensus bestaat over het feit dat Google locatiegegevens niet gebruikt kunnen worden om een mobiele telefoon met absolute zekerheid en precisie op een specifieke locatie te plaatsen, en dat de politie en de NFO deskundige met de ruwe data van Google Timeline in Google Maps tot exact dezelfde tijdstippen en posities komen. Het hof stelt vast dat de door de verdediging ingeschakelde forensisch onderzoekers (NFIR) een dergelijk volledig onderzoek niet is verricht.

Kortgezegd ziet het Hof geen enkele reden om aan de betrouwbaarheid van de Google locatiegegevens te twijfelen en deze niet voor het bewijs te bezigen. Daarbij benadrukt het hof dat de Google locatiegegevens in het kader van de bewijsvoering slechts worden gebruikt als een indicatie van de locatie van het telefoontoestel, beschouwd in het licht van de door Google zelf aangegeven confidence-waarde. Het hof beschouwt de bevindingen van Google Timeline uiteindelijk in combinatie met de resultaten van het bloedspoorpatroononderzoek en het pathologisch onderzoek en is daarmee door het bewijs overtuigd dat de verdachte de moord heeft gepleegd.

Veroordeling voor drugshandel op darknet markets

Op 16 december 2020 heeft de rechtbank Rotterdam een verdachte veroordeeld (ECLI:NL:RBROT:2020:11624) voor drugshandel via darknet markets en deelname aan een criminele organisatie. De verdachte is veroordeeld tot een gevangenisstraf van 24 maanden en een taakstraf van 240 uur. Eén van de zes medeverdachten wordt vrijgesproken van deelneming aan een criminele organisatie.

De bewijsvoering over drugshandel via darkweb is met name interessant om te lezen. De uitspraak vermeld bijvoorbeeld de handgeschreven prijslijst met verboden middelen, inloggegevens van de darknet markten ‘Alphabay’ en ‘Valhalla’, een Excellijst met verkopen uit de drugshandel per darknet market en een handleiding genaamd ‘hoe bestellingen af te handelen op de dark markets’.

De medeverdachten verstopten pakketten met drugs in uitgeholde kaarsen en verstuurden deze vanuit hun woning naar adressen in het buitenland. In de berging van de woning en de schuur van hun grootmoeder zijn aanzienlijke hoeveelheden verdovende middelen aangetroffen.

Fraude door scan van QR-code

Op 15 december 2020 heeft de rechtbank Den Haag een verdachte veroordeeld (ECLI:NL:RBDHA:2020:12796) tot vier maanden gevangenisstraf voor oplichting, computervredebreuk, diefstal met een valse sleutel en witwassen.

Hij verdiende zijn geld door middel van fraude met een QR-code. Dat ging als volgt in zijn werk. De verdachte sprak het slachtoffer aan op het station Hollands Spoor die hem op zijn telefoon de ING Mobiel Bankieren app liet zien, waarin op dat moment een QR-code zichtbaar was. De man vroeg hem om die QR-code te scannen om 2 euro naar zijn bankrekening over te maken, omdat hij geld tekort kwam voor het kopen van een treinkaartje. Een dag later bemerkte het slachtoffer dat er buiten zijn medeweten vanaf zijn bankrekening transacties waren verricht. Op de camerabeelden van station Hollands Spoor was te zien dat het slachtoffer werd aangesproken door verdachte, en een handeling verrichte op zijn telefoon (het scannen van de QR-code).

De rechtbank ziet in het handelen van de verdachte listige kunstgrepen en een samenweefsel van verdichtsels (vereist voor het delict oplichting). De verdachte heeft het slachtoffer in strijd met de waarheid voorgespiegeld dat hij door het scannen van de QR-code twee euro naar de bankrekening van verdachte zou overmaken. Op de camerabeelden van een kledingwinkel in Amsterdam is waar te nemen dat verdachte een dag later, op 4 november 2019 om 15:05 uur, een jas van € 995,- afrekende, terwijl uit de bankrekeninggegevens van het slachtoffer blijkt dat op precies hetzelfde tijdstip een bedrag van € 995,- van de bankrekening is afgeschreven bij de betreffende kledingwinkel in Amsterdam.

De verdachte is met bovenstaande handelingen ook binnengedrongen in een (deel van een) geautomatiseerd werk, namelijk de beveiligde internetbankierenomgeving van ING-bank. Verdachte heeft dit gedaan met inloggegevens tot het gebruik waarvan hij niet bevoegd was, en door zich voor te doen als geautoriseerde ING-klant, zodat in het kader van de computervredebreuk zowel sprake is van het gebruik van een valse sleutel, als van het aannemen van een valse hoedanigheid.

Jurisprudentieoverzicht inlichtingen en recht december 2020

Vrijspraak deelname terroristische organisatie 

Op 29 oktober 2020 heeft het Hof Den Bosch een Syriëganger vrijgesproken (ECLI:NL:GHSHE:2020:3371) van deelname aan een terroristische organisatie (IS/DEAESH en/of Jabat al-Nusra). De verdachte is in 2013 afgereisd naar Syrië en is in een trainingskamp verbleven. Ook heeft hij meermalen websites bezocht en filmpjes bekeken met een radicaal extremistische inhoud, contant geld ontvangen en daarmee een vliegticket gekocht, de Arabische taal (aan)geleerd en op 17 oktober 2016 getracht om via de Balkanroute naar Syrië af te reizen.

Toch heeft het hof in het procesdossier geen bewijsmiddelen aangetroffen en is daarom ook niet tot de overtuiging bekomen dat verdachte ook daadwerkelijk deel heeft uitgemaakt van een terroristische organisatie c.q. is toegelaten tot een terroristische organisatie. De verdachte heeft volgens het Hof ook geen wezenlijke bijdrage geleverd aan het verwezenlijken van de doelen van een terroristische organisatie.

Wel wordt verdachte veroordeeld voor voorbereidingshandelingen van het plegen van terroristische misdrijven (artikel 96 lid 2 Sr) en het (zichzelf) trainen tot het plegen van terroristische misdrijven (artikel 134a Sr). Het hof acht bewezen dat het de bedoeling van de verdachte was om via Duitsland en/of Boedapest (de Balkanroute) of Turkije, naar Syrië te reizen teneinde zich te begeven in Syrië en dat de reis derhalve is ondernomen ter voorbereiding van het plegen van terroristische misdrijven. Het bewijs is onder meer afkomstig van pintransacties, digitaal forensisch onderzoek en openbronnenonderzoek. De verdachte krijgt een gevangenisstraf opgelegd van 800 dagen, waarvan 473 voorwaardelijk een proeftijd van drie jaar. De kans op recidive wordt ingeschat als hoog.

Minister gevrijwaard van aansprakelijkheid bij publicatie rapport NCTV?

Op 21 december 2020 heeft de rechtbank Den Haag in een kort geding een vordering afgewezen (ECLI:NL:RBDHA:2020:13109) voor een rectificatie in het Dreigingsbeeld Terrorisme Nederland nr. 53. De zaak was aangespannen door de ‘Muslim Rights Watch Nederland’ (MRWN), omdat zij vonden dat ze worden zwartgemaakt door het NCTV door hen zonder feitelijke onderbouwing aan te merken als ‘politiek-salafistische aanjagers die onverdraagzaam, anti-integratief en antidemocratisch gedachtengoed verspreiden’. Ze stellen dat hun vrijheid van meningsuiting en recht op een persoonlijke levenssfeer is geschaad (art. 8 en 10 EVRM), onder andere omdat ze hun denkbeelden niet meer effectief kunnen uitdragen omdat ze niet meer als integer worden beschouwd.  

De staat voert de opmerkelijke, maar klaarblijkelijk uiterst effectieve, verdediging door te stellen dat op grond van artikel 71 Grondwet de staat niet kan worden aangesproken over datgeen dat aan de Staten-Generaal is voorgelegd (in dit geval: het Dreigingsbeeld Terrorisme Nederland). Het idee is dat hiermee wordt beschermd dat de (in dit geval) minister zich in het parlementaire debat kan uiten in de wetenschap dat een controle op de geoorloofdheid van hun uitlatingen niet bij de rechter berust. Voorkomen moet worden dat de minister zich in het parlementaire debat en bij de informatieverschaffing aan – in dit geval – de Tweede Kamer terughoudend opstelt om civielrechtelijke aansprakelijkheid van de Staat te vermijden (de rechtbank verwijst hierbij naar een niet gepubliceerde uitspraak van het Hof Den Haag, 27 mei 2004, ECLI:NL:GHSGR:2004:AQ8950). 

De (succesvolle) verdediging noem ik opmerkelijk, omdat hier zelden een beroep op wordt gedaan. Artikel 71 Gw beschermt de minister voor uitspraken tijdens een parlementair debat. De minister is dan immuun voor aansprakelijkheid, maar de staat in zijn algemeenheid niet (zie ook dit arrest van de Hoge Raad). Maar ook het beroep op artikel 8 en 10 EVRM slaagt volgens de rechter niet. In andere zaken die in deze rubriek zijn beschreven binnen het domein van het bestuursrecht gaan de rechters na of een conclusie wordt gestaafd op basis van de onderliggende stukken in bijvoorbeeld een ambtsbericht van de AIVD. Hier komt de rechter daar niet aan toe. Wellicht staat de verdediging in soortelijke zaken in de toekomst sterker met een verweer waarbij duidelijker wordt gemaakt wat de schade precies is.  

Intrekking Nederlanderschap  

Op 25 november 2020 heeft de rechtbank Den Haag een beroep over de intrekking van Nederlanderschap als ongegrond verklaard (ECLI:NL:RBDHA:2020:12130). Het Nederlanderschap was op 30 oktober 2019 ingetrokken op grond van artikel 14 lid 3 van de Rijkswet op het Nederlanderschap en de vrouwelijke verdachte tot ongewenst vreemdeling verklaard, wegens gevaar voor de nationale veiligheid door deelname aan een internationaal gewapend conflict. Aan dit besluit lag een ambtsbericht van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) van 27 september 2019 ten grondslag.

Daarin was vermeld:

“Betrokkene is medio juli 2013 uitgereisd naar Syrië. Zij is daar eind juli 2013 (islamitisch) getrouwd met een ISIS-strijder. In die tijd verheerlijkte zij openlijk de werkwijze van ISIS, daarnaast poseerde betrokkene met een automatisch vuurwapen.

Betrokkene bleef ook na 11 maart 2017 aangesloten bij ISIS. Betrokkene deed pro-ISIS uitlatingen via sociale media en faciliteerde bij de verspreiding van pro-ISIS uitlatingen in het (semi-)openbaar. Zo spreekt verzoekster publiekelijk positief over haar leven in een gebied waarin de religieuze politie van ISIS actief is. Verder maakt verzoekster het in 2018 mede mogelijk dat het martelaarschap via sociale media wordt verheerlijkt en een afbeelding van een aanslagmiddel wordt gedeeld.

Betrokkene was tot begin 2019 in het door ISIS gecontroleerd gebied en bevond zich in het voorjaar van 2019 in een Koerdisch kamp. Betrokkene heeft in Syrië twee kinderen gekregen; [kind 1] , geboren omstreeks april 2015 en [kind 2] , geboren omstreeks september 2016.”

De rechtbank heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties verzocht inzage te geven in de stukken die ten grondslag liggen aan het ambtsbericht. De minister heeft de rechtbank (onder verwijzing naar artikel 8:29 lid 1 van de Algemene wet bestuursrecht (Awb)) medegedeeld dat alleen de rechtbank kennis mag nemen van de onderliggende stukken van het ambtsbericht. De geheimhoudingskamer van de rechtbank heeft bepaald dat deze beperking gerechtvaardigd is. De raadvrouw van de verdachte mocht de onderliggende stukken niet inzien.

Eiseres heeft zich op het standpunt gesteld dat het ambtsbericht niet als een deskundigenbericht kan worden beschouwd omdat de AIVD in het bericht geen conclusie heeft opgenomen over het gevaar van eiseres voor de nationale veiligheid. Eiseres ziet dit als een kennelijke weigering van de AIVD om haar als een gevaar te bestempelen. In dit verband verwijst eiseres naar het op 16 juni 2020 gepubliceerde rapport van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (hierna: CTIVD) over de intrekking van het Nederlanderschap, waaruit volgens haar blijkt dat de AIVD moeite c.q. weerzin heeft zich in zaken van de IND te mengen.

De rechtbank overweegt dat het betoog van eiseres dat het ambtsbericht geen conclusies over de nationale veiligheid bevat niet slaagt, nu in het ambtsbericht onder meer vermeld staat dat eiseres aangesloten was bij ISIS en de werkwijze van ISIS verheerlijkte. Het is vervolgens aan verweerder om te beoordelen of het gestelde in het ambtsbericht tot de conclusie leidt dat eiseres een gevaar vormt voor de staatsveiligheid. Zoals verweerder ter zitting terecht heeft gesteld is de gebruiker van het deskundigenbericht verantwoordelijk voor diens eigen conclusies en besluiten. Het rapport van de CTIVD biedt geen aanknopingspunten voor het oordeel dat op grond daarvan geen betekenis aan de uitgebrachte ambtsberichten kan worden gehecht. De rechtbank overweegt dat het ambtsbericht voldoende feitelijke en concrete informatie bevat over de gedragingen van eiseres, ook na 11 maart 2017, die niet is weerlegd. Het gaat daarbij bijvoorbeeld om foto’s op sociale media van de vrouw met een aanslagmiddel en verstuurde chatberichten. De rechtbank acht het – mede gelet op de geheime stukken die door de rechtbank zijn ingezien – voldoende aannemelijk dat de berichten van eiseres afkomstig waren. Bovendien betreft dit ook berichten van na maart 2017, welke de bevindingen uit het ambtsbericht in voldoende mate onderbouwen.

De rechtbank overweegt ten slotte nog: ‘Door er zelf voor te kiezen om naar Syrië te vertrekken om aldaar een zelfstandig bestaan in door ISIS gecontroleerd gebied te gaan leiden en aldaar te huwen met een ISIS-strijder waarmee zij twee kinderen heeft gekregen, heeft eiseres zelf de afweging gemaakt om niet langer feitelijk in de nabijheid van haar familieleden in Nederland te verblijven’. Haar kinderen behouden Nederlanderschap, zijn onder toezicht gesteld en verblijven bij haar zus. De verdachte zelf is in Nederland gedetineerd.

Geheimhouding en inzage tot stukken 

Een verzoek tot kennisneming van gegevens (zoals gespreksverslagen, memo’s, notities) van de appellant met betrekking tot verhoren in een spionagezaak is afgewezen voor zover het om ‘actuele gegevens’ gaat (ECLI:NL:RVS:2020:2635). De appellant heeft wel van de minister inzagedossier van 113 pagina’s ontvangen over de periode van 1974-2011, voor zover het niet om actuele gegevens gaat.

Na de einduitspraak van de rechtbank heeft de minister per document toegelicht waarom inzage in de gegevens is geweigerd. De minister heeft verder voor een aantal geel gemarkeerde delen een nadere motivering gegeven in de alleen voor de Afdeling kenbare passages van de brief van 3 juni 2019.

De Raad van State overweegt dat een organisatie als de AIVD zijn wettelijke taak uitsluitend met een zekere mate van geheimhouding effectief kan uitvoeren. Dit betekent dat de AIVD zijn actuele kennisniveau, zijn bronnen en zijn werkwijze geheim moet kunnen houden om de veiligheid van de daarbij betrokken personen en de veiligheid van de staat te kunnen waarborgen en onderzoeken niet in gevaar te brengen. De verstrekking van gegevens mag worden geweigerd als de nationale veiligheid daardoor kan worden geschaad.

Voor zover documenten zijn geweigerd wegens de bescherming van bronnen, heeft de Afdeling eerder overwogen (in o.a. ECLI:NL:RVS:2014:3264) dat het belang daarvan niet alleen is gelegen in het waarborgen van de veiligheid van in het bijzonder menselijke bronnen maar, in het verlengde daarvan, ook in het voorkomen dat bronnen geen informatie aan de AIVD meer willen verstrekken, hetgeen het goed functioneren van die dienst belemmert waardoor de nationale veiligheid wordt geschaad. Verder heeft de Afdeling eerder over deze weigeringsgrond overwogen (in o.a. ECLI:NL:RVS:2014:3265) dat die weliswaar absoluut is, maar dat de minister wel in ieder concreet geval moet beoordelen of de nationale veiligheid wordt geschaad door verstrekking van de gegevens.

De Afdeling heeft over de weigering van kennisneming wegens de actuele werkwijze van de AIVD (ECLI:NL:RVS:2014:3264) overwogen dat de enkele omstandigheid dat de gegevens gedateerd zijn niet betekent dat de minister zich niet op het belang van bescherming mag beroepen, omdat ook in het verleden gebruikte werkwijzen nog steeds door de AIVD kunnen worden ingezet.

De rechters concluderen na kennisneming van de stukken, waaronder ook de geheime motivering, dat de minister in dit geval passages heeft mogen weigeren. Met het bovenstaande biedt de Raad van State een mooi overzichtsarrest over de jurisprudentie met betrekking tot het recht op inzage.

Op sanctielijst terrorisme 

De afdeling bestuursrechtspraak van de Raad van State heeft op 14 oktober 2020 een arrest (ECLI:NL:RVS:2020:2420) gewezen over de toepassing van de Sanctieregeling Terrorisme 2007-II op een persoon. De persoon is volgens de minister lid van de door de Europese Unie als terroristisch aangemerkte organisatie ‘Devrimci Halk Kurtuluş-Cephesi’ (DHKP/C). Hij zou fondsen werven voor de organisatie en het tijdschrift ‘Yürüyüs’ verspreiden, waarin aanslagen en aanslagplegers van DHKP/C worden verheerlijkt. De fondsen zijn daarop bevroren. De minister kwam tot dit oordeel door een ambtsbericht van de AIVD. De appellant ontving het ambtsbericht in de bezwaarfase, waarin stond vermeld:

“In het kader van de uitvoering van zijn wettelijke taak beschikt de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) over de volgende betrouwbare informatie met betrekking tot [appellant] (geb. [datum] in [plaats]). [appellant] is een leidinggevend lid van de DHKP/C (Devrimci Halk Kurtulus Partisi/Cephesi) en stond in contact met [DKHP/C-leider] (geb. [datum]). De DHKP/C (Devrimci Halk Kurtulus Partisi/Cephesi) is geplaatst op de internationale lijst van terroristische organisaties (zie besluit 2013/395/GBVB van de Raad van de Europese Unie van 25 juni 2013).

[appellant] werft fondsen voor de DHKP/C en verspreidt het blad “Yürüyüs” waarin aanslagen en aanslagplegers van de DHKP/C worden verheerlijkt. Door zijn activiteiten ondersteunt [appellant] de terroristische activiteiten van de DHKP/C.”

De Afdeling is zeer kritisch over het ambtsbericht. Zij heeft de geheime stukken in het AIVD-dossier ingezien. Daaruit blijkt dat de appellant een zekere rol speelt binnen DHKP/C, maar zonder nadere toelichting van de minister is niet duidelijk waarom die stukken de conclusie rechtvaardigen dat de appellant een leidinggevende functie binnen de organisatie vervult. De contacten met de leider van DHKP/C zijn niet aan de bevriezingsmaatregel ten grondslag gelegd en duiden ook overigens niet op een leidinggevende functie van de appellant. De structuur, opbouw en invulling van functies binnen de organisatie en de positie van de appellant daarin is in de stukken niet uiteengezet. Een nadere toelichting ten aanzien van de leidinggevende positie van de appellant binnen de organisatie kon door de minister ter zitting niet worden gegeven, omdat de aanwezige vertegenwoordiger niet op de hoogte was van de inhoud van het onderliggende AIVD-dossier.

De Raad van State acht het besluit van de minister daarom onvoldoende gemotiveerd. De Afdeling merkt ten slotte nog op dat niet de AIVD maar de minister een beroep kan doen op de procedure van artikel 8:29 Awb. Het besluit van de toepassing van de sanctieregeling wordt daarom vernietigd en de minister zal een nieuw besluit op het bezwaar van de appellant moeten nemen.

Rubriek inlichtingen en recht december 2020

Jaarplan AIVD 2021

De minister van BZK heeft op 15 december 2020 de Tweede Kamer geïnformeerd over de hoofdlijnen van het jaarplan van de AIVD (Kamerstukken II 2020/21, 30977, nr. 158). Het volledige jaarplan is vanwege zijn inhoud staatsgeheim gerubriceerd. Een aantal punten wordt ter informatie door de minister uitgelicht.

De AIVD wil de samenwerkingen met de MIVD en andere ketenpartners versterken.  Door de COVID-19 pandemie is de spionagedreiging richting de farmaceutische en medische sector toegenomen. De dreiging van buitenlandse inlichtingenactiviteiten richting de Nederlandse samenleving is daarnaast onverminderd aanwezig. Het gaat hierbij zowel om spionage en ongewenste inmenging als heimelijke politieke beïnvloeding. Een aantal landen richt zijn inlichtingen- en beïnvloedingsactiviteiten met name op hun diaspora in Nederland. Deze ontwikkeling benadrukt volgens de AIVD het belang van de strafbaarstelling van spionage. Om Nederland in staat te stellen zich op effectieve wijze te kunnen weren tegen de dreiging vanuit Rusland en China zetten de MIVD en AIVD in op een gecombineerde inzet.

De AIVD benoemt verder de grote afhankelijkheid van digitale systemen die leidt tot grotere kwetsbaarheid van de Nederlands samenleving. De cyber gerelateerde inlichtingenposities van de AIVD vormen de basis voor het tijdig onderkennen van hoogwaardige (statelijke) dreigingen, en het adequaat voorkomen of tot een minimum beperken van schade die uit cyberaanvallen voortkomt. Wereldwijd vindt een bredere proliferatie van offensieve cyberprogramma’s plaats. In reactie hierop is de Cyber Intel/Info Cel (CIIC) opgericht, een samenwerkingsverband tussen de AIVD, MIVD, het Nationaal Cyber Security Centrum, de politie en het OM (zie ook Stcrt. 2020, 30702). De AIVD levert dreigingsinformatie, en combineert dat met advies over informatiebeveiliging in het digitale domein.

De AIVD wil zijn werkwijze verbeteren en streeft naar een gezamenlijke datahuishouding met de MIVD. Met dat systeem kan inzicht worden gegeven in de juridische status van gegevens, waarmee recht wordt gedaan aan de opmerkingen daarover in de voortgangsrapportages van de CTIVD. De AIVD benoemt in de jaarplanbrief ook het rapport van de onafhankelijke Wiv evaluatiecommissie Jones-Bos dat in 2021 zal verschijnen, alsmede een rapport van de Algemene Rekenkamer over de impact van de implementatie Wiv 2017 op de operationele slagkracht van de diensten. De AIVD heeft zich tot doel gesteld om mede naar aanleiding van deze rapporten en in navolging van het openbare beleid bulkdatasets dat in november 2020 is gepubliceerd, in 2021 over een aantal maatschappelijk relevante onderwerpen te voorzien in openbaar beleid om de maatschappij te laten zien hoe de AIVD de wet in de praktijk invult.  

Eén van de initiatieven waar de AIVD in 2021 mee aan de slag gaat is de noodzaak om, op basis van inlichtingen over de (digitale) dreiging vanuit statelijke actoren, concreet handelingsperspectief te geven om de digitale weerbaarheid te vergroten.

Sophie Harleman

Defensienota, lijst van vragen en antwoorden

De vaste commissie voor Defensie heeft een aantal vragen voorgelegd aan de minister van Defensie over de Defensievisie 2035 (Kamerstuk 34919, nr. 71). Een paar vragen en antwoorden (Kamerstukken II 2020/21, 34919, nr. 73) zal ik hieronder uitlichten.

Zo vraagt de commissie zich af (vraag 42) of de minister het risico ziet dat de drempel voor het aangaan van een conflict lager komt te liggen door de optie om hybride oorlogsinstrumenten in te zetten, zoals “cyber”. De minister geeft aan dat de drempel voor hybride conflictvoering door tegenstanders onder het niveau van een gewapend conflict lager ligt dan voor openlijk militair conflict. Hybride conflict wordt gekenmerkt door meer heimelijke activiteit, zoals economische spionage, cyberaanvallen, militaire intimidatie, aanvallen met chemische wapens en/of ondermijnende desinformatie. Door deze handelswijze onttrekken statelijke tegenstanders zich doelbewust aan het geldende internationaal (oorlogs)recht.

Vervolgens stelt de commissie de vraag (43) hoe Nederland met de uitvoering van de Defensievisie 2035 bijdraagt aan een effectief weerwoord op conventionele militaire dreigingen alsmede zeer moderne militaire technologieën, en geeft daarbij het voorbeeld van Russische hypersone wapens en Chinese Robots. De minister antwoordt dat de drie eigenschappen en tien inrichtingsprincipes van Defensie ertoe dienen te leiden dat in de toekomst de Nederlandse belangen kunnen worden beschermd tegen de in de Defensievisie onderkende dreigingen. Hieronder vallen ook nieuwe dreigingen zoals hybride conflictvoering en dreigingen in het cyberdomein. Defensie wil inzetten op een technologisch hoogwaardige en informatiegestuurde organisatie om te voorkomen dat Defensie achterop komt bij potentiele tegenstanders die hierin investeren.

In vraag 44 legt de commissie aan de minister voor wat de afgelopen kabinetsperiode had moeten gebeuren om ervoor te zorgen dat Defensie wél toegerust zou zijn op het verdedigen tegen hybride dreigingen en optreden in de informatieomgeving. De minister geeft aan dat dit kabinet fors heeft geïnvesteerd in Defensie, te weten €1,7 miljard euro structureel en €1,7 miljard euro incidenteel over de periode tot en met 2024. In de Defensienota 2018 zijn verder de maatregelen uiteengezet die worden genomen om stappen te zetten richting een informatiegestuurde krijgsmacht die is opgewassen tegen technologisch hoogwaardige tegenstanders en hybride dreigingen. Defensie investeerde onder andere in cyber, inlichtingen, IT, informatievergaring en het gehele informatiedomein.

Vraag 49 luidt: “Wat bedoelt u precies met “we specialiseren ons in het opbouwen en behouden van een gezaghebbende informatiepositie”? Welke extra capaciteiten wilt u creëren/aanschaffen om deze ambitie te realiseren?” De minister geeft aan dat de visie niet ingaat op welke capaciteiten aangeschaft (moeten) gaan worden, omdat dat afhangt van het toekomstige budget en toekomstige keuzes.

Vraag 54 ziet specifiek op data die Defensie vergaart en gebruikt. De vraag luidt als volgt: “Wat voor specifieke data heeft de toekomstige krijgsmacht vooral nodig? Naast het gebruiken van deze data moet het ook vergaard worden; hoe doet de krijgsmacht dit en aan welke privacy-kwesties raakt dit?”

De minister geeft als antwoord dat de toekomstige krijgsmacht onder andere data zal gebruiken uit open bronnen, haar eigen (wapen)systemen, sensoren, satellieten en inlichtingen van de MIVD. Defensie moet dit soort informatie kunnen ontsluiten, filteren, verwerken, analyseren, erop kunnen sturen en naar kunnen handelen om hun kerntaken uit te voeren. Eigenlijk, stelt de minister, is informatie voor Defensie net zo belangrijk als brandstof voor een auto. Zij geeft aan dat Defensie nu en in de toekomst binnen wettelijke kaders werkt. Omdat de inzet van nieuwe technologische fundamentele ethische en maatschappelijke vragen kan oproepen, participeert Defensie in interdepartementale en internationale trajecten om deze publieke waarden te blijven beschermen. De minister geeft aan dat de Wiv 2017 de inlichtingendienst bevoegdheden en taken geeft ten behoeve van de nationale veiligheid. De minister stelt dat hierbij altijd in ogenschouw wordt genomen dat het middel niet erger is dan de kwaal.

Vraag 56 ziet op samenwerking en interoperabiliteit tussen de partners in het Nederlandse cyberbeveiligingsnetwerk. Defensie is volgens de minister een cruciale partner in het Nederlandse cybersecuritylandschap, en probeert samen met strategische partners zoals het Nationaal Cyber Security Centrum (NCSC), de Algemene Inlichtingen en Veiligheidsdienst (AIVD), de Politie en het OM Nederland digitaal veilig te houden. Een voorbeeld van dit soort samenwerkingsverbanden is de Cyber Intel/Info Cell, waar sinds deze zomer medewerkers van de bovengenoemde organisaties fysiek bij elkaar zitten om relevante informatie zo snel mogelijk te kunnen delen.

De minister noemt verder het Nationaal Respons Netwerk waar Defensie bij is aangehaakt. Dit betreft een samenwerkingsverband tussen o.a. Defensie, NCSC en Rijkswaterstaat waar kennis, informatie en personeel (in het geval van crises) wordt gedeeld. De minister stelt dat Defensie als bron van informatie en inlichtingen en door het beschikbaar hebben van cruciale personele capaciteit een belangrijke speler in het nationale cybersecuritylandschap is.  

Als antwoord op vraag 58 stelt de minister ten slotte dat bredere bewustwording van de dreiging van desinformatie van groot belang is. Openheid over desinformatiecampagnes kan daaraan bijdragen.

Sophie Harleman

Brief van de Minister van Buitenlandse Zaken over het bericht dat de Russische militaire inlichtingendienst via ‘Bonanza Media’ desinformatie verspreidt rond het MH17 strafproces

In deze Kamerbrief (Kamerstukken II 2020/21, 33997, nr. 155) wordt door de minister van Buitenlandse Zaken gereageerd op het rapport van onderzoekscollectief Bellingcat, waarin werd gesteld dat de Russische militaire inlichtingendienst GROe via ‘Bonanza Media’ desinformatie verspreidt rondom het MH17 strafproces.

Uit de jaarverslagen van de AIVD en de MIVD is reeds gebleken dat het kabinet zorgen heeft over de Russische beïnvloedingsactiviteiten, waaronder ook met betrekking tot de beeldvorming over het MH17 strafproces.

De minister geeft aan dat de strategie van het kabinet om verspreiding van desinformatie tegen te gaan drie actielijnen kent: preventie, de informatiepositie verstevigen en, zo nodig, reactie. Het kabinet hecht grote waarde aan het onafhankelijke en pluriforme medialandschap in Nederland. De minister geeft aan dat het kabinet Rusland herhaaldelijk heeft aangesproken op het verspreiden van desinformatie rondom het neerhalen van vlucht MH17 en dat het kabinet dit waar nodig ook zal blijven doen.

Sophie Harleman

Brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties over nationale veiligheid en het tegengaan van digitale inmenging Tweede Kamer verkiezingen 2021

De minister geeft in deze Kamerbrief (Kamerstukken II 2020-21, 30821, nr. 118) aan dat het beschermen van onze verkiezingen tegen ongewenste (digitale) inmenging van groot belang is voor onze democratie. Hoewel zich bij het stemmen geen digitale dreigingen voordoen, kan de dreiging van digitale inmenging bij verkiezingen in diverse vormen voorkomen. In de brief gaat de minister in op de uitdagingen rond digitale inmenging omtrent de verkiezingen, zowel bij het verkiezingsproces zelf als in aanloop naar de verkiezingen. Ook noemt zij de maatregelen die de overheid neemt digitale inmenging bij de Tweede Kamerverkiezing van 2021 te voorkomen, en biedt ze de Kamer het rapport ‘Digitale dreigingen voor onze democratie’ van het Rathenau Instituut aan. Hieronder ga ik kort in op de voor deze rubriek relevante punten.

Kwetsbaarheid politieke partijen voor digitale incidenten verminderen
Het vertrouwen in de betrouwbaarheid van de verkiezingen is in Nederland hoog. Personen en instituties die een rol spelen in het democratisch proces zijn een potentieel doelwit voor kwaadwillenden om desinformatie te verspreiden of informatie te ontvreemden. Het moet bij betrokken partijen bekend zijn wat te dreiging van cybercrime, cyberspionage en cybersabotage inhouden teneinde de dreigingen effectief te bestrijden. De rijksoverheid geeft hierbij ondersteuning waar nodig. Politieke partijen kunnen tevens altijd een vrijwillige melding doen bij het Nationaal Cyber Security Centrum in het geval van ernstige incidenten.

Voorkomen dat mis- en desinformatie het democratisch proces ondermijnt
Mis- en desinformatie kunnen ervoor zorgen dat burgers de stembusgang wordt belemmerd. Waar bij misinformatie onbedoeld onjuiste of misleidende informatie wordt verspreid, is desinformatie gericht op het toebrengen van schade aan het publieke debat, democratische processen, de open economie of nationale veiligheid. Er zijn geen aanwijzingen dat er bij eerder verkiezingen in Nederland door statelijke actoren grootschalige desinformatiecampagnes hebben plaatsgevonden maar uit het jaarverslag van de AIVD blijkt dat online Russische beïnvloeding op West-Europese sociale media aan de orde van de dag is.

Zoals ook blijkt uit de brief van de minister van Buitenlandse Zaken over het bericht dat de Russische militaire inlichtingendienst via ‘Bonanza Media’ desinformatie verspreidt rond het MH17 strafproces (Kamerstukken II 2020/21, 33997, nr. 155), kent de strategie tegen desinformatie drie actielijnen: preventie, informatiepositie verstevigen en (indien nodig) reactie. De overheid kan in het licht van de verkiezingen misleidende informatie actief tegenspreken, zoals ook gebeurd is tijdens de COVID-19 crisis. Ook kan de overheid juridische middelen inzetten, zoals artikel 127 Wetboek van Strafrecht, dat betrekking heeft op het plegen van een bedriegelijke handeling. Verder kan de overheid juridische handvatten ontlenen aan het civielrecht, of als er sprake is van een strafbaar feit als smaad of laster.

Gebrek aan transparantie omtrent digitale campagnes verminderen
In aanloop naar de verkiezingen moet het voor burgers duidelijk zijn wie de afzender is van een politieke advertentie en waarom zij deze te zien krijgen. Vanwege de Europese gedragscode tegen desinformatie hebben internetdiensten maatregelen genomen om de transparantie van politieke advertenties te vergroten, en staan sommige internetdiensten geen politieke advertenties meer toe op hun platforms. Volgens de minister moet de Europese gedragscode tegen desinformatie worden verbeterd, onder meer door het toevoegen van minimale transparantie- en rapportagestandaarden en gemeenschappelijke definities van sleutelconcepten. Op nationaal niveau werkt de minister aan een Wet op de politieke partijen (Wpp), waarin transparantieregels ook een plek krijgen.

Informatiepositie over mis- en desinformatie verder ontwikkelen
Overheden dienen een goede informatiepositie te hebben over de aanwezigheid van mis- en desinformatie zodat zij weten of er sprake is van een dreiging die een reactie van de overheid vereist. Hiervoor dient  informatie in nationaal en internationaal verband gedeeld te worden. In Nederland staan de betrokken ministeries en diensten doorlopend in nauw contact om informatie over en signalen van mogelijke desinformatieactiviteiten te delen, te duiden en daarop zo nodig te acteren. Internationale samenwerkingsverbanden dragen bij aan het versterken van de informatiepositie. De Europese Commissie heeft recent het European Digital Media Observatory gelanceerd, waarbinnen fact-checkers, wetenschappers en andere stakeholders worden gefaciliteerd.

Rekening houden met nieuwe technieken om mis- en desinformatie te verspreiden
De technologie waarmee mis- en desinformatie kan worden verspreid is voortdurend in ontwikkeling. Het rapport ‘Digitale dreigingen voor de democratie’ van het Rathenau Instituut geeft een overzicht van de technologische ontwikkelingen die de komende jaren een rol kunnen gaan spelen bij de productie en verspreiding van desinformatie. De mogelijkheden bestaan onder andere uit tekstsynthese, voice cloning, deepfakes, microtargeting en chatbots. Met name deepfakes en psychographing, een geavanceerde vorm van microtargeting, kunnen in de toekomst ingezet worden door kwaadwillende actoren om het publieke debat en het democratische proces heimelijk te beïnvloeden. De minister geeft aan niet te verwachten dat deze technologieën bij de komende Tweede Kamerverkiezingen al een grote rol zullen spelen. De minister deelt de conclusie van het Rathenau Instituut dat met name internetdiensten een verantwoordelijkheid hebben om het verspreiden van desinformatie tegen te gaan. De overheid kan daarbij bedrijven wel aansporen om maatregelen te nemen. De beschreven nieuwe technologieën zouden een plek kunnen krijgen in een verbeterde gedragscode.

De minister wil teneinde bovenstaande uitdagingen het hoofd te bieden thematafels organiseren waarbij relevante ministeries, toezichthouders, het maatschappelijk middenveld, politieke partijen en internetdiensten worden uitgenodigd.

Sophie Harleman

Tijdelijke regeling verdere verwerking bulkdatasets 

Op 5 november 2020 is de ‘Tijdelijke regeling verdere verwerking bulkdatasets Wiv 2017’ gepubliceerd (Stcrt. 2020, 56482). Een bulkdataset wordt gedefinieerd als ‘een omvangrijke gegevensverzameling waarbij het merendeel van de gegevens betrekking heeft op personen en/of organisaties die geen onderwerp van onderzoek zijn van een dienst en dat ook niet worden’. Bulkdatasets zijn volgens de toelichting op de regeling van grote operationele waarde.  

De toelichting op de regeling noemt dat  de verwerving van bulkdatasets de diensten in staat stelt zicht te krijgen op bepaalde regio’s en uitreizigers of andere targets te (blijven) volgen. Bulkdatasets hebben een langdurige waarde voor de uitoefening van de taken van de diensten. Het stelt de AIVD en de MIVD in staat om ook over een langere periode netwerken in kaart te brengen, de intensiteit van contacten vast te stellen en reisbewegingen te herleiden. In de praktijk wordt de opbrengst uit een bulkdataset vaak gecombineerd met andere inlichtingeninformatie, bijvoorbeeld afkomstig uit de inzet van bijzondere bevoegdheden. Door deze gegevens te combineren worden verbanden zichtbaar of wordt de kennis over reeds gekende dreigingen vergroot. 

De regeling moet worden gezien als regelgeving die de minister van BZK of Defensie kan nemen ten aanzien van de organisatie, de werkwijze en het beheer van de diensten (art. 16 Wiv 2017). Daarnaast is het natuurlijk geen toeval dat de regeling is gepubliceerd na de publicatie toezichtsrapporten nr. 70 en nr. 71 van de CTIVD over bulkdatasets.  

In mijn meest recente artikel ‘Metadata-analyse in de Wiv 2017’ in het tijdschrift Privacy & Informatie merk ik het volgende over de regeling op. De toegang van AIVD- en MIVD-medewerkers tot gegevens in bulkdatasets wordt beperkt afhankelijk van de ernst van inmenging op de persoonlijke levenssfeer van personen die plaatsvindt bij de verwerking van de gegevens in de bulkdataset.De ernst van de inmenging wordt bepaald op basis van de volgende vier elementen: (1) identificerende gegevens, (2) locaties, (3) netwerk van de contacten van een persoon en (4) vertrouwelijke inhoud. Hierbij valt op dat de verwerkingsvormen van de gegevens uit de bulkdatasets niet worden meegenomen om de privacy-inbreuk te bepalen, terwijl dit volgens jurisprudentie van het EHRM en HvJ EU wel een belangrijke factor is om de ernst van de privacy-inmenging te meten. 

De toegang tot gegevens in bulkdatsets is met de regeling ingedeeld in een (a) standaard toegangsregime, (b) beperkt toegangsregime of (c) strikt beperkt toegangsregime. Onder het standaard toestemmingsregime behoren medewerkers die toegang vanuit hun functie nodig hebben, zoals medewerkers die het inlichtingenonderzoek uitvoeren, maar ook data-analisten en data-scientists. Onder het beperkt toegangsregime behoren functiegroepen die vanwege hun specifieke kennis en expertise met bulkdata de verbanden tussen verschillende gegevensbestanden inzichtelijk kunnen maken door middel van data-analyses. Dat kunnen medewerkers uit een inlichtingenteam zijn of een team dat belast is met de uitvoering van veiligheidsonderzoeken of het opstellen van dreigingsanalyses. Onder het strikte toegangsregime hebben alleen specifieke medewerkers met een bepaalde functie toegang of toegang waarbij de functionaliteit beperkt is tot het bevragen van gegevens. Een speciaal verzoek tot toestemming moet worden ingediend om toegang te krijgen tot gegevens in de bulkdataset als blijkt dat zich daarin een kenmerk bevindt, zoals een telefoonnummer. 

De tijdelijke regeling bevat geen maximale bewaartermijn van de gegevens, omdat de gegevens in de bulkdatasets allemaal relevant worden geacht. In plaats daarvan vindt een periodieke beoordeling vindt plaats om de 3 jaar, 2 jaar, of 1 jaar; afhankelijk van het type bulkdataset. Over het geheel gezien biedt deze regeling meer bescherming dan (de huidige uitvoering) van de Wiv 2017 en kan het worden gezien als een invulling van de algemene bepalingen omtrent gegevensverwerking en de zorgplicht uit de Wiv.  

Jan-Jaap Oerlemans

Nieuwe autoriteit voor de bestrijding kinderpornografisch en terroristisch materiaal?

Minister Grapperhaus van Justitie en Veiligheid heeft in het najaar van 2020 nieuwe plannen uit de doeken gedaan voor de oprichting van een nieuwe overheidsinstantie (zie de Kamerbrief van 20 november 2020 en de Kamerbrief van 8 oktober 2020). De nieuwe autoriteit zou er gericht op zijn kinderpornografisch en terroristisch materiaal door middel van het bestuursrecht te bestrijden met bestuursrechtelijke handhavingsinstrumenten, zoals de last onder bestuursdwang en boetes. Het idee is dat deze autoriteit de status van zelfstandig bestuursorgaan krijgt om de onafhankelijkheid te waarborgen. Dit zou bovendien aansluiten bij een voorstel voor een Europese verordening over het ontoegankelijk maken van online terroristisch materiaal. Op 10 december 2020 is een voorlopig akkoord bereikt over de verordening door de Raad van Ministers.

Minister Grapperhaus beziet nog of de nieuwe autoriteit bijvoorbeeld de bevoegdheid krijgt te automatisch zoeken (crawlen) naar online kinderpornografisch materiaal. Met een dergelijke bevoegdheid wordt Nederland minder afhankelijk van meldingen uit het buitenland over kinderpornografisch materiaal op servers in Nederland. Volgens de minister ontstaan ‘kwalitatieve en kwantitatieve synergievoordelen’ wanneer de bestrijding van online kinderpornografisch materiaal en online terroristisch materiaal bij één autoriteit worden ondergebracht. De minister verwacht dat het wetsvoorstel voor de autoriteit die online kinderpornografisch materiaal bestrijdt in januari 2021 in (internet)consultatie kan worden gegeven.

Problematiek

In een andere Kamerbrief van 8 oktober 2020 over de bestrijding kinderpornografisch materiaal op internet, heeft de minister de problematiek verder toegelicht. Zo vertelt de minister uitgebreid over een het rapport, de “CSAM Hosting Monitor”, die in opdracht is geschreven door de TU Delft. De minister streeft ernaar dat de monitor een structureel karakter krijgt en de rapportage periodiek wordt gepubliceerd, waarbij de op te richten toezichthouder het instrument op termijn overneemt.

In de Kamerbrief wordt bijvoorbeeld het hostingbedrijf NForce uitgelicht, klaarblijkelijk in het kader van ‘naming en shaming’. Het hostingbedrijf hostte een extreem grote hoeveelheid kinderpornografisch beeldmateriaal: van januari-augustus 2020 kreeg het bedrijf maar liefst 179.610 meldingen van het Meldpunt Kinderporno over URL’s met dergelijk materiaal. Het aandeel van NForce in alle Nederlandse meldingen van kinderpornografisch beeldmateriaal was 93.57% (!). Kortom, NForce heeft als hoster van middelbare grote volgens de minister een enorme rol in de verspreiding van kinderpornografisch beeldmateriaal.

HashCheckService

De ‘HashCheckService’ is een dienst die de politie beschikbaar stelt aan hosting providers om kinderpornografisch materiaal te detecteren, zodat het kan worden verwijderd. Na het versturen van brieven aan 17 hosters in juni 2020 die veel kinderpornografie via hun diensten distribueerden, hebben een aantal hostingbedrijven klanten afgestoten. Ook steeg het aantal domeinen dat aangesloten werd op de HashCheckService flink en één hostingbedrijf verplichtte zijn klanten om zich hierop aan te sluiten. Het resulteerde in een enorme toename van het aantal checks van deze HashCheckService. In een Kamerbrief van 7 juli 2020 werd genoemd dat 67 miljoen afbeeldingen waren gecheckt met 10.000 hits, inmiddels is dit gestegen naar 18.2 miljard afbeeldingen die zijn gecheckt met bijna 7.4 miljoen hits. Deze aantallen dragen volgens de minister fors bij aan het tegengaan van herhaald slachtofferschap.

Good hostingschap

De minister noemt allerlei maatregelen ter bestrijding van kinderpornografie die hosting bedrijven kunnen nemen in het kader van “good hostingschap”. Dat doet hij overigens zonder te verwijzen naar onderliggende wet- en regelgeving. Een ‘good hoster’ zal bijvoorbeeld een “Know-Your-Customer” beleid kunnen voeren, bijvoorbeeld door het uitvoeren van identiteitscontroles en een risico-inschatting maken ten aanzien van kinderpornografische uploads (mogelijk via de HashCheckService). Reactief acteert een good hoster volgens de minister uiteraard direct bij een melding, uiterlijk binnen door de sector zelf gestelde norm van 24 uur.

Eerste beschouwing van de plannen

De Kamerbrieven verassen mij. Het idee is interessant en vernieuwend. Maar ik mis wel een onderbouwing van de noodzaak voor de oprichting van zo’n nieuwe autoriteit, inclusief informatie over bijvoorbeeld de kosten, organisatie, etc.. Enkele vragen die alvast opkomen zijn bijvoorbeeld:

  1. Waarom wordt dit niet belegd bij een strafrechtelijke instantie of gespecialiseerde tak van het OM? Voldoet dat niet en waarom niet?
  2. Werkt het nieuwe Take Down-bevel uit artikel 125p Sv (n.a.v. de Wet computercriminaliteit III) onvoldoende? Is die bevoegdheid geëvalueerd? Zie overigens ook dit interessante rapport van de UvA in opdracht van het WODC over het verwijderen van onrechtmatige online content.
  3. Welke andere bevoegdheden zou de autoriteit moeten krijgen? Kunnen we een mooie naam voor de autoriteit verzinnen?
  4. In hoeverre wordt samengewerkt en gegevens gedeeld met andere, vergelijkbare autoriteiten?

Het is een dossier die ik zeker in de gaten blijf houden. Voor nieuwsartikelen of wetenschappelijk artikelen hierover houd ik mij aanbevolen.

== update ==

Het blijkt dat er al eerder onderzoek is gedaan naar de mogelijkheden tot het aanpakken van kinderporno op basis van bestuurlijke handhaving (.pdf). Het rapport komt op mij over als een praktisch en meer technisch georiënteerd rapport (niet super juridisch in ieder geval (hier is een juridisch advies van AKD te vinden)). Volgens het rapport kent bestuursdwang vele voordelen, zoals een mogelijk snellere rechtsgang en meer handelingsmogelijkheden. In de praktijk wordt bestuursdwang gezien als een middel om de resterende kleine groep ‘bad hosters’ aan te pakken. Dienstverleners die nu meewerken in de zelfregulering geven aan dat invoering van bestuursdwang voor deze groep weinig verandert, maar wel aanvullend ‘juridisch risico’ met zich meebrengt.

Maar “toch plaatsten veel respondenten vraagtekens bij de keuze voor bestuursdwang”. Zo zou het nemen van de eerste stap: het identificeren van de Nederlandse partij die onderwerp van bestuursdwang wordt, lastig zijn. Bestuursdwang is niet toe te passen op buitenlandse partijen en medeplichtigheid/medeverantwoordelijkheid is lastig aan te tonen, want partijen beroepen zich op het argument dat ze niet (kunnen/willen) weten wat er op hun infrastructuur gebeurt.

Ten slotte wordt in het rapport ook wel gewaarschuwd over een mogelijke precedentwerking als bestuursrechtelijk wordt gehandhaafd. Mogelijk wordt het instrument dan toegepast bij zaken als online kansspelen en online haatzaaiien (waar de verwijdering van terroristische content natuurlijk dicht bij staat). De weg via strafvordering zou volgens de auteurs op het rapport niet werken vanwege organisatorische problemen bij justitie/rechtbanken in verband met capaciteit voor het toestemming geven van het verwijderen van informatie.

Cybercrime jurisprudentieoverzicht december 2020

Een Facebook account is geen ‘geautomatiseerd werk’

Het Hof Den Haag heeft op 22 september 2020 een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2005) voor belaging, maar vrijgesproken van computerbreuk. Een ‘Facebookaccount’ kan niet worden aangemerkt als een geautomatiseerd werk in de zin van artikel 80sexies Sr; een webserver die de opslag van gegevens en de verwerking van gegevens verzorgen voor een account is dat mogelijk wel. De webserver behoort niet toe aan het slachtoffer, maar is in eigendom van Facebook. Het OM moet bewijzen dat de verdachte is binnengedrongen in de webserver. In deze zaak kon alleen bewezen worden dat de beveiligingsvraag door de verdachte was gewijzigd. De verdachte heeft verklaard dat vervolgens het account werd geblokkeerd en zij niet verder heeft geprobeerd toegang te krijgen tot de gegevens. Het OM heeft daarom niet bewezen dat de verdachte daadwerkelijk toegang heeft verschaft tot afgeschermde gegevens in het Facebook-account van het slachtoffer en daarmee computervredebreuk heeft gepleegd.

Wel was er sprake van het delict belaging (artikel 285 lid 1 Sr). Daarvoor is volgens vaste jurisprudentie (HR 29 juni 2004, ECLI:NL:HR:2004:AO5710 en HR 4 november 2014, ECLI:NL:HR:2014:3095) van belang: de aard, de duur, de frequentie en de intensiteit van de gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer.

Kortgezegd heeft de verdachte diverse Facebook-, Twitter- en Instagram-accounts aangemaakt op naam van het slachtoffer. Op deze accounts en websites heeft de verdachte gedurende een periode van ruim drie maanden een liefdesverklaring geplaatst en foto’s en persoonlijke gegevens van de aangeefster gepubliceerd. Deze verklaringen op de accounts heeft het persoonlijke leven in sterke mate negatief beïnvloed. Volgens het Hof was er ook sprake van belaging bij een tweede slachtoffer.

De verdachte krijgt een voorwaardelijke gevangenisstraf opgelegd van drie maanden met een proeftijd van twee jaar en 120 uur taakstraf.

Bitcoins als ‘voorwerp’ en waardebepaling

Het Hof Den Haag heeft op 22 september 2020 een interessant arrest (ECLI:NL:GHDHA:2020:1804) gewezen over de inbeslagname van bitcoins. Voor het eerst oordeelt een rechtsinstantie dat bitcoins, vanwege hun eigenschappen, strafrechtelijk moeten worden gezien als voorwerp gekwalificeerd en daarmee ook vatbaar zij voor inbeslagname. Het hof overweegt dat ‘bitcoins voor menselijke beheersing vatbare objecten zijn met een reële waarde in het economische verkeer die voor overdracht vatbaar zijn. Er kan met bitcoins worden betaald. De feitelijke en exclusieve heerschappij ligt bij degene die toegang heeft tot een wallet en wordt verloren bij een succesvolle transactie naar een andere wallet. Bitcoins zijn bovendien individueel bepaalbaar: van iedere bitcoin wordt het ontstaan en iedere transactie die ermee wordt uitgevoerd, in de blockchain bijgehouden’. Daarom is het hof van oordeel dat bitcoins, vanwege deze eigenschappen, strafrechtelijk gezien als voorwerp gekwalificeerd kunnen worden. Dat is van belang vanwege bepaalde delictsomschrijven waarvan van een ‘voorwerp’ wordt gesproken en voor de strafvordelijke consequenties bij en na de inbeslagname van bitcoins.

De verdachte heeft ongeveer twee jaar lang als ‘cash trader’ gehandeld in bitcoins door (via internet) bezitters van bitcoins aan te bieden hun bitcoins om te zetten in contant geld. De verdachte en medeverdachten worden verweten een totaalbedrag van € 11.690.267,85 (!) te hebben witgewassen. De verdachte verkocht de verkregen bitcoins vervolgens aan cryptocurrency uitwisselingskantoren (‘exchanges’) als ‘Kraken’ of ‘Bitstamp’. Deze bedrijven betaalden de verdachte uit op bankrekeningen op zijn eigen naam en die van anderen. De identiteit van zijn klanten heeft de verdachte niet vastgesteld en hij hield geen administratie bij van zijn klanten. De verdachte hield slechts bij op welke datum hij een transactie heeft uitgevoerd, om welk bedrag het ging en de netto winst van die transactie in procenten uitgedrukt.

De verdachte hanteerde een hoog commissiepercentage, sprak af op openbare plekken en het ging veelal om grote bedragen. De gedragingen van verdachte voldoen hierdoor aan meerdere onderdelen van de in 2017 door de FIU opgemaakte ‘Witwastypologieën virtuele betaalmiddelen’. Van de verdachte mag worden verlangd dat hij een concrete, verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft dat het voorwerp niet van misdrijf afkomstig is.

De door de verdachte gegeven verklaring kan niet worden aangemerkt als een dergelijke verklaring voor de niet-criminele herkomst van het geld. Die verklaring en de overgelegde stukken bieden geen reëel tegenwicht aan het vermoeden van witwassen. Het hof is van oordeel dat de bitcoins en de geldbedragen uit misdrijf afkomstig waren en dat verdachte wist van de illegale herkomst. Gelet op de periode van bijna twee jaren, de hoogte van het totaalbedrag en de bedrijfsmatige handelswijze is het hof van oordeel dat verdachte van het witwassen een gewoonte heeft gemaakt. De verdachte krijgt een gevangenisstraf opgelegd van 43 maanden.

De rechtbank Rotterdam heeft op 23 oktober 2020 eveneens een interessante uitspraak (ECLI:NL:RBROT:2020:10073) gepubliceerd. In deze zaak werd de verdachte en medeverdachten verweten een bedrag van 16 miljoen euro te hebben witgewassen. De verdachte bood via internet bezitters van bitcoins aan om hun bitcoins om te zetten in contant geld. De klanten maakten bitcoins over naar één van de wallets van verdachte en/of aan hem gelieerde bedrijven en kregen vervolgens direct de tegenwaarde van deze bitcoins verminderd met een commissiepercentage contant uitbetaald. Daarbij hanteerde verdachte in vergelijking met reguliere bitcoin uitwisselingskantoren een ongewoon hoge commissie in van tussen 9,5%-15%, terwijl tussen 1-3% gebruikelijk is. De verdachte is veroordeeld tot een gevangenisstraf van 30 maanden, waarvan een half jaar voorwaardelijk.

De rechtbank verklaart 1488 bitcoins verbeurd waar geen beslag op lag. Het Openbaar Ministerie had geen beslag kunnen leggen op de bitcoins, omdat de ‘public key’ waarmee toegang kon worden verkregen tot de bitcoinadressen in de bitcoinwallets van verdachte versleuteld was en verdachte de ontsleuteling daarvan niet had prijsgegeven. Niettemin stelt de rechtbank vast dat de bitcoins zich ten tijde van de uitspraak nog in de bitcoinwallets bevonden. Bij die stand van zaken houdt de rechtbank aan dat de bitcoins in strafrechtelijke zin aan de verdachte toebehoren. De verdachte wordt de keuze gelaten het OM de volledige beschikkingsmacht over deze specifieke bitcoins te verschaffen, of de koerswaarde te betalen zoals deze heeft gegolden op de datum van de uitspraak, te vervangen door 12 maanden vervangende hechtenis.

Ontucht zonder lichamelijk contact

De Hoge Raad heeft op 27 oktober 2020 een belangrijk arrest (ECLI:NL:HR:2020:1675) gewezen over ontucht op afstand. De zaak gaat over een verdachte die via Instagram contact gehad met een meisje van destijds 13 jaar, waarbij hij zich voordeed als een jongen van 17 jaar. Het slachtoffer heeft verklaard dat verdachte naaktfoto’s van haar wilde. De verdachte is zelf begonnen met het versturen van naaktfoto’s. In eerste instantie durfde en wilde het slachtoffer geen naaktfoto’s (te) versturen, maar de verdachte heeft haar daartoe later toch overgehaald. Vervolgens stuurde het slachtoffer via WhatsApp twee thuis gemaakte naaktfoto’s en een op vakantie gemaakte naaktfoto aan verdachte. Deze foto’s zijn daadwerkelijk aangetroffen op de telefoon van verdachte.

Het hof overweegt onder verwijzing naar HR 30 november 2004, ECLI:NL:HR:2004:AQ0950 dat hoewel uit de bewijsmiddelen niet blijkt van lichamelijk contact tussen verdachte en het slachtoffer, niettemin sprake is geweest van enige voor het plegen van ontucht met het minderjarige slachtoffer. De Hoge Raad stelt in reactie voorop dat van het plegen van ontuchtige handelen met iemand beneden de leeftijd van zestien jaren ook sprake kan zijn als geen lichamelijke aanraking tussen de dader en het slachtoffer heeft plaatsgevonden. Of de gedraging(en) van de dader, al dan niet in onderlinge samenhang bezien, het plegen van ontuchtige handelingen met het slachtoffer opleveren, hangt af van de omstandigheden van het geval. Daarbij is in het bijzonder relevant in hoeverre tussen de dader en het slachtoffer enige voor het plegen of dulden van ontucht relevante interactie heeft plaatsgevonden. Daarvan zal slechts sprake kunnen zijn in uitzonderlijke gevallen.

De Hoge Raad is van oordeel dat de bewezenverklaring van het hof voor wat betreft het onderdeel ontuchtige handelingen plegen ‘met’ het slachtoffer ontoereikend is gemotiveerd. Daarbij acht de Hoge Raad mede relevant dat uit de vaststellingen van het hof niet kan worden afgeleid dat verdachte enige concrete bemoeienis heeft gehad met de wijze waarop het slachtoffer zijn verzoek om het toesturen van naaktfoto’s uitvoerde. Uit de bewijsvoering blijkt evenmin op andere wijze dat sprake zou zijn geweest van ontucht ‘met’ iemand.

Arrest gerelateerd aan Hansa Market operatie

Op 22 oktober 2020 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2065) voor medeplichtigheid aan handel in harddrugs (heroïne en cocaïne) en schuldig gemaakt aan het telen van hennep samen met de medeverdachte. De verdachte heeft haar telefoon en computer aan de medeverdachte beschikbaar gemaakt ten behoeve van drugshandel op de darknet market ‘Hansa Market’. Zij krijgt een 120 uur taakstraf opgelegd met twee jaar proeftijd.

De verdediging voert aan dat geen sprake is van een vorm van medeplegen voor de handel in drugs zoals ten laste gelegd, maar sprake is van medeplichtigheid. In overweging van het verweer herhaalt het Hof Den Haag dat voor medeplegen bewezenverklaard moet worden dat sprake is geweest van een voldoende nauwe en bewuste samenwerking bij het plegen van het strafbare feit. Ook als het tenlastegelegde medeplegen in de kern niet bestaat uit een gezamenlijke uitvoering tijdens het begaan van het strafbare feit, maar uit gedragingen die doorgaans met medeplichtigheid in verband plegen te worden gebracht, kan daarvan sprake zijn. Bij de beoordeling of daarvan sprake is, kan rekening worden gehouden met onder meer de intensiteit van de samenwerking, de onderlinge taakverdeling, de rol in de voorbereiding, de uitvoering of de afhandeling van het delict en het belang van de rol van de verdachte, diens aanwezigheid op belangrijke momenten en het zich niet terugtrekken op een daartoe geëigend tijdstip.

Het Hof spreekt de verdachte vrij van medeplegen, omdat uit het dossier niet blijkt dat de verdachte de accounts heeft gemaakt waarmee is gehandeld op Hansa Market. Uit het dossier blijkt evenmin dat zij de enveloppen heeft verzonden. Voorts is op grond van het dossier geen taakverdeling vast te stellen tussen de verdachte en haar toenmalige partner en kan niet worden bewezen of er sprake is geweest van een afgesproken, laat staan een gewichtige, rol. Wel wordt medeplichtigheid bewezen geacht.

Opvallend is dat het Hof de raadsvrouw heeft gevraagd of zij eventueel verweer wilt voeren op eventuele vormverzuimen bij de Hansa-operatie (zie hierover ook: Rb. Rotterdam 3 juli 2019, ECLI:NL:RBROT:2019:5339, Computerrecht 2019/178, m.nt. J.J. Oerlemans). De raadvrouw geeft aan hier geen verweer op te voeren. Het Hof ziet ook geen aanleiding ambtshalve in te gaan op eventuele vormverzuimen. Het verzoek tot teruggave van persoonlijke foto’s op de inbeslaggenomen laptop is volgens het Hof ten slotte onvoldoende gemotiveerd.

Veroordeling voor grootschalige phishing met malware

Op 19 november 2020 heeft de Rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2020:5038) voor de stevige gevangenisstraf van vier jaar voor computervredebreuk, oplichting, diefstal door middel van een valse sleutel, (gewoonte)witwassen en heling.

De verdachte en zijn medeverdachten achterhaalden met behulp van phishing-mails bankgegevens van meer dan zestig klanten van verschillende banken. Vervolgens bewogen zij een aantal van hen om geld over te maken. Hierbij maakten verdachte en zijn medeverdachten meer dan €480.000 buit. De zaak kwam aan het rollen door aangiftes van diverse banken in 2018, waaronder de Volksbank (SNS) en de ING bank. Vervolgens heeft een onderzoek plaatsgevonden naar verspreiders van e-mails met malware. Met die malware werden inloggegevens van internetbankieren van klanten achterhaald, waarmee vervolgens een nieuwe simkaart dan wel ‘digipas’ werd aangevraagd. Met die nieuwe simkaart dan wel digipas kon de fraudeur vervolgens geld overboeken vanaf de bankrekening van het slachtoffer naar bankrekeningen van zogenaamde katvangers. Een IP-adres dat is gebruikt bij deze frauduleuze transacties was aangesloten op het woonadres van verdachte. Op die manier is de naam van verdachte in dit onderzoek naar voren gekomen.

De werkwijze was iedere keer ongeveer hetzelfde: rekeninghouders vernamen via e-mail dat er een dreiging was rondom hun bankrekening. Door op de link in de e-mail te klikken, konden de verdachten de inloggegevens achterhalen. Vervolgens nam één van de verdachten telefonisch contact op met de rekeninghouders en wist hen te overtuigen om het geld over te boeken naar een ‘veilige rekening’. In werkelijkheid verdween het geld naar een rekening van een zogenaamde katvanger en werd dit direct opgenomen en/of omgezet in bitcoins. In totaal werden ruim 50 mensen slachtoffer van de acties van verdachten.

De verdachte in deze zaak had een bepalende rol bij het daadwerkelijk binnendringen in de geautomatiseerde werken, de digitale bankomgeving van de rekeninghouders. Hij logde in op de bankaccounts van de slachtoffers en gaf de bankgegevens aan zijn medeverdachte. Deze medeverdachte zocht vervolgens telefonisch contact op met de rekeninghouders en overtuigde de rekeninghouders tijdens de telefoongesprekken om ook echt geld over te maken.

Over het opsporingsonderzoek en de bewijsvoering is het volgende nog interessant te vermelden: uit onderzoek bleek dat de frauduleuze inloggegevens die sinds januari 2019 op de ING accounts plaatsvonden, vaak konden worden gekoppeld aan een IP-adres. Dit IP-adres bleek bij een netwerk van een hotel te behoren (red.: in de uitspraak staat: ‘dit bleek het IP-adres van een hotel te zijn’). Op 21 februari 2019 is dit aan de politie gemeld. Op 24 februari 2019 werd opnieuw door de ING bank vastgesteld dat werd ingelogd bij rekeninghouders van de ING bank vanaf het IP-adres van het hotel. Dezelfde dag zijn in het hotel de verdachte en de medeverdachte aangehouden. In hun hotelkamer werden digitale sporendragers aangetroffen en inbeslaggenomen, die in verband konden worden gebracht met computervredebreuk, oplichting, diefstal van geld en/of witwassen.

Ook de overwegingen over de opgelegde schadevergoeding maatregel zijn interessant. De verdachte moet onder andere € 154.580,73 schadevergoeding betalen aan de ING en een bedrag van €158.942,- aan de Rabobank. De rechtbank overweegt dat de banken kosten vorderen die zijn gemaakt om de schade van die personen te vergoeden die slachtoffer zijn geworden van oplichting. De banken zijn niet verplicht deze kosten te vergoeden, maar hebben vanuit een zorgplicht dan wel uit coulance gedaan. De rechtbank acht het wenselijk dat banken dit ook in de toekomst blijven doen.

Grenzen stellen aan datahonger

Gisteren (16 november 2020) mocht ik mijn oratie houden getiteld: ‘Grenzen stellen aan datahonger. De bescherming van de nationale veiligheid in een democratische rechtsstaat’ (.pdf). Die ochtend kreeg mijn oratie ook de aandacht in een mooi bericht van de Volkskrant, waarin mijn pleidooi wordt beschreven voor een aanpassing van de informantenbevoegdheid. Daarbij stel ik dat de huidige regeling voor de informantenbevoegdheid onvoorzienbaar is en met onvoldoende waarborgen is omkleed, voor zover het gaat om het verzamelen van bulkdatasets.

Verder leg ik mijn oratie uit hoe de Wet op de inlichtingen- en veiligheidsdiensten in de loop der jaren is ontwikkeld en steeds complexer is geworden. Ik vind het goed dat de Commissie-Jones-Bos in hun evaluatie van Wiv 2017 ook aandacht hebben voor de vraag of de wet voldoende werkbaar is en wat er mogelijk gewijzigd moet worden om het werkbaar te houden. Tegelijkertijd blijf ik de komende vijf jaar dat ik mijn leerstoel mag bekleden scherp op eventuele uitbreidingen van bevoegdheden van de AIVD en de MIVD.

Ten slotte maak ik duidelijk dat mijn onderzoek zich ook richt op het verwerken van inlichtingen door andere instanties, zoals de politie, de NCTV, de FIOD en particulieren. Daar heb ik uiteraard ook de hulp van andere onderzoekers en auteurs bij nodig. Ik kijk er naar uit de komende jaren mijn bijdrage te leveren op het gebied van ‘Inlichtingen en Recht’.

Basisboek Cybercriminaliteit

In het najaar van 2019 staken enkele criminologiedocenten hun koppen bij elkaar en vatten het plan op een boek te schrijven over cybercriminaliteit ten behoeve van het onderwijs. Dat leidde uiteindelijk tot het Basisboek Cybercriminaliteit van Wytske van der Wagen, Marleen Weulen Kranenbarg en mijzelf. Ook hebben enkele andere auteurs aan het boek meegewerkt en vanuit hun eigen expertise een mooie bijdrage geleverd. Het boek is vanaf 29 oktober 2020 verkrijgbaar via de website van Boom Uitgevers (met hoofdstuk 1 als voorproefje) of te bestellen via bol.com (37,50 euro).

In ons onderwijs over Cybercriminaliteit merkten we dat steeds een samenraapsel van artikelen en andere stukken bij elkaar moesten zoeken. Een samenhangend, actueel en overzichtelijk verhaal ontbrak. Dat is voor ons het motief geweest dit boek te schrijven. Het boek (300+ pagina’s) biedt inzicht in de verschillende verschijningsvormen en kenmerken van cybercriminaliteit, strafbaarstellingen, daders, slachtoffers, onderzoeksmethoden voor het online domein, het opsporingsproces en mogelijke interventies.

Persoonlijk ben ik in mijn nopjes over het eindresultaat! Het boek verschaft een uitstekend overzicht van de wetenschappelijke kennis op criminologische en juridisch gebied over cybercriminaliteit. Hoofdstuk 3 en Hoofdstuk 7 – die ik zelf hoofdzakelijk heb geschreven (ook op basis van eerder werk) – verschijnen beiden over één jaar in open access.

De combinatie van (inleiding van) techniek, criminologie en rechten werkt heel goed en ik ga het zeker gebruiken in mijn eigen (gast)colleges en cursussen. Verder wordt het in ieder geval dit jaar al gebruikt voor onderwijs op verschillende universiteiten, zoals de Erasmus Universiteit, de Vrije Universiteit Amsterdam en de Universiteit Leiden. Ik ga het uiteraard ook promoten bij mijn collega’s aan de Universiteit Utrecht.

Feedback is altijd welkom, dus jullie kunnen mij daarover altijd mailen. Wie weet verschijnt er t.z.t. wel een tweede druk!

Annotatie OV-chipkaart zaak

In het tijdschrift Computerrecht is recent mijn annotatie verschenen over de ‘OV-chipkaart’-zaak (ECLI:NL:RBMNE:2020:2277). De annotatie is hier te downloaden (.pdf).

Inleiding

Een ‘OV-chipkaart’ is een persoonsgebonden of anonieme kaart waarmee personen in Nederland kunnen reizen met het openbaar vervoer (zoals de trein, bus en tram). Op een persoonsgebonden OV-chipkaart staat een pasfoto, naam en geboortedatum vermeld. Het biedt als voordeel met kortingsproducten te reizen. Deze persoonsgegevens staan niet vermeld op een anonieme OV-chipkaart. Met een anonieme OV-chipkaart wordt op een vooraf opgeladen bedrag (saldo) gereisd. De OV-chipkaart bevat een bepaalde chip (de ‘Mifare Classic’ chip) en heeft een ‘Near Field Communication’ (NFC) functionaliteit, waardoor de gegevens op de chip eenvoudig en contactloos door een poortje kunnen worden uitgelezen. In de eerste helft van 2019 waren er in Nederland 7,46 miljoen persoonlijke OV-chipkaarten in omloop en 7,36 miljoen anonieme OV-chipkaarten (Kamerstukken II 2019/20, 23645, nr. 713 (Voortgangsrapportage NOVB eerste helft 2019)).

De verleiding voor hackers om een OV-chipkaart te hacken en daardoor gratis te reizen is blijkbaar groot. Sinds de eerste proeven met een OV-chipkaart in Nederland en de landelijke invoering van OV-chipkaart in 2012 zijn er op www.rechtspraak.nl vier uitspraken verschenen over computervredebreuk en OV-chipkaarten (ECLI:NL:RBROT:2013:9579, ECLI:NL:GHDHA:2015:1427, ECLI:NL:RBROT:2019:1101, ECLI:NL:GHDHA:2019:2426). Daarnaast wordt er ook serieus wetenschappelijk onderzoek uitgevoerd naar de veiligheid van de ‘Mifare Classic-chip’ in de OV-chipkaarten en komen om de zoveel tijd berichten naar buiten over kwetsbaarheden in die chip. De onderhavige zaak springt er vergeleken met de andere zaken over gehackte OV-chipkaarten uit, vanwege de lange duur dat de twee verdachten gratis konden (zwart)reizen en de hoogte van de toegewezen vordering.

De feiten

De werkwijze van de verdachte en de medeverdachte bestond onder meer uit het plaatsen van de OV-chipkaart op de NFC-kaartlezer en het met een script een ‘brute force’ aanval op de OV-chipkaart uitvoeren totdat de sleutel (‘key’) is achterhaald. Met de key kon toegang worden verschaft tot de OV-chipkaart, waarna het saldo kon worden veranderd. Voor het veranderen van het saldo werd het programma ‘OVChipAppV6’ gebruikt (Zie voor een meer gedetailleerde uitleg de BNR-podcast ‘Onderzoeksraad der dingen’, dossier #0010b: zwartrijden).

Veroordeling

Beide verdachten zijn veroordeeld voor computervredebreuk, valsheid in geschrifte met betaalpassen en voorhanden hebben van gegevens om valsheid in geschrifte te plegen. In deze zaak wordt voor het eerst wordt vervolgd voor het vervalsen van een OV-chipkaart als zijnde een ‘waardekaart’ (artikel 232 Wetboek van Strafrecht (‘Sr’)). Hoewel het vervalsen van betaalpassen of waardekaarten mogelijk ook onder het delict valsheid in geschrifte valt, heeft de wetgever met de Wet computercriminaliteit I in 1993 ervoor gekozen om hiervoor een aparte strafbepaling in het leven te roepen. Net als bij valsheid in geschrifte is ook het opzettelijk gebruiken, het opzettelijk afleveren of voorhanden hebben van een valse pas of kaart strafbaar (lid 2) (zie ook B.J. Koops & J.J. Oerlemans, ‘Materieel strafrecht & ICT’, p. 79-80 in: B.J. Koops & J.J. Oerlemans, Strafrecht & ICT, Monografieën recht en informatietechnologie, 3e druk, Den Haag: Sdu 2019).

In de uitspraak wordt verder niet ingegaan op het delict computervredebreuk (artikel 138ab Sr). Het Hof Den Haag legt in een eerder arrest (ECLI:NL:GHDHA:2015:1427) uit dat in feite computervredebreuk wordt gepleegd op de NFC chip op de OV-chipkaart, nu deze chip bestemd is (en de technische mogelijkheden heeft) om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

De chip is met andere woorden het ‘geautomatiseerde werk’ in juridische zin (artikel 80sexies Sr), waarop opzettelijk en wederrechtelijk wordt binnengedrongen. (Het begrip is overigens met de Wet computercriminaliteit III als volgt gewijzigd:

“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.”

De chip kwalificeert ook nu als geautomatiseerd werk, evenals de paaltjes waarbij men moet in- en uitchecken en de achterliggende IT-infrastructuur).

Verweer

De verdediging voert aan dat de verdachten slechts uit nieuwsgierigheid hebben gehandeld, waardoor het oogmerk op financieel gewin zou ontbreken. De rechtbank gaat hier niet in mee, omdat de verdachten hebben bekend dat zij veelvuldig het saldo van OV-chipkaarten “valselijk” hebben opgeladen. De verdediging voert ook aan dat slechts bestaande software zou zijn doorontwikkeld en niet is ‘vervaardigd’ in juridische zin. De rechtbank verwerpt dit verweer, omdat het een ‘feit van algemene bekendheid’ zou zijn dat nieuwe computerprogramma’s veelvuldig zijn gestoeld op een basis van reeds ontwikkelde software. Hierdoor ontstaat nieuwe software, waardoor wel degelijk sprake zou zijn van vervaardiging van software, zoals ten laste is gelegd.

Het openbaar ministerie kon de verdachten mogelijk ook vervolgen voor het ‘voorhanden hebben van een technisch middel of toegangscode met het oogmerk computervredebreuk te plegen’ (artikel 139d lid 2 Sr). In een meer recent arrest legt het Hof Den Haag verder uit dat een kaartlezer waarmee saldo kan worden verhoogd niet zonder meer kwalificeert als een technisch hulpmiddel in de zin van artikel 139d Sr. Het hof overweegt kortgezegd dat de kaartlezer een vrij verkrijgbaar elektronisch apparaat is, dat doorgaans wordt gebruikt voor het uitlezen en beschrijven van (onder meer) NFC-chips. Niet blijkt uit de inrichting of de eigenschappen van de kaartschrijver/kaartlezer dat de producent heeft bedoeld een hulpmiddel te produceren dat hoofdzakelijk is ontworpen voor het begaan van delicten als computervredebreuk. De software waarmee OV-chipkaarten kunnen worden gemanipuleerd zijn wél te beschouwen als ‘technisch hulpmiddel’ in de zin van artikel 139d Sr. Het hof overweegt dat deze software immers specifiek is ontworpen om binnen te dringen in OV-chipkaarten, teneinde het saldo op OV-chipkaarten aan te kunnen passen en daarmee het plegen van computervredebreuk.

Schade

De verdachten hebben ongeveer 1,5 jaar lang gratis gereisd op eigen anonieme OV-chipkaarten. Translink Systems heeft zich als benadeelde partij in het geding gevoegd en vordert een bedrag van €68.913,73 als materiële schade die zij hebben geleden. Dit schadebedrag is veel hoger dan in voorgaande zaken over het hacken van OV-chipkaarten om gratis te reizen. De rechtbank concludeert dat de schadeberekening van aangeefster niet inzichtelijk is en een aantal fouten bevat en daarom een eigen berekening moet maken. Het bedrag van de schade ziet op het woon-werkverkeer van de verdachten. Bij het berekenen van het bedrag houdt de rechtbank rekening met het gemiddeld aantal vakantiedagen van werknemers in Nederland en de verdachten ook wel eens thuiswerkten. Op basis van 333 dagen en de kosten voor een retourtje Utrecht-Alkmaar van € 28,00 euro komt de rechtbank op een bedrag van € 9.324,00. De medeverdachte heeft minder frequent gebruik gemaakt van de eigen anonieme OV-chipkaart en moet een schadevergoeding betalen van € 5.264,00. De rechtbank verklaart de vordering voor het overige niet-ontvankelijk, omdat deze onvoldoende is onderbouwd. Zo is het onduidelijk hoe het schadebedrag aan de hand van de gegevens uit de tabellen is berekend, zien de tabellen ook op OV-chipkaarten waarvan de keys niet op de computers van verdachte en medeverdachte zijn aangetroffen.

Opsporing

In nieuwsartikelen en podcasts die verschenen naar aanleiding van deze zaak komt ten slotte nog  interessante informatie over het opsporingsproces naar boven. Het blijkt behoorlijk lastig zijn dit soort OV-chipkaarthackers op te sporen als ze de encryptiesleutel kunnen achterhalen. Het begint met aangifte van Translink Systems: het bedrijf dat de OV-kaarten uitgeeft en transacties met de kaarten verwerkt. Translink verwerkt per jaar 3 miljard transacties. Dit bedrijf monitort ook de transacties en detecteert ongeregeldheden die mogelijk fraude betreffen. Na de aangifte zijn de verdachten met “ouderwets recherchewerk” door de politie geïdentificeerd.

De verdachten zijn geïdentificeerd met name door het bekijken van camerabeelden op de stations van NS op het moment dat een frauduleus aangemerkte transactie plaats heeft gevonden. Vervolgens zijn de verdachten naar verluid tot hun woning gevolgd en zijn NAW-gegevens opgevraagd. Daarna heeft de politie beide verdachten op heterdaad betrapt bij het inchecken bij een poortje met een gehackte OV-chipkaart na observatie bij een vast reispunt van de verdachte.

Tot slot

Als de software en middelen om OV-chipkaarten te hacken voor een breder publiek beschikbaar komen, kunnen we meer van dit soort zaken verwachten. De staatssecretaris van Infrastructuur en Waterstaat heeft in een Kamerbrief (.pdf) van 2 juli 2019 laten weten dat het de bedoeling is dat de OV-chipkaart in 2023 wordt uitgeschakeld. Met een nieuw systeem moet het betaalgemak groter worden, omdat dan ook met andere betaalmiddelen kan worden betaald, zoals een bankpas of mobiele telefoon. Ongetwijfeld zullen hackers dan ook weer hun best doen het systeem te kraken en gratis te reizen.  

Overzicht Inlichtingen en Recht – oktober 2020

In dit nieuwe overzicht over ‘Inlichtingen en recht’ wordt periodiek een overzicht gegeven van relevante rapporten, Kamerstukken en jurisprudentie over inlichtingen, nationale veiligheid en recht. Het doel is de kern van de stukken te vatten en op deze wijze de nodige kennis te verschaffen aan geïnteresseerden.

Deze klus doe ik samen Sophie Harleman. Zij is vanaf 1 september 2020 als promovenda door de Universiteit Utrecht aangesteld in het kader van mijn leerstoel ‘Inlichtingen en Recht’. Mr. S.A.M. Harleman is verbonden aan het Montaigne Centrum voor Rechtsstaat en Rechtspleging en het Willem Pompe Instituut voor Strafrechtwetenschappen van de Universiteit Utrecht.

Voortgangsrapportage IV over de implementatie Wiv 2017

In onderstaande blogpost ga ik (Sophie) in op de belangrijkste constateringen van de CTIVD in de laatste en vierde voortgangsrapportage over de Wiv 2017. De CTIVD concludeert dat de implementatie van de Wiv 2017 nog niet volledig is afgerond.

Een kernpunt van de rapportage is dat de CTIVD de achterstand in het implementatieproces van de Wiv 2017 te wijten acht aan onvoldoende aandacht voor de implementatie van de wet bij de totstandkoming. In hun beleidsreactie geven de ministers van BZK en Defensie aan het hiermee eens te zijn. Desalniettemin vinden zowel de ministers als de CTIVD dat de diensten een goede koers hebben ingezet. Een belangrijke rol speelt daarbij de verdere verankering van de zorgplicht op de kwaliteit van de gegevensverwerking. De AIVD heeft het zorgplichtstelsel volgens de CTIVD nu op orde, waardoor het risico voor die dienst wordt bijgesteld van beperkt naar geen. Voor de MIVD wordt het risico bijgesteld van gemiddeld naar beperkt. De diensten hebben volgens het rapport echter nog onvoldoende bereikt als het gaat om de vertaalslag van wet naar praktijk. Voor de speciale bevoegdheid van onderzoeksopdrachtgerichte interceptie (“OOG-I”) is de vertaalslag overigens niet te beoordelen, nu die bevoegdheid nog niet is ingezet.

Voor wat betreft de relevantiebeoordeling oordeelt de CTIVD dat een risico op onrechtmatigheden blijft bestaan door een grote vrijheid voor ontwikkelaars om op decentraal niveau oplossingen te zoeken en systemen in te richten. De kritiek van de CTIVD is niet onopgemerkt gebleven. Huib Modderkolk spreekt bijvoorbeeld van ‘zorgen bij de toezichthouder’.

Meer specifiek onderscheidt de CTIVD in de vierde en laatste voortgangsrapportage de volgende (knel)punten die nadere aandacht behoeven in het kader van de wetsevaluatie:

  • Datareductie

De CTIVD acht het in zijn geheel of grotendeels relevant beoordelen van bulkdatasets door de diensten onrechtmatig. De Wiv 2017 biedt hiervoor geen ruimte. De CTIVD is van mening dat de aard van de gegevensset doorslaggevend behoort te zijn. Bulkdatasets, ongeacht of deze zijn verkregen door OOG-I, vereisen in het licht daarvan bijzondere wettelijke waarborgen. In Toezichtsrapport 70 en 71 gaat de CTIVD verder in op het verzamelen van bulkdatasets met de hackbevoegdheid. Volgens de CTIVD is er sprake van een onrechtmatigheid bij het zo spoedig mogelijk beoordelen op relevantie van bulkdatasets. Er blijft een gemiddeld risico bestaan op onrechtmatig handelen voor de AIVD als het gaat om relevantiebeoordeling. De verdere risico’s blijven volgens de toezichthouder beperkt. Voor de MIVD geldt een hoog risico voor de wijze waarop onomkeerbare vernietiging plaatsvindt. Het risico m.b.t. de relevantiebeoordeling wordt verlaagd van hoog naar gemiddeld. Wat betreft het relevantiebegrip en de termijn stelt de CTIVD het risico voor de MIVD vast op beperkt.  Opvallend is dat de ministers van BZK en Defensie het oordeel van de CTIVD dat de relevantiebeoordeling van bulkdatasets onrechtmatig is uitgevoerd, niet delen. Het is daarom goed, aldus de beleidsreactie van de ministers, dat de evaluatiecommissie dit onderwerp betrekt bij de evaluatie van de Wiv 2017.

  • Geautomatiseerde data-analyse (GDA)

Ook bij geautomatiseerde data-analyse verloopt het implementatieproces volgens de CTIVD moeizaam. De algemene bevoegdheid van GDA (neergelegd in artikel 60 Wiv 2017) kan zonder waarborgen toegepast worden op het verzamelen of verkrijgen van bulkdatasets met toepassing van andere bevoegdheden dan OOG-I. De toezichthouder vindt dat een onderscheid naar eenvoudige of complexe vormen van GDA niet leidend mag zijn. Ook acht de CTIVD van belang dat de geautomatiseerde analyse van metadata (m.u.v. OOG-I) in de Wiv 2017 niet met aanvullende waarborgen is omgeven, terwijl uit jurisprudentie van het EHRM en van het HvJ EU blijkt dat metadata-analyse een zwaarwegende inmenging op het recht op privacy inhoudt (respectievelijk uit Big Brother Watch e.a. en Tele2 Sverige AB/Watson). Voldoende waarborgen zijn daarbij dus wel degelijk nodig. Desalniettemin verlaagt de CTIVD het risico voor GDA-60 van hoog naar gemiddeld. Het risico voor GDA-50 blijft op gemiddeld staan.

  • Internationale samenwerking

De toezichthouder vindt de niet-afgeronde inhoudelijke aanpassing van wegingsnotities (een schriftelijke verantwoording van een beslissing tot samenwerking met buitenlandse diensten) in combinatie met onverminderde samenwerking met buitenlandse diensten risicovol. Daarnaast onderscheidt de CTIVD een belangrijk zorgpunt bij het delen van bulkdatasets met buitenlandse diensten, gezien het gebruik van een ruimere toepassing van de reeds genoemde relevantiebeoordeling. In dit licht behoeft de definiëring van de begrippen ‘geëvalueerde’ en ‘ongeëvalueerde’ nadere aandacht bij de wetsevaluatie.

De CTIVD sluit af met de opmerking dat zij met deze rapportage een bijdrage wil leveren aan de wetsevaluatie, en dat zij onderwerpen die relevant zijn voor de evaluatie ook buiten deze rapportage zal aandragen bij de evaluatiecommissie.

Sophie Harleman

CTIVD-rapport over de hackbevoegdheid

De CTIVD heeft op 22 september 2020 twee toezichtsrapporten gepubliceerd. Rapport nr. 70 gaat over het verzamelen van bulkdatasets met de hackbevoegdheid door de AIVD en de MIVD. Rapport nr. 71 gaat over het verzamelen en verder verwerken van passagiersgegevens van luchtvaartmaatschappijen door de AIVD en MIVD. Bulkdatasets zijn gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De belangrijkste conclusies van het rapport ver de hackbevoegdheid zijn dat van de zestien onderzochte operaties, in drie van de door de AIVD aangevraagde operaties gegevens zijn verzameld nadat een toestemmingsverzoek door de Toetsingscommissie Inzet Bevoegdheden (TIB) is afgewezen. Dit is onrechtmatig. Snel na deze constatering zijn de datasets door de AIVD vernietigd. Veel dingen gingen goed, zoals het opruimen van de ‘technische hulpmiddelen’ in de systemen en het (voor zover mogelijk) aantekening houden door de gezamenlijke uitvoerende afdeling ‘Computer Network Exploitation’ (CNE).

De CTIVD constateert ook dat de toets in art. 27 Wiv 2017 – dat gegevens zo spoedig mogelijk op relevantie moeten worden beoordeeld – in de praktijk niet goed uitvoerbaar is. De diensten hebben in de onderzoeksperiode in een aantal gevallen bulkdatasets gedeeltelijk of integraal relevant verklaard, ondanks dat het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden. De CTIVD geeft aan dat door deze handeling de gegevens nu ‘in het betekenisregime zitten’ zonder definitieve vernietigingstermijn. De CTIVD beschouwt deze wijze van relevantiebeoordeling als een ‘kunstgreep om de bewaartermijn van de datasets in kwestie te verlengen, het is immers onrechtmatig om datasets met voor het merendeel niet-relevante gegevens relevant te verklaren’.

In de beleidsreactie onderstrepen de beide ministers de noodzaak van het gebruik van bulkdatasets door de diensten. Hoewel hoogst ongebruikelijk, geven de ministers aan waarvoor de gegevens in de bulkdatasets gebruikt zijn: voor het onderkennen van locaties van Nederlandse uitreizigers in (voormalig) ISIS-gebied (onder andere van wie het Nederlanderschap is ingetrokken), voor onderzoek naar de inzet van ‘Improvised Explosive Devices’ (IED’s) tegen Nederlandse militairen, voor onderzoek van de vermoedelijke betrokkenheid van de Iraanse dienst bij liquidaties in Nederland en voor het vaststellen van de identiteit van de personen betrokken bij zenuwgasaanvallen in Syrië in 2016/2017.

Het is ook ongebruikelijk dat de ministers het oneens zijn met twee conclusies en aanbevelingen in het rapport. Het onrechtmatigheidsoordeel over de relevantieverklaring en het advies tot vernietiging over te gaan van bepaalde bulkdatasets wordt ‘niet opgevolgd’. Zij achten de vernietiging ‘onverantwoord’. In de tussentijd passen de AIVD en de MIVD interne aanvullende waarborgen toe, zoals een strikt autorisatieregime en herbeoordeling voor het bewaren van de gegevens.

Jan-Jaap Oerlemans

CTIVD-rapport over passagiersgegevens

Op 22 september 2020 heeft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) ook rapport nr. 71 over de verzameling en verdere verwerking van passagiersgegevens van luchtvaartmaatschappijen gepubliceerd. In de onderzoeksperiode van 1 januari 2019 tot 1 september 2019 stonden in de database van de AIVD de gegevens van miljoenen personen. Het betreft daarmee ook een bulkdataset; gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De ‘Advanced Passenger Information’-database wordt door de Koninklijke Marechaussee (Kmar) aangelegd na verstrekking van API-gegevens door luchtvaartmaatschappijen op grond van de EU-richtlijn 2004/82/EG (API-richtlijn). API-gegevens zijn bijvoorbeeld gegevens over nationaliteit, volledige naam, geboortedatum, geslacht, vluchtnummer en het eerste instappunt (zie ook Stb. 2012, 688). De KMar verwerkt de gegevens ten behoeve van haar eigen taaktuitvoering; de uitvoering van de grenscontrole. De AIVD verzamelt de API-gegevens van de KMar op ‘structurele en geautomatiseerde wijze’ op grond van een algemene bevoegdheid, in dit geval de informantenbevoegdheid (artikel 39 Wiv 2017). De gegevens worden bijvoorbeeld verwerkt in het kader van onderzoeken naar organisaties en personen die een bedreiging voor de nationale veiligheid vormen. Daarnaast worden de gegevens gebruikt in veiligheidsonderzoeken.

De CTIVD concludeert in het rapport dat de Wiv 2017 de ruimte geeft de bulkdataset aan passagiersgegevens structureel en geautomatiseerd te verzamelen met de informantenbevoegdheid. Ook mogen de gegevens verder worden verwerkt, onder andere door middel van ‘geautomatiseerde data-analyse’. Daarnaast zijn andere dingen onrechtmatig, zoals het niet-uitvoeren van een schriftelijke toets op noodzakelijkheid, proportionaliteit en subsidiariteit voor de verzameling van de gegevens en niet toepassen van het eigen beleid ‘Werken met grote datasets’ door de AIVD en de MIVD. Ook merkt de toezichthouder op dat de diensten toegang kunnen krijgen tot PNR-gegevens op basis van de PNR-richtlijn 2016/681/EU. Dat betreft een grotere set aan gegevens, omdat het vluchten binnen de EU betreft en – naast API-gegevens – gaat over gegevens over de reservering, contactgegevens, betaalgegevens en bagage-informatie.

Vanwege de grootte van de dataset vraagt de CTIVD in het rapport zich af of een dergelijke invulling van de informantenbevoegdheid voldoende voorzienbaar is voor de burger. De toezichthouder geeft mee in de Wet op de inlichtingen- en veiligheidsdiensten een specifieke regeling op te nemen voor het verzamelen en verder verwerken van bulkdatasets.

Jan-Jaap Oerlemans

Wetsvoorstel Zerodays

Het initiatiefvoorstel Zerodays van het lid Verhoeven is in behandeling bij de Tweede Kamer. Zerodays zijn fouten in software die nog onbekend zijn bij de maker van de software (de maker heeft nul dagen gehad om het gat te dichten). Deze zerodays kunnen gebruikt worden om de werking van de betreffende software te manipuleren, oftewel te hacken. De initiatiefnemer van het voorstel is van mening dat de huidige regeling rondom zerodays niet werkt. De Raad van State staat in haar advies overigens duidelijk negatief tegenover het wetsvoorstel.

Het wetsvoorstel is in juni 2020 gewijzigd. Er is met de wijziging een behandeltermijn van vier weken voor onbekende kwetsbaarheden ingevoegd. Ook moet het orgaan ter beoordeling van kwetsbaarheden informatie verzamelen over de potentiële gevolgen van het openhouden van een kwetsbaarheid voor de samenleving, alvorens een onbekende kwetsbaarheid te beoordelen. Op 23 september 2020 is het gewijzigde voorstel plenair behandeld. Door de leden Buitenweg en Middendorp zijn verscheidene moties ingediend. Op 13 oktober 2020 is de stemming over het wetsvoorstel voor de derde keer uitgesteld.

Op 12 oktober 2020 is een tweede nota van wijziging ingediend het lid Verhoeven, de initiatiefnemer. Hij is van mening dat het initiële voorstel om te voorzien in beoordelingsorgaan voor kwetsbaarheden, bestaande uit verschillende ministeries en organisaties, teveel weerstand oproept. De wijzigingsnota ziet dan ook op het weglaten van een dergelijk orgaan. Wel moet er voor alle overheidsorganen een goed afwegingskader komen voor de inzet van onbekende kwetsbaarheden. Ook mogen bedrijven waarvan de Nederlandse overheid hacksoftware koopt, volgens het initiatiefvoorstel geen zaken doen met landen die op de EU of VN sanctielijsten staan. Voor inlichtingendiensten geldt dat zij dit moeten meenemen in hun weging bij aankoop van dergelijke software.

Privacyorganisatie Bits of Freedom heeft zich overigens op Twitter al afgevraagd of de wijziging inhoudt dat de politie nu zelf de afweging kan maken omtrent zerodays, in plaats van dat een (semi-) onafhankelijk commissie dit doet. Ook het gewijzigde voorstel roept dus vast op verschillende fronten weerstand op. Het blijft voorlopig afwachten.

Sophie Harleman

Wijzigingswet Wiv 2017

Het wetsvoorstel ‘Wijzigingswet Wiv 2017’ is op 9 juni 2020 aangenomen in de Tweede Kamer. De wet betreft onder meer een wijziging ten aanzien van het gerichtheidsvereiste. Het gerichtheidsvereiste houdt volgens de memorie van toelichting op het wetsvoorstel in: ‘in hoeverre bij de verwerving sprake is van het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus’ (Kamerstukken II 2018/19, 35242, 3, p. 4-5). De te vergaren gegevens moeten daarbij worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object.

De gewijzigde Wiv 2017 biedt deze extra waarborg voor bescherming van fundamentele rechten, omdat het vereiste, door het toe te voegen aan artikel 26 Wiv 2017, gaat gelden voor alle bevoegdheden , in plaats van slechts voor de bijzondere bevoegdheden in de Wiv 2017. Ook ziet een wijziging op het delen van ongeëvalueerde gegevens met buitenlandse diensten. De meldplicht aan de CTIVD wordt uitgebreid tot elke verstrekking van ongeëvalueerde gegevens aan een buitenlandse dienst, ongeacht de bevoegdheid waarmee deze zijn verworven. Op 15 juli 2020 is het voorlopig verslag (.pdf) over het wetsvoorstel verschenen. De leden van de fractie van GroenLinks, PvdA, PV en PvdD hebben vragen gesteld over het wetsvoorstel. Hieronder bespreek ik (Sophie) kort enkele door de fractieleden opgeworpen vragen.

GroenLinks en de PvdA vragen zich af in hoeverre de regering meent dat zij met het wetsvoorstel tegemoetkomt aan de zorgen die blijken uit de uitslag van het referendum. Daarnaast vragen leden van de GroenLinks-fractie zich af op welke wijze de positie van journalisten, advocaten en medici in het wetsvoorstel is verbeterd n.a.v. de consultatiereacties en het advies van de Raad van State. De leden van de PVV-fractie is benieuwd of de regering kan duiden hoe er met dit voorstel precies tegemoet wordt gekomen aan de zorgen in de samenleving, onder andere over de bescherming van advocaten en journalisten.

Als het gaat over samenwerkingsverbanden met andere diensten, willen de leden van de GroenLinks-fractie graag weten of de wegingsnotitie en het afwegingskader dat daarbij hoort, gedeeld kan worden met de Eerste Kamer. Daarnaast hebben zij verdere vragen over de samenwerkingsverbanden en over de mogelijkheid van het verstrekken van ongeëvalueerde gegevens aan diensten van landen waarmee geen samenwerkingsrelatie bestaat (zoals is neergelegd in artikel 64 van de Wiv 2017). Een specifieke vraag van de fractie is bijvoorbeeld: Is het mogelijk dat data wordt gedeeld met diensten die gebruik maken van gezichtsherkenningstechnologie of technologie van Clearview AI? Ook stellen zij vragen over het vergaren van informatie buiten onderzoeksopdrachtgerichte intercepties en de toetsing daarvan. De leden van de PvdA-fractie en de PvdD-fractie zitten met soortgelijke vragen over de uitwisseling van geëvalueerde gegevens. Door de PvdD fractieleden wordt de vraag gesteld waarom in deze context de bescherming ten aanzien van verschoningsgerechtigden (journalisten en advocaten) niet explicieter is gemaakt.

De leden van de PVV-fractie stellen in deze context de opvallende vraag of de regering nader kan onderbouwen waarom het mogelijk niet kunnen verstrekken van ongeëvalueerde gegevens aan andere diensten überhaupt een onaanvaardbaar risico voor de nationale veiligheid zou zijn.

Wat betreft het gerichtheidscriterium stellen de leden van de PvdA-fractie de vraag of de regering voorziet dat het criterium ‘zo gericht mogelijk’ in de toekomst nog nader wordt gespecificeerd. Verder zijn de leden benieuwd welke juridische voorzieningen de regering treft om de ‘zo gericht mogelijke’ behandeling van door informanten verkregen bulkdata af te dwingen. De leden van de PvdD-fractie vragen zich af waarom het gerichtheidscriterium, niet in de wet is opgenomen. Tot slot hebben ook de leden van de PVV-fractie verscheidene vragen over de eisen die aan het gerichtheidscriterium worden gesteld.

Het is interessant te bezien hoe de regering in de memorie van antwoord op deze vragen in zal gaan. Na verschijning van de memorie van antwoord zal dit bericht geupdate worden.

Sophie Harleman

Uitspraken HvJ EU over dataretentie

Op 6 oktober 2020 heeft het Hof van Justitie van de Europese Unie (HvJ EU) verscheidene arresten gewezen over het in bulk verstrekken van communicatiegegevens aan inlichtingen- en veiligheidsdiensten. Het betreft de zaken Privacy International (C-623/17) en samengevoegde zaken La Quadrature du Net and Others (C-511/18), French Data Network and Others (C-512/18) en Ordre des barreaux francophones et germanophone and Others (C-520/18).

De afgelopen jaren heeft het Hof van Justitie van de Europese Unie zich in verscheidene zaken uitgesproken over het opslaan van en toegang tot persoonsgegevens op het gebied van elektronische communicatie. Een opvallende uitspraak van het Hof is de Tele2 Sverige (C-203/15) uitspraak, waarin het Hof besliste dat lidstaten niet van aanbieders van elektronische communicatienetwerken en – diensten (hierna: providers) konden verlangen op een ongerichte en algemene wijze verkeers- en locatiegegevens te bewaren (zogenoemde metadata). In de uitspraken van het Hof van 6 oktober 2020 speelt, net als in Tele2 Sverige, de Europese richtlijn betreffende privacy en elektronische communicatie (Richtlijn 2002/58/EG) een centrale rol. Deze richtlijn ziet specifiek op de verwerking van persoonsgegevens door elektronische communicatiediensten.

Het Hof beslist in Privacy International allereerst dat zowel nationale wetgeving die providers verplicht verkeers- en locatiegegevens vast te houden, als wetgeving die ze verplicht de gegevens te overhandigen aan de inlichtingen- en veiligheidsdiensten, onder de reikwijdte van de richtlijn valt (par. 49).

Vervolgens buigt het Hof zich over de vraag of de richtlijn nationale wetgeving uitsluit die een overheidsinstantie de mogelijkheid verschaft van providers te eisen dat zij algemene en ongerichte verkeers- en locatiegegevens overdragen aan de inlichtingen- en veiligheidsdiensten, als deze overdracht als doel heeft de nationale veiligheid te waarborgen. Deze vraag is van belang gelet op artikel 4, lid 2 van het Verdrag betreffende de Europese Unie, dat o.a. luidt: “Met name de nationale veiligheid blijft de uitsluitende verantwoordelijkheid van elke lidstaat.”

Verkeers- en locatiegegevens mogen volgens artikel 5 van de privacy en elektronische communicatierichtlijn niet zonder toestemming worden opgeslagen of verstrekt aan derden, ook niet aan inlichtingen- of veiligheidsdiensten. De uitzondering op deze regel is neergelegd in artikel 15, lid 1 van de richtlijn: het mag wel wanneer er sprake is van een noodzakelijke, subsidiaire en proportionele maatregel in een democratische samenleving, die als doel heeft de nationale veiligheid en openbare veiligheid te waarborgen, criminaliteit te voorkomen en te bestrijden, of misbruik van het elektronische communicatienetwerk tegen te gaan.

Het Hof benadrukt dat het waarborgen van nationale veiligheid als doel zwaarder weegt dan de andere doelen die in artikel 15 van de richtlijn geformuleerd zijn (par. 75). Het gaat bij nationale veiligheid met name om het beschermen van essentiële functies en fundamentele belangen van de staat en de maatschappij. Daarbij moet ook worden gedacht aan het voorkomen en bestraffen van ontwrichtende activiteiten, zoals terrorisme (het Hof verwijst hierbij naar par. 135 van La Quadrature du Net and Others en de gevoegde uitspraken).

Het Hof stelt vast dat er in onderhavige zaak sprake is van wetgeving die ongerichte en algemene toegang tot verkeers- en locatiegegevens mogelijk maakt. Ook als er geen bewijs bestaat dat personen iets te maken hebben met het gestelde doel de nationale veiligheid te waarborgen, kunnen hun verkeers- en locatiegegevens overgedragen worden (par. 80).  Dergelijke wetgeving gaat volgens het Hof de grenzen van wat strikt noodzakelijk is te buiten, en kan niet worden geacht noodzakelijk te zijn in een democratische samenleving (par. 81).

Het Hof is dan ook van oordeel dat artikel 15, lid 1 van de Richtlijn, gelezen in het licht van artikel 4, lid 2 VEU en artikel 7, 8, 11 en 52, lid 2 van het Handvest van de Grondrechten van de Europese Unie, nationale wetgeving uitsluit die het mogelijk maakt dat overheidsinstanties van een provider algemene en ongerichte overdracht van verkeers- en locatiegegevens aan de inlichtingen en veiligheidsdiensten verlangt, ook als dit als doel heeft de nationale veiligheid te waarborgen (par. 82).

Het Hof benadrukt in de gevoegde zaken C-511/18, C-512/18 en C-520/18 echter, dat wetgeving die providers verplicht tot het vasthouden van gegevens voor een bepaalde tijd, en indien dit strikt noodzakelijk is, niet in strijd is met de richtlijn. Er moet dan wel sprake zijn van een serieuze dreiging voor de nationale veiligheid, die oprecht, aanwezig en voorzienbaar is (par. 137). Ook moet een dergelijke maatregel onderhevig zijn aan toetsing door een rechtbank of door een onafhankelijk bestuursorgaan dat bindende besluiten kan nemen (par. 139).

Het in real-time verzamelen van verkeers- en locatiegegevens dient volgens het Hof beperkt te zijn tot personen van wie het vermoeden bestaat dat zij betrokken zijn bij terroristische activiteiten. Ook hier geldt dat een voorafgaande controle door een rechter of onafhankelijk bestuursorgaan vereist is en dat de maatregel enkel is toegestaan voor zover dit strikt noodzakelijk is (par. 183-192).

Tot slot trekt het hof nog de conclusie dat het Unierecht niet de ongerichte en algemene retentie van IP-adressen uitsluit, mits dit als doel heeft de nationale veiligheid te waarborgen, serieuze criminaliteit tegen te gaan of de openbare veiligheid te beschermen. Ook hier geldt dat dit slechts voor een beperkte periode is toegestaan en dat de maatregel strikt noodzakelijk dient te zijn (par. 168).

Volgens deze recente uitspraken van het Hof is het ongericht verzamelen van telefoon- en internetgegevens dus strijdig met Europese privacyregels, ook wanneer dit gebeurt in het kader van het waarborgen van nationale veiligheid. Het is opvallend dat het Hof tot deze beslissing komt, gezien de tekst van artikel 4, lid 2 VEU. 

Sophie Harleman

Veroordeling tot 17-jaar gevangenisstraf voor voorbereiden van aanslag

Op 8 oktober 2020 heeft de rechtbank Rotterdam zes mannen veroordeeld (ECLI:NL:RBROT:2020:8905) voor het voorbereiden van een grote terroristische aanslag in Nederland. Daartoe heeft de verdachte deelgenomen aan een terroristische organisatie en heeft hij training gevolgd. De zaak heeft veel media-aandacht gekregen (zie ook dit NOS-bericht en de video).

In de uitspraak is de lezen hoe de verdachten met z’n vijven zijn een aanslag wilden plegen op een festival en dat zij ook een grote auto met behulp van een afstandsbediening tot ontploffing willen brengen in een andere stad, mogelijk vanuit Amsterdam.

De zaak kwam aan het rollen door een ambtsbericht van 26 april 2018 van de AIVD. In dit ambtsbericht werd melding gemaakt van het feit dat de verdachte (met de hoogst opgelegde gevangenisstraf) voorbereidingen trof om met een groep personen veel slachtoffers te maken door een terroristische aanslag te plegen op een groot evenement in Nederland. Hij was op zoek naar aanslagmiddelen voor meerdere personen en iemand die hierin kon faciliteren. Direct na ontvangst van dit ambtsbericht werd een groot opsporingsonderzoek, genaamd ‘26Orem’, gestart.

De verdediging voert aan dat sprake is van uitlokking van de verdachten en overtreding van het beginsel van ‘détournement de pouvoir’ door de AIVD. Volgens de verdediging is sprake van misbruik van bevoegdheden door de AIVD. De inlichtingendienst heeft haar bevoegdheden ingezet ten behoeve van strafvorderlijke doeleinden, waarbij belangrijke strafvorderlijke waarborgen opzij werden gezet. De verdediging kan volgens de rechtbank niet onderbouwen waarom sprake zou zijn van uitlokking.

Over de mate van controle door de strafrechter op AIVD onderzoek en de toetsing van de bruikbaarheid in het strafproces, verwijst de rechtbank naar het arrest (ECLI:NL:HR:2006:AV4122) van de Hoge Raad in de zaak ‘Eik’ uit 2006 met de volgende overweging:

“Een onderzoek door een inlichtingen- en veiligheidsdienst vindt plaats buiten de verantwoordelijkheid van de politie en het openbaar ministerie. De wetgever heeft de toetsing van de rechtmatigheid van het handelen van de AIVD toebedeeld aan de CTIVD. Dat daarmee de rechtmatigheidstoets aan de strafrechter onttrokken is en art. 359a Sv niet van toepassing is, neemt niet weg dat in een strafprocedure waarin van een inlichtingen- en veiligheidsdienst afkomstig materiaal voor het bewijs wordt gebruikt, moet zijn voldaan aan de eisen van een eerlijk proces. De strafrechter moet toetsen of dat het geval is. Onder omstandigheden mogen de resultaten van het door een inlichtingen- en veiligheidsdienst ingesteld onderzoek niet tot het bewijs worden gebezigd, bijvoorbeeld indien het optreden van de betrokken dienst een schending van de aan een verdachte toekomende fundamentele rechten heeft opgeleverd die van dien aard is dat daardoor geen sprake meer is van fair trial als bedoeld in art. 6 EVRM.”

De rechtbank overweegt dat er sterke aanwijzingen zijn dat er een verband is tussen de inzet van (niet politiële) infiltranten en de AIVD. Bij gebreke aan nadere transparantie gaat de rechtbank ervan uit dat de desbetreffende persoon of personen die met de verdachte contact heeft/hebben gehad gerelateerd zijn aan de AIVD. Deze infiltranten zijn contact met de verdachte blijven onderhouden. Ondanks dat de infiltranten in hun e-mails de verdachte lijken te steunen bij de uitvoering van zijn plannen, religieuze opvattingen met hem uitwisselen, bij hem erop aandringen nieuwe e-mailadressen aan te maken en contact op te nemen en te onderhouden met ‘hun broeder (de politie-infiltrant)’, is er volgens de rechtbank geen sprake van (het verbod op) uitlokking. De verdachte is door de politie-infiltrant niet tot handelingen gebracht waarop zijn opzet niet al tevoren was gericht

De handelingen onder verantwoordelijkheid van de AIVD hebben echter wel aan bijgedragen dat de verdachte met de politie-infiltrant in contact is gekomen en gebleven en zij lijken hem te hebben beïnvloed bij het vasthouden aan een bepaald doelwit voor een aanslag, ook op momenten dat de verdachte leek af te dwalen of meer tijd nodig leek te hebben. Dit handelen van de AIVD tijdens het opsporingsonderzoek is een vorm van niet-toegestane beïnvloeding. Een dergelijke vorm van niet controleerbare en niet transparante bemoeienis brengt naar het oordeel van de rechtbank het waarborgen van een eerlijk proces in gevaar. De rechtbank verbindt hier een sanctie aan, namelijk drie jaar strafvermindering voor de verdachte.

De rechtbank acht de verdachte schuldig aan de voorbereiding van een grote terroristische aanslag op willekeurige burgers en politie in Nederland. Zij hebben gezamenlijk deelgenomen aan een terroristische organisatie en een training gevolgd met het oog op het plegen van een terroristisch misdrijf. De verdachte en de medeverdachten waren voornemens eind 2018 met een voertuig een (zware) bomaanslag te plegen en elders een festival binnen te dringen ‘schietend als een gek op mensen’ met Kalasjnikovs. De verdachte en de medeverdachten zouden daarbij ook handgranaten en bomvesten hebben willen gebruiken. De bomvesten zouden gebruikt moeten worden als de politie zou arriveren, zodat ook zij daarmee slachtoffer zouden worden. De verdachte en de medeverdachten hadden namelijk duidelijk kenbaar gemaakt dat zij zelf niet levend in handen van de politie zouden willen vallen. De verdachte heeft grote hoeveelheden (beeld)materiaal aangaande het radicale en extremistische gedachtengoed van de gewapende jihadstrijd voorhanden gehad, zoals dat onder meer door terroristische organisaties als Islamitische Staat (verder: IS) wordt gepubliceerd en verkondigd.

De rechtbank overweegt ook dat deze aanslagen worden gepleegd vanuit een intolerante religieuze ideologie, waarbij wordt geprobeerd het eigen gelijk op gewelddadige wijze aan anderen op te leggen en waarbij de bevolking veelal slachtoffer is en ernstige vrees wordt aangejaagd. Daarbij worden geen middelen en methoden geschuwd. De verdachte en de medeverdachten hebben zowel de burgerbevolking als de politie in Nederland op zware wijze beoogd te treffen met een bloedige aanslag waarbij grote aantallen onschuldige personen het slachtoffer zouden moeten worden. Dankzij tijdig ingrijpen van de Nederlandse overheidsdiensten hebben de verdachte en de medeverdachten hun plannen niet kunnen uitvoeren.

De verdachte wordt veroordeeld voor de hoge gevangenisstraf van 17 jaar. De rechtbank legt tevens een maatregel voor gedragsbeïnvloeding of vrijheidsbeperking op, zoals bedoeld in artikel 38z Sr. Op die manier wordt het mogelijk om de verdachte in aansluiting op de gevangenisstraf onder toezicht te stellen indien dit op dat moment nog noodzakelijk wordt geacht.

Jan-Jaap Oerlemans

Intrekking Nederlanderschap en ongewenstverklaring

Op 11 augustus 2020 heeft de afdeling bestuursrecht van de rechtbank Den Haag een zeer uitvoering vonnis gewezen over de intrekking van Nederlanderschap en ongewenstverklaring van een Syriëganger. Normaal bespreek ik geen uitspraken uit andere rechtsgebieden, maar voor deze rubriek en in dit geval maak ik een uitzondering.

De eiser krijg geen toestemming op grond van art. 8:29 Algemene wet bestuursrecht (hierna: Awb) om de onderliggende stukken te zien voor de intrekking van het Nederlanderschap, waaronder een ambtsbericht van de AIVD. De rechtbank heeft met toepassing van artikel 8:45 lid 1 van de Awb de minister van Binnenlandse Zaken en Koninkrijksrelaties (hierna: de minister), die geen partij is, bij brief van 13 mei 2020 verzocht inzage te geven in de stukken die ten grondslag liggen aan het ambtsbericht. Bij brief van 22 mei 2020 heeft de minister de rechtbank onder verwijzing naar het bepaalde in artikel 8:29, eerste lid, van de Awb medegedeeld dat alleen de rechtbank kennis mag nemen van de onderliggende stukken van het ambtsbericht.

Eiser is in 1982 geboren in Amsterdam, uit ouders met de Marokkaanse nationaliteit. Later is hij Nederlander geworden. Op 25 oktober 2010 is eiser wegens vertrek uit Nederland uitgeschreven uit de brp van de gemeente Amsterdam naar het Register Niet-Ingezetenen. Op 18 oktober 2019 heeft de Algemene Inlichtingen- en Veiligheidsdienst (hierna: AIVD) een individueel ambtsbericht uitgebracht over eiser. Dit ambtsbericht luidt als volgt:

“In het kader van zijn wettelijke taakuitvoering beschikt de Algemene Inlichtingen en Veiligheidsdienst (AIVD) over de volgende betrouwbare informatie met betrekking tot [eiser] , geboren op [geboortedag] 1982 te Amsterdam, BSN [BSN-nummer], die volgens de BRP per 25-10-2010 is uitgeschreven met onbekende bestemming. Betrokkene bevindt zich sinds de zomer van 2012 in Syrië, alwaar hij zich aansloot bij de Islamitische Staat in Irak en al-Sham (ISIS). Vanaf medio 2014 tot maart 2019 wordt hij uitsluitend gelokaliseerd in Syrië in plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS. Na 11 maart 2017 bleef betrokkene in het strijdgebied en verrichtte hij (administratieve) medische werkzaamheden voor ISIS in Syrië. Uit een eerdere relatie heeft betrokkene een minderjarige zoon genaamd [C]. [C] is begin 2014 in Syrië geboren. Een afschrift van dit ambtsbericht wordt verstrekt aan de LOvJ.”

Bij afzonderlijke besluiten van 3 december 2019 heeft het ministerie van Justitie en Veiligheid het Nederlanderschap van eiser ingetrokken op grond van artikel 14, vierde lid, van de Rijkswet op het Nederlanderschap (hierna: RWN) en hem tot ongewenst vreemdeling verklaard in de zin van artikel 67 van de Vreemdelingenwet 2000 (Vw 2000) wegens gevaar voor de nationale veiligheid en in het belang van de internationale betrekkingen van Nederland.

De rechtbank overweegt dat uit de Memorie van Antwoord blijkt dat de aansluiting bij een organisatie zal moeten blijken uit de gedragingen van betrokkene, waarvoor doorgaans een ambtsbericht van de AIVD voorhanden is. Dit ambtsbericht kan gebaseerd zijn op een veelheid van bronnen en van geval tot geval zal moeten worden bepaald wanneer er sprake is van voldoende zekerheid over de feiten (Kamerstukken I 2015-2016, 34 356 (R2064), nr. C, onderdeel 4).

De rechtbank overweegt over het ambtsbericht dat uit het ambtsbericht onder meer blijkt dat eiser zich sinds de zomer van 2012 in Syrië bevindt, alwaar hij zich heeft aangesloten bij de Islamitische Staat in Irak en al-Sham (ISIS), dat hij vanaf medio 2014 tot maart 2019 uitsluitend gelokaliseerd wordt in Syrië op plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS, en dat hij na 11 maart 2017 in het strijdgebied verbleef en (administratieve) medische werkzaamheden verrichtte voor ISIS in Syrië.

De verweerder stelt dat de opgelegde maatregel disproportioneel is. De rechtbank overweegt dat de intrekking van de nationaliteit is weliswaar een zwaar middel is, maar dat het doel van de maatregel -het belang van bescherming van de nationale veiligheid- rechtvaardigt dat hiervan gebruik gemaakt wordt indien aan de eisen voor toepassing van artikel 14, vierde lid, van de RWN is voldaan. Naar het oordeel van de rechtbank is daaraan in het geval van eiseres voldaan. Door de intrekking van het Nederlanderschap en de ongewenstverklaring wordt de legale terugkeer van eiseres naar Nederland en het Schengengebied onmogelijk gemaakt en wordt de feitelijke terugkeer bemoeilijkt doordat eiseres zal worden gesignaleerd als ongewenst vreemdeling in verschillende systemen die kunnen worden geraadpleegd bij grenscontroles en uitgifte van visa. De rechtbank beoordeelt de maatregel als geschikt en passend om het doel te bereiken. De verweerder (het ministerie van justitie en veiligheid) heeft terecht gesteld dat er geen alternatieven zijn die hetzelfde effect hebben als de onderhavige maatregel. De intrekking of vervallenverklaring van een paspoort is geen redelijk alternatief omdat dit, kort gezegd, het recht op terugkeer naar Nederland onverlet laat.

De gemachtigde van eiser vraagt zich verder af hoe het ministerie weet dat het ambtsbericht op voldoende grondslag is gebaseerd. De gemachtigde vraagt zich ook af of wordt voldaan aan de eis van objectiviteit en wijst er op dat de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten, die op 16 juni 2020 een rapport heeft uitgebracht over deze materie, niet geëquipeerd zou zijn een oordeel te geven over individuele ambtsberichten en dat de onderliggende motivering van het standpunt van de landsadvocaat ontbreekt. De verweerder stelt dat uit het ambtsbericht blijkt dat eiser concrete taken ten behoeve van ISIS heeft verricht. Wat de conclusies van de CTIVD betreft, merkt verweerder op dat de CTIVD heeft geoordeeld dat dat de AIVD bij het uitbrengen van de ambtsberichten in het kader van artikel 14, vierde lid, van de RWN in alle gevallen rechtmatig heeft gehandeld, maar dat het bestuursorgaan degene is die de beslissingen neemt op basis van de ambtsberichten. De mogelijkheid om inzage te vragen in de onderliggende stukken als de ambtsberichten onvoldoende duidelijk zijn, is aanwezig. Aangezien het ambtsbericht helder is en voldoende essentiële informatie bevat, is van deze mogelijkheid geen gebruik gemaakt.

De rechtbank overweegt dat het ambtsbericht zoals het er ligt voldoende feitelijke en kenbare informatie bevat. Eiser was ten tijde van belang aangesloten bij een terroristische organisatie die voorkomt op de lijst (ISIS) en heeft concrete werkzaamheden voor de organisatie verricht. Verweerder heeft aan zijn motiveringsplicht voldaan. Er is geen tegenbewijs geleverd. In hetgeen de gemachtigde naar voren heeft gebracht ziet de rechtbank geen aanknopingspunten voor twijfel aan de juistheid van het gestelde in het ambtsbericht. Verweerder heeft terecht geconcludeerd dat eiser een gevaar vormde voor de nationale veiligheid. De rechtbank overweegt voorts dat het rapport van de CTIVD (Toezichtsrapport over het handelen van de AIVD in het kader van de intrekking van het Nederlanderschap in het belang van de nationale veiligheid, nr. 68, vastgesteld op 29 april 2020) geen aanknopingspunten bevat voor het oordeel dat op grond daarvan geen betekenis aan de uitgebrachte ambtsberichten kan worden gehecht. De rechtbank moet beoordelen of in het individuele geval van eiser voldaan is aan de vereisten voor intrekking en of het ambtsbericht daar voldoende grondslag voor biedt. Zoals in het voorgaande is geconcludeerd, is de rechtbank van oordeel dat in het geval van eiser, gelet op de inhoud van het uitgebrachte ambtsbericht, voldaan is aan de vereisten voor intrekking van het Nederlanderschap. Zoals de rechtbank in eerdere vergelijkbare zaken heeft geoordeeld (zie bijvoorbeeld de uitspraak van 14 april 2020, ECLI:NL:RBDHA:2020:5784) acht zij de maatregel noodzakelijk en proportioneel.

Verweerder heeft, onder verwijzing naar verschillende edities van het Dreigingsbeeld Terrorisme Nederland, het rapport ‘Terugkeerders in beeld’ (.pdf) van de AIVD van februari 2017 en eerder gepleegde aanslagen door zogeheten terugkeerders, er op gewezen dat het risico bestaat dat terugkeerders aanslagen plegen en de binnenlandse jihadistische beweging versterken. Ook bestaat het gevaar dat zij anderen rekruteren voor de gewapende strijd. De rechtbank is van oordeel dat, zoals ook de Afdeling in de eerdergenoemde uitspraken van 17 april 2019 heeft overwogen, daarmee de noodzaak van de maatregel in het belang van de bescherming van de nationale veiligheid is aangetoond. Daarnaast heeft de rechtbank geoordeeld dat de intrekking van de nationaliteit weliswaar een zwaar middel is, maar dat naast bestaande maatregelen aan deze -preventieve- maatregel behoefte bestaat gezien het doel ervan, te weten het belang van de bescherming van de nationale veiligheid. De maatregel moet daarom proportioneel worden geacht. De rechtbank overweegt verder dat uit vaste jurisprudentie volgt (zie bijvoorbeeld de uitspraken van 22 april 2015, ECLI:NL:RVS:2015:1278 en 15 mei 2019, ECLI:NL:RVS:2019:1582) dat, indien uit een ambtsbericht van de AIVD op objectieve, onpartijdige en inzichtelijke wijze blijkt welke feiten en omstandigheden aan de conclusie vervat in dit ambtsbericht ten grondslag zijn gelegd en deze conclusie niet onbegrijpelijk is zonder nadere toelichting, voor het bestuursorgaan dat beslist over de verkrijging van het Nederlanderschap geen aanleiding bestaat om de aan dit ambtsbericht ten grondslag liggende stukken in te zien, tenzij de betrokkene concrete aanknopingspunten voor twijfel aan de juistheid of volledigheid van dit ambtsbericht naar voren heeft gebracht. Verder volgt hieruit dat er in beginsel van mag worden uitgegaan dat door de AIVD verricht onderzoek op zorgvuldige wijze heeft plaatsgevonden en dat vermelding van de aan een ambtsbericht van de AIVD ten grondslag liggende bron, dan wel bronnen, achterwege mag blijven wegens de vertrouwelijkheid ervan.

De rechtbank is van oordeel dat het Ministerie van Justitie en Veiligheid op grond van de informatie uit het ambtsbericht bevoegd was tot intrekking van het Nederlanderschap van eiseres over te gaan.

Jan-Jaap Oerlemans

Cybercrime jurisprudentieoverzicht oktober 2020

Op 25 augustus 2020 heeft het Hof Den Haag een arrest (ECLI:NL:GHDHA:2020:1559) gewezen over voorhanden hebben van een technisch hulpmiddel (‘Razorscanner’), waarmee computermisdrijven als computervredebreuk kunnen worden gepleegd (artikel 139d lid 2 sub a jo art. 138ab Sr).

Op 5 april 2016 is de website van Razorscanner na een gecoördineerde politieactie via Europol offline gehaald. Zes verdachten, waaronder de maker van Razorscanner, werden gearresteerd. De beheerder van deze services is in dat onderzoek aangehouden en de server waarop de genoemde softwareproducten beschikbaar werden gesteld is in beslag genomen. Om Razorscanner te kunnen gebruiken kochten de gebruikers van de website “coins”. Daarmee kon de klant vervolgens een scan uitvoeren. Uit de uitgevoerde scan kon de gebruiker opmaken of een ontwikkeld virus “Fully UnDetectable” is, ofwel door geen enkel anti-virusprogramma zal worden herkend. De maker van Razorscanner garandeerde dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten werden doorgegeven. Het programma ‘Razorcrypter’ maakt het mogelijk om uitvoerbare computerbestanden tegen de ontdekking door anti-virusprogramma’s te beschermen. Dat is onder meer mogelijk door de computercode die Razorcrypter moet verpakken te “binden” oftewel vast te maken aan andere (legitieme) software, of door het programma aan een ander softwareprogramma te hangen, zo overweegt het Hof.  

Deze zaak gaat over een Nederlandse verdachte die ten laste werd gelegd de software ‘Razorscanner’ en ‘Razorcrypter’ voorhanden te hebben met het oogmerk computermisdrijven te plegen. Hij beschikte over een account bij de aanbieder daarvan en over voldoende coins om de services te gebruiken. Het Hof Den Haag stelt in een uitgebreide overweging vast dat de services Razorscanner en Razorcrypter op zichzelf genomen geen programma’s zijn die zelfstandig geschikt gemaakt of ontworpen zijn om computervredebreuk te plegen, ddos-aanvallen uit te voeren of gegevens af te tappen of op te nemen. Toch wordt de software aangemerkt als een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt en/of ontworpen is tot het plegen van computermisdrijven, met name omdat de programma’s cybercriminelen in staat stellen met meer succes computermisdrijven te plegen (“strafbaar is ook degene die zo’n computerprogramma koopt of verkoopt, is strafbaar indien die koop of verkoop plaatsvindt met het oogmerk dat met dat computerprogramma ook daadwerkelijk computervredebreuk zal worden gepleegd” (memorie van antwoord Wet computercriminaliteit II)).

Voor de strafbaarstelling is daarnaast vereist dat met het voorhanden hebben van het technisch hulpmiddel het oogmerk bestaat computermisdrijven zoals computervredebreuk te plegen. Het hof spreekt de verdachte vrij, omdat niet vastgesteld kon worden dat de verdachte met het voorhanden hebben van Razorscanner en Razorcrypter het oogmerk heeft gehad om computermisdrijven te plegen. Het Hof overweegt dat het bewijsmateriaal eerder steun geeft aan de verklaring van verdachte, dat hij zowel Razorscanner en Virustotal gebruikte om scans uit te voeren aan bestanden. Daarnaast bevat het strafdossier geen bewijs dat de verdachte daadwerkelijk malware beschikbaar heeft gesteld aan anderen, teneinde die anderen in staat te stellen computermisdrijven te plegen, noch dat hij dit zelf heeft gedaan. Het hof komt daarmee tot de conclusie dat er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht en spreekt hem daarom vrij.

Bestellen onder valse personalia geen computervredebreuk

De rechtbank Rotterdam heeft op 18 september 2020 een verdachte veroordeeld (ECLI:NL:RBROT:2020:8248) tot 180 dagen gevangenisstraf, waarvan 103 dagen voorwaardelijk en een taakstraf van 100 uur. De verdachte heeft samen met een medeverdachte VodafoneZiggo modems besteld, deze aangesloten en daarmee naar betaalde servicenummer gebeld.

De verdachte werd computervredebreuk ten laste gelegd, omdat zou zijn binnendrongen in de kabelmodems. De rechtbank spreekt de verdachte daarvan vrij, omdat niet op andere wijze toegang is verkregen en gebruik is gemaakt van de goederen en diensten van VodafoneZiggo dan gebruikelijk. De rechtbank overweegt helaas niet waarom geen sprake is van het opzettelijk en wederrechtelijk onder een valse hoedanigheid of met valse sleutels binnendringen in de servers van de VodafoneZiggo, omdat daar mogelijk wel sprake van is en ook ten laste is gelegd. Zie ook de blog van Arnoud Engelfriet over deze zaak.

De verdachte wordt wel veroordeeld voor oplichting, waarbij de verdachte met de verkregen telefoonabonnementen aankopen heeft gedaan bij 090-nummers. Het betrof onder andere (bitcoin)vouchers en bel- en goktegoeden, die vervolgens werden omgezet naar (giraal) geld (o.a. via Skrill). In het huis van de verdachte en in een door haar partner gehuurde garagebox werden maar liefst 1161 modems aangetroffen. De gevorderde schadevergoeding van €575.489,61 (!) wordt niet-ontvankelijk verklaard, omdat ‘een volmacht of uittreksel van de Kamer van Koophandel ontbreekt’ waaruit kon blijken dat de persoon gemachtigd was door VodafoneZiggo voor het indienen van de vordering. Eventueel kan daarover wel nog een civielrechtelijke zaak worden aangespannen.

Veroordeling voor grootschalige phishing

Op 26 augustus 2020 heeft de rechtbank Midden-Nederland een aantal verdachten veroordeeld (ECLI:NL:RBMNE:2020:3467) voor grootschalige phishing. In deze zaak is de verdachte veroordeeld voor oplichting, verboden wapenbezit, het voorhanden hebben van software om computervredebreuk te plegen, computervredebreuk, (gewoonte)witwassen en diefstal. In totaal zijn 22 slachtoffers van de Rabobank, ING, ABN Amro en de Van Lanschot Bank benadeeld voor 170.000 euro. De slachtoffers kregen phishinglinks doorgestuurd per e-mail en sms. Daarbij werden slachtoffers doorgestuurd naar phishingwebsites. Daarna werd de ‘Mobiel Bankieren App’ geïnstalleerd op een telefoon die niet van aangevers was, waarna geldbedragen werden gepind of overgeboekt.

Uit de bewijsmiddelen is het IP-adres van de dader te linken aan het gelogde IP-adres bij transacties van slachtoffers. Het gaat daarbij onder andere om een te linken IP-adres in de iPhone van de verdachte en een chatbericht dat is gevonden op de laptop van de verdachte, waarin staat dat het desbetreffende IP-adres aan de verdachte toebehoord. Op de laptop van verdachte zijn verder verschillende afbeeldingen aangetroffen die zijn gemaakt met behulp van Gyazo, een screenshotprogramma. Eén van deze afbeeldingen toont een beheerpaneel van de domeinnaam mobielbevestigen.ml. De rechtbank leidt hieruit af dat verdachte deze website, door middel waarvan de gegevens van de aangevers zijn gephisht, kon beheren. Veelzeggend is verder het bewijs op de laptop bankrekeningnummers, pasnummers en adresgegeven van enkele van de aangevers.

In de onderhavige zaak verzorgde de verdachte voornamelijk het technische deel, d.w.z. het inrichten, hosten en beheren van websites, maar wordt ook veroordeeld voor het medeplegen van de andere strafbare feiten. De bijdrage van de verdachte was een noodzakelijke schakel – het phishing-deel – in het geheel aan handelingen waarmee de slachtoffers werden opgelicht. De verdachte krijgt een flinke gevangenisstraf opgelegd van vier jaar, waarvan één jaar voorwaardelijk.