Auteur jjoerlemans

Cybercrime jurisprudentieoverzicht dec. 2023

jjoerlemans

Nederlandse hacker veroordeeld voor afpersing en witwassen

Op 3 november 2023 heeft de rechtbank Rotterdam een Nederlandse hacker veroordeeld (ECLI:NL:RBAMS:2023:6967) voor een fikse gevangenisstraf van vier jaar (waarvan één jaar voorwaardelijk). De verdachte moet ook honderdduizenden euro’s aan schadevergoeding betalen. Hij heeft zich onder meer schuldig gemaakt aan computervredebreuk, afpersing, heling van niet-openbare gegevens, ransomware en het witwassen van een bedrag van meer dan een miljoen euro.

Door het verwijderen van allerlei gegevens (ook over de slachtoffers) is het vonnis minder goed leesbaar en blijft de impact van de zaak onduidelijk. Daarom volgt eerst een korte inleiding en daarna zoals gebruikelijk een samenvatting van het vonnis.

Inleiding

Het gaat in deze zaak om een Nederlandse hacker. Eerder verscheen op Follow the Money een artikel over de zaak (en een achtergrondverhaal over de hacker). Samen met anderen zou hij (ook door gebruik van ransomware) slachtoffers hebben gemaakt in onder meer de VS, Engeland, Letland, Nederland en Rusland. 

RTL nieuws schreef ook een interessant artikel over het Nederlandse bedrijf Ticketcounter die slachtoffer was geworden. Alleen al bij Ticketcounter ging het om persoonlijke gegevens van honderdduizenden Nederlanders die via Ticketcounter een kaartje hebben gekocht voor een pretpark, dierentuin, evenement of museum. Gegevens van 1,5 miljoen ticketkopers, met daarin ook geboortedatums, adressen, telefoonnummers en bankrekeningnummers werden aangeboden op hackersforum RaidForums (nu offline). 

In het artikel worden ook andere slachtoffers genoemd, zoals de uitgever van seniorenblad Plus Magazine en de website PlusOnline, de cryptobeurs Litebit en de Hogeschool van Arnhem en Nijmegen (HAN) (deze gingen allen niet in op de afpersing). In een artikel op AD.nl wordt ook gesproken over een gezondheidsorganisatie en een internetforum voor prostitutieklanten die slachtoffer werden van afpersing.

Strafbare feiten

De verdachte heeft in de periode van 1 juli 2021 tot en met 23 januari 2023 een onder andere een gezondheidsorganisatie heeft afgeperst met ransomware (‘Tortilla-ransomware’). Dit betreft daarmee een de weinige veroordelingen voor het gebruik van ransomware in Nederland (zie verder het bericht over CoinVault op deze blog).

Daarnaast was hij in het bezit van software benodigd voor phishing en gestolen databases met gegevens van miljoenen mensen (7,3 miljoen mensen) die bij uitstek informatie bevatten die niet bedoeld was om openbaar te worden. De rechtbank ontslaat de verdachte van alle rechtsvervolging van door de verdachte zelf gehackte niet-openbare gegevens. Hoewel dit niet volgt uit de bewoordingen van artikel 139g Sr, kan volgens de rechtbank uit de parlementaire geschiedenis (Kamerstukken II 2015-2016, 34372, nr. 3, par. 4.1 en 4.2) worden afgeleid dat de wetgever het toepassingsbereik van dit artikel heeft willen beperken tot gegevens die uit een door een ander gepleegd misdrijf zijn verkregen. Ter voorkoming van automatisch dubbele strafbaarheid is het vaste jurisprudentie bij de heling van een goed als bedoeld in artikel 416 Sr dat de omstandigheid, dat iemand een helingshandeling begaat ten aanzien van een goed dat hij zelf door enig misdrijf heeft verkregen, aan zijn veroordeling wegens heling in de weg staat (zie bijvoorbeeld HR 30 oktober 2001, ECLI:NL:HR:2001:AD5149). Dit wordt ook wel de heler-steler-regel genoemd. 

Witwassen

De verdachte heeft een bekennende verklaring afgelegd ten aanzien van het witwassen, maar niet ten aanzien van de hoogte van het bedrag. Volgens de officier van justitie is € 2.214.923,68 (!) in cryptovaluta witgewassen en € 46.405 in contanten. De rechtbank is van oordeel dat op grond van de bekennende verklaring van verdachte en de bewijsmiddelen kan worden bewezen dat verdachte een hoeveelheid cryptovaluta en een geldbedrag van € 46.510,- tezamen en in vereniging heeft witgewassen. Het contante geld is bij verdachte aangetroffen en hij heeft bekend dat hij dit bedrag heeft witgewassen. Verdachte heeft dit geld uit misdrijf ontvangen in cryptovaluta en deze valuta omgezet in contanten door het geld op te (laten) nemen. Ten aanzien van de cryptovaluta heeft verdachte bekend dat alle binnengekomen cryptovaluta uit misdrijf afkomstig is.

De rechtbank stelt vast dat de cryptovaluta uit eigen misdrijf van verdachte afkomstig is, al dan niet via deelneming aan strafbare feiten gepleegd door anderen. Door de cryptovaluta telkens om te zetten naar andere valuta (zoals Monero (JJO: dit is één van de weinige keren dat deze cryptovaluta in jurisprudentie wordt genoemd)) en deze te mixen via mixing services, heeft verdachte de herkomst en de vindplaats verhuld en heeft hij verhuld wie de rechthebbende(n) op die cryptovaluta en/of het geldbedrag waren, en wie het geld voorhanden had. De rechtbank stelt ook vast de verdachte een cryptovaluta van € 1.024.666,35 heeft witgewassen uit afpersing dan wel afdreiging. De rechtbank stelt dat vast dat voor het overige bedrag (JJO: meer dan 1,2 miljoen euro (!)), op basis van de verklaringen van de verdachte, het voldoende aannemelijk is geworden dat de berekening van het Openbaar Ministerie dubbeltellingen bevat. De rechtbank kan daarom niet met voldoende mate van zekerheid vaststellen hoeveel cryptovaluta uit onbekende bron is witgewassen.

Strafmotivering

De rechtbank heeft in het voordeel van verdachte in de strafoplegging rekening gehouden met zijn persoonlijke omstandigheden, waaronder PTSS, zijn jonge leeftijd en zijn proceshouding. De verdachte heeft op den duur actief meegewerkt aan het onderzoek en een – grotendeels – bekennende verklaring afgelegd.

Alles afwegende vindt de rechtbank een gevangenisstraf van vier jaren passend. De rechtbank zal hiervan één jaar voorwaardelijk opleggen om verdachte ervan te weerhouden om in de toekomst strafbare feiten te plegen. De rechtbank verbindt aan het voorwaardelijk strafdeel de volgende bijzondere voorwaarden: een meldplicht bij de reclassering, dagbesteding, meewerken aan schuldhulpverlening en ambulante behandeling. De rechtbank ziet – gelet op de ernst van de feiten – aanleiding om aan het voorwaardelijk strafdeel een langere proeftijd te koppelen en legt een proeftijd van drie jaren op.

Moderator op een forum voor seksueel misbruik van minderjarigen veroordeeld

Op 4 oktober 2023 heeft de rechtbank Rotterdam een verdachte voor vijf jaar gevangenisstraf veroordeeld (ECLI:NL:RBROT:2023:10960) vanwege deelname aan een criminele organisatie, het bezit en verspreiding van een grote hoeveel kinderporno en het bezit en verspreiden van dierenporno.

De verdachte was actief op het online chatplatform ‘The Annex’. The Annex is een ‘hidden service’ website op het darkweb en alleen bereikbaar via het TOR-protocol. Op dit chatplatform verspreidde de verdachte kinderporno, bood hij dit aan en heeft hij zich daarnaast ook in zijn rol als ‘apprentice moderator’ ingespannen om de werking van die website te verbeteren en uit te breiden.

Criminele organisatie

De rechtbank stelt vast dat het platform The Annex werd gerund door een hiërarchisch ingerichte organisatie met een eigenaar, diverse administrators en (daaronder) moderators van verschillende rangen. Deze functionarissen werden alle tot de staf gerekend en zij namen online deel aan ‘staffmeetings’. Deze vergaderingen vonden regelmatig plaats met een steeds wisselende agenda. Tijdens deze meetings werden zaken besproken zoals de ontwikkeling van (het gebruik van) de site en de promotie daarvan, technische aspecten, maar ook regels waaraan gebruikers zich moesten houden.

Waar geregistreerde gebruikers toegang hadden tot de zogeheten ‘Annex Gateway’ en pas toegang konden krijgen tot specifieke chatrooms wanneer zij kinderporno deelden en deelnamen aan de conversatie binnen die chatomgeving, hadden de administrators en moderators meer rechten en privileges dan de geregistreerde gebruikers. Alleen zij hadden toegang tot bepaalde voor gebruikers afgeschermde gedeeltes van de sites. De hiervoor genoemde functies en rol-en taakverdeling geven blijk van een georganiseerd verband. Het spreken over en het aanbieden en verspreiden van kinderpornografisch beeldmateriaal is de kern van het bestaan van The Annex en daarmee is ook het oogmerk van de organisatie gegeven, aldus de rechtbank.

Strafmotivering

De rechtbank overweegt ook dat de verdachte een zeer grote hoeveelheid kinderporno gedownload. In totaal zijn er op de inbeslaggenomen gegevensdragers bij de verdachte 120.213 foto’s en 11.379 films/video’s aangetroffen die aan de criteria van kinderpornografisch materiaal voldeden, waarvan 98.215 foto’s makkelijk benaderbaar waren. Het ging om foto’s en video’s van ernstig seksueel misbruik van jonge kinderen. Gezien de ernst van de feiten en gelet op straffen die in vergelijkbare zaken zijn opgelegd zal een onvoorwaardelijke gevangenisstraf van langere duur worden opgelegd. In strafverzwarende zin wordt daarbij meegewogen de lange periode van de strafbare feiten alsmede de ernst en het veelal gewelddadige karakter van het kinderporno- en dierenpornografisch materiaal.

Het lekken van persoonsgegevens en medeplichtigheid bij een aanslag

De rechtbank Gelderland heeft op 6 november 2023 een verdachte veroordeeld (ECLI:NL:RBGEL:2023:6115) voor twee jaar gevangenisstraf vanwege computervredebreuk, het doorgeven van deze gegevens aan een ander en medeplichtigheid aan het medeplegen van de voorbereiding van opzettelijk een ontploffing teweegbrengen en brandstichting op een woning. Deze aanslag is voorkomen door vroegtijdig ingrijpen van de politie.

De verdachte was ‘senior klant contact specialist’ bij een verzekeraar en had daarmee toegang tot persoonlijke informatie van verzekerden en de Basis Registratie Personen (BRP). Gegevens uit deze systemen werden via Whatsapp met derden gedeeld. Deze gegevens zijn beide keren gebruikt voor (voorgenomen) aanslagen op woningen. Eén daarvan ziet op de afpersingszaak van een fruithandel (onderzoek ‘Panter’).

Crystal methlabs, Pablo-icecobar en witwassen met bitcoins

De rechtbank Oost-Brabant heeft op 29 november 2023 enkele verdachten veroordeeld voor het produceren en voorhanden hebben van metamfetamine (ook wel ‘ice’ of ‘crystal meth’ genoemd) in drugslabs in Drempt, Moerdijk, Willemsoord en Hauwert. De leider van de criminele organisatie krijgt een gevangenisstraf opgelegd van 14 jaar en 10 maanden (ECLI:NL:RBOBR:2023:5522). Uiteraard heeft de media ook over de zaak bericht. Lees bijvoorbeeld dit achtergrondartikel over de zaak in Panorama of luister deze podcast over de zaak van Radio1.

De zaak begon toen op 19 juni 2020 uit politie-informatie bleek dat een Mexicaanse burger woonachtig op zoek zou zijn naar een loods in het buitengebied van Nederland om een drugslab op te zetten. Naar aanleiding van deze informatie werd diezelfde dag een onderzoek opgestart onder de naam ‘26Inn’. Dat onderzoek richt met name op de organisatie achter deze drugslabs. Op basis van observaties, taps en het ontsleutelen van cryptoberichten zijn in het onderzoek 26Inn meerdere drugslabs in beeld gekomen en meerdere verdachten aangemerkt die volgens het Openbaar Ministerie strafbare betrokkenheid hebben gehad bij de grootschalige synthetische drugsproductie.

Voor deze blog is met name relevant dat voor de bewijsvoering de inhoud van chatberichten van EncroChat- en Sky ECC relevant zijn geweest. Ook is gebruik gemaakt van tapgesprekken en locatiegegevens. Uit schattingen naar aanleiding van EncroChat-berichten tussen de bij de labs betrokken personen leidt de rechtbank af dat er alleen al in de maanden januari tot en met juni 2020 meer dan 450 kilogram metamfetamine is geproduceerd. Uitgaande van een verkoopprijs in april 2020 van € 7.000,- betekent dat een omzet van € 3.150.000,-. Een deel van de hierbij verkregen geldbedragen werd door een medeverdachte via een derde omgezet in bitcoins. Ook werden er vele geldbedragen door middel van moneytransfers via diverse kantoren in Den Haag naar Zuid-Amerika, Spanje en Amerika verzonden. In 2020 betrof dat 95 transfers voor een bedrag van € 80.894,-.

Eén van de verdachten met het EncroChat-account ‘Pablo-icecobar’ is als leider van de criminele organisatie aangemerkt. Hij vernam welke grondstoffen nodig waren en zorgde dat deze in de labs werden geleverd, regelde de ‘koks’ voor de verschillende drugslabs, stuurde deze aan en zorgde dat ze betaald kregen. Ook ontving hij na het productieproces het eindproduct en verkocht dat of zorgde dat dat verkocht werd. De criminele organisatie waaraan de verdachten hebben deelgenomen of leidinggegeven, bracht ‘de Mexicaanse methode’ naar Nederland, waarbij veelal Latijns-Amerikaanse laboranten naar Nederland werden gehaald om deze bereidingswijze van metamfetamine toe te passen.

De rechtbank overweegt dat de productie van metamfetamine gezondheidsrisico’s en grote schade toe aan het milieu en de leefomgeving met zich meebrengt. Het bereiden van metamfetamine gaat gepaard met het gebruik van zeer gevaarlijke stoffen en chemisch afval. Deze stoffen en afval komen terecht in de aardbodem, open wateren of openbare ruimtes. Dit leidt tot immense schade aan het milieu en deze komt veelal geheel voor rekening van de (lokale) gemeenschap. De ontdekking van een crystal meth-lab gaat daarnaast gepaard met onrust en een gevoel van onveiligheid voor de (lokale) gemeenschap. Deze drugslabs zijn dan volgens de rechtbank dan ook een zware vorm van ondermijning voor de Nederlandse samenleving.

Vrijspraak voor drugshandel in SkyECC-zaak

Op 8 november 2023 heeft de rechtbank Den Haag een verdachte vrijgesproken (ECLI:NL:RBDHA:2023:16698) voor handel in verdovende middelen. De rechtbank kan niet buiten redelijke twijfel vaststellen dat alleen de verdachte de gebruiker is geweest van Sky-accounts in de tenlastegelegde periode. Hierdoor kon niet worden bewezen dat de verdachte ook de gebruiker was van voornoemde Sky-accounts op de momenten dat er over drugshandel werd gesproken.

De rechtbank stelt wel vast dat er een relatie is tussen deze drie accounts. Uit het dossier volgt namelijk dat de Sky-accounts een gezamenlijke nickname hadden, dat er in de chatberichten van de Sky-accounts werd verwezen naar een account uit EncroChat en dat zowel de telefoon met het EncroChat-account als de telefoons met de Sky-accounts in de voor nachtrust bestemde tijd vaak gebruik maakten van een ‘basisstation’ op een locatie. Ook kunnen een aantal chatberichten van de drie accounts aan de verdachte kunnen worden toegeschreven. Zo wordt in de chatberichten geschreven over de dochter van de verdachte en een bepaalde motor van de verdachte (een “Ducati Monster”). Ook is enkele keren afgesproken op of nabij het adres van de verdachte.

Echter, ziet de rechtbank ook data en chatberichten die juist niet naar de verdachte wijzen en zelfs tegenspreken dat hij de gebruiker van de accounts is. Zo wordt de accountnaam ook door anderen gebruikt. Zo zijn er chatgesprekken in het Pools, terwijl de verdachte de Poolse taal niet machtig is. Ook zijn er andere aanwijzingen, waardoor de rechtbank niet kan uitsloten dat niet alleen de verdachte, maar ook een ander of anderen in periodes gebruik heeft/hebben gemaakt van de voornoemde Sky-accounts. Ten aanzien van de ten laste gelegde gesprekken waarin over – kort gezegd – drugshandel wordt gesproken, is voor de rechtbank niet vast te stellen dat het de verdachte is geweest die op die momenten van de accounts gebruikmaakte.

Veroordeling voor drugshandel via het darkweb in hoger beroep

In een hoger beroepszaak veroordeelt (ECLI:NL:GHARL:2023:8583) het Hof Arnhem Leeuwarden op 12 oktober 2023 een verdachte voor zes jaar gevangenisstraf vanwege drugshandel en witwassen, onder andere gepleegd via het darkweb. De zaak in eerste aanleg is in dit jurisprudentieoverzicht uit 2020 opgenomen.

Voor de bewijsvoering in de zaak van verdachte en in die van medeverdachten komt het in belangrijke mate aan op de inhoud van de ter beschikking gekomen chatberichten. Er werd gebruikgemaakt van telefoons van met name het merk ‘Wileyfox’ en laptops waarop de applicatie ‘Ironchat’ was geïnstalleerd. De verdachten communiceerden over de handel met elkaar – en met onbekend gebleven derden – door middel van de hiervoor beschreven versleutelde Ironchat-accounts. Op verschillende plaatsen in Nederland hadden zij werkhuizen en ‘stashplekken’ voor de te produceren en/of te verhandelen drugs. In die panden zijn door de politie niet alleen machines en toebehoren voor de productie van drugs aangetroffen, maar ook verpakkings- en verzendingsmaterialen.

De verdachten waren op het darkweb als verkopers actief en maakten gebruik van Bitcoin voor het betalingsverkeer. De verdachten verkochten onder andere cocaïne, speed, MDMA, 2-CB, xtc-pillen, LSD, ketamine, hash en heroïne en verkochten deze wereldwijd. Uit de zwaar geanonimiseerde uitspraak (ook de namen van de drugsmarktplaats zijn geanonimiseerd) blijkt dat Team Darkweb van de Landelijke politie de databases ervan had veiliggesteld. Verder heeft de politie pseudokopen gedaan en de blockchain datatool Chainalysis gebruikt om na te gaan waar bitcoinstransacties vandaan kwamen.

De bitcoins werden op gezette tijden omgewisseld in contant geld. De verdachte en zijn mededaders hebben door de opbrengsten van de grootschalige drugshandel via het darkweb aanzienlijke bedragen verworven en voorhanden gehad die van misdrijf afkomstig zijn. De verdachte heeft in de tenlastegelegde periode twee geldwissels uitgevoerd waarbij hij telkens bitcoins heeft ingewisseld voor geldbedragen die uiteindelijk optellen tot een totaalbedrag van 85.000 euro. Daarbij is sprake van witwassen.

Het hof stelt in navolging van de rechtbank Overijssel in eerste aanleg (ECLI:NL:RBOVE:2020:1597)  vast dat de verdachte zich samen met zijn medeverdachten gedurende langere tijd bezig heeft gehouden met omvangrijke drugshandel. Daarbij werden drugs geproduceerd en verhandeld. Verdachte en medeverdachten maakten daarbij onder meer gebruik van het darkweb en verzonden de bestelde drugs in vermomde postpakketten, zoals bijvoorbeeld DVD-hoesjes.

Verheldering juridisch kader online onderzoek door gemeenten

jjoerlemans Een reactie plaatsen

Op 26 oktober 2023 verstuurden demissionair Minister De Jonge (BZK) en staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering) een Kamerbrief over de verheldering van het juridisch kader over online onderzoek door gemeenten in het kader van de openbare orde en veiligheid.

Gemeenten hebben geen expliciete wettelijke grondslag om persoonsgegevens te verwerken in het kader van online onderzoek, maar mogen wel onder bepaalde voorwaarden doen. Dit zijn volgens de Kamerbrief:

  • Een aanleiding, gelegen in een concrete ordeverstoring of de dreiging daarvan.
  • De noodzaak om die specifieke persoonsgegevens te verwerken en rechtvaardiging van de inbreuk op grondrechten (proportionaliteit & subsidiariteit).
  • Naleving andere AVG-beginselen zoals rechtmatigheid, behoorlijkheid en transparantie, doelbinding, dataminimalisatie, juistheid en actualiteit, integriteit en vertrouwelijkheid, opslagbeperking.

Als daarbij een geringe inbreuk wordt gemaakt op de persoonlijke levenssfeer dan zou dat altijd zijn toegestaan en bij een grote inbreuk is dat nooit toegestaan. Daartussen in moet de focus worden verlegd naar ‘situaties naar specifieke personen’ en een afweging worden gemaakt. Gemeenten moeten een protocol opstellen hoe daarmee moet worden omgegaan en daarvoor is dan weer een handreiking gemaakt.  

De minister en staatssecretaris adviseren terughoudendheid ten aanzien en aanzien van het gebruik van zogenoemde internetmonitoringstools. Gezien de hoeveelheid persoonsgegevens die door de inzet van deze producten doorgaans wordt verwerkt, resulteert dit in de meeste gevallen waarin deze worden toegepast in het kunnen verkrijgen van een volledig beeld van bepaalde aspecten van het privéleven van personen. De verkrijgende organisatie, zoals een gemeente, draagt daarbij een eigen verwerkingsverantwoordelijkheid ten opzichte van de ontvangen persoonsgegevens.

Volgens de Landsadvocaat (.pdf) heeft de politie ruimere bevoegdheden onder het gezag van de minister online onderzoek te verrichten. De politie zal de politiegegevens, die zij middels een dergelijk online onderzoek heeft verkregen, op grond van de Wet politiegegevens (‘Wpg’) mogen verstrekken aan de burgemeester indien die gegevens relevant en noodzakelijk zijn voor de handhaving van de openbare orde. Dat is in de praktijk ook een veelgebruikte route. Daarnaast zien zij meer juridische ruimte voor het zelfstandig verrichten van online onderzoek door een gemeentelijk ambtenaar, voor zover het online onderzoek wordt verricht ten behoeve van de voorbereiding c.q. motivering van een besluit in de zin van de Algemene wet bestuursrecht (‘Awb’) dat strekt ter bescherming van de openbare orde.

Samen met de Kamerbrief zijn ook andere interessante documenten gepubliceerd, zoals het juridisch kader, een handreiking voor gemeenten, een gepubliceerde ‘second opinion’ van de Landsadvocaat en (nogal juridische) antwoorden op ‘veelgestelde vragen’.

The future of data driven investigation in light of the Sky ECC operation

jjoerlemans Een reactie plaatsen

In our article, ‘The future of data driven investigations in light of the Sky ECC operation’, we examine whether or not, and on what terms, there is a future for data driven criminal investigations.  To answer the research question, we identified the main characteristics and legal criteria for data driven investigations. We use the Sky ECC operation to contextualise data driven investigations. The legal criteria are derived from the right to privacy and the right to a fair trial. Finally, we examine the impact of a violation of these criteria for the use of evidence in criminal proceedings.

The full article is published in open access in the New Journal of European Criminal Law (.pdf). It is part of a thematic issue ‘Bridging the Regulatory Disconnection Between Data Collection and Data Analysis in Criminal Investigation’. In this blog post, we share our main findings.

The Sky ECC operation

Sky ECC is an app on so-called cryptophones, which were widely used by individuals involved in organised crime. The app used encryption techniques to communicate more securely and entailed additional features to anonymise its users.

French, Dutch and Belgium law enforcement authorities cooperated in a Joint Investigation Team (JIT) to gather evidence about the criminal activities of Sky Global and its users and share technical knowhow. In our article we explain the events of the operation as detailed as possible. Most notably, French law enforcement authorities were able to collect and decrypt messages and other data sent by Sky ECC cryptophones from 18 December 2020 until presumably approximately 9 March 2021.

According to Belgian law enforcement officials, 1 billion (!) messages were intercepted by French law enforcement authorities in France and shared with the JIT partners. At least 500 million messages of this ‘bulk interception’ were decrypted within the first month. We believe that these messages represent a treasure trove or “jackpot” for law enforcement authorities, due to the potential evidence of crimes and intelligence that can be derived from them. Law enforcement officials have made similar statements in interviews.

Therefore, the Sky ECC operation is a prime example of a data driven investigation. This type of investigation involves the processing of data that has been collected by law enforcement authorities in an earlier phase, which is then enriched, and linked with other data for future investigations. Of course, the bulk collection and subsequent analyses of data for use of evidence, raises questions relating to the right to privacy and the right to a fair trial.

  1. Right to privacy

In our article, we examine the privacy interference in an operation such as Sky ECC and identify which minimum safeguards the European Court of Human Rights (ECtHR) would probably require in a (future) case involving this type of operation. We explain that the bulk collection in Sky ECC significantly interferes with the right to privacy and the ECtHR would probably require at least the same safeguards as identified in the case of Big Brother Watch and Centrum för Rättvisa.

We find it particularly noteworthy that the minimum safeguards do not only focus on the collection phase, but require safeguards during all phases, including the (further) processing of data. Obviously, only a warrant provided by a judge or independent authority to justify bulk interception of communications is not enough. With these minimum safeguards, the ECtHR makes clear that throughout the phases of bulk data investigations, principles of data protection regulations apply. Here, the ECtHR clearly establishes a connection between criminal procedural law and data protection law.

In order to minimise the risk of the bulk interception power being abused, the ECtHR emphasises the need for ‘end-to-end safeguards’. This entails the following key elements: (a) a necessity and proportionality assessment should be made at each stage of the process; (b) bulk interception should be subject to independent authorisation at the outset, when the object and scope of the operation are being defined; and (c) the operation should be subject to supervision and independent ex post facto review.

  1. Right to a fair trial

In our analysis of the right to fair trial, we focused on the ‘equality of arms’, a key principle of the right to a fair trial. The ECtHR has consistently judged that criminal procedure should be adversarial and that there should be ‘equality of arms’ between prosecution and defence. Building upon earlier work of others, we identified three main elements of the equality of arms in the context of the Sky ECC operation: (1) transparency; (2) reliability of evidence; and (3) access to datasets.

We noted that the use of algorithms, key word indexes, or network analysis techniques is rarely mentioned in case law. Yet, this information may be relevant when discussing the reliability of the evidence. Compared to earlier work, we made a more in-depth analysis regarding the issue of the reliability of evidence.

The legal evaluation of the authenticity and reliability of digital evidence, and therefore the opportunity for the defence to challenge digital forensics expertise, depends on the selected digital forensic process, methods, and tools for each forensic task. There must be sufficient documentation and possibilities to challenge the reliability of evidence. At the same time, we point out that Sky ECC messages are rarely the only source of evidence used to convict individuals of crimes. Oftentimes, additional sources of evidence are available, such as data production orders directed at telecommunication service providers to gather subscriber and location data, data production orders to gather passenger name records, seizing a suspect’s cryptophone, correlating the nicknames of suspects from other sources of evidence to Sky ECC messages, and, of course, obtaining testimonials or even confessions from suspects. Taken together, this may be factored in when assessing the reliability of evidence.

With regard to access to datasets, we reiterated that all information that is deemed relevant in a particular case and that can be used against the suspect in a criminal case (the tertiary dataset), should be disclosed to the suspect. In addition, the defence should have sufficient facilities (an ‘effective opportunity’) to access and analyse the data. The defence can request and should motivate why they require further access to the secondary dataset. When the Public Prosecution Service denies access to the data, it must motivate this refusal, for example by referring to ongoing (other) criminal investigations or the risk of reprisals for individuals who are also part of the dataset.

  1. Exclusion of evidence

In general, the ECtHR keeps aloof when it comes to the assessment of evidence, as this is rather a task for the national judges, especially assessing the admissibility or weight of specific pieces of evidence. In other words, the ECtHR provides for a large margin of appreciation on this matter by national judges. Nevertheless, some overall observations should be made.

In our article we first point out that the ECtHR has repeatedly found that evidence obtained through a violation of the right to privacy does not necessarily amount to a violation of the right to a fair trial. Hence, privacy violations should not lead to the exclusion of evidence and could have little to no impact on ongoing and future possible criminal cases. However, it is uncertain this will remain so, due to case law of the Court of Justice of the European Union.

Second, violations of the right to a fair trial may have serious consequences for the outcome of an investigation. Not only can evidence be excluded from the procedure, e.g., when evidence is not reliable, but a violation of the right to a fair trial can also render the procedure as a whole inadmissible or lead to the acquittal of suspects, e.g., when the defendant has not had proper access to the evidence.

Conclusion

The Sky ECC operation illustrates a law enforcement practice in which intelligence and criminal investigations have become intricately intertwined, potentially spawning hundreds, if not thousands, of criminal cases from a single activity involving bulk data collection.

We posit that Sky ECC may serve as a precursor to future operations in which law enforcement authorities target similar ‘grey infrastructures’, employing investigative techniques such as the seizure of servers, hacking, or the interception of communications, or all of these at the same time. However, law enforcement authorities must tread carefully on the fine line between intelligence gathering and criminal investigation. There is a danger that the main objective becomes a fishing expedition, because the sought-after data may be a treasure trove for other criminal investigations, but not sufficiently related to the investigation at hand. There is also the risk of a slippery slope, as it is unclear what proportion of criminal activity makes an infrastructure exactly ‘grey’ and thereby a potential target for law enforcement agencies.

When regulating data-driven investigations, the main take-away of our analysis relating to the right to privacy is that a warrant authorising the acquisition of the data is not a sufficient safeguard. The ECtHR requires that data protection regulations are also applied and overseen by independent and effective oversight bodies. Criminal procedural law, which regulates the collection of data, and data protection law, which regulates the processing of data, are connected and intertwined.We also emphasise that violations of the right to a fair trial may have serious consequences for criminal proceedings, since they may lead to the exclusion of evidence. Therefore, we anticipate an ongoing discourse on the transparency and reliability concerns in operations like Sky ECC.

Jan-Jaap Oerlemans & Sofie Royer

This is a cross-post from sofieroyer.be and Montaigne Centre Blog.

Cybercrime jurisprudentieoverzicht oktober 2023

jjoerlemans Een reactie plaatsen

Eerste veroordeling naar aanleiding van de Exclu-operatie

Op 9 oktober 2023 heeft de rechtbank Overijssel voor het eerst een uitspraak (ECLI:NL:RBOVE:2023:3929) gedaan naar aanleiding van de operatie naar de cryptotelefoon ‘Exclu’.

De rechtbank vermeld dat op 28 april 2022 onder gezag van het Landelijk Parket op grond van artikel 126o Sv – in samenwerking met Duitsland – een opsporingsonderzoek is gestart onder de naam ‘26Lytham’. In artikel 126o Sv staat de hackbevoegdheid vermeld die de politie onder leiding van het OM mag inzetten in opsporingsonderzoeken naar misdrijven die worden gepleegd of beraamd in georganiseerd verband. Het onderzoek richtte zich op gebruikers van de versleutelde communicatie onder het merk Exclu.

In de uitspraak staat duidelijk de aanleiding van het opsporingsonderzoek. Het onderzoek Lytham26 heeft geleid tot het aantreffen van een ‘hit’ aan de hand van het gebruik van een vastgestelde zoeksleutel, namelijk het woord ‘stemp’ van ‘stempel’. Het was verbalisanten ambtshalve bekend dat blokken cocaïne worden voorzien van een logo die er met een stempel in wordt gedrukt. Binnen de communicatie omtrent blokken cocaïne wordt vaak het logo gebruikt om aan te duiden over welke blokken het gaat. Ook bleek dat een afbeelding gelijkend op een blok cocaïne werd verzonden door de gebruiker van het Exclu-account.

Daarop is een nader onderzoek ingesteld naar (onder meer) deze gebruiker. Tijdens dit onderzoek ontstond het vermoeden dat Exclu-account betrokken was bij de handel in cocaïne, gelet op de gesprekken die werden gevoerd met meerdere tegencontacten. De door dit opsporingsonderzoek verkregen informatie heeft geleid tot de verdenking dat sprake was van een criminele drugsorganisatie waaraan verdachte onder een alias deelnam.

De uitspraak bevat ook interessante overwegingen over de identificatie van de verdachte. De verdachte is vervolgens geïdentificeerd aan de hand van zijn IP-adres. Uit nader onderzoek van de chats die zijn verstuurd door Exclu-ID bleek dat het account veelvuldig gebruikt maakte van een vast IP-adres. Uit de opgevraagde gegevens uit het ‘CIOT-systeem’ was dit IP-adres gekoppeld aan het adres waar de verdachte destijds stond ingeschreven. Over de identificatie van de verdachte overweegt de rechtbank verder dat de verdachte een Exclu-app op zijn telefoon had geïnstalleerd en dat bijvoorbeeld details in foto’s met drugs overeenkwamen met details in de woning van de verdachte (een badkamertegel).

De rechtbank concludeert dat uit de Exclu-chats blijkt dat verdachte met anderen heeft gecommuniceerd over de voorraad cocaïne, de aflevering van cocaïne en de hoeveelheid geld die daarmee werd verdiend. De woning van de verdachte werd gebruikt als een zogeheten ‘stash’-locatie, een soort doorsluispand waar verdovende middelen en geld worden gebracht, bewaard en weggebracht. Ook was hij zelf betrokken bij het afleveren van drugs en beheerde hij het geld.

De rechtbank veroordeelt de 38-jarige verdachte tot een gevangenisstraf van vijf jaar voor het medeplegen van het opzettelijk handelen in harddrugs.

7 jaar cel voor illegale handel met cryptovaluta en drugsdelicten

De rechtbank Oost-Brabant heeft op 15 september 2023 een 42-jarige man veroordeeld (ECLI:NL:RBOBR:2023:4543) voor witwassen door middel van handel in cryptocurrency, valsheid in geschrifte en enkele drugsdelicten. Hij verhandelde illegaal in cryptovaluta van in totaal ruim 11 miljoen dollar (!) en regelde onder andere drugstransporten met XTC.

De verdachte werd in maart 2020 aangehouden in het kader van een ander drugs- en witwasonderzoek. Bij het doorzoeken van zijn woning trof de politie in het plafond van de badkamer verschillende notitieboekjes aan. Daar trof de politie ‘mnenomic phrases’ aan. Een mnenomic phrase is een herstelzin of woordenreeks, bestaande uit 12 tot 24 woorden, voor het openen of herstellen van een cryptovaluta wallet. Deze woordenreeks is vergelijkbaar met de pincode van een bankrekening en betreft een zeer persoonlijke code. Alleen deze code verschaft toegang tot een desbetreffende cryptovaluta wallet. Een van de bij verdachte aangetroffen mnenomic phrases (hierna ook wel private key) verschaft toegang tot een wallet met cryptovaluta ter waarde van ruim $3,5 miljoen. Hieruit kwam vast te staan dat hij tussen januari 2017 en maart 2022 als tussenpersoon cryptovaluta over de hele wereld verhandelde.

In totaal vonden in een periode van vijf jaar, 780 transacties plaats op de tenlastegelegde cryptovaluta wallets van diverse cryptovaluta met een totale inkomende waarde van ruim $11 miljoen. Per transactie ontving de verdachte een zeer hoge commissie, namelijk 4 tot 6 procent van het verhandelde bedrag. Een gebruikelijke werkwijze was dat grote sommen contact geld aan de verdachte werden overhandigd, en hij dit cash geld vervolgens omzette in cryptovaluta. Daarnaast had verdachte geen wetenschap van de identiteit van de personen met wie hij handelde. In de chatgesprekken wordt gebruik gemaakt van ‘codenamen’, ook door verdachte, en voor de overdacht van gelden, wordt gebruik gemaakt van een nummer/token waardoor de identiteit van de betrokken personen niet bekend wordt. De verdachte heeft geen administratie van zijn transacties bijgehouden, ondanks dat dit vaak over zeer grote bedragen per transactie gaat.

Daar komt bij dat er één van de cryptowallets transacties hebben plaatsgevonden waarvan bijna de helft van de transacties afkomstig is van een ‘darknet’ respectievelijk van ‘mixing’, aldus de rechtbank. Dit wordt volgens de rechtbank als middel gebruikt om potentieel identificeerbare of ‘besmette’ cryptovaluta met andere te mengen om de oorspronkelijke bron te verhullen. De verdachte had zelf in die periode nauwelijks legale inkomsten of vermogen. Vanaf 2018 ontving hij geen salaris meer en zijn bankrekening werd grotendeels gevoed door onverklaarbare contante stortingen. Daarnaast past zijn uitgavepatroon niet bij de legale inkomsten van de verdachte. Zo trof de politie een behoorlijke hoeveelheid luxegoederen aan in zijn woning, maakte hij regelmatig vliegreizen en kocht hij onroerend goed in Spanje met contant geld. Hij kon voor dit alles geen plausibele verklaring geven. Dit alles tezamen betekent dat de verdachte zich jarenlang schuldig maakte aan gewoontewitwassen.

Veroordeling voor online handelsfraude

De rechtbank Rotterdam veroordeelde (ECLI:NL:RBROT:2023:6492) op 13 juli 2023 een verdachte voor grootschalige en langdurige online handelsfraude door middel van verschillende webshops en het witwassen van geldbedragen (mede) afkomstig uit die online handelsfraude. Aan de verdachte is online handelsfraude als bedoeld in artikel 326e Sr ten laste gelegd. Hier is nog weinig jurisprudentie over en daarom het signaleren waard.

Van online handelsfraude is kort gezegd sprake als de verdachte een beroep of gewoonte maakt van het via het internet verkopen van goederen of diensten tegen betaling met het oogmerk om zonder volledige levering van die goederen de betaling te ontvangen.

De rechtbank overweegt dat de verdachte met behulp van de in de tenlastelegging genoemde websites, luxe kleding, schoenen en accessoires heeft aangeboden met het oogmerk om geld te ontvangen, terwijl hij wist dat hij niet kon leveren. Uitzendingen van Opgelicht?! hebben er mede toe geleid dat de politie onderzoek is gaan doen. Op de zitting is veel te doen geweest over de hoeveelheid klanten die aangiften hebben gedaan. De raadsman heeft terecht opgemerkt dat het dossier soms slordig is en dat hij niet kan controleren of de lijsten en tabellen in het dossier kloppen. Maar de rechtbank heeft geen reden om te twijfelen aan de overzichten van de aangiften en de klachten die zijn gemaakt door de politie, waaruit blijkt dat tussen 13 juni 2019 en 15 juni 2020 in totaal ongeveer 115 keer aangifte is gedaan tegen de verdachte terwijl daarnaast 56 en 27 personen tegenover de politie hebben verklaard niets of verkeerde goederen te hebben ontvangen na een bestelling bij een van de websites op de tenlastelegging. Met de raadsman heeft de rechtbank vastgesteld dat in de gehele ten laste gelegde periode de verdachte waarschijnlijk ruim 850 verkopen heeft gedaan.

Verder gaan de door de verdachte overgelegde screenshots en ‘track and trace’-codes over bestellingen van kleding en schoenen en over leveringen. Dit wekt op zijn minst de indruk van handelsactiviteiten. Ten slotte zijn er acht ‘moneytransfers’ verricht. Anders dan de officier van justitie heeft gesteld, maakt dit aannemelijk dat de verdachte dan misschien niet de beste internetondernemer is geweest, maar wel dat er gedurende een zekere periode daadwerkelijk sprake is geweest van reguliere online handel.

Om het feit van artikel 326e Sr te begaan is het geen noodzakelijke voorwaarde dat de koper heeft betaald. Het gaat erom dat de verdachte goederen aanbiedt met het oogmerk om de betaling te ontvangen terwijl hij weet, in de zin van onvoorwaardelijk opzet, dat hij niet kan leveren. Dat moment doet zich naar het oordeel van de rechtbank in elk geval voor telkens als de verdachte na 17 september 2019 goederen aanbiedt en een koper vervolgens een bestelling plaatst op een van de websites van de verdachte.

De rechtbank overweegt nog dat media-aandacht, door onder andere het programma Oplichting?!, een negatieve impact op de verdachte en zijn privéleven heeft gehad, maar niet in die mate dat dit tot strafvermindering zou moeten leiden. Terecht heeft de raadsman bezwaar gemaakt tegen het vastleggen van de aanhouding van een verdachte op (bewegend) beeld. Immers, niet onmiddellijk duidelijk is welk (publiek) belang daarmee wordt gediend. Bij het faciliteren van het filmen en vervolgens uitzenden van dergelijke politieacties is dan ook voorzichtigheid en terughoudendheid geboden.

Naar het oordeel van de rechtbank is door de verdediging echter onvoldoende geconcretiseerd dat en hoe door het filmen en vervolgens uitzenden van de aanhouding van de verdachte en de verdere media-aandacht voor de zaak het recht op een eerlijk proces in het gedrang zou zijn gekomen. Niet gebleken is dat het recht op een eerlijk proces van de verdachte bij deze rechtbank en meer in het bijzonder de onschuldpresumptie daadwerkelijk is aangetast. De rechtbank legt de verdachte twee jaar gevangenisstraf op.

Antwoorden Hoge Raad op prejudiciële vragen in de EncroChat- en SkyECC-zaken

jjoerlemans Een reactie plaatsen

Op 13 juni 2023 antwoordde (ECLI:NL:HR:2023:913) de Hoge Raad de prejudiciële vragen over EncroChat en SkyECC. Voor het Nederlands Juristenblad (NJB) hebben Bart Schermer en ik een artikel (.pdf) geschreven waarin wij de antwoorden op deze vragen analyseren.

In dit blogbericht delen wij onze belangrijkste conclusies.

Interstatelijk vertrouwensbeginsel

De antwoorden van de Hoge Raad met betrekking tot het interstatelijke vertrouwensbeginsel zijn over het geheel genomen niet verassend. De Hoge Raad maakt (wederom) duidelijk dat het niet behoort tot de taak van de Nederlandse strafrechter om de rechtmatigheid van de uitvoer van het buitenlandse onderzoek te toetsen.

Nederlandse rechters moeten dus uitgaan van de rechtmatigheid van het verzamelde bewijs in Frankrijk in de EncroChat en SkyECC-zaken. Wanneer in Frankrijk onherroepelijk vast komt te staan dat het onderzoek niet in overeenstemming met de daarvoor geldende rechtsregels is verricht, dan kan de Nederlandse rechter daar op grond van het Nederlandse strafprocesrecht consequenties aan verbinden. Gezien de stand van zaken op dit moment, zal dit niet snel gebeuren.

Recht op een eerlijk proces

De Hoge Raad oordeelt ook dat het uitgangspunt is dat het dat het door de buitenlandse autoriteiten verkregen materiaal betrouwbaar moet worden geacht. Als er echter concrete aanwijzingen voor het tegendeel bestaan, dan is de rechter gehouden de betrouwbaarheid van die resultaten te onderzoeken. Die aanwijzingen kunnen voortkomen uit een specifiek verweer.

Wij plaatsen hierbij de kanttekening dat een verweer op dit punt voor de verdediging lastig is te onderbouwen, omdat deze (indirect) ook betrekking hebben op de toetsing van de rechtmatigheid van het Franse onderzoek waar het interstatelijke vertrouwensbeginsel aan in de weg staat. De ‘Catch 22’ die de verdediging ervaart wordt helaas voor hen niet opgelost door de Hoge Raad.

Wij wijzen erop dat de overwegingen omtrent het interstatelijke vertrouwensbeginsel betrekking hebben op de verzameling van de gegevens door en onder verantwoordelijkheid van buitenlandse autoriteiten. Echter, het interstatelijk vertrouwensbeginsel houdt op bij de Nederlandse grens.

Verweer op de verdere verwerking (analyse) van de gegevens

Advocaten kunnen dus verweer voeren op deze verdere verwerking van gegevens en de betrouwbaarheid van de ruwe data zelf en de daarop verrichte analyses ter discussie stellen. Met andere woorden: hoewel de verzameling van het bewijs niet te controleren valt, valt het verdere gebruik van het bewijs dat wél. Voor zover daartoe aanleiding is, bijvoorbeeld omdat de verdediging ontkent dat het digitale bewijs betrekking heeft op de cliënt, moet de verdediging hierop effectief verweer kunnen voeren.

De analyse van de gegevens in Nederland, waarbij ook gebruik wordt gemaakt van algoritmen en AI, staat volledig open ter toetsing aan het recht op een eerlijk proces. Als daartoe aanleiding is, moet de verdediging uitleg krijgen hoe het resultaat van die verdere gegevenswerking – het bewijs – tot stand is gekomen en daar verweer op kunnen voeren. Onzes inziens ligt op dit punt nog ruimte voor verweren en jurisprudentievorming.

Jan-Jaap Oerlemans & Bart Schermer

Rapportages over de hackbevoegdheid

jjoerlemans Een reactie plaatsen

Op 31 augustus 2023 heeft de Inspectie Justitie en Veiligheid haar nieuwe verslag (.pdf) gepubliceerd over haar toezicht op de hackbevoegdheid over het jaar 2022. In dit blogbericht volgt een korte samenvatting van resultaten die ik interessant vond. In het lijvige rapport (79 pagina’s) staan voor de liefhebbers mogelijk meer relevante details.

Aantallen en ‘black box’

In 2022 is in 31 zaken de hackbevoegdheid ingezet. Het algemeen beeld van de Inspectie is dat de hackbevoegdheid in 2022 voornamelijk is ingezet voor onderzoeken gericht op mobiele telefoons. Bij het overgrote deel hiervan heeft het team binnen de reikwijdte van het bevel gewerkt. Daarvan is in 25 zaken met commerciële software gewerkt. De politie heeft geen inzicht in de werking hiervan. Voor zowel de politie als de Inspectie is deze software een ‘black box’. Het kenmerk van een black box is dat de resultaten zichtbaar zijn, maar voor de gebruiker niet bekend is hoe de software precies werkt en of deze software gebruik maakt van onbekende kwetsbaarheden. Wel heeft team DIGIT in 2022 twee onbekende kwetsbaarheden gemeld bij het meldpunt van het Nationaal Cyber Security Center.

De politie heeft in een addendum bij het contract procedurele afspraken gemaakt met de commerciële leverancier, waaronder het beperken van toegang door de leverancier tot de verzamelde gegevens. Deze afspraken zijn echter niet technisch afdwingbaar en controleerbaar. De politie kan niet uitsluiten dat de geïnfecteerde geautomatiseerde werken in verbinding staan met een server van de leverancier. De Inspectie kan daardoor niet uitsluiten dat de leverancier toegang heeft tot verzamelde gegevens, terwijl volgens wettelijke regels alleen speciaal aangewezen politiemedewerkers toegang mogen hebben.

Geen herkenning geheimhouderscommunicatie

Ook zijn bij het ‘Digital Intrusion Team’ (DIGIT) van de Landelijke Eenheid van de Nationale Politie geen processen, werkinstructies en ondersteunende systemen ingericht om geheimhouderinformatie te herkennen. Het gaat dan bijvoorbeeld om gesprekken tussen de verdachte en een advocaat. Volgens de wettelijke regels moet in elk geval het systeem van nummerherkenning worden ingericht als de hackbevoegdheid wordt ingezet om gesprekken af te luisteren.

Conclusie

De Inspectie waarschuwt dat “het nu tijd is dat er verandering komt in de opvolging door de politie“. De politie moet volgens hen “op korte termijn aantoonbaar en zonder voorbehoud invulling geven aan alle vigerende regels en deze naleven“.

Tegelijkertijd vindt de Inspectie het van belang dat de minister een standpunt inneemt over een mogelijke aanpassing van het wettelijk kader ‘zodat duidelijk wordt in welke mate mogelijke knelpunten bij de praktische uitvoerbaarheid van de hackbevoegdheid zoals die nu door de politie worden ervaren, in het wettelijk kader worden weggenomen’.

WODC-rapport over de hackbevoegdheid in het buitenland

Op dezelfde dag publiceerde het WODC een interessant rapport over de inzet van de hackbevoegdheid in vergelijking met het buitenland. Daarbij is met name in gegaan op de keuring, de verplichtingen omtrent documentatie en logging en het toezicht op de vergaande bevoegdheid. Het is nuttig de rapporten in samenhang met elkaar te lezen.

Keuring

De onderzoekers concluderen dat in verschillende landen in Europa de kwaliteit van de gegevens op een andere manier controleert dan Nederland dat doet. Geen enkel land kent een keuring door een onafhankelijke keuringsdienst waarbij deze keuringsdienst voorafgaand aan een inzet, aan de hand van een uitgebreid keuringsprotocol, de technische hulpmiddelen dient te onderzoeken.

Logging

Ten aanzien van het documenteren en loggen van uitvoeringshandelingen geldt dat in vrijwel alle landen een vorm van documentatie vereist is. Dit betekent dat op zijn minst een proces-verbaal moet zijn opgesteld waarin alle handelingen staan gedocumenteerd. Sommige landen gaan een stap verder, omdat daar alle handelingen moeten worden gelogd.

Toezicht

Naast een keuring is ook toezicht belangrijk in het kader van de kwaliteit van de gegevens. Het toezicht op de uitvoering van de bevoegdheid door een onafhankelijke instantie is in het buitenland beperkt (de zittingsrechter buiten beschouwing gelaten).

Voor Australië, Denemarken, Noorwegen, het Verenigd Koninkrijk en Zweden geldt dat een vorm van toezicht plaatsvindt op de uitvoering van de bevoegdheid door een onafhankelijke instantie. Daarnaast bestaat in Duitsland een instantie die, vanwege haar technische expertise, adviseert over de inzet en ontwikkeling van technische hulpmiddelen. Frankrijk kent een specifieke instantie die verantwoordelijk is voor het ontwerp, de aansturing en de implementatie van technische hulpmiddelen die gebruikt worden voor de hackbevoegdheid.

In België en Frankrijk vindt gedurende de inzet van de bevoegdheid rechterlijk toezicht plaats. De rechter die toestemming verleent voor de inzet van de bevoegdheid houdt daarbij ook toezicht op de uitvoering van de bevoegdheid.

Mogelijkheden voor Nederland

De onderzoekers hebben ook enkele landen meer diepgaand bestudeerd en komen tot drie scenario’s die mogelijk een aanvulling kunnen bieden op de wijze waarop in Nederland met technische hulpmiddelen bij de hackbevoegdheid wordt omgegaan.

Beleidsreactie minister

Op 7 december 2023 heeft demissionair minister Yeşilgöz een Kamerbrief over de hackbevoegdheid verstuurd. De brief volgde op de evaluatie van het WODC, de rapportage van de procureur-generaal bij de Hoge Raad, en de verslagen van de Inspectie Justitie en Veiligheid.

Naar aanleiding van deze stukken benoemd de minister enkele aanstaande wets- en beleidsaanpassingen. De meeste daarvan moeten nog worden uitgewerkt. Zo wordt het voorstel gedaan om het uitgangspunt dat alleen goedgekeurde hulpmiddelen worden ingezet, te wijzigen door aanpassing van het Besluit onderzoek in geautomatiseerd werk. Als een middel niet is goedgekeurd, kan de officier van justitie bepalen of aanvullende verificatiemaatregelen moeten worden genomen om bijvoorbeeld de bewijswaarde van het middel te waarborgen. De achtergrond hiervan is ten dele dat keuring in de praktijk niet altijd mogelijk is, omdat leveranciers van commerciële software hun broncode niet delen. Verder wordt ‘toegewerkt naar systeemtoezicht op de naleving van de wet- en regelgeving die geldt voor de binnendringbevoegdheid’. Het ministerie zal ook enkele wetsaanpassingen voorbereiden om ‘op locatie’ de hackbevoegdheid in te zetten (na bijvoorbeeld het binnetreden van een woning) en de lijst met misdrijven waarvoor de hackbevoegdheid mag worden ingezet uit te breiden.

De minister zal – via de Inspectie Justitie en Veiligheid – blijven rapporteren over de hoeveelheid opsporingsonderzoeken waarin de binnendringbevoegdheid en commerciële software is ingezet. Overigens worden de activiteiten van de Inspectie worden in de Kamerbrief getypeerd als ‘zwaar’, ‘intensief’ en ‘hoogwaardig’, maar wordt niet ingegaan op kritiek uit de wetenschap met betrekking tot de onafhankelijkheid, de effectiviteit en het gefragmenteerde karakter van het toezicht in het strafrecht. Eén keer wordt gerefereerd naar een opmerking in een rapport van het WODC over het idee van een aparte externe toezichthouder. Daarover stelt de minister dat het beleggen van toezicht bij een alternatieve instantie niet past in het Nederlands wettelijk kader

iOCTA rapport 2023

jjoerlemans

Het ‘internet Organised Threat Assessment’ (iOCTA) rapport (.pdf) van Europol biedt elk jaar overzicht van gesignaleerde trends en actualiteiten omtrent georganiseerde cybercriminaliteit in de Europese Unie. Dit jaar geeft het rapport een inkijkje in de wereld van criminele internetdiensten, datahandelaren en witwaspraktijken in relatie tot cybercrime. Hier volgt een korte samenvatting.

Rusland-Oekraïne

Het rapport begint met het benoemen van de overloopeffecten van het Rusland-Oekraïne conflict. Vooral in de EU is een toename van Distributed Denial of Service (DDoS)-aanvallen zichtbaar die nationale en regionale overheidsinstellingen treffen. Deze aanvallen waren vaak politiek gemotiveerden gecoördineerd door pro-Russische hackersgroepen in de EU.

Criminele VPN’s

In het rapport staan ook schadelijke ‘virtual private networks’ (VPN’s) centraal. VPN’s zijn populair bij cybercriminelen om hun communicatie en websurfgedrag op internet af te schermen. VPN-aanbieders hosten doorgaans een aantal proxy’s waar gebruikers hun werkelijke locatie (IP-adres) en de inhoud van hun verkeer kunnen verbergen. Hoewel VPN-diensten niet illegaal zijn, zijn sommige ontworpen voor criminelen en worden deze ook geadverteerd aan criminelen. Het gebrek aan medewerking aan verzoeken of vorderingen van wetshandhavers is kenmerkend voor deze VPN-diensten. Ook wijst Europol op ‘bullet proof hostings providers’ die niet aan Know-Your-Customer (KYC)-procedures doen en soms geen klant- en metadata (zoals IP-adressen) opslaan, wat criminele activiteiten vergemakkelijkt. Bovendien is hosting een complexe internationale bedrijfstak waar servers vaak worden doorverkocht aan andere datacenters in verschillende regio’s.

Gestolen gegevens 

Europol noemt gestolen gegevens de ‘centrale grondstof’ van de illegale economie op internet. Gegevensdiefstal is een belangrijke bedreiging, omdat gestolen gegevens gebruikt kunnen worden voor een breed scala aan van criminele activiteiten, zoals voor het verkrijgen van toegang tot computersystemen, spionage, afpersing en voor ‘social engineering’-doeleinden (waarbij mensen zich voordoen als een ander). Een berucht voorbeeld van een forum waarin werd gehandeld in gestolen gegevens was ‘RaidForums’. Dit forum werd in april 2022 offline gehaald tijdens ‘Operation Tourniquet’. RaidForums had meer dan een half miljoen gebruikers en richtte zich op het verzamelen en doorverkopen van ‘exclusieve’ persoonlijke gegevens en databases van gecompromitteerde servers. RaidForums maakte naam door rivaliserende forums te hacken en persoonlijke informatie vrij te geven over hun beheerder (doxing). De high-profile database lekken die werden verkocht op het forum behoorden meestal toe aan bedrijven in verschillende sectoren. Ze bevatten gegevens van miljoenen creditcards en bankrekeningnummers, gebruikersnamen en wachtwoorden die nodig zijn om toegang te krijgen tot accounts.

Witwassen

Cybercriminelen die betrokken zijn bij cyberaanvallen en verwante diensten, maar ook degenen die handelen in of het beheer hebben over dark web marktplaatsen, voeren hun financiële transacties bijna uitsluitend uit met cryptocurrencies. Daarbij maken ze veel gebruik van technieken om hun financiële activiteiten te anonimiseren voordat ze hun illegale winsten te gelde maken. Deze technieken omvatten het gebruik van mixers, ‘swappers’ (waarmee cryptocurrencies kunnen worden omgezet in andere betalingsmiddelen) en gedecentraliseerde beurzen. Dit vereist zeer bekwame onderzoekers die verschillende methoden te gebruiken om cryptocurrency te volgen (zoals ‘demixing’, het traceren van ‘cross-chain swaps’ en het analyseren van ‘liquiditeitspools’).

Criminele netwerken die betrokken zijn bij fraude behalen hun winsten in zowel fiat- als cryptocurrencies. Het witwassen van hun criminele fondsen gebeurt meestal zeer snel nadat de fraude heeft plaatsgevonden. Dit heeft tot gevolg dat tegen de tijd dat het slachtoffer de zwendel doorheeft, het geld al verdeeld is over rekeningen in meerdere landen en is witgewassen. Online fraudeurs maken ten slotte ook veel gebruik van gokplatforms om winsten wit te wassen, omdat ze gebruikt kunnen worden om de herkomst en stromen van illegaal verkregen geld te verdoezelen.

Cybersecuritybeeld Nederland 2023

jjoerlemans Een reactie plaatsen

Het Cybersecuritybeeld Nederland (CBSN) geeft elk jaar een goed inzicht in de belangrijke gebeurtenissen en trends in cybersecurity. In het CBSN was dit jaar veel aandacht voor het conflict tussen Rusland en Oekraïne en de kwetsbaarheid industriële internet of things systemen. In dit blogbericht vermeld ik de dingen die mij het meest opvielen.

Ransomware-incidenten

Ransomware blijft een enorm probleem en heeft soms grote gevolgen. Verschillende energiebedrijven zijn bijvoorbeeld in Europa getroffen door ransomware en het kwam naar buiten dat statelijke actoren aanvallen uitvoerden op bedrijven in de olie- en gassector. Indirect is dit zelfs al voorgekomen toen door een ransomware-aanval op de Duitse windmolenfabrikant Nordex meerdere windmolens op Windpark Oude Maas niet konden proefdraaien. De aanval is opgeëist door criminelen die achter de Conti-ransomware schuilen. Het Nederlandse vaccinbedrijf Bilthoven Biologicals werd bijvoorbeeld ook getroffen door ransomware. De aanvallers wisten productiefaciliteiten, zoals machines voor het produceren van vaccins, te raken. De machines hebben tijdens de aanval grotendeels door kunnen draaien. Daarnaast zouden de aanvallers e-mails en documenten met wetenschappelijke data, zoals informatie over vaccins, hebben gestolen. Deze gestolen data is (deels) gepubliceerd op het darkweb.

Verder zijn bijvoorbeeld twee Gelderse gemeenten slachtoffer geworden van een datalek nadat aanvallers met SunCrypt-ransomware bestanden konden stelen. De aanvallers hebben 130GB aan data buitgemaakt en gepubliceerd op de leksite van SunCrypt. Onder andere identiteitsbewijzen behoorden tot de gelekte data. Volgens forensisch onderzoek zijn de aanvallers binnengedrongen door gestolen inloggegevens van een leverancier te misbruiken. Ten slotte kunnen we nog wijzen op de ransomware-aanval op ID-ware, een grote leverancier voor toepassingen rondom authenticatie en toegangspassen. De aanvallers hebben gegevens buitgemaakt van klanten van ID-ware en deze gepubliceerd op een leksite. In de dataset bevonden zich onder andere toegangspassen van leden en medewerkers van de Eerste en Tweede Kamer.

Het aantal ransomware-aanvallen (ook op Nederlandse organisaties) leek in 2022 eveneens tijdelijk te dalen, om aan het eind van het jaar weer toe te nemen. Vermoedelijk speelt hier de impact van de Russische oorlog tegen Oekraïne op het cybercriminele ecosysteem een rol. Beide landen zijn belangrijke bronlanden van zware, georganiseerde cybercriminaliteit. Criminelen kozen een kant in de oorlog, wat bestaande samenwerkingsverbanden onder druk zette. Toch moet deze – al dan niet tijdelijke – daling in het juiste perspectief worden gezien. De politiecijfers zijn nog steeds zorgwekkend hoog. Bedrijven, maar ook gemeenten en publieke instellingen lopen onverminderd het risico slachtoffer te worden van ransomware of andere vormen van cybercriminaliteit. Er wordt niet altijd aangifte gedaan, bijvoorbeeld om imagoschade te voorkomen. Uit politieonderzoek bleek dat criminelen buitgemaakte informatie verrijken met andere informatie én doorverkopen.

Conflict Rusland-Oekraïne

Het CSBN 2022 stelde dat cyberaanvallen door statelijke actoren het nieuwe normaal zijn en dat landen de digitale ruimte gebruiken om geopolitieke voordelen te behalen. Ook in deze rapportageperiode zijn cyberoperaties aan het licht gekomen die in verband worden gebracht met statelijke actoren, waaronder spionage, diefstal van intellectueel eigendom en het inzetten van destructieve malware. Volgens de AIVD en de MIVD is de Russische cybersabotagecampagne tegen Oekraïne ‘de meest grootschalige en intensieve uit de geschiedenis’. De Oekraïense digitale infrastructuur wordt vrijwel constant aangevallen. Russische hackers hebben vele verschillende types wiperware ingezet tegen Oekraïense doelwitten, ook binnen vitale sectoren. Opvallend is de betrokkenheid van criminele en hacktivistische actoren in de context van de oorlog. Een verder kenmerkend element in het verloop van de oorlog is dat private bedrijven steun aan Oekraïne verlenen. Dat gebeurt vaak in samenwerking met landen die steun bieden aan Oekraïne.

Verder houdt Rusland zich bezig met beïnvloeding van de publieke opinie in westerse landen door onder andere desinformatie te verspreiden. De Russische inlichtingendiensten zijn er bijvoorbeeld enkele malen in geslaagd om de controle over uitzendingen van Oekraïense media tijdelijk over te nemen en Russische boodschappen uit te zenden. Aansluitend werden de systemen van deze media digitaal gesaboteerd. Daarnaast hebben Russische staatsmedia consequent desinformatie naar buiten gebracht.

Vermenging statelijke actoren en criminele actoren

Met betrekking tot cybercriminaliteit is de vermenging tussen statelijke actoren en criminele actoren opvallend. Het rapport noemt hoe de criminele Conti-groep zijn steun betuigde aan Rusland, en gaf aan dat cyberaanvallen op Russische doelwitten zouden worden beantwoord met aanvallen op kritieke infrastructuur. Dat onderschrijft de notie dat criminelen bepaalde doelwitten bewust uitkiezen omdat die in lijn zijn met geopolitieke belangen van bepaalde staten, of dat er zelfs banden kunnen bestaan tussen overheden en cybercriminelen. Statelijke actoren kunnen namelijk cybercriminelen inhuren, gedogen of onder druk zetten om cyberaanvallen op gewenste doelwitten uit te voeren. Daarnaast kunnen andere partijen, zoals statelijke actoren, zich ook voordoen als criminele organisaties. Hierdoor wordt de scheidslijn tussen financieel gemotiveerde cybercriminelen en statelijke actoren vager en lastiger te onderscheiden. Dat compliceert attributie.

Kwetsbare industriële IoT-systemen

Operationele technologie (OT) binnen industriële netwerken, ook wel aangeduid als ‘Industrial Automation and Control Systems’ (IACS), speelt een centrale rol in het aansturen, monitoren en beheren van fysieke processen binnen organisaties. Daarmee fungeert het ook als motor van vitale sectoren. OT raakt steeds meer vervlochten met informatietechnologie (IT). Daarnaast speelt het ‘Industrial Internet of Things’ (IIoT) een steeds belangrijker rol in industriële omgevingen. Dit heeft voordelen voor het optimaliseren van processen, maar het brengt ook risico’s met zich mee. Zo vergroot deze ontwikkeling het aanvalsoppervlak en daarmee het risico dat OT-systemen gecompromitteerd raken. Dit brengt uitdagingen met zich mee voor het beveiligen van dergelijke systemen. Daarbij is onder andere een grotere rol weggelegd voor detectie en mitigatie van digitale aanvallen. Op deze en andere vlakken is er – wellicht eufemistisch gezegd – “ruimte voor verbetering”.

Het CSBN wijst ook op nieuwe malware-soorten die zijn ontdekt voor de sabotage van OT-systemen. De eerste, ‘Industroyer2’, is ingezet tegen een Oekraïense energieleverancier, maar kon tijdig worden geneutraliseerd. ESET en de Oekraïense CERT attribueren Industroyer2 aan de Russische statelijke actor ‘Sandworm’. Ransomware-actoren vormen eveneens een risico voor de continuïteit van operationele systemen en fysieke processen. In juli 2022 is bijvoorbeeld een nieuwe ransomware-variant ontdekt, genaamd Luna. Deze variant bevat een lijst met OT-processen die, indien aanwezig, beëindigd worden alvorens over wordt gegaan tot versleuteling. Een dergelijke lijst wordt ook wel een kill-list genoemd.

Buiten de oorlog zijn ook verschillende wipers waargenomen. Zo werd bekend dat een geavanceerde cyberactor een nieuwe wiper heeft gebruikt bij aanvallen op de toeleveringsketen van organisaties in onder andere Israël. Ook criminelen lijken wiperfunctionaliteiten toe te voegen aan hun operaties. Een voorbeeld hiervan is de LokiLocker-ransomware. Die heeft een ingebouwde wiperfunctionaliteit die kan worden ingezet om slachtoffers af te persen.

Cybercrime jurisprudentieoverzicht juli 2023

jjoerlemans Een reactie plaatsen

Veroordeling voor heling van gegevens

De rechtbank Amsterdam heeft op 19 juni 2023 een 25-jarige man is veroordeeld  (ECLI:NL:RBAMS:2023:3748) tot drie jaar gevangenisstraf (waarvan één voorwaardelijk) vanwege heling van gegevens, het voorhanden hebben van phishing websites en phishing e-mails, gewoontewitwassen van cryptovaluta en diefstal van cryptovaluta.

De verdachte heeft zich schuldig gemaakt aan computercriminaliteit, waarbij hij een groot aantal datasets met privacygevoelige persoonsgegevens voorhanden heeft gehad en deze op een illegaal internetforum te koop heeft aangeboden. De rechtbank stelt vast dat verdachte niet-openbare gegevens in de vorm van een grote hoeveelheid datasets uit winstbejag voorhanden heeft gehad, heeft verworven en ter beschikking heeft gesteld aan anderen, terwijl hij wist dat deze door misdrijf waren verkregen. De verdediging heeft aangevoerd dat op basis van het dossier onvoldoende kan worden vastgesteld dat sprake is geweest van ‘niet-openbare gegevens. Dit verweer wordt verworpen. Dat hier sprake is van niet openbare gegevens volgt namelijk uit de verklaring van de verdachte zelf, de gevoelige aard en de combinatie van de persoonsgegevens en medische gegevens per dataset, en het feit dat deze te koop werden aangeboden op een illegaal hackersforum als Raidforums.

De rechtbank stelt op basis daarvan vast dat verdachte cryptovaluta ter waarde van in totaal €717.240,84 heeft witgewassen en dat hij hiervan een gewoonte heeft gemaakt. De rechtbank overweegt daarover onder andere dat uit het onderzoek naar de verschillende aangetroffen ‘seed phrases’. Een seed phrase bestaat 12-24 willekeurige woorden en dient als back-up van een crypto-wallet om de cryptocurrencies in een wallet te kunnen herstellen. Bovendien blijkt uit de bijbehorende cryptovaluta wallets dat verdachte in de periode februari 2022 tot en met september 2022 via de seed phrases toegang had tot grote hoeveelheden cryptovaluta en daarmee ook voorhanden heeft gehad. Dit met een waarde van in totaal € 435.549,84. Deze cryptovaluta zijn eerst op zes anonieme walletadressen verzameld en vervolgens doorgestort naar 41 andere anonieme wallet adressen om vervolgens uit te komen op een walletadres dat behoort bij handelsplaats Binance. Ook is op de HP-laptop van verdachte een seed phrase aangetroffen die toegang geeft tot een cryptovaluta wallet met een wallet adres dat begint met ‘bc1’. In deze cryptovaluta wallet zijn in de periode 14 februari 2022 tot en met 3 augustus 2022 bitcoins aangetroffen met een waarde van in totaal € 281.691,00 waarvan de herkomst niet is te herleiden.

Voor een deel zijn de cryptovaluta zijn naar het oordeel van de rechtbank afkomstig uit eigen misdrijf van verdachte. Door bovendien de cryptovaluta te verzamelen op verschillende anonieme wallets om die vervolgens door te storten naar weer andere anonieme wallets, waarna alle valuta werd verzameld op één walletadres op de handelsplaats Binance, heeft verdachte de herkomst en de vindplaats verhuld en ook heeft hij verhuld wie de rechthebbende(n) op die cryptovaluta was/waren, en wie die valuta voorhanden had. Ook overweegt de rechtbank dat de combinatie van bij de verdachte aangetroffen phishing website, phishing e-mails, logfiles met ruwe invoer van seed phrases en software voor de verwerking daarvan, duidt erop dat de phishing website ook daadwerkelijk is gebruikt. Hoe dit precies in zijn werking is gegaan, kan op basis van het dossier niet worden vastgesteld, maar feit is dat verdachte over een zeer groot aantal seed phrases beschikte die toegang gaven tot cryptovaluta wallets. Verdachte heeft het bezit van de seed phrases ter zitting ook bekend.

Er is geen logische verklaring voor het bezit van zo’n grote hoeveelheid seed phrases anders dan dat deze onrechtmatig zijn verkregen en dienen voor het plegen van diefstal, aldus de rechtbank. Een normale gebruiker van cryptovaluta heeft in de regel niet een dergelijk aantal seed phrases in zijn bezit. Ook zijn bij verdachte geen (offline) notities aangetroffen om de cryptovaluta wallets waarvan de seed phrases zijn gevonden uit elkaar te houden, hetgeen bij normale herkomst van de seed phrases in de rede ligt. Tevens is opmerkelijk dat tussen de ruwe invoer ook ongeldige seed phrases zijn aangetroffen van gebruikers van cryptovaluta wallets die in de gaten hadden dat zij met fraude te maken hadden. Dergelijke invoer duidt niet op legaal verkregen seed phrases.

Cyberstalking

In de afgelopen maanden zijn verschillende veroordelingen verschenen over stalking, waarbij gebruik wordt gemaakt van computers en internet om deze te plegen (‘cyberstalking’). Met een aantal voorbeelden wordt het fenomeen en strafbaarstelling kort uitgelicht. Lees ook dit artikel in NRC met een gespecialiseerde officier van justitie voor meer informatie.

De rechtbank Gelderland publiceerde bijvoorbeeld op 24 mei 2023 een interessante uitspraak over cyberstalking (ECLI:NL:RBGEL:2023:2884). Een 31-jarige man stalkte zes jaar lang een vrouw. De man zocht online informatie over de vrouw en haar omgeving. Zo maakte de man onder andere een website en plaatse daarop beledigende foto’s en teksten over de vrouw en haar partner op onder andere Facebook. Ook belde de man naar het werk van de vrouw en nam via LinkedIn contact op met een collega van de vrouw. Daarnaast deed hij zich bij een makelaar voor als de vrouw om zo haar huis te koop te laten zetten. De man bedreigde de vrouw met de dood in aanwezigheid van politieagenten toen zij de man een contactverbod wilden overhandigen.

Volgens de rechtbank is de belaging (artikel 285b Sr) niet aan de man niet toe te rekenen, omdat hij lijdt aan waanbeelden. Hij werd daarom ontoerekeningsvatbaar verklaard en krijg tbs met voorwaarden. Ook legt de rechtbank een contact- en gebiedsverbod op.

De rechtbank Amsterdam veroordeelde op 22 juni 2023 (ECLI:NL:RBAMS:2023:3868) een 44-jarige man voor stalking, diefstal, computervredebreuk en het gooien van een vuurwerkbom in de brievenbus van de psychotherapeut van zijn ex-vriendin.

De verdachte heeft drieënhalve maand op een zeer intensieve en indringende manier geprobeerd controle uit te oefenen op het leven van zijn toenmalige vriendin. De verdacht heeft onder andere zonder dat zij dat wist, (geluids-) opnames van het slachtoffer met door hem in haar woning geplaatste en verdekt opgestelde camera’s, hij volgde haar door middel van gps-bakens die hij in haar fiets en auto verstopte. Verdachte had de beschikking over de wachtwoorden van haar internetaccounts, en verschafte zich daarmee ook de toegang tot die accounts, waarbij zich soms voordeed alsof hij het slachtoffer was.

De rechtbank kan zich met de conclusies van de deskundigen verenigen en is van oordeel dat verdachte lijdt aan een ziekelijke stoornis te weten een persoonlijkheidsstoornis met borderline, narcistische en antisociale trekken, alsmede een aandachtstekortstoornis met hyperactiviteit welke bestond tijdens het begaan van de feiten. De rechtbank veroordeelde de man tot twee jaar gevangenisstraf en tbs met voorwaarden en materiële en immateriële schadevergoedingen.

Op 28 juni 2023 veroordeelde de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2023:3066) een man voor stalking en identiteitsfraude. De verdachte heeft op social media (o.a. Snapchat, Instagram en Facebook) en verschillende (seks)websites nepaccounts aangemaakt en zich voorgedaan als deze slachtoffers. Hij maakte daarbij gebruik van hun (volledige) naam, telefoonnummer en/of foto’s en stuurde met name seksueel gerelateerde berichten naar bekenden en onbekenden van de slachtoffers. De slachtoffers werden vervolgens benaderd door vriendschapsverzoeken van fakeaccounts die hen vervolgens probeerden te videobellen en seksueel getinte berichten stuurden. Dit handelen van de verdachte in de onlinewereld heeft in het dagelijks leven verstrekkende negatieve gevolgen gehad voor de slachtoffers.  

De rechtbank veroordeeld de verdachte tot de geëiste straf, een gevangenisstraf van drie jaren, met aftrek van het voorarrest. De rechtbank neemt daarbij ook in strafverzwarende zin mee dat de verdachte in twee verschillende proeftijden liep voor soortgelijke feiten. Verdachte is in de proeftijd waarin hij werd behandeld, doorgegaan met het plegen van zeer ernstige strafbare feiten tegen (oud-)medewerksters van de Forensische Psychiatrische Kliniek. Deze medewerksters zijn juist de zorgverleners die voor personen met psychische problemen, zoals verdachte, klaarstaan. Zij dienen hun werk onder veilige omstandigheden te kunnen doen. Sommige slachtoffers hebben ter zitting verklaard dat zij door het handelen van verdachte, met pijn in hun hart, afscheid hebben genomen van hun baan in de zorg.

De slachtoffers krijgen voor zover gevorderd een vergoeding voor geleden materiële en immateriële schade. De rechtbank gaat ook over tot het opleggen van de ongemaximeerde TBS-maatregel met dwangverpleging, omdat de rechtbank is van oordeel dat de veiligheid van anderen en de algemene veiligheid van personen en goederen het opleggen van de tbs-maatregel met dwangverpleging vereisen.

Veroordeling voor materiaal van seksueel misbruik van minderjarigen na melding NCMEC

De rechtbank Zeeland-West-Brabant veroordeelde op 3 mei 2023 (ECLI:NL:RBZWB:2023:2923) een verdachte voor het bezit van afbeeldingen van seksueel misbruik van minderjarigen (door de rechtspraak nog steeds ‘kinderporno’ genoemd) (artikel 2240b Sr) en dierenporno (artikel 254a Sr).

De verdediging stelt dat de melding van het Amerikaanse ‘National Center for Missing and Exploited Children’ (NCMEC) (zie ook wikipedia.org) en onderzoek naar het in die melding vermelde IP-adres voldoende voor verdenking van een strafbaar feit in de zin van artikel 27 van het Wetboek van Strafvordering (hierna: Sv).

De officier van justitie stelt dat het vaste praktijk is dat een NCMEC-melding voldoende is om een onderzoek te starten. In deze zaak staat op de eerste melding van het NCMEC dat het om “apparent child pornography” en om een “hash match” gaat. Er bestaat wereldwijd een databank van bekende kinderporno die op internet verschijnt en elk bestand heeft een bepaalde code en een eigen unieke hashwaarde. De door verdachte geüploade bestanden zijn gecontroleerd met bepaalde software waarbij de kinderporno met bekende hashwaardes, door middel van hashmatches, eruit is gefilterd.

KIK Messenger (een chat-app) gebruikt die hashwaardes ook, waardoor gezegd kan worden dat er vermoedelijk (“apparent”) kinderporno is geüpload. Dat het “vermoedelijk” wordt genoemd, is omdat altijd nog door een mens moet worden beoordeeld of de vermoedelijke kinderpornobestanden daadwerkelijk kinderporno bevatten. Dat deze informatie voldoende is voor een verdenking als bedoeld in artikel 27 Sv, blijkt ook wel uit de vele uitspraken die tot op heden zijn gedaan door rechtbanken en gerechtshoven.

Het verweer over de NCMEC-meldingen verwerpt de rechtbank op dezelfde gronden als de officier van justitie. Het is de rechtbank ambtshalve bekend dat deze meldingen bij rechtbanken en gerechtshoven in Nederland voldoende zijn om een verdenking in de zin van artikel 27 Sv op te baseren.

Uit het meldingsrapport van NCMEC maakt de rechtbank op dat door middel van ook door de officier justitie genoemde “hashmatches” was gedetecteerd dat 38 bestanden met vermoedelijk kinderpornografische afbeeldingen waren geüpload via KIK Messenger door de gebruiker van het [e-mailadres] met de gebruikersnaam ‘dripdruppeltje’ en een bepaald IP-adres. Het tweede meldingsrapport maakt melding van twee afbeeldingen met hetzelfde emailadres en IP-adres.

Het Team Bestrijding Kinderpornografie en Kindersekstoerisme (TBKK) van de politie heeft deze meldingen verder onderzocht. Uit dat onderzoek is gebleken dat het vermelde IP-adres toebehoorde aan verdachte en waar verdachte woonachtig was en waar hij werkzaam was. Volgens het TBKK stond verdachte als enige ingeschreven op dat woonadres. Anders dan de raadsman stelt, zijn de meldingen dus wel degelijk verder onderzocht.

Op grond van de NCMEC-meldingen en het verdere onderzoek naar het in de meldingen genoemde IP-adres, is de rechtbank van oordeel dat er voldoende verdenking in de zin van artikel 27 Sv bestond om tot binnentreden ter inbeslagneming over te gaan. In de woning werd aan verdachte uitgelegd waarvoor zij kwamen waarna verdachte spontaan begon te verklaren over onder andere foto’s die op zijn computer stonden. Direct daarna is aan verdachte de cautie gegeven. Vervolgens is de uitlevering gevorderd van alle gegevensdragers waarop kinderporno stond of kon staan. Verdachte heeft vervolgens een aantal gegevensdragers overhandigd die daarna in beslag werden genomen.

De rechtbank acht op basis van de bewijsmiddelen, inclusief de bekennende verklaring van verdachte, wettig en overtuigend bewezen dat verdachte kinderporno, waarvan ongeveer 553 afbeeldingen die direct benaderbaar waren, op een aantal gegevensdragers in zijn bezit heeft gehad en/of zich daartoe door middel van geautomatiseerde werken en/of met gebruikmaking van communicatiediensten de toegang heeft verschaft. De afbeeldingen bestonden grotendeels uit meisjes in de leeftijd van 6 tot 12 jaar.

Alles afwegend acht de rechtbank een hoge taakstraf in combinatie met een voorwaardelijke gevangenisstraf passend en geboden, het laatste met name om de ernst van de feiten te benadrukken en om de oplegging van de door de reclassering geadviseerde bijzondere voorwaarden mogelijk te maken. De rechtbank overweegt dat ‘vanwege het taakstrafverbod dient ook nog een onvoorwaardelijke gevangenisstraf te volgen’. De rechtbank beperkt daarom de onvoorwaardelijke gevangenisstraf tot één dag. Ook krijgt de verdachte een proeftijd van drie jaar met daarbij de bijzondere voorwaarden (waaronder behandeling) en een taakstraf van 240 uur opgelegd. 

Beleidsreactie op onderzoeken naar de regulering van deepfakes en immersieve technologieën

jjoerlemans

Op 16 juni 2023 gaf minister Yeşilgöz-Zegerius haar beleidsreactie (.pdf) op twee WODC-rapporten over de regulering van deepfakes (.pdf) (uitgevoerd door Tilburg University) en immersieve technologieën (.pdf) (van Considerati).

De eerste conclusie van het onderzoek luidt dat onwenselijk gebruik van deepfakes of deepfaketechnologieën via het huidige recht in algemene zin goed is te adresseren. Zo stelt artikel 139h Wetboek van Strafrecht (Sr) het zonder toestemming van de afgebeelde persoon openbaar maken van seksueel beeldmateriaal strafbaar. Daaronder vallen ook deepfakes. Ook ander strafwaardig gedrag, zoals oplichting met behulp van deepfakes, kan volgens het onderzoek middels het huidige strafrecht goed worden geadresseerd. Het Openbaar Ministerie (OM) beziet momenteel de mogelijkheden voor de inzet van artikel 139h Sr in concrete gevallen waarbij sprake is van deepnude materiaal. Over deze ontwikkelingen wordt de Kamer geïnformeerd in de voortgangsbrief over de aanpak van seksuele misdrijven die in december 2023 naar de Tweede Kamer wordt gestuurd. Het kabinet is geen voorstander van een algemeen verbod, omdat deze niet noodzakelijk is en een eventueel breed verbod in strijd kan komen met verschillende (fundamentele) rechten zoals de vrijheid van meningsuiting of de vrijheid van kunsten en wetenschappen. Ook als het gaat om een verbod op het vervaardigen, aanbieden en downloaden van deepfaketechnologie, zien het kabinet ernstige bezwaren. Wel steunt het kabinet een transparantieverplichting voor gebruikers van deepfaketechnologie, zoals ook op EU-niveau in de AI-verordening is voorgesteld.

De AVG verbiedt ook het maken en verspreiden – buiten de huiselijke sfeer – van deepfakes waarin persoonsgegevens zijn verwerkt zonder een verwerkingsgrondslag. In de praktijk is daardoor een deepfake die zonder toestemming is gemaakt strijdig met de AVG, zeker als daarin gevoelige (bijvoorbeeld seksuele) content is te zien. Het heroverwegen van de huishoudelijke exceptie, zou een onwenselijke juridisering van het privéleven van burgers betekenen die veel verder reikt dan de gevallen waarin deepfakes worden gemaakt, nog daargelaten de vraag wat voor effectieve handhaving van de AVG achter de voordeur nodig zou zijn. Daarnaast heeft het kabinet niet de mogelijkheid om de AVG te wijzigen. Het recht van initiatief ligt bij de Europese Commissie en zij voorziet in de komende tijd geen noodzaak tot het doen van wijzigingsvoorstellen van de AVG. Ook gelden de kaders van het civiele recht, bijvoorbeeld in het geval van een onrechtmatige daad (artikel 6:162 Burgerlijk Wetboek (BW)) of een schending van het portretrecht (zoals bedoeld in het auteursrecht). Het procesrecht is volgens het kabinet voldoende toegerust op de mogelijkheid dat deepfakes worden gebruikt als nepbewijs.

De tweede conclusie van het onderzoek luidt dat de handhaving van de bestaande rechtsregels “omvangrijk en complex is”. Het kabinet zet in op zelfregulering voor de snelle verwijdering en bestrijding van illegale content door de internetsector. Aanvullend faciliteert de overheid een aantal meldpunten om illegale content, met inbegrip van deepfakes en strafbare content, onder de aandacht te brengen van dienstverleners binnen de internetsector. Als het noodzakelijk is ter beëindiging van het strafbare feit kan de officier van justitie – ook voordat een verdachte voor het strafbare feit is veroordeeld – in geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, Wetboek van Strafvordering (Sv), met een machtiging van de rechter-commissaris aan een aanbieder van een communicatiedienst bevelen om gegevens ontoegankelijk te maken (artikel 125p Sv). Ook kan het slachtoffer via de civiele rechter een (kort geding) procedure starten waarin een vordering tot verwijdering van die content centraal staat. Dit wordt getoetst aan de voorwaarden van de onrechtmatige daad uit artikel 6:162 van het BW. Een voorbeeld hiervan is wanneer het gaat om (deepfake)content waarbij onrechtmatig persoonsgegevens zijn verwerkt.

Het tweede onderzoek gaat over de regulering van immersieve technologieën. Immersieve technologieën zijn technologieën die de realiteit aanpassen of een nieuwe realiteit creëren. Het onderzoek bespreekt de twee bekendste vormen van immersieve technologieën: Augmented Reality (AR) en Virtual Reality (VR). Bij AR wordt onze perceptie van de wereld uitgebreid doordat Virtuele elementen worden toegevoegd aan de realiteit, bijvoorbeeld door middel van apparaten zoals AR-brillen of toepassingen zoals Pokémon Go. Bij VR wordt de fysieke wereld zo veel mogelijk vervangen door een kunstmatige of virtuele werkelijkheid, bijvoorbeeld door een VR-bril.

Uit het onderzoek komt naar voren dat het huidige juridische kader in algemene zin goed is toegerust om de mogelijke negatieve effecten van immersieve technologie te adresseren. Het kabinet wil, in lijn met de aanbevelingen uit het onderzoek naar immersieve technologieën, beter anticiperen op nieuwe digitale technologieën. Er zal daarom een beleidsagenda ‘publieke waarden en nieuwe digitale technologie’ worden opgesteld.

Het kabinet vindt het (ook) zeer zorgwekkend dat nu in dit onderzoek wordt vastgesteld dat slachtoffers van virtuele aanranding een vergelijkbare emotie ervaren als bij een fysieke aanranding of verkrachting, en dat de onderzoekers verwachten dat naarmate de immersie en het gevoel van aanwezigheid in een virtuele omgeving groter wordt, de impact van virtueel grensoverschrijdend gedrag ook groter kan worden. Het kabinet wijst er op dat het Wetboek van Strafrecht mogelijkheden biedt om tegen strafwaardige gedragingen in VR op te treden. Dit kan bijvoorbeeld als er sprake is van bedreiging (artikel 285 Sr). De mogelijkheden om strafrechtelijk op te treden worden verder uitgebreid met het bij de Tweede Kamer aanhangige wetsvoorstel seksuele misdrijven, waarin seksuele intimidatie van een ander in het openbaar in het nieuwe artikel 429ter strafbaar wordt gesteld.

De onderzoekers concluderen dat er tegen virtuele mishandeling beperkt strafrechtelijk kan worden opgetreden. Om van mishandeling te kunnen spreken moet er volgens art. 300 van het Wetboek van Strafrecht sprake zijn geweest van fysieke pijn of letsel bij het slachtoffer. Daarvan zal in een virtuele wereld doorgaans geen sprake zijn. Artikel 300 Sr biedt echter ook aanknopingspunten voor vervolging van psychisch geweld. Met mishandeling wordt gelijkgesteld opzettelijke benadeling van de gezondheid. In de lagere rechtspraak zijn verschillende voorbeelden terug te vinden van gevallen waarin is geoordeeld dat het hierbij naast de fysieke gezondheid ook om de psychische gezondheid kan gaan (voornamelijk met betrekking tot mishandeling van kinderen). Het kabinet stelt psychische mishandeling niet apart strafbaar. Het Wetboek van Strafrecht biedt naast artikel 300 Sr ook andere mogelijkheden tot strafrechtelijke vervolging bij psychisch geweld: artikel 284 (dwang), 285 (bedreiging) en 285b (stalking). Indien virtuele mishandeling (ernstig) psychisch trauma tot gevolg heeft, of gepaard gaat met dwang, bedreiging of stalking, dan biedt het Wetboek van Strafrecht grond voor vervolging. Daarbij komt dat de schade die door virtuele mishandeling wordt veroorzaakt reeds op de dader kan worden verhaald als er daarbij sprake is van een onrechtmatige daad.

Verder zijn er volgens het kabinet voldoende mogelijkheden om op te treden tegen virtueel vandalisme op grond van de onrechtmatige daad (artikel 6:162 BW). Ook zijn er gevallen denkbaar waarin virtueel vandalisme de vorm aanneemt van beledigende of discriminerende uitlatingen. In die gevallen kan op grond van de artikelen 137c (belediging groep mensen) en 266, eerste lid, Sr (eenvoudige belediging) worden opgetreden tegen virtueel vandalisme. Het kabinet ziet geen aanleiding om virtueel vandalisme apart strafbaar te stellen.

Het strafbaar stellen van het gebruik van een “naaktfilter” (een deepfake-filter die een aangeklede persoon “virtueel” kan ontkleden) is volgens het kabinet ook niet noodzakelijk. Artikel 139h lid 1 sub a Sr zou voldoende mogelijkheden bieden. Ten slotte kan volgens het kabinet ook voldoende worden opgetreden tegen het aanbieden van “hyperpersoonlijke inhoud”. De AVG biedt volgens het kabinet kortgezegd voldoende mogelijkheden en daarnaast wijst het in de Kamerbrief op de Digital Services Act (DSA), die in 2024 in werking treedt. Deze verordening legt aan online platformen (die ook immersieve technologieën kunnen aanbieden) een verbod op voor het gebruik van gegevens van minderjarigen en van bijzondere persoonsgegevens (zoals biometrische data) van alle gebruikers om gepersonaliseerde advertenties te tonen. Dit is relevant omdat VR- en AR-toepassingen veel biometrische data kunnen verzamelen, zoals oog en lichaamsbewegingen. Ook bevat de DSA extra waarborgen tegen onbewuste beïnvloeding bij digitale diensten en voor meer keuze en transparantie in online omgevingen.