Auteur jjoerlemans

Veroordeling voor online drugshandel op Agora en Evolution

jjoerlemans Een reactie plaatsen

Op 10 maart 2017 heeft de Rechtbank Noord-Holland een verdachte veroordeeld (ECLI:NL:RBNHO:2017:1940) voor online drugshandel en gewoontewitwassen. De verdachte handelde in voornamelijk XTC-pillen en LSD via de – indertijd populaire – online drugsforums ‘Agora’ en ‘Evolution’. Deze forums zijn zogenaamde ‘hidden services’ en alleen bereikbaar via het Tor netwerk. De verdachte specialiseerde zich in zijn omvangrijke handel in het bevoorraden van de zogenaamde ‘resellers’ en behoorde daarmee tot het hogere segment van de drugshandel.

De zaak is ook interessant, omdat wordt beschreven hoe de rechercheurs van de ‘TNO darkwebmonitor’ gebruik maakten om bewijs te verzamelen. Daarbij is onder andere gebruik gemaakt van de beoordelingen van klanten van de drugshandelaar op de fora. De onderzoekshandelingen zijn klaarblijkelijk goed gedocumenteerd.

In de zaak wordt ook uitgebreid ingegaan op de gebruikte ‘cryptocurrencies’ door de verdachte, die vaak worden gebruikt voor witwassen (zie ook Computerrecht 2017/35). In casu betroffen deze virtuele valuta  bitcoins, paycoins en opalcoins. Met behulp van financieel rechercheren zijn de rechercheurs nagegaan of er een verbinding gemaakt kon worden tussen de bitcoinadressen in de digitale portemonnee op de laptop van de verdachte en de transacties en bitcoinadressen die voorkomen op genoemde darknet markets. In de periode van 24 februari tot en met 9 maart 2015 waren bijvoorbeeld 889,90 bitcoins naar de forums overgemaakt met een toenmalige waarde van 208.125,72 euro. Daarbij is van 16 transacties vastgesteld dat de verdachte deze heeft ontvangen van Evolution of Agora.

De verdachte is veroordeeld voor gewoontewitwassen. De herkomst van de cryptocurrencies (uit de online drugshandel) werd verhult door het omwisselen van de bitcoins in euro’s. Deze geldbedragen zijn middellijk afkomstig uit enig misdrijf. De rechtbank kwalificeert de aanschaf van de personenauto’s en luxe goederen als verhullingshandelingen, nu deze zijn aangeschaft met geld afkomstig uit handel in verdovende middelen. Het virtuele geld dat de verdachte nog in zijn bezit had en de luxegoederen worden door de rechtbank verbeurd verklaard. Ondanks de relatief jeugdige leeftijd van verdachte tijdens het begaan van die feiten, wordt de verdachte veroordeeld voor de forste gevangenisstraf van 3 jaren.

Investigating Cybercrime

jjoerlemans Een reactie plaatsen

Posted on 15/02/2017

On 10 January 2017, I successfully defended my PhD thesis ‘Investigating Cybercrime’. In this blog post, I would like the share my main research results.

Cybercrime investigations

My study shows that in cybercrime investigations, evidence is often gathered by following the two digital leads of IP-addresses and nicknames. I explain how evidence is gathered, based upon these leads. In cybercrime investigations, law enforcement officials often encounter the three challenges of anonymity, encryption and jurisdiction. These challenges can leave law enforcement officials empty-handed in certain circumstances.

However, law enforcement officials can use digital investigative methods to deal with these challenges. The following four investigative methods are identified and further analysed in the study: (1) gathering publicly available online information, (2) issuing data production orders to online service providers, (3) applying online undercover investigative methods, and (4) performing hacking as an investigative method.

Regulating digitale investigative methods on a national level

On a national level, my research shows that the identified digital investigative methods are not regulated in a foreseeable manner in the Netherlands. The reason is that the scope and manner in which investigative methods are applied are not sufficiently clear. In addition, I argue that the quality of the law for certain investigative methods is not adequate. The main and concrete results of my analysis are as follows:

  • The manual and automated gathering of publicly available online information should be regulated in detail, outside criminal procedural law. These regulations should indicate how data protection regulations should be applied in a concrete manner when these digital investigative methods are used.
  • The regulations for undercover investigative methods (both online and offline) should be improved by incorporating supervision by an investigative judge.
  • A warrant requirement should apply for obtaining traffic data and content data from online service providers. The category of ‘content data’ should be defined more clearly by the legislator or Public Prosecution Service.
  • Regulating hacking as an investigative power is necessary. The proposal to regulate this investigative method in the Computer Crime Act III is adequate. However, the investigative power is formulated in a rather broad manner and the legal consequences of its application to ‘disrupt cybercrime’ are uncertain.

Regulating digital investigative methods on an international level

On an international level, my research shows that the application of digital investigative methods are not sufficiently taken into consideration in mutual legal assistance treaties. States should realise and take into consideration that unilateral cross-border digital evidence-gathering activities already take place.

The application of digital investigative methods can endanger both State sovereignty and the legal certainty of individuals in certain circumstances. At the same time however, I argue that unilateral cross-border digital evidence-gathering activities should be permissible in certain circumstances. Ideally, States agree on what terms these evidence-gathering activities are allowed and protect the right and freedoms of the individuals involved in mutual legal-assistance treaties or on an ad-hoc basis. In the meantime, States should create a policy for their law enforcement authorities to determine under which circumstances unilateral cross-border digital evidence-gathering activities are allowed. I provide recommendations about these restrictions for the Dutch legislator.

Finally, I would like to say that it has been a pleasure performing research as a PhD Candidate at Leiden University. I will continue to do research in cybercrime, cybersecurity, digital investigations and privacy in the future.

This is a cross-post from LeidenLawBlog. My book is also commercially available at bol.com (among others).

Annotatie TorRAT

jjoerlemans Een reactie plaatsen

Rechtbank Rotterdam 20 juli 2016, ECLI:NL:RBROT:2016:5814, Computerrecht 2016/175, m.nt. J.J. Oerlemans

Deze uitspraak (ECLI:NL:RBROT:2016:5814) betreft één van de weinige veroordelingen voor banking malware in combinatie met witwassen (Zie ook Rb. Rotterdam, 2 oktober 2015, ECLI:NL:RBROT:2015:7041 en Rb. Zeeland 29 juni 2016, ECLI:NL:RBZWB:2016:3877) De zaak geeft een exclusief kijkje in de high tech wereld van banking malware en het witwassen van de crimineel verkregen gelden. Op juridisch gebied is de bewijsconstructie van de rechtbank interessant en moet de vraag worden gesteld op welke wijze witgewassen bitcoins in beslag kunnen worden genomen.

Modus operandi banking malware

De verdachten hebben met kwaadaardige software, genaamd “TorRAT”, computers besmet teneinde de internetbankiersessie van hun slachtoffers te manipuleren. De computers van slachtoffers werden besmet via e-mails met ogenschijnlijk een aanmaning of voorstel voor een betalingsregeling. Na het openen van de bijlage werd de malware op de computers van de slachtoffers geïnstalleerd en maakte de software via het anonimiseringprogramma Tor verbinding met de zogenaamde Command-and-Control server van de verdachten. Via een Command-and-Control server hebben de verdachten een overzicht van de besmette computers en kunnen instructies aan de besmette computers (ook wel ‘zombie computers’ genoemd) worden verstuurd. De verdachten verkrijgen daarmee controle over enkele functionaliteiten van de computers. Software dat functionaliteiten van computers op afstand kan overnemen wordt ook wel een Remote Access Tool (of RAT) genoemd. Samen met het feit dat de malware verbinding maakt met Tor, kan de naam van de malware – TorRAT – worden verklaard.

In dit geval heeft de malware als doel om de internetbankiersessies van de slachtoffers te manipuleren. In de uitspraak wordt beschreven dat de malware in werking treed op het moment dat een slachtoffer zijn of haar bankwebsite opzoekt om online te bankieren. Met de malware kan tijdens het internetbankieren (buiten het zicht van de gebruiker) het rekeningnummer, de naam van de begunstigde en de omschrijving van de betaling worden aangepast en vervolgens geld naar een ander rekeningnummer worden overgemaakt.

Witwassen

Op deze wijze zijn betalingen met de TorRAT malware gewijzigd en omgeleid naar money mules. Money mules worden door de rechtbank omschreven als personen die hun rekening, bankpas en pincode, al dan niet bewust en al dan niet vrijwillig, ter beschikking hebben gesteld. Vervolgens is het geld in de meeste gevallen zo snel mogelijk in contant opgenomen of omgezet in de virtuele valuta Bitcoin. Bitcoins kunnen worden aangekocht via Bitcoin exchanges. Deze handelingen leverden volgens de rechtbank de volgende delicten op: computervredebreuk (art. 138ab Sr), het verzenden van spam (art. 138b Sr (voor het versturen van de spam), het aftappen of opnemen van gegevens met malware (art. 138c Sr), het installeren van malware (art. 139d Sr), het in bezit hebben van de malware (art. 139e Sr), diefstal met een valse sleutel (art. 311 lid 1 onder 4 en 5 Sr) en oplichting (art. 326 Sr).

De rechtbank acht tevens het delict gewoontewitwassen (art. 420bis Sr) bewezen. De vereiste verhullingshandeling bestond daarbij uit het overboeken van het geld naar de rekeningen van money mules, waarna het geld veelal contant werd gemaakt door middel van betalingen of door omzetting in bitcoins. De overboeking van de rekening van een slachtoffer naar de money mule ziet de rechtbank als diefstal en nog niet als witwassen. Het is de daarop volgende versluiering van de criminele herkomst door het contant maken of omzetting in bitcoins dat de gedraging tot witwassen maakt. De rechtbank komt ook tot het oordeel dat sprake is van een criminele organisatie (art. 140 Sr). Daarbij wordt opgemerkt dat voor het plegen van de ‘cyberfraude’ een daarop gerichte organisatie noodzakelijk is. Een groep van personen heeft in dit geval de malware is ontwikkeld, servers zijn gehackt om de e-mails voor de malware verspreiding te distribueren, en money mules zijn geronseld om beschikking te krijgen over rekeningen om geld op te storten. De rechtbank komt tot de conclusie dat daarvoor een planmatige aanpak, samenwerking en duidelijke afstemming tussen de betrokkenen noodzakelijk is geweest. Ter onderbouwing van deze samenwerking worden  enkele passages afkomstig uit e-mails aangehaald. De verdachten maakten gebruik van de (niet meer beschikbare) dienst TorMail, dat kan worden beschreven als een gratis webmail dienst dat alleen via Tor bereikbaar is. Uit de uitspraak wordt niet helder hoe toegang tot deze e-mails is verkregen.

Veroordeling

De verdachte was één van de oprichters van de criminele organisatie en had een leidinggevende rol binnen het criminele samenwerkingsverband. Hij is veroordeeld tot een gevangenisstraf van 3 jaar. Tevens moet de verdachte een stevige schadevergoeding betalen van € 105.491,42 aan de ING. De vordering van de Rabobank werd onvoldoende gemotiveerd geacht. De medeverdachten zijn veroordeeld voor gevangenisstraffen variërend van 9 tot 36 maanden, afhankelijk van hun rol binnen de criminele organisatie en strafblad.

Aangifte ING

Met betrekking tot de bewijsvoering is het interessant dat de officier van justitie stevig leunt op bijlagen van frauduleuze transacties die zijn aangeleverd door een IT beveiligingsbedrijf en de betrokken banken zelf. De verdediging voerde echter aan dat daaruit niet direct blijkt dat de TorRAT malware deze frauduleuze transacties veroorzaakt. Teneinde de causaliteit vast te stellen bespreekt de rechtbank 15 frauduleuze transacties uitvoerig. Daaruit blijkt volgens de rechtbank dat de configuratiebestanden afkomstig zijn van TorRAT en de frauduleuze transacties met de malware zijn uitgevoerd.

Overigens zij opgemerkt dat de rechtbank in de uitspraken onder andere IP adressen in zijn geheel opneemt. Daar kan kritiek op worden geleverd, omdat de IP adressen (nog steeds) zijn terug te voeren tot bepaalde dienstverleners en door de Autoriteit Persoonsgegevens IP adressen als een persoonsgegeven beschouwd.

Omzetten bitcoins

Ten slotte is het opvallend dat in het persbericht van het Openbaar Ministerie over de zaak in 2013 nog wordt opgemerkt dat beslag is gelegd op 56 bitcoins, die destijds zijn omgezet in meer dan 7700 euro. De uitspraak refereert hier niet naar deze beslaglegging. Evenwel sta ik hier kort bij stil aangezien die inbeslagneming van bitcoins een aantal juridische vragen oproept.

Ten eerste de vraag of bitcoins als goed gekwalificeerd kunnen worden en daarmee vatbaar zijn voor inbeslagname. Hoewel een goed ook onstoffelijk kan zijn en giraal geld kan betreffen, worden gegevens  binnen het strafrecht in principe niet gekwalificeerd als goed. Uit verschillende arresten kan echter worden afgeleid dat als de gegevens, kort gezegd, uniek zijn en in het economisch verkeer van waarde is, zij toch als goed kunnen worden beschouwd zie o.a. (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251 (Runescape)) Het Openbaar Ministerie neemt ook de positie in dat bitcoins als goed kunnen worden beschouwd en vatbaar zijn voor inbeslagname.

De tweede vraag is op welke wijze de bitcoins in beslag kunnen worden genomen. Er is geen formele openbare werkwijze van het Openbaar Ministerie beschikbaar. Een UNDOC rapport (.pdf) over witwassen met virtuele betalingsmiddelen beschrijft dat het gebruikelijk is dat, indien de bitcoins zich in een Bitcoin portemonnee op een computer of gegevensdrager bevinden, eerst het voorwerp zelf in beslag worden genomen. Vervolgens kunnen de bitcoins worden overgemaakt naar een Bitcoinadres dat is aangemaakt door de opsporingsambtenaren. Als laatste stap kunnen de ‘inbeslaggenomen’ bitcoins via Bitcoin exchanges worden omgezet in euro’s en op een rekening van het Openbaar Ministerie worden gestort. Uit een interview in het magazine van het Openbaar Ministerie blijkt dat deze wijze van inbeslagname overeenkomt met de wijze waarop bitcoins in Nederland in beslag worden genomen.

Slechts één uitspraak (ECLI:NL:GHARL:2016:5563) is beschikbaar waarin expliciet wordt genoemd dat de gegevensdrager, een USB-stick met daarop 147 bitcoins, verbeurd is verklaard door de rechtbank omdat de bitcoins op strafbare wijze zijn verkregen en de USB-stick aan de verdachte toebehoord. Onduidelijk blijft in ieder geval op welke wijze bitcoins in beslag worden genomen die alleen via een portemonnee in een online account bereikbaar zijn. Wordt daarvoor misschien van een vorm van een netwerkzoeking gebruik gemaakt? Het laatste woord zal dus nog niet gezegd zijn over de inbeslagname van bitcoins en andere digitale betalingsmiddelen.

Deze annotatie is in soortgelijke tekst verschenen in Computerrecht (.pdf (per abuis is als titel ‘Megaserver’ aangegeven)).

Cybercrime jurisprudentie overzicht september 2016

jjoerlemans Een reactie plaatsen

Veroordeling voor gebruik van banking malware en witwassen

Op 29 juni 2016 heeft de Rechtbank Zeeland-West-Brabant (ECLI:NL:RBZWB:2016:3877) de leider van een criminele cybercrimeorganisatie veroordeeld tot twee jaar gevangenisstraf. De verdachte heeft zich schuldig gemaakt aan diefstal, witwassen en deelname aan een criminele organisatie. Bovendien is de verdachte veroordeeld voor de verspreiding van malware (art. 139d Sr), computervredebreuk (art. 138ab Sr), en gegevensaantasting (art. 350a Sr).

De uitspraak is interessant, omdat er vooralsnog weinig gepubliceerde uitspraken zijn over cybercrime en witwassen. Bovendien wordt in paragraaf 4.3.3 van de uitspraak op gedetailleerde wijze de werking van bankingmalware beschreven. Bij dit (niet nader gespecifieerde) type banking malware werden de slachtoffers besmet met de kwaadaardige software na het bezoeken van (advertenties van) bepaalde websites met kwetsbare computers. Na besmetting van de computer maakt de malware tijdens een bezoek aan de website van een vooraf geselecteerde bank, buiten het zicht van de gebruiker, geld over naar een rekeningnummer van een geldezel. Om dat te bewerkstelligen, wordt tijdens een elektronisch bankiersessie een splitsing van de sessie gemaakt waarbij een tweede betaling wordt klaargezet. Na authenticatie van de eerste betaling wordt tegelijkertijd geld buiten het zicht van het slachtoffer overgemaakt naar een geldezel. Het geld werd vervolgens kort na de overboeking gepind. In de uitspraak wordt ook aangegeven dat na de overboeking direct bitcoins door de daders zijn aangekocht.

De rechtbank stelt vast dat sprake is van diefstal door middel van gebruikmaking van een valse sleutel, omdat met behulp van banking malware door derden in totaal een bedrag van € 81.168,76 is weggenomen van de slachtoffers. De rechtbank stelt vervolgens vast dat van witwassen sprake is. De verdachte was op de hoogte van het feit dat geldbedragen van diefstal door middel van gebruik van een valse sleutel afkomstig waren en met behulp van malware overboekingen werden gedaan. Gelet op de verhullingshandelingen (door het overgeboekte geld direct contant op te nemen en de aankoop van bitcoins) en het feit dat de verdachte wist dat wat er gaande is, wordt het delict gewoontewitwassen bewezen geacht. Ten slotte verklaart de rechtbank het bewezen dat sprake is van een criminele organisatie.

Phishing-bende veroordeeld

Op 15 juli 2016 zijn drie mannen en twee vrouwen veroordeeld voor het op grote schaal plegen van oplichting door middel van phishing (Rb. Den Haag 15 juli 2016, ECLI:NL:RBDHA:2016:7981). De vijf vormden een criminele organisatie met als doel het plegen van phishing.

In dit geval zijn mensen met een rekening bij de Rabobank benaderd via een vals mailbericht met het aanbod voor het aanvragen van een nieuwe Rabo Scanner. Via de link werden de slachtoffers doorverwezen naar een website waarop zij hun persoonlijke gegevens hebben ingevuld ten behoeve van de aanvraag. Daarna belde een van de vrouwen hen op, die zich voordeed als medewerkster van de Rabobank. Gedurende het telefoongesprek liet zij de slachtoffers hun codes afgeven, waarna het geld van de rekening van de slachtoffers werd overgeboekt naar andere rekeningen, en vervolgens contant werd opgenomen of uitgegeven.

De slachtoffers zijn bewogen tot een afgifte van in totaal € 500.000. Daarnaast heeft de Rabobank ongeveer € 500.000 aan overboekingen tegengehouden. De drie mannen en één vrouw krijgen tot 3 jaar gevangenisstraf door de rechtbank opgelegd. Daarnaast zijn ze veroordeeld tot het vergoeden van de schade die is geleden door de Rabobank tot een bedrag van € 468.644,58, te vermeerderen met de wettelijke rente.

Veroordeling drugshandel via internet en inbeslagname van USB-stick met bitcoins

Op 7 juli 2016 heeft het Gerechtshof Arnhem-Leeuwarden enkele verdachten veroordeeld tot drugshandel via internet en deelname aan een criminele organisatie (ECLI:NL:GHARL:2016:5563). De zaak is relevant, omdat wordt beschreven op welke wijze drugshandel via internet plaatsvindt en bitcoins in beslag zijn genomen.

De verdachten handelden in pillen met MDMA. De pillen werden verpakt in DVD hoesjes en via de post verstuurd. De drugs werd verkocht via een (niet nader genoemd) online drugsforum en de betaling vond plaats in bitcoin. Door één van de verdachten werden de bitcoins in contant geld omgewisseld. In de zaak wordt beschreven hoe opsporingsambtenaren tijdens een doorzoeking op relevant digitaal bewijs stuitten.

De rechtbank omschrijft dat de verbalisanten tijdens de doorzoeking van een woning een laptop zagen waarop de online drugshandel website nog open stond en er een account was aangemaakt waarmee 30 opdrachten/bestellingen waren verricht. Bovendien stond de laptop ingelogd met account X en stond het account van de verdachte omschreven als ‘seller’.

Een USB-stick, maar daarop 147 bitcoins is door het hof vatbaar verklaard voor verbeurdverklaring, omdat de bitcoins door middel van strafbare feiten zijn verkregen en aan de verdachte toebehoorden. Het gerechtshof veroordeelt de verdachten tot drie jaar gevangenisstraf, waarvan twee jaar voorwaardelijk, met een proeftijd van drie jaar.

Ransomware en witwassen van losgeld in Bictoin

jjoerlemans Een reactie plaatsen

Een van de nieuwste ontwikkelingen op het terrein van cybercrime is ransomware. Dit is kwaadaardige software (malware) die toegang tot iemands computer en/of bestanden daarop blokkeert. Een specifieke vorm van ransomware is zogeheten cryptoware, die de bestanden versleutelt met behulp van cryptografie. Vervolgens eisen de cybercriminelen betaling van losgeld, vaak in de vorm van Bitcoins. Deze bijdrage gaat in op de vraag hoe cybercriminelen ransomware en cryptoware inzetten om geld te verdienen en hoe de verdiende Bitcoins vervolgens worden witgewassen.

Mijn artikel ‘Ransomware, cryptoware en het witwassen van losgeld in Bitcoins’ heb ik samen geschreven met Bart Custers en Ronald Pool.

Annotatie Context-zaak

jjoerlemans Een reactie plaatsen

Rb. Den Haag, 10 december 2015, ECLI:NL:RBDHA:2015:14365, Computerrecht 2016/47, m.nt. J.J. Oerlemans.

In deze zogenoemde ‘Context-zaak’ zijn in totaal negen verdachten veroordeeld. Zes verdachten maakten deel uit van een zogenaamde Haagse ronselorganisatie en zijn vervolgd voor deelname aan een criminele organisatie met een terroristisch oogmerk. Zij maakten zich schuldig aan het opruien, ronselen en het faciliteren en financieren van jongeren die naar Syrië wilden afreizen om te gaan vechten. Tevens is in deze zaak een vrouw veroordeeld tot een celstraf van zeven dagen voor één opruiende retweet. Voor de bewijsgaring is in de zaak door de politie uitgebreid gebruik gemaakt van Facebook en Twitter. Voor IT-juristen is de uitspraak om twee redenen ook in het bijzonder interessant:

  • Ten eerste wordt in de uitspraak ingegaan op de vraag of een retweet kan leiden tot bewezenverklaring van het delict opruiing. De rechtbank is hierover helder. De Haagse rechters bevestigen de stelregel die op Twitter geldt: ‘a retweet is not an endorsement’.

Zie r.o. 11.22: “De rechtbank onderschrijft dat op Twitter het uitgangspunt geldt: retweet is not endorsement. Dat brengt mee dat het retweeten van een bericht dat op zich als opruiend wordt beoordeeld in beginsel niet strafbaar is ingevolge artikel 131 Sr. Wel valt deze gedraging onder de reikwijdte van artikel 132 Sr. Dat is anders indien uit het commentaar van verdachte bij de retweet blijkt dat hij de inhoud onderschrijft, of wanneer het geretweete bericht past binnen een reeks van berichten van verdachte van dezelfde aard en/of strekking, binnen een bepaalde periode. Hetzelfde geldt ook voor het delen van een hyperlink.”

 Eerder leidde vervolging van een retweet door Bert Brussen over een bedreiging aan Wilders tot een sepot van het Openbaar Ministerie. Echter, indien de retweet gepaard gaat met een opmerking, kan deze gedraging tot bewezenverklaring van het delict opruiing leiden, omdat dan uit de opmerking van de verdachte is af te leiden dat de strafbare inhoud wordt onderschreven. Ook kan sprake zijn van delict opruiing bij retweets indien het geretweete bericht past binnen een reeks van berichten van verdachte van dezelfde strekking, binnen een bepaalde periode.

  • Ten tweede is de zaak voor IT-juristen interessant, omdat het één van de eerste uitspraken betreft waar een oordeel wordt gegeven over het gebruik van bijzondere opsporingsbevoegdheden op internet. In dit geval moesten de rechters vragen beantwoorden omrent de juridische grondslag voor het gebruik van opsporingsmethoden op sociale media diensten. In deze noot wordt op dit tweede aspect van de uitspraak nader in gegaan.

Feiten

In deze zaak heeft de politie een online operatie op touw gezet om een betere informatiepositie op Facebook te verkrijgen en de contacten van de verschillende verdachten en hun specifieke uitingen op internet in beeld te krijgen. De politie heeft informatie via Twitter vergaard door tweets van de verdachten te bekijken en vast te leggen. Deze tweets waren door de verdachten waren gepubliceerd via profielen die voor een ieder toegankelijk waren gemaakt. De politie heeft tevens een Facebookaccount aangemaakt op de naam ‘Aboe Noewas’ en in de periode van 21 juni 2013 tot 1 september 2014 op elke doordeweekse dag berichten, foto’s en video’s op dit profiel geplaatst. Door het plaatsen van deze openbare berichten hoopte de politie in contact te komen met de verdachten onder een geloofwaardige dekmantel. Voor ongeveer een periode van een half jaar (april-augustus 2014) heeft de politie tevens een Facebookaccount onder de naam ‘Ab Bashir’ aangemaakt en gebruikt. Door het aanmaken van het account kon de politie ook kennisnemen van informatie op de Facebookprofielen van de verdachten, voor zover deze profielen voor iedereen toegankelijk waren gemaakt. De politie heeft ook vriendschapsverzoeken gestuurd naar de verdachten om kennis te nemen van de informatie van hun privéprofiel op Facebook. Enkele van deze vriendschapsverzoeken waren succesvol. Tevens heeft een opsporingsambtenaar op verzoek toegang gekregen tot een afgeschermde (werk)groep van de verdachten op Facebook. Opvallend is dat de politie deze onderzoekshandelingen op internet niet goed heeft gedocumenteerd, waardoor niet goed kon worden nagegaan met wie de politie nu precies Facebook-vrienden zijn geworden en welke berichten door de politie zelf zijn verspreid. Zie ook Marcel Haenen & Andreas Kouwenhoven, ‘Infiltratie gelukt, gegevens weg’, NRC.nl.

Digitale opsporing

De politie heeft niet voor alle opsporingsactiviteiten op internet een bevel van de officier van justitie bemachtigd voor de uitvoering van de bijzondere opsporingsbevoegdheid tot stelselmatige informatie-inwinning. De verdediging heeft aangevoerd dat deze bijzondere opsporingsbevoegdheid wel gebruikt had moeten worden in verband met de meer dan geringe privacyinbreuk die bij deze activiteiten zou hebben plaatsgevonden.

De rechtbank is van oordeel dat voor aanmaken van het Facebookaccount en de opsporingsactiviteiten die daarna door de politie zijn uitgevoerd inderdaad een bevel voor het stelselmatig inwinnen van informatie op grond van art. 126j Sv noodzakelijk was. In de operatie heeft een meer dan geringe inbreuk op de persoonlijke levenssfeer van de betrokkenen plaatsgevonden door het bekijken en veilig stellen van de informatie voor een langere periode. Daarbij is ook kennis genomen van (verbanden tussen) de sociale media contacten van de verdachten en de inhoud van die contacten in relatie tot de verdenking. De rechters nemen ook in overweging mee dat zicht werd kregen op activiteiten van de verdachten in het verleden, door het kennisneming van (mogelijk ver) in het verleden geplaatste berichten.

De politie heeft alleen een bevel tot stelselmatige informatie-inwinning van een officier van justitie verkregen voor het versturen van vriendschapsverzoeken aan de verdachten, waarmee toegang kon worden gekregen tot afgeschermde gedeeltes van Facebookpagina’s en het kennisnemen van informatie op de afgeschermde Facebook werkgroep Shaam van de verdachten. Toch wordt door de rechtbank geen sanctie toegekend aan het vormverzuim voor het ontbreken van een bevel voor stelselmatige informatie-inwinning voor de gehele operatie. De rechters nemen in hun overweging mee dat voor het versturen van de vriendschapsverzoeken wel een bevel is bemachtigd en oordelen dat kan worden volstaan met de constatering van het vormverzuim. De rechtbank overweegt verder dat geen sprake is geweest van uitlokking, omdat er geen aanwijzingen zijn dat de uitingen op sociale media oorspronkelijk afkomstig waren van de Facebookpagina’s van de fictieve personen.

In de onderhavige zaak wordt het voor eerst een uitspraak gedaan over de juiste grondslag in het Wetboek van Strafvordering voor opsporingsactiviteiten via sociale mediadiensten. Terecht stellen de rechters vast dat art. 3 Politiewet 2012 slechts een voldoende grondslag vormt voor opsporingsactiviteiten voor zover een geringe inbreuk op het recht op privacy vormt en de risico’s voor de integriteit van de opsporing beperkt blijven. Voor die opsporingsactiviteiten die een meer dan geringe inbreuk op het recht op privacy van de betrokkene opleveren en een risico voor de integriteit van opsporingsonderzoeken met zich mee brengen is toepassing van een bijzondere opsporingsbevoegdheid noodzakelijk. Deze basisnorm is af te leiden uit de wetsgeschiedenis en andere jurisprudentie met betrekking tot opsporingsmethoden. (Zie bijvoorbeeld Kamerstukken II 1996/97, 25 403, nr. 3, p. 110 en 115 en HR 19 december 1995, ECLI:NL:HR:1995:ZD0328, HR 20 januari 2009, ECLI:NL:HR:2009:BF5603, NJ 2009, 225, m.nt. Borgers, HR 13 november 2012, ECLI:NL:HR:2012:BW9338, NJ 2013, 413, m.nt. Borgers en HR 7 juli 2014, ECLI:NL:PHR:2014:623)

In dit geval stellen de rechters vast dat toepassing van de bijzondere opsporingsbevoegdheid van stelselmatige-informatie inwinning op zijn plaats is geweest. Daarbij is het interessant dat de rechters ook expliciet de kennisname van informatie over de sociale media contacten van de betrokkene en de kennisname van berichten die op het profiel in het verleden zijn geplaatst meenemen in hun beoordeling over de zwaarte van de privacy inmenging door de opsporingsmethode.

Het is toe te juichen dat in deze uitspraak zo uitgebreid wordt ingegaan op de juiste grondslag voor de toepassing van opsporingmethoden op internet. De wetgever heeft al eerder duidelijk gemaakt dat bestaande bijzondere opsporingsbevoegdheden ook op internet kunnen worden toegepast (Zie Kamerstukken II 1996/97, 25 403, nr. 3, p. 29 en p. 55 en Kamerstukken II 1998/99, 26 671, nr. 3 p. 36-37) Echter, deze wetsgeschiedenis stamt uit 1997, waardoor onduidelijkheid bestaat over de toepassing van deze bevoegdheden in de huidige internet omgeving. Terecht wordt door de rechters vastgesteld dat voor de interactie met verdachten op internet, in de vorm van vriendschapsverzoeken op Facebook om toegang te krijgen tot privéinformatie op een profiel, de bijzondere opsporingsbevoegdheid voor het stelselmatig inwinnen moet worden toegepast. In dat geval wordt een meer dan geringe inbreuk op de persoonlijke levenssfeer van de betrokkene in het opsporingsonderzoek gemaakt en kan een ‘min of meer volledig beeld van bepaalde aspecten van het privéleven’ van de betrokkene worden verkregen, hetgeen volgens de rechtsgeschiedenis stelselmatigheid en toepassing van de bijzondere opsporingsbevoegdheid voor stelselmatige observatie of stelselmatige informatie-inwinning vereist. (Zie ook Kamerstukken II 1996/97, 25 403, nr. 3, p. 26-27. Zie ook r.o. 5.18. Alhoewel dit criterium meer specifiek is gesteld voor stelselmatige observatie, kunnen de criteria voor het vaststellen van stelselmatigheid bij observatie ook tot op een zekere hoogte worden toegepast voor stelselmatige informatie-inwinning (zie ook r.o. 5.22).

De rechters gaan in deze zaak een stap verder door al vóór het aanmaken van een account toepassing van de bijzondere bevoegdheid te vereisen (zie r.o. 5.27). Daarmee wordt geanticipeerd op opsporingshandelingen die een meer dan geringe inbreuk op het recht op privacy van de betrokkene(n) maken. Mogelijk zou het aanmaken van het nepprofiel ook kunnen plaatsvinden op grond van art. 3 Politiewet 2012, waarbij voor de daadwerkelijke interactie met de verdachte pas de bijzondere opsporingsbevoegdheid van art. 126j Sv wordt toegepast. De aanvang van het moment van interactie met de verdachte(n) zal echter lastig in te schatten zijn. Voor deze meer voorzichtige benadering van de rechtbank Den Haag valt om die reden zeker te pleiten. Overigens zouden opsporingsambtenaren ook hun opsporingshandelingen op internet op grond van art. 3 Politiewet 2012 nauwgezet moeten verbaliseren. De verbalisering van de opsporingshandelingen kunnen vragen van de verdediging beantwoorden over de risico’s van uitlokking waarvan sprake kan zijn bij dit soort undercover opsporingsmethoden (EHRM 4 november 2010, Bannikova v. Russia, nr. 18757/06, § 49-50, EHRC 2015/14, m.nt. F.P.  Ölçer). In deze zaak zijn over de vastlegging van de opsporingsactiviteiten terecht vragen door de verdediging gesteld.

Conclusie

Mijns inziens was een bevel voor het toepassen van de bijzondere opsporingsbevoegdheid tot stelselmatige observatie op grond van art. 126g Sv meer op zijn plaats geweest voor het bekijken en registreren van gedragingen op publieke toegankelijke profielen van Facebook en Twitter. Observatie wordt immers gekenmerkt door het passief waarnemen van gedrag van individuen. Een undercover opsporingsmethode, zoals stelselmatige informatie-inwinning, kenmerkt zich daarentegen door het actief interfereren in het privéleven van de betrokken in een opsporingsonderzoek. Dat laatste vindt plaats bij het communiceren met de verdachten via internet of bij het toevoegen als vriend met de verdachte op Facebook. De rechters beargumenteren overigens dat toepassing van de bijzondere opsporingsbevoegdheid tot infiltratie op grond van art. 126h Sv niet noodzakelijk is geweest, omdat geen strafbare feiten door de opsporingsambtenaren zijn begaan bij het plaatsen van berichten op de Facebookpagina’s van de nepjihadi’s. Mijns inziens was een infiltratietraject echter zo gek nog niet geweest voor de undercoveracties, waarbij ook mogelijk strafbare berichten werden geplaatst door politieambtenaren om de aandacht te trekken van de verdachten.

Tot slot moet nog worden opgemerkt dat binnen het project Modernisering Strafvordering nader wordt onderzocht in hoeverre behoefte is aan de nadere normering voor het vergaren van informatie op internet over verdachten als opsporingsmethode binnen het Wetboek van Strafvordering. Dergelijk onderzoek is nuttig, zo blijkt uit deze uitspraak die aantoont dat onduidelijkheid bestaat over de juridische grondslag voor opsporingsmethoden die via internet worden uitgevoerd. Hoewel men zich kan afvragen of het bekijken en vastleggen van gegevens van personen op publiekelijk toegankelijke gegevens op internet als een aparte bijzondere opsporingsbevoegdheid moet worden geregeld, staat als een paal boven water dat er linksom of rechtsom grote behoefte is aan duidelijkheid over de toepassing van bijzondere opsporingsbevoegdheden op internet. Dit vonnis van de Rechtbank Den Haag geeft alvast enige richting aan het juridisch kader dat van toepassing is op de uitvoering van opsporingsmethoden op internet.

Deze tekst is vergelijkbare vorm verschenen in Computerrecht. De verdachten zijn ook in hoger beroep veroordeeld (Hof Den Haag 7 juli 2016, ECLI:NL:GHDHA:2016:1978).

A warrant requirement for analysing data stored on smartphones

jjoerlemans Een reactie plaatsen

Posted on 28/05/2015

On 22 April 2015, the Dutch high court of Arnhem-Leeuwarden possibly set a precedent with far-reaching consequences. In this particular criminal case, a law enforcement official seized a smartphone and subsequently read and copied WhatsApp messages stored on the smartphone. The defence successfully argued that the investigation method was in violation of the right to privacy as articulated in art. 8 ECHR. The high court of Arnhem-Leeuwarden agreed and deemed the current regulations not foreseeable.

Currently, as explained in my previous blog post, law enforcement officials can seize a smartphone and examine all data stored on it in the context of a criminal investigation to obtain evidence without any notable legal thresholds. However, the high court points out that smartphones contain “not only access to traffic data, but also the contents of communications and private information of a smartphone user” . Because the analysis of such data severely infringes in the right to privacy, the current regulations for seizing and analysing data stored on smartphones are not adequately regulated according to the court.

Right to privacy and analysis of information on smartphones

Indeed, the European Court of Human Rights (ECtHR) recently decided in the case of Prezhdarovi v Bulgaria that (1) a judicial warrant requirement and (2) a limitation of the scope of the sought after data on computers is preferable when law enforcement authorities seize computers and analyse data stored on computers. Considering the serious privacy infringement that takes place when personal data that is stored on computers is analysed by law enforcement authorities, adequate safeguards in the domestic laws of States should protect the involved individuals against arbitrary interferences of State in their personal lives according to the ECtHR.

The decisions of the high court of Arnhem-Leeuwarden and ECtHR indicate that the Dutch regulations for the seizure of computers such as smartphones require amendments in order to adequately protect the right to privacy. In June 2014, the Dutch Ministry of Security and Justice already suggested that amendments were required for analysing data on computer systems. Yet, these amendments only suggested the legal thresholds of an order of a public prosecutor, whereas the ECtHR seems to prefer a prior review of an investigating judge – i.e., basically a warrant requirement – to analyse data on computer systems.

International trend?

Interestingly, almost a year ago, the U.S. Supreme Court decided in the landmark case of Riley v. California that a judge’s warrant is required in order to seize a smartphone and analyse data stored on a smartphone. The protection of the warrant requirement was deemed appropriate, because: “Modern cell phones are not just another technological convenience. With all they contain and all they may reveal, they hold for many Americans “the privacies of life”.

Obviously, modern cell phones do not contain the ‘privacies of life’ only for Americans. So tell me, does your domestic State law require a warrant to seize computers and analyse data stored on those devices?

This is a cross-post from LeidenLawBlog.nl.

=== Updata ===

My commentary (in Dutch) on the case of 22 April 2015 is available here (in .pdf).

Note that, in the meantime, the Dutch courts of Oost-Brabant and Noord-Holland desmissed the verdict of the high court of Arnhem-Leeuwarden, stating that article 94 of the Dutch Code of Criminal Procedure allows for the seizure of smartphones and subsequent search of data stored on the device.

The court of Amsterdam decided on 18 June 2015 that art. 8 ECHR was not infringed, because law enforcement restricted the search of data stored on the smartphone to  contact details. Thefefore, the search was not deemed disproportionate. Interestingly, other judges of the court of Noord-Holland decided on 4 June 2015 in a different case that seizing a smartphone based on art. 94 DCCP does infringe art. 8 ECHR. Clearly, the courts in the Netherlands are devided on the question whether seizing a smartphone based on art. 94 DCCP infringes art. 8 ECHR. Apparently, the Public Prosecution’s Office went in appeal and the question will be brought  to the Dutch Surpeme Court.

Strafbaarheid van grooming

jjoerlemans Een reactie plaatsen

Op 11 november 2014 heeft de Hoge Raad een arrest gewezen waarin de strafbaarheid van grooming wordt verduidelijkt (ECLI:NL:HR:2014:3140). In het arrest maakt de Hoge Raad duidelijk dat voor strafbaarheid van grooming vereist is dat de verdachte ‘een ontmoeting voorstelt’ én ‘hij enige handeling onderneemt gericht op het verwezenlijken van ontmoeting’. Daarbij hoeft de ontmoeting niet daadwerkelijk plaats te vinden. Grooming is immers in feite een voorbereidingshandeling (zie ook de aangehaalde wetsgeschiedenis (Kamerstukken II 2008/09, 31 810, nr. 3, p. 9).

In de onderhavige zaak was het voldoende dat de verdachte (i) bij herhaling bij het slachtoffer heeft aangedrongen op een ontmoeting en daartoe heeft voorgesteld elkaar te ontmoeten in het bos, in het winkelcentrum en bij haar thuis, waarbij hij een concrete middag, avond dan wel een tijdstip heeft genoemd; (ii) er bij het slachtoffer herhaaldelijk op heeft aangedrongen dat de ontmoetingen snel zouden plaatsvinden en hij haar onder druk heeft gezet; en (iii) het slachtoffer in het kader van het concretiseren van een afspraak zijn telefoonnummer heeft gegeven.

De advocaat-generaal, AG Spronken, adviseerde de Hoge Raad overigens de zaak over te laten doen. Volgens haar is er meer nodig dan deze handelingen van de verdachte om hem te kunnen veroordelen voor grooming. Om van grooming te kunnen spreken moet er volgens Spronken een concreet voorstel voor een ontmoeting zijn en moet de verdachte iets doen om die ontmoeting te realiseren, zoals bijvoorbeeld  op weg gaan naar de afgesproken plaats. De Hoge Raad heeft met de uitspraak dus een lagere drempel aangehouden dan de AG adviseerde.  

Kort na het arrest van de Hoge Raad heeft de Rechtbank Oost-Brabant op 9 december 2014 een man heeft vrijgesproken van grooming (ECLI:NL:RBOBR:2014:7494). Volgens de rechtbank was slechts sprake was van een poging tot grooming, hetgeen niet strafbaar is. Alhoewel de rechtbank het sturen van seksueel getinte berichten van de docent naar een 15-jarig meisje als ‘uiterst laakbaar’  bestempeld, is voor grooming vereist dat de communicatie zich concretiseert tot een voorstel voor een ontmoeting, gevolgd door gedragingen gericht op het tot stand komen van die ontmoeting. De rechtbank merkt op dat een verdere verschuiving van strafbaarheid naar de voorfase zou betekenen dat het louter versturen van sms-berichten met seksuele toespelingen al strafbaar zou zijn.

Hacking without a legal basis

jjoerlemans Een reactie plaatsen

Posted on 30/10/2014 on Oerlemansblog

In May 2014, the Dutch Public Prosecution Office announced that the Dutch police participated in a global action against ‘Blackshades’ malware. Blackshades enables individuals to remotely take over computers and copy information (among other functionalities). The Dutch press release stated that:

“Team High Tech Crime of the Dutch police saw an opportunity to enter the Blackshades server and secure a large amount of information. The location of the server is unknown”.

This statement implies that Dutch law enforcement authorities entered the server remotely to copy data. Said in other words, Dutch law enforcement authorities hacked a server without knowing the location of the server to secure information. Indeed, recent answers to parliamentary questions confirmed the computer was ‘remotely accessed’(hacked) by law enforcement authorities during the operation in May. In addition, the Dutch Minister of Security of Justice stated in the letter to the Dutch Parliament that art. 125i of the Dutch Code of Criminal Procedural (DCCP) provides for a legal basis to access computer remotely (by hacking) and copy information.

The problem with this letter is that there is arguably no legal basis for hacking in Dutch criminal procedural law. The statement of the Minister of Safety and Justice is in my view worrisome, because a special investigation power is interpreted very broadly by the minister to suit the needs of law enforcement authorities. This undermines a fundamental principle of our criminal law system.

Art. 125i DCCP does not provide a legal basis for hacking

Art. 125i DCCP provides for an ill-understood investigation power that allows law enforcement authorities to search a place in order to secure information stored on computers. The article specifically refers to existing investigation powers for search and seizure at a particular place by law enforcement authorities. Therefore, art. 125i DCCP should always be read in conjunction with the power to search a place, seize a computer and subsequently search data on a computer. In the letter, the minister seems to ignore these explicitly referred to powers of search and seizure at a particular place.

For example, a public prosecutor can seize a computer located at hosting provider and search the data stored on a computer in an effort to secure the sought after data upon the legal basis of art. 125i DCCP jo art. 96c DCCP. These powers for search and seizure are simply different from hacking as an investigation method. The most notable difference between hacking and the search and seizure of computers is that hacking takes place remotely in secret, whereas the search and seizure of computers takes place at a particular place in the presence of witnesses.

There are good reasons to think that the Dutch legal framework to analyse data on computers is outdated. Additionally, there are good reasons why law enforcement authorities feel the need to be able to access computers remotely to acquire information relevant to a criminal investigation. But a key principle and essential to the rule of law is that law enforcement authorities are bound by the law. In my view, as I argued extensively in 2011 and 2013 (in Dutch), Dutch criminal procedural law does not provide for the investigation power to hack computers by law enforcement authorities.

Criminal procedural legality principle

In Dutch criminal procedural law, investigation methods that infringe in the right to privacy in more than a minor way or threaten the integrity of a criminal investigation require detailed regulations. This ‘criminal procedural legality principle’ with regard to the regulation of investigation methods ensures that governmental powers are controlled by the law and prevent arbitrary interferences by the government in the private lives of citizens. The principle also ensures that governmental powers to investigate crime are foreseeable to citizens. In essence, this legality principle harnesses governmental power which is essential to the rule of law.

Therefore, I find it curious our Minister of Security and Justice endorses a broad and highly debatable interpretation of the law to enable law enforcement authorities to hack computers, especially considering that a new legislative proposal is under way which aims to regulate hacking as an investigation power. This ‘Computer Crime Act III’ will be send to the Dutch Parliament in early 2015.

A democratic legislative process is required to provide Dutch law enforcement authorities with the powers that a majority of the elected representatives of the Dutch people find appropriate. Perhaps hacking computers under stringent conditions to allow for evidence gathering activities is desirable as a new investigation power. But in the meantime, the criminal procedural legality principle as a key principle in Dutch criminal procedural law should not be ignored.

This is a cross post from LeidenLawBlog.nl

Is data retention useless?

jjoerlemans Een reactie plaatsen

Posted on 03/03/2014 on Oerlemansblog

“Data retention of web data is useless” were the headlines of some news outlets in the Netherlands a few weeks ago. In my view the journalists jumped to conclusions after quickly reading the evaluation report (.pdf) of the Research and Documentation Centre of the Dutch Ministry of Safety and Justice with regard to data retention (English summary is available on p. 151-159). I think some more nuance is needed and it may be interesting to compare the report to my own research results with regard to data retention after several successful data access requests.

Retention of telephony data

The authors of the report explain that telephony data is nowadays used in almost every criminal investigation. Location data and call detail records are particularly useful according to interviewed investigators and based on case law.

Two researchers tried to obtain their own telecommunications data with a data access request, but were unable to obtain location data. My own data access request proved more successful as described is a previous blog post. I recognize the researchers experience it was too difficult to obtain the data and stress there are questions surrounding our governments plans to leave out notification requirements after certain types of data have been collected by law enforcement officials.

Retention of internet data

The retention of internet related data regards internet access, e-mail provided by ISPs and managed VoIP-telephony. The full list of data that must be retained for 6 months is available here at section “B”. Thus, search queries and visited websites are not retained by telecommunication companies, as well as the ‘contents’ of e-mail messages and other messages or conversations held using the Internet.

My own data request at broadband internet access provider revealed that in a period of three days was only one IP-address and the subscriber data was retained. Since I do no use the e-mail client provided by my ISP, there is no e-mail data available. The report tellingly quoted a law enforcement official that stated that practically “only 55-years-olds and above” still privately use e-mail of their internet access providers. Webbased telecommunication services are not obligated to retain data. The available data can only be obtained using legal aid requests. Researchers point out there are significantly less data requests in the Netherlands at these foreign providers than in other EU countries, but they cannot explain why.

Identifying internet users

An important question is how internet related data retention data is used in criminal investigations. The authors of the report explain that the retention of internet data is primarily used in cybercrime investigations (investigations in which the Internet plays a facilitating role in the commission of the crime). The retention of the assigned IP-address to the router of a broadband internet connection may enable law enforcement officials to (eventually) identify suspects. In cybercrime investigations, in some cases a logged IP-address of a device used to perpetrate a crime is the only lead available. Tracing back the IP-address may to an ISP, depending on what service is used to access the Internet and whether anonymizing services are used.

Since suspects may just as well live in a different country than the Netherlands when committing a cybercrime, the trace often leads to a foreign ISP. According to the author of the report, investigators therefore largely depend legal aid requests to collect the available data. When data retention regulations are in place, the data is at least available for a period of time. However, not all EU Member States implemented the EU Data retention directive and local regulations always differ which can be frustrating for law enforcement officials.

Most significantly, the researchers suggest it may be very difficult to identify mobile internet users solely upon the basis of an IP-address (p. 102-106). My own data access request at my telephone provider revealed that the assigned IP-addresses by the telephone company was often the same. It is likely that many people at the same time make use of the same IP-address using Network Address Translation (NAT) technologies, after which the internet traffic is distributed further through the companies infrastructure. All these people then make use of the same IP-address. When there is no additional information retained about the devices it may be difficult to identify individual users who were all assigned the same IP-address. I cannot determine upon the basis of the available information whether telecommunication providers are able to trace back individual users upon the basis of an IP-address, but if I’m reading it correctly the research report suggests they cannot. That seems as a rather significant conclusion to me.

Interestingly, the interviewed law enforcement officials unanimously agree the retention period of 6 months for internet related data is too short. Taking in consideration the amount of time criminal investigations can take I understand these statements from an investigation perspective. But the Dutch parliamentary shortened the retention of internet data from 1 year to 6 months in 2011 citing privacy concerns. The researchers report also explain how many of the interviewed law enforcement officials were unaware internet related data was retained. Internet related retention data is primarily used in cybercrime investigations. The researchers point out there is still a knowledge deficit among law enforcement officials on how to the use internet related data in criminal investigations regarding crimes of all types.

Conclusion

Contrary to what some news articles suggest, the collection of data at telecommunication providers – of which the availability is ensured by data retention legislation – is almost standard practice in criminal investigations. It is deemed as ‘very useful’ by investigators and case law suggests the data is relatively often used as evidence in criminal cases.

Data retention of internet related communications prove to be particularly useful in many cybercrime investigations, because the retention of assigned IP-addresses to broadband Internet customers may enable law enforcement officials to identify internet users. When a different internet connection than a household internet connection is used, it may be difficult to identify internet users. Perhaps internet users can even stay anonymous by using a mobile internet connection. This seems strange, because data retention legislation is specifically created to identify people and aid in criminal investigations. Indeed, the obligatory retention of mobile internet related data seems rather useless in case the information cannot be used to identify people. However, the location data that is retained every time data is transmitted through a telecommunications network still often aids in criminal investigations.

Before the legislator considers to expand data retention regulations, it may be worth considering whether there is other information available at third parties that can be collected to identify internet users. People also often have to login to make use of the internet access service which may provide for leads and there may be camera footage available for example. The regulations for the retention of internet data must be reviewed on its own merits, because it is simply not the same as telephony data. The future will tell us how the legislators respond to the research findings of the report. The Dutch minister of Security and Justice already announced he will review in the coming months whether expanding the list of data retention is desirable.