Annotatie bij Macro-malware zaak

Hieronder volgt mijn annotatie (.pdf) bij de Macro-malware zaak.

Citeertitel: Rb. Rotterdam 19 maart 2020, ECLI:NL:RBROT:2020:2395, Computerrecht 2020/88, m.nt. J.J. Oerlemans

Inleiding

De verdachte is in deze zaak veroordeeld (ECLI:NL:RBROT:2020:2395) voor het vervaardigen, verkopen, verspreiden en voorhanden hebben van malware met het oogmerk computervredebreuk te plegen. De verdachte ontwikkelde het programma ‘Rubella Macro Builder’. Het is zogenoemde ‘macro-malware’, omdat het aan Officedocumenten zoals Word en Excel een stuk verborgen code toevoegt die iets uitvoert. De verdachte had het programma zo geprogrammeerd dat het heimelijk verbinding legde met een externe server waardoor cybercriminelen hun eigen malware konden plaatsen op de computers van de slachtoffers. De zaak is interessant, omdat het een van de weinige veroordelingen is voor de vervaardiging van malware door een Nederlander en het misbruik maken van de macro-functionaliteit in Office-documenten een veelgebruikte aanvalstechniek is van cybercriminelen.

Bron: McAfee.

Onderzoek vangt aan door particulier onderzoek

De zaak begon niet met een opsporingsonderzoek door de politie, maar met een onderzoek van cybersecuritybedrijf McAfee. De onderzoekers bij McAfee viel een advertentie op het oog van het programma op een hackersforum. Het screenshot van een geprepareerd Word-document had Nederlandse taalinstellingen. Dat is ongebruikelijk in de hackerswereld, waar de voertaal volgens McAfee doorgaans Engels is. Ook was een chataccount (van Jabber) van een ene ‘Rubella’ te vinden. De onderzoekers namen contact op via Jabber met de aanbieder en toonde interesse in de software.

Nader onderzoek van de malware – ‘Dryad’ genaamd – toonde verschillende functionaliteiten aan, zoals (1) de mogelijkheid een uitvoeringsbestand te downloaden van een aangegeven URL, (2) de mogelijkheid (o.a.) een .exe-bestand op een computer te starten, (3) de bestandsnaam van de download te wijzigen, (4) verschillende functionaliteiten om antivirusprogramma’s te omzeilen, en (5) de functionaliteit een Word- of Excel-document te generen.

Strafbare karakter van feiten

De verdachte wordt het vervaardigen van malware, te weten ‘Rubella’, ‘Dryad’ en ‘Cetan’, ten laste gelegd. Deze typen malware zijn hoofdzakelijk geschikt voor het voorbereiden van het plaatsen van afluister- en/of hackapparatuur (strafbaar gesteld in art. 139d lid 2 sub a Sr jo 138ab Sr). De verdachte heeft deze malware vervolgens verkocht, verspreid, anderszins ter beschikking gesteld en voorhanden gehad. Het fungeert als ‘tool’ voor cybercriminelen (zie r.o. 4.2.1). In 2017 berichtte Europol dat misbruik van de macro-functionaliteit in Office-documenten een veel gebruikte aanvalstechniek is van cybercriminelen.

Zie bijvoorbeeld Europol, ‘Internet organised threat assessment report 2017’, p. 57:

“A common approach is to attach a malicious attachment to an email, often a Microsoft Office document containing malicious macro code – a tactic that Dridex is notorious for resurrecting. Alternatively the message may include a link to a malicious URL which will then attempt to infect the target computer when they visit the site.”

De verdediging voert aan dat de verdachte geen oogmerk had dat met de software computervredebreuk wordt gepleegd. Het benodigde oogmerk voor de strafbaarstelling zou dus ontbreken, waardoor de verdachte moet worden vrijgesproken. De rechtbank gaat daar niet in mee. Er is veel bewijs voorhanden dat tot bewezenverklaring van het benodigde oogmerk leidt. De verdachte zegt in zijn verklaring bijvoorbeeld dat de software is ontwikkeld om antivirusprogramma’s te omzeilen en toegang te krijgen tot andermans computer. Ook verklaart hij ter zitting dat hij op een bepaald moment de Rubella software is gaan verkopen (r.o. 4.2.3). Dat is mijns inziens in feite een bekentenis.

De rechtbank overweegt dat verdachte de producten op hackersfora verkocht en daarop zijn producten aanprees. Zo is te lezen in een digitale advertentie van Rubella dat het mogelijk is om aan deze malware een ‘powershell payload’ toe te voegen. Met ‘payload’ wordt malware bedoeld die een kwaadwillende kan uitvoeren bij zijn slachtoffer. In de advertentietekst wordt verder benadrukt dat het mogelijk is om met deze malware anti-virusdetectie te omzeilen. Tevens wordt benadrukt in de advertentietekst dat de malware al vier weken FUD zou zijn. Wanneer een bestand FUD is, wordt bedoeld dat het niet door antivirussoftware wordt herkend als zijnde een virus, aldus de rechtbank in zijn uitleg van deze zaak met een hoog technisch karakter (r.o. 4.2.3).

De rechtbank leidt het oogmerk onder andere af uit het geanalyseerde berichtenverkeer op telefoon van de verdachte. Hieruit blijkt dat de verdachte zelf het verband al heeft gelegd tussen het maken en verkopen van deze software en de strafbaarstelling op grond van artikel 139d lid 2 sub a Sr (r.o. 4.2.3). De verdachte wordt ook veroordeeld voor het voorhanden hebben van creditcardgegevens van 42 personen, terwijl hij wist dat het mogelijk was om met deze gegevens creditcardfraude te plegen.

De rechtbank acht het ontoegankelijk maken van gegevens met de programma’s niet bewezen, omdat uit de beschikbare dossierinformatie onvoldoende is gebleken dat de door de verdachte vervaardigde en verkochte malware hoofdzakelijk geschikt of ontworpen was om gegevens te wissen of onbruikbaar te maken, dan wel vernieling van een geautomatiseerd werk te plegen (zoals bij ransomware, zie ook Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153, Computerrecht 2018/210, m.nt. J.J. Oerlemans en mijn blogbericht over de strafbaarstelling van het vervaardigen en voorhanden hebben van ransomware).

Veroordeling

De verdachte wordt veroordeeld tot 12 dagen gevangenisstraf (de tijd dat hij in voorarrest heeft gezeten) en een taakstraf van 240 uur, met daarbij een voorwaardelijke gevangenisstraf van 180 dagen met een proeftijd van 3 jaren.

Opvallend is dat reclassering adviseerde de verdachte aan te melden bij het programma ‘Hack_Right’ om een positieve draai te geven aan de vaardigheden van de verdachte. Binnen het programma lopen jonge hackers bijvoorbeeld stage bij een cybersecuritybedrijf. De rechtbank vindt het niet nodig dat de verdachte het programma Hack_Right volgt, vanwege ‘de voorwaardelijke gevangenisstraf gedurende een proeftijd van drie jaren en vanwege het leereffect dat van deze strafzaak zal uitgaan voor de verdachte’. De destijds 6,76 Bitcoin (met een waarde van 22.711,97 euro) wordt verbeurd verklaard, omdat deze vermoedelijk met de strafbare feiten zijn verkregen.

De strafoplegging valt tegelijkertijd lager uit dan de officier van justitie heeft geëist. Dat is volgens de rechtbank te verklaren vanwege de overwegingen van de persoon van de verdachte en deels omdat minder wordt bewezen dan de officier van justitie ten laste had gelegd.

Conclusie

Juridisch gezien is er weinig op te merken aan de uitspraak. De rechtbank voert de juiste overwegingen in deze technische zaak en het oordeel van de rechtbank is begrijpelijk. De straf kan als laag worden gezien, omdat de software het mogelijk maakt voor cybercriminelen om op grote schaal computervredebreuk te plegen. De veroorzaakte schade door de software is mogelijk aanzienlijk. Echter, op het delict staat slechts maximaal twee jaar gevangenisstraf en de rechtbank legt een flinke voorwaardelijke gevangenisstraf met proeftijd op. Met deze straf kan de verdachte verder gaan met zijn studie en verder werken aan zijn toekomst.

Het was wel interessant geweest meer te lezen over de bewijsgaring  van de politie onder leiding van het Openbaar Ministerie. Vermoedelijk is een netwerkzoeking ex 125j Sv toegepast toen de politie in de collegezaal de verdachte arresteerde en de laptop van de verdachte doorzocht. In de media is te lezen dat de laptop nog aanstond en de politie bewijs direct heeft verzameld. Het zou goed zijn daar mee over te lezen, omdat er nauwelijks jurisprudentie is over de bevoegdheid van de netwerkzoeking. De advocaat heeft hier echter geen verweer op gevoerd, waardoor de rechtbank Rotterdam er ook geen overwegingen aan hoeft te wijden.

Met name de technische details van de zaak en het geringe aantal veroordelingen voor het vervaardigen van software die als ‘tool’ door cybercriminelen wordt gebruikt, maakt de zaak lezenswaardig.

Cybercrime jurisprudentieoverzicht juni 2020

Drugshandel via het darkweb, witwassen van bitcoins en voorbereiden van een aanslag

Op 23 april 2020 zijn in een megazaak door de Rechtbank Overijssel 12 verdachten veroordeeld voor drugshandel via het darkweb, witwassen met bitcoins en het voorbereiden van aanslagen op de voormalige motorclub Satudarah. Het ging om de onderzoeken ‘Metaal’ en ‘Liechtenstein’ (zie ook OM persbericht en dit nieuwsbericht).

De strafbare feiten kwamen volgens het OM aan het licht toen de politie kon meelezen met de cryptofoons (PGP-telefoons) van de verdachten. Het OM kreeg met een Europees Opsporingsbevel (EOB) van de Britse autoriteiten een kopie van de inhoud van een server met PGP-berichten in handen, dat de Nederlandse politie vervolgens op inhoud heeft onderzocht. De Britten hebben op basis van eigen bevoegdheden en met medeweten van een ander bedrijf, de chatberichten onderschept, ontsleutelt en vervolgens die chatberichten doorgeleid naar de Nederlandse autoriteiten (zie Rb. Overijssel 23 april 2020, ECLI:NL:RBOVE:2020:1587, r.o. 4.2).

De rechtbank Overijssel overweegt met betrekking tot het onderzoek Metaal dat de verdachte zich samen met zijn medeverdachten gedurende langere tijd heeft bezig gehouden met omvangrijke drugshandel. Ook werden drugs geproduceerd en vond uitvoer van verdovende middelen naar het buitenland plaats. Zij maakten bij die handel en export onder meer gebruik van het “zogenoemde Darkweb” en verzonden de bestelde drugs in vermomde postpakketten, zoals bijvoorbeeld DVD-hoesjes. Het is jammer dat in deze uitspraak de namen van de desbetreffende darknet markets zijn geanonimiseerd.

De betaling voor de drugs vond plaats in Bitcoin. De politie heeft ook een pseudokoop van drugs op een darknet market uitgevoerd in de zaak ECLI:NL:RBOVE:2020:1587. Ook is het interessant te lezen hoe de politie op basis van de accountnaam van de verdachte als verkoper op drugsforum en de PGP-sleutel, de activiteiten op verschillende darknet markets heeft getraceerd. Ook wordt opgemerkt hoe bepaalde websites niet meer online waren, maar door de politie ‘konden worden bekeken, omdat het Team Darkweb van de Landelijke politie de databases ervan had veiliggesteld’ (r.o. 4.4.3.8). De link met de verdachte en de geldtransacties konden worden vastgelegd op basis van de inhoud van de chatgesprekken, de observaties door de politie van verdachten en de door de politie gemaakte analyse met het programma ‘Chainalysis’ van de geldwissels (r.o. 4.5.3.1)

De bitcoins werden op gezette tijden omgewisseld in contant geld. De verdachten vormden op basis van gelijkwaardigheid een samenwerkingsverband, volgens de rechhtbank. De taken waren en werden in overleg verdeeld. Zij communiceerden daarover met elkaar – en met onbekend gebleven derden – door middel een communicatieapp ‘Ironchat’. Op verschillende plaatsen in Nederland hadden zij werkhuizen en ‘stashplekken’ voor de te produceren en/of te verhandelen drugs. In die panden zijn door de politie niet alleen machines en toebehoren voor de productie van drugs aangetroffen, maar ook verpakkings- en verzendingsmaterialen voor bijvoorbeeld Duitsland, Australië en de Verenigde Staten. Vier mannen krijgen voor de drugshandel via het darkweb, witwassen en deelname aan een criminele organisatie 7 jaar gevangenisstraf opgelegd.

In het onderzoek Liechtenstein ging het ook om internationale drugshandel en witwassen via bitcoins. De verdachten zijn geïdentificeerd door de accounts te koppelen van de verdachten die via de PGP-telefoon of laptops via de applicatie Ironchat met elkaar chatten over het voorbereiden van een aanslag. Twee van de zes verdachten planden meerdere aanslagen op motorclub Satudarah in Enschede. Zij dachten namelijk dat de voormalige motorclub hen had verraden bij de politie, nadat de politie een inval had gedaan bij het Enschedese drugspand. Ook verhandelden de groep XTC-pillen, methamfetamine, cocaïne, heroïne en LSD via sites, zoals ‘Rolex’, ‘Flamingo’, ‘Snapdrugz’, ‘AliExpress’ en ‘Vendor’ op het Darkweb. Via die sites zijn drugsorders uit onder meer Polen, Zweden, Duitsland en Australië bij de groep geplaatst (ECLI:NL:RBOVE:2020:1559, r.o. 4.3.3.1).

Teruggave van bitcoins en waardebepaling

Op 5 oktober 2016 werd een verdachte veroordeeld voor het stelen van elektriciteit ten behoeve van bitcoinmining. Op een van de inbeslaggenomen computers worden 127,3 bitcoins aangetroffen. Na synchronisatie van de wallet met internet blijken er een half jaar 585,5 bitcoins te zijn bijgeschreven, maar de link met de bewezenverklaarde diefstal van elektriciteit ontbreekt. De tegenwaarde van de inmiddels vervreemde bitcoins dient te worden uitgekeerd aan de verdachte, zo beslist het Hof te Den Haag (Hof Den Haag 24 oktober 2018, Computerrecht 2019/54, ECLI:NL:GHDHA:2018:2821, m nt. N. van Gelder). Daarbij sloot het hof kort gezegd aan op de gemiddelde koerswaarde van Bitcoin ten tijde van de inbeslagname. Het middel klaagt over het feit dat niet de bitcoins teruggegeven worden en subsidiair dat de waardebepaling niet klopt. De Hoge Raad verwerpt het beroep (HR 12 mei 2020, ECLI:NL:HR:2020:845).  

De (juridisch complexe) conclusie bij het arrest (ECLI:NL:PHR:2020:249) AG Bleichrodt is met name interessant, omdat daar is te lezen dat ‘de waardebepaling niet aan de rechter is’. ‘Tegen die achtergrond heeft het hof met zijn overwegingen over de waardebepaling van de 585,48591218 bitcoins waarop de last tot teruggave betrekking heeft, blijk gegeven van een onjuiste rechtsopvatting.’ De teruggave van de bitcoins is in dit geval feitelijk niet meer mogelijk. De ‘bewaarder’ dient volgens de AG over te gaan tot uitbetaling van in beginsel de prijs die de bitcoins bij verkoop door hem hebben opgebracht (r.o. 23).

Hoge Raad arrest over bezit kinderporno

Op 12 mei 2020 heeft de Hoge Raad een belangrijk arrest (ECLI:NL:HR:2020:799) gewezen over de vraag of kinderpornoafbeeldingen in een cloudopslagruime (Microsoft’s Skydrive) kwalificeert als ‘bezit’ van kinderporno (zie met name r.o. 2.3.2-2.3.3).

De Hoge Raad beslist dat bezit een fysieke connotatie heeft en mede daarom kinderporno in opslagruimte niet kwalificeert als bezit van kinderporno. Destijds is ‘toegang verschaffen’ tot kinderpornografisch materiaal ook strafbaar gesteld met de overweging dat ‘de voorgestelde aanscherping van artikel 240b Sr biedt een ruimer bereik en vormt een nuttig en wenselijk vangnet voor gevallen die mogelijk niet onder de strafbaarstelling van «bezit» zouden kunnen worden gebracht’ (Kamerstukken II 2008/09, 31810, nr. 3, p. 3-4). Overigens adviseerde AG Knigge in de conclusie bij het arrest dat het beter was gewest afbeeldingen zelf ten laste te leggen in plaats van de gegevensdrager (ECLI:NL:PHR:2020:139, r.o. 4.6.3).

Zie ook deze annotatie van Michael Berndsen (de @cyberadvocaat) over dit arrest op Bijzonderstrafrecht.nl.

E-book over digitaal kinderpornografisch materiaal

Het Kenniscentrum Cybercrime van het Hof Den Haag heeft een informatief boek (.pdf) uitgebracht over de strafbaarstelling van kinderpornografie in artikel 240b Sr. Het boek is geheel geactualiseerd en zeer uitgebreid. Door het in open access beschikbaar te stellen kan ook buiten de rechtspraak van deze kennis gebruik worden gemaakt.

A. Kuijer, J.W. van den Hurk & S.J. de Vries, Artikel 240b Sr. Juridische en digitaal-technische aspecten van strafvervolging wegens gedragingen met digitaal kinderpornografisch materiaal, Kennis Centrum Cybercrime 2020, Rechtspraak.nl

AI, strafrecht en het recht op een eerlijk proces

Voor het themanummer ‘AI en Recht’ van het tijdschrift Computerrecht, hebben Bart Schermer en ik een artikel geschreven over AI, strafrecht en het recht op een eerlijk proces (.pdf).

Het artikel bespreekt eerst de zogenoemde ‘Ennetcom-casus’ en gaat daarna in op de inzet van kunstmatige intelligentie voor het (geautomatiseerd) nemen van strafvorderlijke beslissingen.

Ennetcom

In 2016 heeft het Nederlandse Team High Tech Crime een grote hoeveelheid gegevens (7 Terabyte) in beslag genomen van ‘Ennetcom’, een bedrijf dat werd verdacht van witwassen. Het Nederlandse bedrijf Ennetcom leverde diensten op het gebied van versleutelde communicatie. Tijdens een doorzoeking bij het bedrijf zijn 3,6 miljoen versleutelde berichten in beslag genomen die zijn verstuurd via zo’n 40.000 smartphones van naar schatting 19.000 klanten.

Klanten konden met speciale BlackBerry-telefoons, voorzien van specifieke software, versleutelde tekstberichten en notities versturen. De encryptiesleutels waren opgeslagen op de ‘Blackberry Enterprise Servers’ van Ennetcom. Deze servers bevonden zich in Toronto, Canada. Na een rechtshulpverzoek van Nederland en een machtiging van een rechter-commissaris aan de Canadese autoriteiten zijn op 19 april 2016 de encryptiesleutels op de servers veilig gesteld zodat daarmee de berichten konden worden ontsleuteld door de Nederlandse opsporingsautoriteiten.

Het Nederlands Forensisch Instituut (NFI) heeft software ontwikkeld waarmee zeer grote hoeveelheden gegevens snel en diepgaand geanalyseerd kunnen worden. Datasets zijn snel te doorzoeken om zo verbanden te leggen tussen verschillende attributen, zoals gebruikersnamen, bijnamen, telefoonnummers en e-mailadressen. Hierdoor kunnen rechercheurs en analisten vele malen sneller en effectiever werken in een opsporingsonderzoek. De software, genaamd ‘Hansken’, is ook ingezet voor de analyse van de Ennetcom-data.

Verdachten worden in strafzaken geconfronteerd met belastend bewijs dat afkomstig is uit een grootschalige data-analyse met het Hansken systeem. In het artikel leggen wij uit dat het recht op een eerlijk proces in artikel 6 EVRM het deelrecht kan worden afgeleid dat de verdachte toegang moet hebben tot gegevens die tegen hem worden gebruikt in belastende en ontlastende zin. De verdediging moet daarbij de mogelijkheid hebben de gegevens met betrekking tot de verdachte te bestuderen en te betwisten. Het openbaar ministerie heeft volgens ons ook tot op zekere hoogte ook zelf een verantwoordelijkheid de technische mogelijkheden aan de verdediging te bieden om de gegevens in een strafproces te bestuderen en te betwisten.

De inrichting van een ‘data room’, waarbij de gegevens die betrekking hebben op de verdachte veilig en relatief eenvoudig kunnen worden geraadpleegd, betreft een voorstel die wij doen om aan het recht invulling te geven. In de toekomst zullen nog veel zaken volgen waarbij verdachten geconfronteerd worden met het resultaat van een grootschalige data-analyse die zijn veilig gesteld in andere strafzaken.

AI en geautomatiseerde besluitvorming

Naast geavanceerde data-analyse of data mining kan ook kunstmatige intelligentie worden toegepast in het kader van de opsporing en vervolging. Zo zijn er onder de noemer predictive policing tal van experimenten binnen de politie die er op gericht zijn om met behulp van kunstmatige intelligentie crimineel gedrag te voorspellen. Daarnaast kan kunstmatige intelligentie worden ingezet voor het nemen of ondersteunen van strafvorderlijke beslissingen door de officier van justitie, rechter-commissaris en rechter.

In het tweede deel gaan wij na in hoeverre de inzet van kunstmatige intelligentie raakt aan de beginselen van een eerlijk proces bij het geautomatiseerd nemen van strafvorderlijke beslissingen.

In het artikel leggen wij uit dat het in het bijzonder bij geautomatiseerde besluitvorming van belang is dat de motivering van de besluitvorming deugdelijk is. Dit betekent dat de gekozen toepassingen transparant, uitlegbaar en controleerbaar zijn.

Hoe deugdelijk de motivering van algoritmische besluitvorming in de praktijk moet zijn, is echter nog onduidelijk. Grofweg zijn er in de context van het strafrecht twee problemen met betrekking tot een voor deugdelijke motivering noodzakelijke transparantie van algoritmes, te weten 1) complexiteit, en 2) de angst voor manipulatie/misbruik. In het artikel gaan we verder in op deze problemen en leggen wij uit hoe met deze problemen kan worden omgegaan.

Gaming the system?

Met betrekking tot het tweede probleem is de angst dat kwaadwillenden het systeem gaan manipuleren of beïnvloeden om tot voor hen gunstige uitkomsten te komen (gaming the system). Inzicht in algoritmische besluitvorming kan daarmee de effectiviteit van de opsporing ondermijnen.

Het kabinet lijkt in haar bijlage bij een Kamerbrief uit oktober 2019 over algoritmes in de opsporing het transparantiebeginsel uit te zonderen door hen in een aparte categorie te plaatsen. In een meer recente beantwoording van Kamervragen over het gebruik van AI bij de politie wordt in punt 76 herhaald dat:

het voor de politie in voorkomende gevallen noodzakelijk is om (delen van) de gegevensverwerking niet inzichtelijk te maken. Dit kan nodig zijn om te voorkomen dat personen zich kunnen onttrekken aan een effectieve taakuitoefening door de politie. Inzicht in de gebruikte analysemethode kan immers aanleiding zijn om het gedrag bewust zodanig aan te passen dat men in de gegevensanalyse buiten zicht blijft. Daarnaast kan geheimhouding nodig zijn omdat inzicht in de gegevensverwerking raakt aan de nationale veiligheid

(deze antwoorden op Kamervragen zijn na het artikel gepubliceerd en daarom niet meegenomen in het artikel zelf).  

Conclusie

Wij waarschuwen dat het voornemen van het kabinet om algoritmische besluitvorming in de opsporing niet te onderwerpen aan de eisen van transparantie en uitlegbaarheid zorgelijk zijn, omdat zij een bedreiging vormen voor de equality of arms en het recht op een eerlijk proces.

Ook in de opsporing moet een concrete invulling worden gegeven aan het recht op een eerlijk proces bij grootschalige data-analyes en het gebruik van algoritmes voor algoritmische besluitvorming. De komende jaren zullen we zien wat van deze invulling terecht komt. 

Bart Schermer & Jan-Jaap Oerlemans

Van zorgen over privacy naar zorgen over administratieve rompslomp

Dit stuk is eerder verschenen in Computerrecht 2021/57

Op 20 januari 2021 heeft de Commissie Jones-Bos haar evaluatierapport over Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) uitgebracht. Slechts twee jaar na de inwerkingtreding van de nieuwe wet op 1 mei 2018 werd het door het kabinet al noodzakelijk geacht deze wet te evalueren. In eerste instantie werd deze vervroegde evaluatie ingegeven vanuit privacyzorgen. De nieuwe wet was omstreden, met name vanwege de uitbreiding van de bevoegdheid tot bulkinterceptie op de kabel om meer internetverkeer te intercepteren (het ‘sleepnet’ genoemd). In het raadgevend referendum over de Wiv 2017 in april 2018 stemden in Nederland 49,44% van de mensen tegen en slechts 46,53% van de mensen voor de wet.

Net voor de start van de evaluatiecommissie vond er echter een kentering in het debat plaats. Tijdens het Kamerdebat over een tussentijdse wijzigingswet van de Wiv 2017 vroegen plotseling een aantal Kamerleden de minister of de nieuwe de Wiv 2017 door alle nieuwe administratieve verplichtingen nog wel voldoende ‘werkbaar’ was. Deze zorgen zijn o.a. ingegeven door de voormalige AIVD-baas Dick Schoof die in april 2019 in het programma Nieuwsuur nog waarschuwde dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. De evaluatiecommissie kreeg vervolgens expliciet de opdracht mee te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen’.

Het gevolg is dat er nu een rapport van 180 pagina’s ligt waar een groot deel van de aanbevelingen een ‘werkbaarder wet’ nastreven, soms ten koste van reeds bestaande privacywaarborgen. Het gaat dan bijvoorbeeld om het voorstel tot het schrappen van onafhankelijke voorafgaande toestemming door de Toetsingscommissie Inzet Bevoegdheden (TIB) bij de kennisname van de inhoud van de communicatie en de geautomatiseerde analyse van metadata na bulkinterceptie. Ook zou het volgens de evaluatiecommissie eenvoudiger moeten worden bulkdata relevant te verklaren, waardoor grote hoeveelheden gegevens zonder maximale bewaartermijn bewaard mogen worden.

Het demissionaire kabinet heeft op 5 maart 2021 in een Kamerbrief laten weten de opdracht te geven de aanbevelingen van de evaluatiecommissie te vertalen in een wetsvoorstel. Mijn hoop is dat wetenschappers en Kamerleden de gevolgen van de voorstellen voldoende doorgronden en het wetsvoorstel kritisch beoordelen.

Jan-Jaap Oerlemans is bijzonder hoogleraar Inlichtingen en Recht bij de Universiteit Utrecht en redacteur van dit blad.

— UPDATE —

Op 21 april 2021 heeft Algemene Rekenkamer rapport ‘Operationele Slagkracht van de AIVD en MIVD: De Wet Dwingt, de Tijd Dringt, de Praktijk Wringt’ gepubliceerd. De belangrijkste conclusies zijn: (1) dat de nieuwe waarborgen uit de Wiv 2017 de inzet van bepaalde bijzondere bevoegdheden beperken het verzamelen van inlichtingen en de snelheid in internationale samenwerking, en (2) de constatering van een toename van de administratieve lasten voor de AIVD en de MIVD, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid.

De Algemene Rekenkamer geeft als verklaring van deze problemen mee: de suboptimale voorbereiding en inbreng van de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) op technisch en operationeel vlak op het wetstraject van de Wiv 2017, het ontbreken van een uitvoeringstoets, een onderschatting aard en omvang implementatie Wiv 2017, onvoldoende budget voor implementatie, achterstanden bij interne processen van de diensten, een tekort aan IT-capaciteit en achterstanden op IT-gebied.

Jurisprudentieoverzicht cybercrime maart-april-mei 2021

Ook in hoger beroep veroordeling in TorRAT-zaak

Op 30 maart 2021 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2021:587) voor gewoontewitwassen en deelnemen aan een criminele organisatie waarvan de verdachte de leider was. Het hof heeft een gevangenisstraf opgelegd van 19 maanden en de vorderingen van de benadeelde partijen (banken) zijn gedeeltelijk toegewezen.

De verdachte heeft samen met de medeverdachten rekeninghouders van twee banken benadeeld. Via “spamruns” werden duizenden mails verstuurd naar mkb-rekeninghouders in de zakelijke sector. In de mails zat een link naar een (ogenschijnlijk) openstaande factuur of ander (PDF-)bestand. Dat was in werkelijkheid een programma dat in het geval van aanklikken ongemerkt kwaadaardige software, in casu “TorRAT-malware”, op de computers van de gebruikers achterliet. Bij het gebruik van internetbankieren paste de malware het bankrekeningnummer, de naam van de begunstigde en de omschrijving van de betaling aan, zonder dat dit voor de gebruiker van die computer (direct) zichtbaar was. Op deze wijze werden betalingen door de TorRAT-malware omgeleid naar de bankrekeningen naar money mules (personen die hun rekening, bankpas en pincode, al dan niet vrijwillig, ter beschikking hadden gesteld voor gebruik door anderen). Het zeer uitgebreide arrest is met name lezenswaardig vanwege de nog niet eerder vertoonde gedetailleerde technische overwegingen over de werking van TorRAT (compleet met screenshots van de softwarecode, zoals:

(voor het eerst volgens mij!)

Ook de wijze waarmee met de malware geld kon worden verdiend, wordt uitgebreid beschreven. Zie ook mijn annotatie in Computerrecht 2016/175 over deze zaak in eerdere instantie.

Het Hof Den Haag licht toe dat TorRAT bestond uit twee elementen, de software zelf en configuratiebestanden. Voor de toerekeningsvraag was het onderzoek aan deze configuratiebestanden door een deskundige van het NFI in het bijzonder van belang. Het hof was van oordeel dat de genoemde transacties konden worden toegerekend aan TorRAT.

Na installatie van de software op een computer als gevolg van het klikken op een link in een spammail zocht de aldus geïnfecteerde computer contact met een C&C-server. Uniek aan TorRAT was dat deze C&C-server zich veelal bevond in een Tor-netwerk (ook bekend als het darkweb of darknet). De C&C-server voorzag TorRAT regelmatig van nieuwe configuratiebestanden.

Het hof is van oordeel dat de dadergroep van de verdachte en zijn medeverdachten met toepassing van de TorRAT-malware een groot aantal transacties heeft beïnvloed. Het hof heeft per (cluster van) transacties aangegeven welke feiten en omstandigheden hebben geleid tot de vaststelling of deze wel of niet aan de TorRAT-malware kunnen worden toegerekend. Voor deze vorm is gekozen nadat de verdediging volgens het hof terecht aanvoerde dat niet duidelijk is geworden aan de hand van welke criteria de transacties zijn aangemerkt als frauduleuze transacties die via TorRAT zijn veroorzaakt. Daarvoor is de hulp van een deskundige van het NFI ingeroepen.

De betalingen die door de TorRAT-malware werden omgeleid naar de bankrekeningen van daartoe geworven zogeheten money mules. De geldbedragen werden vervolgens zo snel mogelijk aan het zicht van de banken en politie en justitie onttrokken door deze — al dan niet met tussenkomst van een tweedelijns-money mule waar het geld naar werd doorgeboekt — zo snel mogelijk contant te maken middels een contante geldopname of om te zetten in bitcoins. De omgezette bedragen werden op deze wijze witgewassen.

Met betrekking tot de verdenking van deelname aan een criminele organisatie is het hof tot het oordeel gekomen dat de verdachte en zijn medeverdachten behoorden tot een samenwerkingsverband (waarbinnen zij aliassen gebruikten en communiceerden via TorMail) en zich schuldig hebben gemaakt aan gedragingen die strekten tot of rechtstreeks verband hadden met een crimineel oogmerk. De inhoud van de Tormails speelde een belangrijk bewijsrol in deze zaak. Het hof is van oordeel dat de verdachte binnen dat samenwerkingsverband een leidinggevende rol vervulde, dat door de duurzaamheid en gestructureerde vorm daarvan als criminele organisatie wordt gekwalificeerd.

Vrijspraak vanwege verklaring maken van screenshot via Shodan

Op 2 april 2021 heeft de rechtbank Midden-Nederland een verdachte vrijgesproken (ECLI:NL:RBMNE:2021:1330) van computervredebreuk. De verdachte werd computervredebreuk (art. 138ab Sr) en het opnemen van gegevens (art. 139c Sr) ten laste gelegd. De verdachte zou namelijk de beveiliging van een NAS (Network Attached Storage) door middel van de ‘remote desktop protocol’ hebben doorbroken en gegevens hebben opgenomen door een screenshot te maken van de inbox van een mailprogramma.

De verdachte verklaarde dat hij via Shodan, een zoekmachine dat kwetsbaarheden in aan het internet gekoppelde geautomatiseerde werken blootlegt, het screenshot van de mailbox van de aangever was tegengekomen. De verdachte heeft de aangever vervolgens gewaarschuwd voor een beveiligingslek in zijn computer door hem een e-mailbericht te sturen met het gevonden screenshot als bijlage. De rechtbank kan de door verdachte geschetste gang van zaken niet uitsluiten. Uit de stukken in het dossier en het verhandelde ter terechtzitting blijkt niet dat het verhaal van verdachte onaannemelijk is. Nu redelijke twijfel bestaat of verdachte de feiten zoals tenlastegelegd heeft begaan, spreekt de rechtbank de verdachte van de ten laste gelegde feiten vrij.

Veroordeling in hoger beroep basis van bewijs uit Ennetcom-gegevens

Het Hof Arnhem-Leeuwarden veroordeelde op 3 maart 2021 (ECLI:NL:GHARL:2021:1918) een verdachte tot een gevangenisstraf van 22 jaar voor moord en verboden vuurwapenbezit. De advocaat van de verdachte voerde aan dat de PGP-berichten die waren verkregen via Ennetcom uitgesloten moesten worden van bewijs, omdat deze niet rechtmatig waren verkregen.

Het Hof verwerpt het verweer en overweegt als volgt. Het Superior Court of Justice in Toronto heeft op 13 september 2016 het door de Nederlandse autoriteiten ingediende rechtshulpverzoek behandeld, dat strekte tot het ten behoeve van nader onderzoek in Nederland veiligstellen en overdragen van communicatie dat zich bevond op de Ennetcom-servers (hierna: Ennetcom-gegevens). De Canadese rechter heeft de beslissing of deze gegevens gebruikt mogen worden in andere onderzoeken neergelegd bij de Nederlandse autoriteiten, maar wel bepaald dat daartoe een rechterlijke machtiging is vereist en het gebruik van de Ennetcom-gegevens beperkt tot onderzoek en vervolging van bepaalde strafbare feiten (waaronder moord).

De officier van justitie heeft de rechter-commissaris ex art. 181 jo art. 126ng lid 2 Sv, verzocht te bepalen dat het onderzoek 09Seter dringend vordert dat onderzoek wordt verricht aan de Ennetcom-gegevens en te bepalen dat relevante gegevens toegevoegd zouden worden aan het procesdossier 09Ster. De rechter-commissaris heeft dit verzoek toegewezen en de uitvoering van het onderzoek op grond van art. 177 Sv door tussenkomst van de officier van justitie verwezen aan het onderzoeksteam 09Ster. Vervolgens heeft de officier van justitie op grond van gegevens die zijn voortgekomen uit Ennetcom-gegevens in het onderzoek 26Marengo de rechter-commissaris verzocht om toestemming te geven deze gegevens over te dragen aan de advocaat-generaal in het onderhavige onderzoek 09Ster, omdat deze gegevens betrekking zouden hebben op de moord op het slachtoffer. De rechter-commissaris heeft hiervoor toestemming gegeven, en overwogen dat de berichten rechtmatig zijn verkregen uit het onderzoek 026Marengo waarvoor de rechter-commissaris eerder toestemming heeft gegeven. Gelet op het voorgaande concludeert het hof dat het verkrijgen van de data op rechtmatige wijze is geschied.

Over de betrouwbaarheid van het bewijs overweegt het hof dat het recht van de verdachte om in gelegenheid te worden gesteld om methoden en resultaten van onderzoek te betwisten, naar deze niet samen valt met een ongeclausuleerd recht om deze te controleren, en dat de verdediging niet gemotiveerd heeft aangegeven waarom de betrouwbaarheid van de waarheidsvinding in twijfel zou moeten worden getrokken. Verder merkt het hof nog op dat de vaststelling van de identiteit van de verdachte niet louter berust op de conclusie van de politie, maar dat die vaststelling berust op de weergave van de PGP-gesprekken in verband met andere bewijsmiddelen.

Veroordelingen op basis van bewijs uit EncroChat-gegevens

Vorig jaar kwam in het nieuws dat de Nederlandse en Franse politie tientallen miljoenen berichten van de versleutelde chatdienst EncroChat wisten te kraken en over te nemen. Afgelopen maanden verschenen uitspraken waar deze ‘EncroChats’ een belangrijke bewijsrol spelen. De interessantste uitspraken staat hieronder op een rijtje.

De rechtbank Oost-Brabant veroordeelde (ECLI:NL:RBOBR:2021:1272) op 25 maart 2021 een verdachte voor het voorhanden van een verboden vuurwarpen ter voorbereiding van de moord op een of meer personen. Over de rechtmatigheid van het gebruik van EncroChats als bewijs overweegt de rechtbank dat de rechter-commissaris van de rechtbank Rotterdam in het onderzoek 26Lemont in het proces-verbaal van bevindingen van 20 september 2020 voor het gebruik van de EncroChats in toekomstige, andere onderzoeken voorwaarden heeft gesteld en criteria gegeven. Een van die voorwaarden is dat het gebruik van die chats slechts mogelijk is na een schriftelijk verzoek daartoe en na verkregen schriftelijke toestemming van een rechter-commissaris. De toestemming wordt alleen verleend als sprake is van “ernstige, het maatschappelijk verkeer ontwrichtende strafbare feiten, gepleegd in georganiseerd verband”. In een enkel geval is op het vereiste van een voorafgaande schriftelijke toestemming een uitzondering toegelaten. In die gevallen was sprake van zeer spoedeisende situaties en/of “threat to life”-zaken waarin acuut ingrijpen noodzakelijk was. In die gevallen is telefonisch toestemming gevraagd en verkregen van de rechter-commissaris, waarna schriftelijke bevestiging dan wel toevoeging aan de lijst van bekende onderzoeken volgde.

De rechtbank overweegt dat de onderzoeken waarin gegevens uit 26Lemont zijn verwerkt, in twee categorieën zijn op te delen. Kort gezegd komt het erop neer dat bij de eerste machtiging door de rechter-commissaris al een lijst is aangeleverd met onderzoeken waarin mogelijk sprake zou zijn van gebruik van EncroChat. Die lijst is door getoetst de rechter-commissaris getoetst op de zwaarte van de strafbare feiten waar die onderzoeken zich op richten en akkoord bevonden. Voor andere onderzoeken, en daartoe behoort het onderhavige onderzoek tegen de verdachte, heeft de rechter-commissaris voorwaarden benoemd waaronder gegevens kunnen worden gedeeld. Dat moet worden voorgelegd de rechter-commissaris en dan moet toestemming worden verkregen voor het delen van de informatie met die andere ‘vervolgonderzoeken’. Het moet, buiten onderzoek naar misdrijven met een terroristisch oogmerk, gaan om onderzoek naar strafbare feiten die in hun aard, in georganiseerd verband gepleegd of beraamd, een ernstige inbreuk maken op de rechtsorde, of zaken waarin acuut ingrijpen noodzakelijk was gelet op de gerede vrees voor het leven en/of voor ernstige gezondheidsschade voor personen. Hieraan kan worden getoetst en bij eventuele tekortkomingen is het reguliere kader van artikel 359a Sv van toepassing.

De raadsman stelt dat de EncroChat-data in het onderzoek Ellemeet onrechtmatig zijn verkregen, omdat aan de rechter-commissaris geen toestemming is gevraagd om in dit onderzoek de EncroChats te mogen gebruiken. Zou die toestemming wel gevraagd zijn, dan is met het oog op de hiervoor genoemde criteria niet voorstelbaar dat die toestemming zou zijn verleend. De verdediging voert aan dat het ontbreken van toestemming met zich meebrengt dat sprake is van een onherstelbaar vormverzuim in de zin van artikel 359a Sv.

De rechtbank overweegt dat de betreffende gegevensbestanden met informatie uit het (recente) verleden waren vastgelegd op de servers van EncroChat. Zowel in Frankrijk als in Nederland is deze telecomaanbieder aangemerkt als verdachte. Om bestanden van dat bedrijf te verkrijgen heeft het Nederlandse Openbaar Ministerie aan de rechter-commissaris een vordering ex artikel 126uba lid 1 sub a, b, c en d Sv (de hackbevoegdheid) voorgelegd en daartoe toestemming verkregen. Daarmee heeft het verkrijgen van de gegevens een wettelijke grondslag. Na het ter beschikking komen van de gegevens vallen de gegevens onder de bewaar- en vernietigingsregimes van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens, zodat ook voor het bewaren en verwerken van de gegevens een afdoende wettelijke grondslag bestaat.

De rechtbank deelt niet de opvatting dat de ePrivacyrichtlijn (2002/58) van toepassing zou zijn, omdat die kortgezegd ziet op het opvragen van gegevens door autoriteiten. De opsporingshandelingen zouden ook onder de uitzondering in artikel 15 van de richtlijn vallen. De rechtbank overweegt ook dat ‘de verdere achtergrond van EncroChat, de verkrijging van data in Frankrijk en het delen van de informatie met het onderzoeksteam 26Lemont, niet valt binnen het vooronderzoek in de zaak tegen verdachte en er evenmin reden is te veronderstellen dat het gebruik van de resultaten van de onderzoeken naar EncroChat in de strafzaak tegen de verdachte niet in overeenstemming is met het recht op een eerlijk proces als bedoeld in artikel 6 lid 1 EVRM. De verweren zijn daarmee verworpen.

De rechtbank Overijssel maakt op 29 maart 2021 veel minder woorden vuil aan de rechtmatigheid van het verkregen bewijs uit de EncroChats. In deze zaak (ECLI:NL:RBOVE:2021:1307) werd een verdachte veroordeeld voor zijn betrokkenheid bij een groot drugslab in Heiloo.

De rechtbank overweegt simpelweg dat ‘gelet op het interstatelijke vertrouwensbeginsel de rechtbank geen reden ziet om te twijfelen aan de rechtmatigheid en de inzet van de gehanteerde opsporingsmiddelen in het Franse opsporingsonderzoek. Bovendien zijn de Franse rechterlijke machtigingen getoetst door de rechter-commissaris in Nederland, waarbij geen onrechtmatigheden zijn vastgesteld. Derhalve is de rechtbank van oordeel dat artikel 8 EVRM in onderhavig geval niet is geschonden.’

In een laatste, zeer uitgebreid, vonnis (ECLI:NL:RBZWB:2021:1556) op 31 maart 2021 biedt de Rechtbank Zeeland-West-Brabant interessante bewijsoverwegingen t.a.v. het uitlezen van telefoons en de rechtmatigheid van het gebruik van de EncroChats.

Interessant zijn nog de standpunten van de officier van justitie in deze zaak over het maken van een proces-verbaal bij het uitlezen van telefoons: ‘de officier van justitie heeft zich op het standpunt gesteld dat de betreffende gegevensdragers met toestemming van de officier van justitie zijn doorzocht. Dat hoeft niet op schrift te staan. Het verstrekken van alles wat in de telefoons wordt aangetroffen gebeurt zelden, alleen wat relevant is wordt in het dossier opgenomen. Door de verdediging is onvoldoende onderbouwd dat er bewust ontlastende informatie is achtergehouden.’

De rechtbank overweegt dat een medeverdachte tijdens een verhoor de toegangscode van zijn mobiele telefoon gegeven en – wederom zonder aanwezigheid van zijn raadsman – het wachtwoord van Wickr en toestemming heeft gegeven aan de politie om in zijn telefoon te kijken gegeven. Bij zijn aanhouding op 13 november 2019 gebeurde hetzelfde. Vervolgens is volgens de verdediging de telefoon van met toestemming van de officier van justitie gekopieerd en werden de gegevens ervan inzichtelijk en doorzoekbaar gemaakt. Hierdoor is volgens de verdediging sprake van een schending van artikel 6 EVRM (Salduz), waarbij de rechtbank begrijpt dat dit het recht van medeverdachte betreft.

De rechtbank overweegt dat de Schutznorm ten aanzien van de medeverdachte niet van toepassing is ingevolge de uitspraak Günner van het EHRM. De rechtbank meent dat bij de eerste zoekslag in de telefoon van de medeverdachte sprake was van een beperkte inbreuk op de persoonlijke levenssfeer, omdat ‘enkel (een deel van) de fotogalerij (ten aanzien van een bepaalde datum en gebeurtenis) en de Whatsapp (wederom specifiek ten aanzien van het al dan niet sturen van een bepaalde foto) is bekeken’.

Over een tweede onderzoek aan de telefoon overweegt de rechtbank dat een ‘meer dan beperkte inbreuk op de persoonlijke levenssfeer is gemaakt’, omdat de telefoons met het programma Cellebrite zijn gekopieerd, veiliggesteld en inzichtelijk gemaakt, en doorzocht op Whatsapp, Wickr, Snapchat, Instagram en notities. Het onderzoek aan de mobiele telefoons was de directe aanleiding voor de doorzoeking van de woning van (de ouders van) verdachte. Het onderzoek was gericht op het achterhalen van navigatie-gegevens, communicatie op social media, contactpersonen, foto’s op telefoon danwel foto’s in een cloud, voor zover de informatie gerelateerd kon zijn aan de handel in verdovende middelen. De rechtbank is van oordeel dat daarom ook ten aanzien van de onderzoeken aan deze telefoons niet gezegd kan worden dat daarmee sprake is van een schending van de artikelen 6 en 8 EVRM.

De rechtbank overweegt de inhoud van een brief van het Landelijk Parket over de juridische grondslag van het gebruik van bewijsmateriaal van de PGP-telefoons van klanten van EncroChat. Daarin is te lezen dat ‘op grond van een Frans strafrechtelijk onderzoek zijn het bedrijf EncroChat en de natuurlijke personen die daaraan gelieerd zijn onderzocht. Tijdens dit onderzoek in Frankrijk zijn strafvorderlijke bevoegdheden ingezet. Er is door middel van een interceptiemiddel inzicht en informatie verkregen over de communicatie die is gedeeld op het EncroChat-forum. De Franse politie heeft onder gezag van de Franse officier van justitie, na machtiging van een Franse rechter, het interceptiemiddel ingezet. Omdat in Nederland een soortgelijk strafrechtelijk onderzoek is opgestart, is een Joint Investigation Team (hierna: JIT) opgericht door Nederland en Frankrijk. Het JIT richt zich op onderzoek van de verdenking rondom EncroChat en de personen die hiervan gebruik maken. In de JIT-overeenkomst is, zoals gebruikelijk, overeengekomen dat alle informatie en bewijsmiddelen die ten behoeve van het JIT worden vergaard worden gevoegd in een gezamenlijk onderzoeksdossier.’

Ik vind de brief toch opmerkelijk gezien de tegenstrijdige berichtgeving in NRC over de inzet van een technisch hulpmiddel dat mede is ontwikkeld door Nederland en het feit dat de een aanvraag is gedaan voor de inzet van de hackbevoegdheid in Nederland (waartoe onder voorwaarden een machtiging is verstrekt, zoals in de uitspraak hierboven is te lezen). De rechtbank overweegt hier indirect over dat ‘in tegenstelling tot hetgeen de verdediging betoogt, is de grondslag voor het verwerken en opslaan van de data uit 26Lemont in onderhavige zaak niet gelegen in de artikelen 126uba juncto 126 Sv, maar in artikel 126dd Sv. Deze bepaling ziet op het delen van informatie van het ene strafrechtelijke onderzoek met het andere’.

Ook overweegt de rechtbank simpelweg dat ‘ten aanzien van onderzoekshandelingen waarvan de uitvoering plaatsvindt onder verantwoordelijkheid van de buitenlandse autoriteiten van een andere EVRM lidstaat, het de taak is van de Nederlandse strafrechter ertoe beperkt te waarborgen dat de wijze waarop van de resultaten van dit onderzoek in de strafzaak tegen de verdachte gebruik wordt gemaakt, geen inbreuk maakt op zijn recht op een eerlijk proces, zoals bedoeld in artikel 6, eerste lid, EVRM. Het behoort niet tot de taak van de Nederlandse strafrechter om te toetsen of de wijze waarop dit onderzoek is uitgevoerd, strookt met de dienaangaande in het desbetreffende buitenland geldende rechtsregels.’ De rechtbank acht de privacy-inmenging ‘niet-ingrijpend’ voor de verdachte, omdat ‘door middel van de encrochats van verdachte alleen chatgesprekken van een relatief korte periode onderzocht zijn’.

Internetoplichting

De rechtbank Noord-Holland heeft op 16 maart 2021 een verdachte veroordeeld (ECLI:NL:RBNNE:2021:888) voor (internet)oplichting en witwassen. De verdachte heeft zich samen met een ander schuldig gemaakt aan het witwassen van twee geldbedragen. Deze geldbedragen waren afkomstig uit een geldbedrag van ruim 1 miljoen euro, dat in één nacht is buitgemaakt door phishing. De verdachte heeft slechts een deel van de buit ontvangen, te weten bedragen van € 6.780,22 en € 3.300,22.

De verdachte heeft met zijn mededader katvangers benaderd, die vervolgens hun bankpassen en pincodes aan verdachte en zijn mededader hebben afgegeven. Door middel van deze bankpassen en pincode zijn nog in diezelfde nacht delen van dat bedrag overgemaakt op bankrekeningen van katvangers en is een groot deel daarvan contant opgenomen bij geldautomaten.

Daarnaast heeft verdachte zich gedurende vijf maanden schuldig gemaakt aan Marktplaatsoplichting en computervredebreuk, gekwalificeerde diefstal, een poging tot oplichting, het beheren van tikkie-panels en phishing-sites en het voorhanden hebben van gehackte emailadressen met wachtwoorden, die grotendeels waren gekoppeld aan Marktplaatsaccounts.

Na het contact op Markplaats vroeg hij het contact voor te zetten via WhatsApp vroeg hij zijn slachtoffers om via een malafide betaallink 1 eurocent over te maken. Via die betaallink kwamen zij op een phishingwebsite die nauwelijks te onderscheiden was van de website van hun bank. Bij doorzoeking van de woning werd op de laptop van verdachte nog een actieve phishingsite aangetroffen. Slachtoffers die op zo’n phishing-site hun gegevens invulden, gaven daarmee verdachte toegang tot hun digitale bankomgeving. Daarna maakte hij geldbedragen van hun bankrekeningen over naar rekeningen van ‘geldezels’. Ook schreef hij via de gehackte bankrekening bedragen over van de spaarrekening naar de lopende rekening. De buitgemaakte bedragen kreeg verdachte vervolgens weer in handen via zijn geldezels. De verdachte had de beschikking over vele bankpassen en pincodes van die geldezels.

Bij het vervalste sms-bericht van de Belastingdienst met de tekst:

Belastingdienst} Uw openstaande schuld EUR 1471,00 is na meerdere herinneringen niet voldaan. Op 29 april 2020 zal de gerechtsdeurwaarder overgaan tot conservatoir beslag. U kunt de beslagprocedure voorkomen door direct het gehele bedrag te voldoen via iDeal: http://frama.link/.uHrKGHtJ

Daarmee werden de ontvangers bewogen om met spoed een ‘achterstallig bedrag’ te betalen via een bijgevoegde betaallink. Als zij dat deden, dan waren zij het betaalde bedrag kwijt.

Bij de impersonatiefraude (‘vriend-in-nood-fraude’) deed verdachte zich via WhatsApp voor als een familielid of vriend in betalingsnood. Verdachte zond zijn slachtoffers een Tikkie-link, waarmee zij konden betalen. Slachtoffers verloren zo aanzienlijke bedragen.

Daarnaast heeft verdachte via zijn iPhone een ‘sms-bom’ verzonden, waarbij sms-berichten werden gestuurd naar 555 telefoonnummers. In die sms-berichten werd voorgewend dat Menzis verzocht om een openstaande rekening te betalen, omdat anders de deurwaarder beslag zou komen leggen. Daarna volgde een nep-betaallink, waarmee verdachte toegang kon krijgen tot de digitale bankomgeving van de ontvangers.

De betaallinks en chatgesprekken met slachtoffers zijn terug te leiden tot telefoons die verdachte in gebruik had. Dit geldt ook voor het verzenden van de sms-bom die onder feit 2 ten laste is gelegd. Tijdens de tapperiode is gebleken dat verdachte als administrator ingelogd was op het beheerpanel van de actieve phishingsite. Ook heeft de vriendin van verdachte verklaard dat hij de fraudes alleen pleegde en daarbij gebruik maakte van meerdere telefoons, waaronder de hare. In het dossier en noch ter zitting zijn voldoende verifieerbare aanwijzingen gevonden voor een nauwe en bewuste samenwerking of gezamenlijke uitvoering met mededaders. De rechtbank spreekt de verdachte daarom van enkele andere ten laste gelegde feiten vrij.

De rechtbank acht de houding van verdachte zorgelijk en zij rekent hem de feiten ernstig aan. Ook heeft hij een strafblad voor eerder gepleegde vermogensdelicten. De reclassering heeft gerapporteerd dat verdachte de status van veelpleger heeft. Hij heeft geen werk, geen inkomen, hoge schulden, hij gebruikte drugs en had een negatief sociaal netwerk. Ook is hij licht verstandelijk beperkt. Verdachte is in het verleden onvoldoende ontvankelijk gebleken voor behandeling. Het recidiverisico wordt hoog geacht. Gelet op de ernst van de feiten en de straffen die rechtbanken in soortgelijke zaken opleggen, legt de rechtbank een gevangenisstraf op van  42 maanden met aftrek van het reeds ondergane voorarrest.

Vrijspraak bezit van kinderpornografie en teruggave van gegevens

Op 25 maart 2021 heeft de rechtbank Zeeland-West-Brabant een verdachte vrijgesproken (ECLI:NL:RBZWB:2021:1421) van het in bezit hebben van kinderpornografisch materiaal. In 2016 is verdachte veroordeeld wegens het bezit van kinderpornografische bestanden op zijn computer. Deze computer is destijds in beslag genomen. Van de foto’s op die computer, waaronder ook privé-foto’s, is door verdachte een back-up gemaakt en verdachte heeft verklaard dat die back-up door zijn stiefvader op de nieuwe computer van verdachte is gezet. De verdachte heeft verklaard dat de kinderpornografische bestanden op de Toshiba computer voor hem niet zichtbaar waren.

In dit soort zaken moet opzet op het bezit van kinderpornografisch materiaal bewezen worden. Het dossier bevat geen nadere logistieke data over de aangetroffen bestanden, zoals wanneer de bestanden op de computer zijn gezet, wanneer ze zijn verwijderd of in de prullenbak geplaatst en wanneer de bestanden voor het laatst zijn geopend. Ook zijn er zijn geen zoektermen aangetroffen die verband zouden kunnen houden met kinderporno. Gelet op deze stand van zaken kan niet worden uitgesloten dat de verklaring van verdachte dat de bestanden afkomstig moeten zijn van de back-up van zijn vorige computer klopt en niet kan worden bewezen dat de verdachte welbewust kinderpornografische afbeeldingen in zijn bezit heeft gehad.

In deze zaak is de computer in beslaggenomen en zijn alle gegevens op de harde schijf aan het verkeer onttrokken. Maar onttrekking aan het verkeer van de in beslag genomen computer zonder beperking, zou betekenen dat de andere (niet strafbare) bestanden verloren gaan, terwijl niet kan worden vastgesteld dat het ongecontroleerd bezit daarvan in strijd is met de wet of het algemeen belang. Daarbij is van doorslaggevend belang dat dit onder andere onvervangbare foto’s van de overleden vader van verdachte betreft, die van grote waarde voor verdachte zijn.

De conclusie is dan ook dat de andere gegevens ter beschikking van de verdachte moet worden gesteld en in zoverre zal een last worden gegeven tot teruggave aan de verdachte. Het is aan het openbaar ministerie om te besluiten op welke feitelijke wijze dit plaatsvindt. De rechtbank geeft daarvoor een paar handvatten. De eerste is de 80 kinderpornografische bestanden wissen zodat dat het terughalen van deze bestanden niet meer mogelijk is. Na het wissen van de 80 bestanden kan de computer dan worden teruggegeven. de tweede optie is dat de verdachte een (lege) gegevensdrager aanlevert, waarop de politie de gegevens van de computer minus de 80 kinderpornografische bestanden kopieert.

Over de bijzondere voorwaarde van controle in kinderpornozaken

Het Hof Amsterdam veroordeelde (ECLI:NL:GHAMS:2021:626) op 4 maart 2021 een verdachte tot een gevangenisstraf van 21 maanden, waarvan 18 maanden voorwaardelijk, met een proeftijd van 3 jaar, voor het gewoonte maken van onder meer verspreiden en in bezit hebben van kinderpornografisch materiaal.

In het arrest formuleert het Hof Amsterdam een gedragsvoorwaarde die strekt tot controle van gegevensdragers. Het is daarbij van belang dat de controle beperkt is door het toezicht te beperken tot

“het toezicht op de naleving van de hiervoor genoemde bijzondere voorwaarde en niet mag strekken of toe leiden een min of meer compleet beeld te krijgen van verdachtes persoonlijke leven. Bij de uitvoering van het onderzoek kan gebruik worden gemaakt van een computerprogramma dan wel een ander technisch hulpmiddel dat is gericht op de onderkenning van seksueel getint of kinderpornografisch materiaal.”

Het Hof Den Haag heeft in het arrest van 9 februari 2021 (ECLI:NL:GHDHA:2021:193) nadere (rand)voorwaarden geformuleerd waaraan de controle van de gegevensdragers van de verdachte dient te voldoen.

Overzicht Inlichtingen en Recht april 2021

01-04-2021 Nadere memorie van antwoord Wijzigingswet Wiv 2017

De Minister van Binnenlandse Zaken en Koninkrijksrelaties Ollongren heeft op 1 april 2021 de ‘nadere memorie van antwoord’ van de wetsbehandeling van de Wijzigingswet Wiv 2017 gepubliceerd. In de nadere memorie wordt ingegaan op de vragen van de leden van de Eerste Kamer. Op 9 juni 2020 stemde de Tweede Kamer vóór de Wijzigingswet Wiv 2017 en het wetsvoorstel is nu al bijna een jaar in behandeling bij de Eerste Kamer.

De Wijzigingswet Wiv 2017 moet worden gezien als een reactie op de uitslag van het raadgevend referendum op de Wiv 2017 (waarbij 49,44% van de kiezers tegen de wet heeft gestemd, 46,55% voor en 4,03% blanco) (zie eerder ook dit blogbericht over het wetsvoorstel). De regering beoogt met de wet ‘de waarborgen van de wet op onderdelen te verduidelijken en de ruimte die de wet in de uitvoeringspraktijk biedt zo nodig in te perken’.

De belangrijkste bepalingen vormen de codificatie (en toelichting op) het gerichtheidsvereiste voor de toepassing van alle bevoegdheden. Het gerichtheidscriterium is ‘het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus’. De te vergaren gegevens moeten daarbij dus van te voren worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object.

Net als in de discussie in de Tweede Kamer stellen senatoren vragen over de evaluatie van de Wiv 2017. Het demissionaire kabinet heeft namelijk op 5 maart 2021 in een Kamerbrief aangeven dat zij de analyse, conclusies en aanbevelingen van de Commissie-Jones Bos omarmt. Het plan is echter de aanbevelingen in het rapport in een (ander) ontwerpvoorstel uit te werken. Het kabinet verwerkt dus geen elementen van het rapport van de Commissie-Jones Bos in de Wijzigingswet Wiv 2017.

Oratie

Enkele vragen van de senatoren gingen over mijn oratie ‘Grenzen stellen aan datahonger’. De minister gaat tot mijn vreugde uitgebreid in op de vragen. Kortgezegd (want er waren nogal veel woorden voor nodig), stelt de minister dat er geen sprake is van ‘function creep’ bij passagiersgegevens, omarmt het kabinet de aanbeveling van de evaluatiecommissie een beter voorzienbare regeling te creëren voor het verzamelen van bulkdatasets en zijn er geen plannen een maximale bewaartermijn in de wet op te nemen (omdat gegevens verwijderd moeten worden als ze niet meer van betekenis zijn). Ook herkent de minister niet dat de informantenbevoegdheid in artikel 39 Wiv 2017 een ‘gedrocht van een artikel’ is. ‘Integendeel’ zelfs, omdat de tekst van de wet een expliciete wettelijke basis vormt voor de vrijwillige verstrekking van gegevens door overheidsinstanties (waaronder dus ook bulkdatasets).

Stelselmatig verzamelen van gegevens door het Land Information Manoeuvre Centre (LIMC)

Opvallend is verder dat de minister aangeeft dat art. 6 lid onder e AVG een grondslag biedt voor het verwerken van gegevens uit open bronnen door overheidsinstanties zoals het LIMC. Verder moet worden voldaan aan de vereisten van de AVG en het EVRM. Naar aanleiding van het NRC-artikel wordt onderzoek verricht door de Functionaris voor Gegevensbescherming Defensie naar de naleving van de AVG door het LIMC. Het rapport van de FG, met daarin diens conclusie van het onderzoek en aanbevelingen, bevindt zich in een afrondende fase volgens de minister. Zodra gereed wordt het rapport van de FG en de appreciatie van de minister van Defensie hierop naar de Tweede Kamer en Eerste Kamer verstuurd.

06-04-2021: Advies Cyber Security Raad: investeer 833 miljoen euro aan ‘cyberweerbaarheid’

De Cyber Security Raad adviseert een landelijke regie op het hoogste politieke en ambtelijke niveau om digitale veiligheid en de digitale autonomie van Nederland te beschermen. Dat moet gepaard gaan met een investering van 833 miljoen, bovenop de huidige uitgaven en budgetten voor cyberweerbaarheid.

In het advies staan vijf speerpunten centraal, te weten regie op samenwerking en informatiedeling, weerbare vitale processen, versterking onderzoek en onderwijs, realiseren van cybercrime-handhavingsketen en zorgplicht van leveranciers voor veilige producten en diensten voor burgers, bedrijfsleven en overheid.

De raad adviseert het nieuwe kabinet om in plaats van een Minister Digitale Zaken direct een ministeriële onderraad digitale zaken in te richten, waar cyberweerbaarheid en digitale autonomie integraal aan de orde wordt gesteld. Deze onderraad moet steunen op een interdepartementale strategische overlegkoepel, met daarin alle ministeries die raakvlakken hebben met cyberweerbaarheid. Er moet één cyberweerbaarheidsstrategie komen, inclusief een meerjarenprogramma.

Luister ook naar aflevering 15 van de podcast Cyberhelden over het rapport en de toelichting daarop van Lokke Moerel. Ik vind het met name interessant dat de hoogleraar aangeeft dat de regie mogelijk gevoerd moet worden door AZ en het NCSC misschien onder gebracht moet worden onder BZK (ook verantwoordelijk voor de AIVD), net als dat het Nationaal Cyber Security Centrum in het Verenigd Koninkrijk onderdeel is van de communicatie-inlichtingendienst GCHQ. Zie ook dit uitstekende verslag in Computable: ‘Grapperhaus haalt woede Cyber Security Raad op de hals‘. Vergaand is ook het voorstel voor een ‘een volwassen landelijk dekkend stelsel van informatieknooppunten (LDS)’. Het moet zorgen voor een goede informatiedeling over cyberdreigingen en -kwetsbaarheden.

Over knelpunten in de wetgeving is de CSR in het rapport nogal kort:

“Huidige juridische beperkingen op het delen van herleidbare vertrouwelijke informatie en persoonsgegevens (zoals de AVG en huidige wet politiegegevens) staan het structureel delen van dreigingsinformatie met publieke en private partijen in de weg.”

Verder moet volgens de CSR de capaciteit van reeds betrokken partijen, zoals de Nationale Politie, Openbaar Ministerie Koninklijke Marechaussee, snel worden uitgebreid en publiek-private samenwerking moet structureel worden ingericht en gesteund. De CSR signaleert dat  de defensieve, offensieve en inlichtingen cybercapaciteiten binnen Defensie (incl. MIVD en KMar), de AIVD, het NCSC de politie en het OM een essentiële bijdrage leveren aan ‘cyberweerbaarheid’, bijvoorbeeld door middel van het inzichtelijk maken en delen van dreigingen en concrete informatie daaromtrent en de afschrikwekkende werking (deterrence) voortkomend uit de offensieve capaciteiten. ‘Investeren in de inlichtingendiensten is vrijwel gelijk aan investeren in zowel zicht op de dreiging als in deterrence’. Toch valt het budget van deze diensten valt buiten de scope van het advies.

Ten slotte stelt de CSR voor gerichte investeringen te doen in onderzoek, start-ups en een cybercurriculum in relevante opleidingen. Daarmee zou de ‘huidige academische braindrain’ een halt worden toegeroepen en kunnen we beschikken over voldoende gekwalificeerd personeel. Ook adviseert de raad om in het curriculum van het primair en voortgezet onderwijs met spoed digitale geletterdheid in te voeren en dit onderwerp los te koppelen van een algehele herziening van het curriculum.

12-04-2021: Kamerbrief Verbetering juridische grondslag verwerking persoonsgegevens NCTV

De Minister van Justitie en Veiligheid reageert in deze brief op de berichtgeving in NRC over de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). De NCTV volgt volgens NRC individuen op sociale media en verzamelt en verspreidt privacygevoelige informatie over burgers, zonder dat daar een wettelijke grondslag voor is.

Naar aanleiding van de casus Cornelius Haga Lyceum is de NCTV in februari 2020 gestart met het project ‘taken en grondslagen NCTV’, ter juridische versterking en verankering van zijn taken en grondslagen. Hieruit kwam naar voren dat het identificeren en analyseren van dreigingen en risico’s op het gebied van terrorisme en nationale veiligheid juridisch kwetsbaar is en versterking behoeft indien daarbij (bijzondere) persoonsgegevens worden verwerkt op basis van eigen openbare bronnenonderzoek.

Binnen de Rijksoverheid is de NCTV verantwoordelijk voor de coördinatie van crisisbeheersing, terrorismebestrijding, cybersecurity, statelijke dreigingen en andere terreinen van nationale veiligheid. Specifieke verantwoordelijkheden worden door de NCTV uitgevoerd op basis van specifieke wetgeving: de Politiewet, de Luchtvaartwet, de Paspoortwet en de Tijdelijke Wet Bestuurlijke Maatregelen Terrrorismebestrijding.

De minister benadrukt dat de NCTV geen inlichtingendienst is, en dat de NCTV als coördinator besluiten moet nemen op basis van informatie van andere partijen. De NCTV analyseert deze informatie wel zelf, en valideert vervolgens de analyses. In het geval van de conceptnota Ontwikkeling van het salafisme onder Turken – de invloed in Nederland, zoals genoemd in de NRC, werd de notitie niet gevalideerd en daarom niet gepubliceerd.

Sinds 2006 maakt de NCTV gebruik van internetmonitoring, teneinde een continu beeld van de voorstelbare dreiging te houden. Sinds 2009 werden hiervoor op sociale media gefingeerde accounts ingezet. Inmiddels maakt de Kerneenheid Analyse gebruik van een apart ICT-systeem waardoor meekijken op sociale media ook zonder gefingeerde accounts mogelijk is. Deze praktijk is naar aanleiding van de publicatie in de NRC gestaakt.

De minister stelt dat van werken onder dekmantel in strafvorderlijke zin geen sprake is geweest, omdat de accounts nooit hebben deelgenomen aan conversaties met andere gebruikers. Wel was er sprake van het verwerken van persoonsgegevens, omdat uitingen ‘door personen worden gedaan’. De NCTV doet dit volgens de minister in het algemeen belang, op grond van artikel 50 Organisatiebesluit Justitie en Veiligheid. Het Organisatiebesluit is dan weer gebaseerd op artikel 3, lid 2 van het Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst, dat zijn grondslag vindt in artikel 44 van de Grondwet.

De minister stelt dat de taak voor de NCTV ook is terug te voeren op artikel 5 EVRM. De NCTV heeft internetmonitoring onder het destijds geldende regiem van de Wet bescherming persoonsgegevens aangemeld voor het openbare verwerkingenregister. Het project “Implementatie AVG” is een doorlopend privacy-project binnen de NCTV.

De NCTV erkent en herkent de spanningen op de werkvloer zoals beschreven in de NRC, en heeft inmiddels maatregelen genomen.

Sophie Harleman

04-02-2021 – Algemene beraadslaging Initiatiefwetsvoorstel-Verhoeven Wet Zerodays Afwegingsproces

Ex-Kamerlid Verhoeven geeft aan dat uit het eerste gedeelte van de behandeling van het wetsvoorstel Zerodays duidelijk naar voren is gekomen dat het gedeelte waarin een beoordelingsorgaan is voorgesteld tot veel bezwaren leidt. In de nota van wijziging is het beoordelingsorgaan dan ook uit het voorstel gehaald. GroenLinks diende een motie in, waarin gevraagd wordt om één kader voor politie, Defensie en inlichtingendiensten. Daarop is door de heer Verhoeven het voorstel zodanig aangepast dat het inhoudelijk overeenkomt met datgene wat de motie zegt, alleen dan in een wet.

De demissionair minister van Binnenlandse Zaken gaat vervolgens in op de vraag of het wetsvoorstel werkbaar is voor de diensten. De minister geeft aan dat met dit voorstel nog steeds zeer gevoelige operationele informatie gedeeld moet worden met derden. Volgens artikel 3, lid 2 hóeft niet tot bekendmaking over te worden gegaan. In lid 3 van datzelfde artikel staat dat het bestuursorgaan wél moet overleggen met vertegenwoordigers van betrokkenen die de vitale infrastructuur beheren, alvorens te besluiten over de bekendmaking. Dit kan problematisch zijn wanneer het gaat over gevoelige operationele informatie, gezien potentiële veiligheidsrisico’s. De organisaties waar het om gaat hebben reeds een afwegingskader, aldus de minister. Dat roept bij de minister de vraag op wat het voorstel daar op dit specifieke punt nog aan toevoegt. Belangrijke bezwaren zijn dus weggenomen, maar op dit specifieke onderdeel rest voor de diensten nog wel een bezwaar.

Minister Grapperhaus onderschrijft in het debat dat het demissionaire kabinet nog steeds belangrijke bezwaren tegen het wetsvoorstel heeft op het punt van het dubbele kader van het proces voor de opsporing, daar politie en OM reeds een afwegingskader hebben voor het melden van onbekende kwetsbaarheden. Onbekende kwetsbaarheden worden bovendien alleen ingezet in het uiterste geval. In het regeerakkoord zijn volgens de minister reeds afspraken opgenomen over de aanschaf van binnendringsoftware door de politie.

De heer Verhoeven reageert dat hij vooral beoogt de zaken uniform te regelen. Hoewel er al een leidraad en een afwegingskader is, wil hij dat het in één wet geregeld wordt. Hij geeft aan nog één keer te kijken naar de mogelijkheden die er zijn om tegemoet te komen aan datgene wat gezegd is, maar te blijven bij zijn standpunt dat een meer uniforme en stevige regeling gewenst is.

Het gehele standpunt van het kabinet omtrent het verzoek van de vaste commissie van Binnenlandse Zaken om in te gaan op het gewijzigde initiatiefwetsvoorstel van de heer Verhoeven is hier te vinden (Kamerstukken II 2020/21, 35257, nr. 14).

Sophie Harleman

Veroordeling poging tot deelneming aan een terroristische organisatie

Het Hof Den Bosch heeft op 14 januari 2021 een verdachte in hoger beroep veroordeeld (ECLI:NL:GHSHE:2021:60) tot poging tot deelneming aan een organisatie die tot oogmerk heeft het plegen van terroristische misdrijven (IS). Uit bestendige rechtspraak van de Hoge Raad over deelneming aan een organisatie als bedoeld in artikel 140 en 140a Sr volgt dat daarvan slechts sprake kan zijn, indien de betrokkene behoort tot het samenwerkingsverband en de betrokkene een aandeel heeft in gedragingen, of deze ondersteunt, die strekken tot of rechtstreeks verband houden met de verwezenlijking van het in die artikelen bedoelde oogmerk.

De verdachte heeft op verschillende momenten en in verschillende geschriften beschreven hoe ze zich heeft verdiept in de Islam. Ze erkent vanuit Nederland naar het grensgebied van Turkije en Syrië te zijn gereisd, wat wordt ondersteund door (locatie)gegevens van gedane geldopnames en mastgegevens van haar mobiele telefoon. De verdachte heeft driemaal geprobeerd de oversteek te maken naar Syrië, maar is hierin niet geslaagd. De verdachte heeft een dagboek bijgehouden over haar pogingen, maar voerde ter terechtzitting aan dat het een boek betrof waarin de hoofdpersoon een IS-strijder was. Het hof hecht geen waarde aan deze alternatieve verklaring.

Voor een bewezenverklaring tot een poging tot deelneming aan een terroristische organisatie is nodig dat het voornemen van de verdachte zich door een begin van uitvoering heeft geopenbaard. Nu verdachte actief heeft geprobeerd de grens naar Syrië over te steken en diverse voorbereidingen heeft getroffen (het opnemen van geld, het afscheid nemen van haar familie in brieven, het bestuderen van de Arabische taal en andere voorbereidingen), acht het hof bewezen dat het voornemen van verdachte om deel te nemen aan IS zich door een begin van uitvoering heeft geopenbaard.

Verdachte is volgens het Hof strafbaar en wordt veroordeeld tot een gevangenisstraf van 413 dagen, waarvan 180 voorwaardelijk en met een proeftijd van twee jaar.

Sophie Harleman

Intrekking Nederlanderschap

De rechtbank Den Haag heeft op 8 maart 2021 geoordeeld (ECLI:NL:RBDHA:2021:2112) dat de staatssecretaris van Justitie en Veiligheid bevoegd was tot intrekking van het Nederlanderschap van eiser en bevoegd was tot diens ongewenstverklaring over te gaan.

De staatssecretaris heeft bij afzonderlijke besluiten van 27 januari 2020 het Nederlanderschap van eiser ingetrokken op grond van artikel 14, vierde lid, van de Rijkswet op het Nederlanderschap (hierna: RWN). Eiser heeft als minderjarige gedeeld in de verkrijging van het Nederlanderschap van de moeder en bezit zowel de Marokkaanse als de Nederlandse nationaliteit. Eiser is op 14 mei 2012 geëmigreerd naar Egypte en uitgeschreven uit de Basisregistratie Personen van de gemeente Rotterdam. Het Nederlanderschap van eiser is ingetrokken naar aanleiding van een individueel ambtsbericht van de AIVD van 3 januari 2020, waaruit bleek dat eiser zich heeft aangesloten bij een organisatie die deelneemt aan een internationaal gewapend conflict en een bedreiging vormt voor de Nederlandse nationale veiligheid. Verweerder geeft aan dat de inhoud van het ambtsbericht hier geen twijfel over laat. Eiser is ook tot ongewenst vreemdeling verklaard.

In het ambtsbericht van 3 januari 2020 is het volgende vermeld.

‘ [eiser] is uitgereisd naar Syrië en hij heeft zich, vanaf tenminste 2014, aangesloten bij de aan Al-Qa’ida (AQ) gerelateerde jihadistische strijdgroep Jabhat al-Nusra (JaN). In de periode na 11 maart 2017 is hij, in elk geval tot eind mei 2019, aangesloten bij Tanzim Hurras Al Din (THD), een eveneens aan AQ gelieerde organisatie. Hij wordt vanaf 2014 tot medio 2019 gelokaliseerd in Syrische plaatsen die liggen binnen het territorium van aan AQ gerelateerde jihadistische strijdgroepen. [eiser] is, in ieder geval sinds zijn verblijf in Syrië, een uitgesproken sympathisant van de gewelddadige, extremistische, islamitische ideologie. Hij is, in ieder geval sinds februari 2018, actief in mediazaken door AQ-propagandamateriaal te (laten) vervaardigen en te verspreiden. [eiser] heeft op sociale media vele jihadistische nieuwsgroepen opgezet en onderhouden en verricht hiermee, in ieder geval tot april 2019, ondersteunende activiteiten voor de gewelddadige jihad. [eiser] heeft, in ieder geval sedert juli 2018, voor THD taken uitgevoerd, zoals het verrichten van gewapende gevechtstaken (ribaat).’

Niet betwist is dat eiser zich heeft aangesloten bij THD. Hoewel THD niet als afzonderlijke organisatie op de lijst, kan deze organisatie wel als terroristische organisatie worden aangemerkt, omdat deze is gelieerd aan al Qa’ida. De rechtbank dient uit te gaan van de juistheid van het ambtsbericht. Conclusies van de AIVD als gevolg van het ontbreken van toestemming kunnen niet worden getoetst aan de hand van geheime stukken die daaraan ten grondslag liggen. Het ambtsbericht bevat voldoende feitelijke informatie over eiser.

De gemachtigde van eiser voert aan dat de staatssecretaris zich niet op de door de AIVD verstrekte informatie mag baseren, omdat de AIVD alleen deskundig is over nationale veiligheid in het algemeen, en niet wanneer het aankomt op concrete gevallen. De rechtbank oordeelt dat informatievergaring in het kader van de nationale veiligheid bij uitstek een taak en een deskundigheid is van de AIVD, en dat uit de wetsgeschiedenis (Kamerstukken I 2015-2016, 34 356, nr. C, onderdeel 3) van artikel 14, vierde lid, RWN blijkt dat een ambtsbericht van de AIVD kan dienen als grondslag voor de intrekking van het Nederlanderschap.

De rechtbank oordeelt dat de intrekking van het Nederlanderschap niet in strijd is met het verbod op discriminatie en dat er geen feiten of omstandigheden over eiser bekend zijn die duiden op een te prevaleren belang van een ongestoord familie- en gezinsleven in Nederland op grond van artikel 8 EVRM. De rechtbank komt tot het oordeel dat verweerder op grond van het ambtsbericht het Nederlanderschap van eiser kon intrekken en dat van onevenredigheid van de maatregel ten opzichte van de individuele belangen van eiser geen sprake is.

Sophie Harleman

Veroordeling deelname aan een terroristische organisatie

De rechtbank Rotterdam heeft op 12 april 2021 een verdachte veroordeeld (ECLI:NL:RBROT:2021:3131) voor het deelnemen aan een organisatie die tot oogmerk heeft het plegen van terroristische misdrijven (IS). Ook heeft de rechtbank de verdachte veroordeeld voor het faciliteren van haar partner om als jihadstrijder deel te nemen aan de gewapende strijd, het voorhanden hebben van vuurwapens, het trachten te bewegen van een andere persoon af te reizen naar Syrië, het aanhangen van radicaal extremistisch gedachtegoed en het maken van propaganda voor IS. Vast staat dat de verdachte op 11 juli 2013 naar Syrië is gereisd, waar zij is getrouwd met een Belgische jihadist. Na zijn overlijden heeft zij in vluchtelingenkampen verbleven en zich op 30 oktober 2019 aangemeld bij de Nederlandse ambassade in Ankara. Op 19 november 2019 is zij op Schiphol aangehouden.

De verdachte verklaart te weten dat er oorlog was in het gebied waarnaar zij vertrok en dat haar man werkte voor IS. Hij is in 2015 in België tot vijf jaar gevangenisstraf veroordeeld. Uit berichten van de verdachte op Facebook leidt de rechtbank af dat de verdachte wist dat haar man lid was van IS. Daarnaast bleek uit de berichten dat zij de jihadstrijd verheerlijkte en voor IS propaganda voerde. Uit chatgesprekken blijkt dat de verdachte een vuurwapen en granaten en munitie voor handen heeft gehad. Ook heeft zij uitvraag gedaan naar vuurwapens en getracht een persoon te bewegen af te reizen naar Syrië.

De rechtbank oordeelt dat de verdachte kan worden beschouwd als lid van en deelnemer aan IS, waarbinnen zij ook een maatschappelijke functie heeft bekleed.

Van psychische overmacht is geen sprake en de verdachte is dus strafbaar. De rechtbank is van oordeel dat, gelet op de aard van het delict en de omstandigheden waaronder dit is begaan, er ernstig rekening mee moet worden gehouden dat de verdachte wederom een misdrijf zal begaan dat gevaar veroorzaakt voor de onaantastbaarheid van het lichaam van één of meer personen. De verdachte wordt veroordeeld tot een gevangenisstraf voor de duur van 48 maanden, waarvan 16 voorwaardelijk en met een proeftijd van 3 jaar.

Sophie Harlema

Cybercrime jurisprudentieoverzicht maart 2021

Veroordeling drugshandel via darkweb

De rechtbank Den Haag heeft op 7 januari 2021 een verdachte veroordeeld (ECLI:NL:RBDHA:2021:432) voor het plegen van voorbereidingshandelingen voor harddrugsdelicten, de export van harddrugs door bestelling via het darkweb en verzending via de post, en het gewoontewitwassen van een geldbedrag en een hoeveelheid bitcoins. Met name de (technische) bewijsoverwegingen in de uitspraak zijn interessant, zoals de analyse van verkeersgegevens, het plaatsen van een peilbaken en camera, diverse doorzoekingen, en een pseudokoop op het darkweb.

De historische verkeersgegevens van de PGP-telefoon en de peilbakengegevens van een Mercedes Sprinter spelen bijvoorbeeld een rol in het lokaliseren van de verdachte in Duitsland en Pijnacker (Nederland). Op grond van een Europees Opsporingsbevel zijn in Duitsland postpakketten in beslag genomen die zouden zijn aangeboden aan een postbeambte en zijn de camerabeelden van dit postkantoor veiliggesteld. Op deze camerabeelden is de verdachte herkend. Op een van de inbeslaggenomen postpakketten stond een adres in Thailand vermeld en in dit pakket bleken 104 XTC-pillen te zitten. Op het andere inbeslaggenomen pakket stond een adres in China vermeld, en in dit pakket bleken 47 pillen te zitten.  

Ook is onderzoek verricht naar de data die zijn verkregen naar aanleiding van een tap op het IP-adres van de verdachte. Door de verbinding met Tor te correleren aan accountinformatie (vermoedelijk van een darkweb marktplaats), dat werd verstrekt door het Duitse onderzoeksteam, bleek dat de gebruiker van het IP-adres op 4 februari 2020 op diverse momenten gebruik heeft gemaakt van Tor. Verder heeft het Duitse onderzoeksteam de informatie verstrekt dat de verdachte voor communicatie gebruik maakte van de versleutelde chatapplicatie Wickr en de versleutelde emaildienst Protonmail. Uit de data van de IP-tap blijkt dat de verdachte gebruik maakte van Wickr en Protonmail.

Ten tijde van het onderzoek zijn er diverse pseudokopen verricht door de Duitse politie via het darkweb bij een darkweb marktplaats en zijn betalingen van deze pseudokopen zijn met bitcoins verricht. Op basis van contacten op de PGP-telefoon zijn medeverdachten geïdentificeerd en in chatberichten blijkt dat de verdachte tabletteermachines, stempels, kleurstoffen en bindstoffen regelt voor diverse andere personen. De verdachte verkocht ook EnchroChat abonnementen (de kosten voor een abonnement voor de duur van 3 maanden bedroegen €525,00) en PGP-telefoons kon regelen. Uit de chatberichten blijkt verder dat bedroegen en dat de betalingen daarvoor kennelijk vaak in euro’s plaatsvonden. Een gezamenlijk financieel overzicht en een print van een kasboek bleek voor de bewijsvoering zeer behulpzaam. Op basis van de aangetroffen gesprekken op de mobiele telefoon, concludeert de politie dat sprake is van een nauwe samenwerking tussen de verdachte en medeverdachte bij de handel van verdovende middelen via het darkweb.

De rechtbank overweegt dat ‘een gemiddelde consument een mobiele telefoon koopt om daarmee te kunnen bellen, foto’s te kunnen maken en te kunnen internetten. Een gemiddelde consument zal geen PGP-telefoon aanschaffen met een Encrochat-abonnement omdat een PGP-telefoon duur is en slechts een beperkte functionaliteit heeft. Met dergelijke telefoons kunnen geen foto’s worden gemaakt of worden gebeld. Omdat de meeste functies van een dergelijke telefoon onklaar zijn gemaakt, kan met een dergelijke telefoon eigenlijk uitsluitend nog berichten worden verzonden en ontvangen. Het is een feit van algemene bekendheid dat criminelen vaak gebruik maken van een PGP-telefoon met een Encrochat-abonnement om anoniem te blijven en door middel van versleutelde berichten veilig met elkaar te kunnen communiceren over criminele activiteiten’.

De rechtbank acht het delict witwassen van 97,6 bitcoins wettig en overtuigend bewezen. De verdachten hebben de illegale herkomst van deze bitcoins verhuld door deze bitcoins voor anderen om te ruilen in cash geld. De rechtbank acht bewezen dat de verdachten van dit witwasfeit een gewoonte hebben gemaakt gelet op het feit dat zij een vaste werkwijze hadden,  dat onder meer blijkt uit de vaste wisselcommissie die zij hanteerden en zij zeer waarschijnlijk een groot aantal bitcoinwissels hebben verricht. Voor de drugshandel en witwassen krijgt verdachte een flinke gevangenisstraf van vijf jaar opgelegd.

Nieuwe beslissing in EncroChat-zaak

De rechtbank Rotterdam heeft op 25 januari 2021 enkele beslissingen (ECLI:NL:RBROT:2021:396) genomen in een EncroChat onderzoek (onderzoek Flamenco). Gedurende een aantal maanden is de inhoud van (tekst)gesprekken tussen een aantal EncroChat-accounts gedeeld met het politieteam dat werkte aan de zaak Flamenco.

De verdediging had verzocht om toevoeging van diverse stukken uit onderzoek 26Lemont (onder meer de JIT-overeenkomst die ten grondslag ligt aan het onderzoek 26Lemont en de Franse tegenhanger ervan), het verhoor als getuige van twee officieren van justitie die leiding geven aan het onderzoek 26Lemont en van twee politieambtenaren (werkzaam bij de Landelijke Recherche en het Team High Tech Crime) en om alle EncroChat-gegevens te mogen inzien die aan het onderzoeksteam Flamenco zijn verstrekt.

De rechtbank stelt voorop dat de EncroChat-informatie in de zaak Flamenco duidelijk is geclausuleerd tot onderzoek naar georganiseerde misdaad. Zodra een machtiging  van een rechter-commissaris is verleend, zijn de inspanningen die worden verricht om de communicatie te ontsleutelen in beginsel rechtmatig. De rechtbank wijst het verzoek tot het toevoegen van stukken aan het dossier en het als getuige horen van de twee officieren van justitie van onderzoek 26Lemont en de twee politieambtenaren af. Naar het oordeel van de rechtbank is niet gebleken van een begin van aannemelijkheid dat de EncroChat-informatie anders dan rechtmatig is verkregen. Ditzelfde geldt eveneens voor de overdracht van een deel van deze informatie aan de (zaak)officier van justitie van onderzoek Flamenco. De getuigenverzoeken worden afgewezen, omdat niet is voldaan aan het verdedigingsbelangcriterium.

De rechtbank wijst het verzoek tot het verstrekken van originele (Franstalige) verzoeken en de beslissingen uit 26Lemont en/of het Franse parallelle EncroChat-onderzoek eveneens af. Er is volgens de rechtbank geen begin van aannemelijkheid dat de genoemde vertalingen qua inhoud en strekking afwijken. De rechtbank overweegt ten aanzien het verzoek om alle EncroChat-gegevens te mogen inzien het volgende. De officier van justitie heeft uiteengezet dat de vormgeving en omvang van de verstrekte gegevens eraan in de weg staan om een eenvoudig doorzoekbaar bestand te verstrekken. Het programma Hansken maakt een dergelijk onderzoek wel mogelijk, maar kan uitsluitend worden gebruikt op locatie bij het Nederlands Forensisch Instituut (NFI), en daarbij kan een verdachte die zich in voorlopige hechtenis bevindt om beveiligingsredenen niet (fysiek) aanwezig zijn.

De rechtbank wil in een aanvullend proces-verbaal nader worden voorgelicht over de technische (on)mogelijkheden en de redenen waarom de eerder toegezegde informatie door de verdediging slechts bij het NFI kan worden ingezien. De rechtbank stelt de verdediging een termijn voor het verstrekken van een overzicht van in het dossier weergegeven gesprekken die zij nader wensen te onderzoeken.

Veroordeling voor drugshandel met belangrijke bewijsrol van EncroChat-berichten

In een andere zaak buigt de rechtbank Zeeland-West-Brabant zich op 24 februari 2021 in een andere zaak over de rechtmatigheid van het onderzoek aan EncroChat-berichten. In deze zaak wordt een verdachte veroordeeld (ECLI:NL:RBZWB:2021:735) voor 6 jaar gevangenisstraf en een geldboete van 20.000 euro voor cocaïnehandel. In deze zaak voert de verdediging (o.a.) aan dat de voorwaarden van de rechter-commissaris om de data uit onderzoek 26Lemont te gebruiken niet zijn gerespecteerd en onvoldoende vast is komen te staan dat de accountnaam verdachte alleen door verdachte is gebruikt.

De rechtbank overweegt dat in een brief beschreven staat dat de Franse autoriteiten door middel van een ‘interceptie-tool’ inzicht en informatie hebben verkregen over de communicatie die is gedeeld op een forum. De Franse politie heeft onder gezag van de Franse officier van justitie, na machtiging van een Franse rechter, de interceptietool ingezet. Omdat in Nederland een soortgelijk strafrechtelijk onderzoek is opgestart, is een Joint Investigation Team (hierna: JIT) opgericht door Nederland en Frankrijk. In de JIT-overeenkomst is, zoals gebruikelijk, overeengekomen dat alle informatie en bewijsmiddelen die ten behoeve van het JIT worden vergaard worden gevoegd in een gezamenlijk onderzoeksdossier. Zekerheidshalve is ook de inzet van de hackbevoegdheid in onderzoeken naar georganiseerde misdaad (artikel 126ua Sv) ingezet. De rechter-commissaris heeft op 27 maart 2020 besloten om deze machtiging, ex artikel 126uba Sv, te verlenen onder een zevental voorwaarden. Op 16 september 2020 heeft een officier van justitie van het Landelijk Parket, op grond van artikel 126dd Sv, bepaald dat gegevens die zijn vergaard tijdens het onderzoek 26Lemont kunnen worden gebruikt in het onderzoek Catamaran. 

Kortgezegd stelt de rechtbank voorop dat het internationale vertrouwensbeginsel met zich mee brengt dat de inzet van buitenlandse bevoegdheden op basis van buitenlands recht (in dit geval Frans recht) in beginsel niet getoetst wordt door een Nederlandse rechter. In het licht van het internationale vertrouwensbeginsel wordt niet ingezien hoe de Nederlandse machtiging aan de in Frankrijk vastgestelde rechtmatigheid van eventuele aldaar geconstateerde inbreuken kan toe of af doen. Onder deze omstandigheden is de rechtbank van oordeel dat aan het eventueel niet voldoen aan voorwaarden gekoppeld aan die Nederlandse machtiging geen rechtsgevolgen kunnen worden verbonden. De gegevens zijn aan het onderzoek Catamaran toegevoegd op grond van artikel 126dd Sv. Dit betreft de wettelijke basis waarop informatie uit strafrechtelijke onderzoeken onderling gedeeld kan worden. Het is niet gebleken dat deze toevoeging onrechtmatig tot stand is gekomen en daarom is volgens de rechtbank geen sprake van een vormverzuim.

Veroordeling voor online opruiing na instellen van avondklok

Vier mannen uit Utrecht, Almere, Weesp en Hilversum zijn door de rechtbank Midden-Nederland veroordeeld (ECLI:NL:RBMNE:2021:12) tot (voorwaardelijke) gevangenisstraffen én taakstraffen vanwege online opruiing. Het viertal verstuurde online opruiende teksten. De uitspraak is interessant gezien de rellen in 2021 tegen de invoering van de avondklok in Nederland.

Voor een bewezenverklaring van opruiing moet aan de volgende vier vereisten zijn voldaan.

1. Er is geprobeerd anderen aan te sporen tot het plegen van enig strafbaar feit of gewelddadig optreden tegen het openbaar gezag. Het is niet nodig dat het feit waartoe wordt aangezet ook daadwerkelijk wordt gepleegd.

2. Er moet sprake zijn van opzet. Dat kan voorwaardelijk opzet zijn: het bewust de aanmerkelijke kans aanvaarden dat wordt opgeruid tot het plegen van een strafbaar feit.

3. De uitlating is in het openbaar gedaan. Het internet kan worden aangemerkt als een openbare plaats, mits het publiek toegang heeft tot de internetpagina waar de teksten zijn weergegeven. Indien de desbetreffende uitlatingen op voor het publiek toegankelijke sociale media worden geplaatst, zijn de uitlatingen in de openbaarheid gebracht.

4. De uitlating moet bovendien mondeling of bij geschrift of afbeelding zijn gedaan. Daaronder zijn inbegrepen video’s en tekstberichten op internet en sociale media.

In de onderhavige zaak werd op 16 april 2019 onder andere een afbeelding op internet geplaatst met de tekst:

“Voor diegenen die willen, zaterdag gaan we politiebureau in Utrecht laten trillen.

Wie ballen heeft moet komen, geen mietjes die kunnen naar [naam] .

Ben klaar met dat politiegeweld.”

Boven de afbeelding stond de naam van de verdachte. Ter zitting heeft verdachte verklaard dat hij het filmpje en de afbeelding op Snapchat heeft geplaatst uit onvrede met het politieoptreden bij een aanhouding op 16 april 2019 op de Kanaalstraat in Utrecht. Ook heeft verdachte verklaard dat hij destijds op Snapchat zo’n 10.000 volgers had.

De rechtbank is van oordeel dat de door verdachte gedane uitlatingen redelijkerwijs niet anders kunnen worden begrepen dan als een aansporing tot gewelddadig optreden tegen de politie. Daarbij geldt dat de teksten in hun geheel, in hun onderlinge samenhang en in hun context begrepen moeten worden. Tegen de achtergrond van de gewelddadige rellen die enkele weken eerder op Urk hadden plaatsgevonden en waarbij veel jongeren van buiten Urk betrokken waren, kan deze tekst door een gemiddeld persoon niet anders worden opgevat dan een oproep tot gewelddadigheden tegen de politie. Dit geldt temeer nu verdachte opriep om de adressen van de agenten, die onder andere als kankerflikkers werden bestempeld, te laten publiceren en mensen opriep om het politiebureau te laten trillen, waarbij ‘mietjes’ niet welkom waren.

Bij haar oordeel betrekt de rechtbank dat verdachte de teksten heeft verspreid onder zijn (ongeveer) 10.000 volgers en dus niet slechts aan een select gezelschap van bekenden. De rechtbank legt deze verdachte een gevangenisstraf op van 45 dagen, waarvan 30 dagen voorwaardelijk. Ook moet hij een taakstraf van 40 uur uitvoeren. De rechtbank houdt rekening met de persoonlijke omstandigheden van de verdachte.

Rapport evaluatiecommissie Jones-Bos: the good, the bad and the ugly

Op 20 januari 2021 heeft de Commissie-Jones-Bos haar rapport ‘Evaluatie 2020. Wet op de inlichtingen- en veiligheidsdiensten 2017’ (.pdf) uitgebracht. De Wiv 2017 schrijft in artikel 167 voor dat de wet (telkens) na vijf jaar wordt geëvalueerd. Toch is besloten het evaluatieproces al twee jaar na de inwerkingtreding van de wet op 1 mei 2018 te starten.

De evaluatiecommissie verklaart dat de vervroegde evaluatie tegen de achtergrond van de ‘stevige maatschappelijke discussie over de Wiv 2017’, maar verwijst daarbij niet expliciet naar de uitslag van het raadgevend referendum waarbij meer mensen tégen de Wiv 2017 hebben gestemd, dan vóór (49,44% tegen en 46,53% voor de Wiv 2017). Hoewel de vervroegde evaluatie dus in eerste instantie was ingegeven door privacyzorgen, heeft de evaluatiecommissie klaarblijkelijk nadrukkelijk ook tot doel gehad de Wiv 2017 werkbaarder te maken. Het onderzoeken van de werkbaarheid van de Wiv 2017 was ook één van de opdrachten die de commissie van het kabinet heeft meegekregen.

In deze blogpost geef ik al mijn eigen korte reactie op belangrijke punten uit het rapport. Wie weet is het een begin van een volledige beschouwing van het rapport dat ik later in een artikel publiceer. Het kan zijn dat mijn standpunten later wijzigen (gelukkig mag dat in de wetenschap). Maar ik denk niet dat iedereen doorziet wat de mogelijke effecten zijn van de aanbevelingen en het leek mij goed in dit stadium hier al op te wijzen.

The good 

  • Het rapport is helder geschreven en bevat een heldere omschrijving van lastige onderwerp zoals: (1) het gebruik van bulkdata, (2) het proces van de verwerking van gegevens in de praktijk, (3) internationale samenwerking en de invloed van internationaal recht op het werk van de diensten, (4) het stelsel van toezicht.
  • De wettelijke regeling voor het verwerven van ‘register bulkdata’, zoals gegevens van de Kamer van Koophandel en de Rijksdienst Wegverkeer (RDW) voor kentekengegevens, is onvoldoende voorzienbaar en verdiend een aparte wettelijke basis (zie ook mijn oratie). Ook de waarborg van toestemming van de minister vind ik passend.
  • Een speciaal regime voor de (verdere) verwerking van bulkgegevens, incl. autorisatievereisten.
  • Voorstel tot aanpassing van de bijzondere bevoegdheid voor geautomatiseerde data-analyse aan (zie ook mijn recente preadvies en artikel hierover).
  • De aanbevelingen m.b.t. OOG-interceptie en de hackbevoegdheid.
  • De meeste aanbevelingen over internationale samenwerking (steviger waarborgen en bescherming van Nederlanders bij gegevensverstrekking aan buitenlande diensten).
  • De aanbevelingen over de reikwijdte van de TIB-toets en procedurele aanbevelingen over benoeming van de leden van de TIB en CTIVD.

The bad 

  • De aanbeveling voor één grondslag voor het verkrijgen van gegevens (incl. bulkdata) van Nederlandse medeoverheden. Deze aanbeveling is onvoldoende uitgewerkt. Vraagstukken zijn bijvoorbeeld: moet altijd verplicht worden verstrekt naar de diensten? En met welke waarborgen op het gebied van gegevensverwerking? Welke bewaartermijn geldt voor deze gegevens? In het strafrecht werd voor deze regeling een hele commissie aangesteld (de Commissie-Mevis met het rapport ‘Strafvorderlijke gegevensvergaring in de informatiemaatschappij‘).
  • Een nieuwe categorie voor geautomatiseerde data-analyse (‘GDA+’) met als argument (als ik het goed begrijp) dat alleen data-analyse waarbij wordt gewerkt met ‘statistische methoden’ (bijvoorbeeld bij profiling) privacy-intrusief zijn. Zogenoemde ‘naslagen’ waarbij allerlei soorten gegevens uit verschillende bronnen gekoppeld en gevisualiseerd kunnen worden zouden slechts een ‘beperkte privacy-inbreuk’ opleveren. Net zoals bijna twee jaar geleden (!) in een brief in reactie op een rechtseenheidbrief over geautomatiseerde data-analyse door de ministers uiteen is gezet. Het is een fundamenteel andere kijk op de privacy-effecten van data-analyse dan van veel juristen en dat verdient meer aandacht.  
  • Het schrappen van de bijzondere bevoegdheid van ‘selectie’ bij onderzoeksopdrachtgerichte-interceptie. Nu moet apart toestemming worden gegeven voor het kennisnemen van de inhoud na interceptie (zoals het uitluisteren van een telefoongesprek). Het voorstel is dit te schrappen (geen voorafgaande toestemming meer van de TIB). Maar welk probleem wordt hier opgelost en waarom is deze privacy-waarborg niet passend?
  • Het niet-samenvoegen van de TIB en CTIVD. Het stelsel werkt klaarblijkelijk niet zoals gehoopt (zoals eerder voorspeld door onder andere de Raad van State), mede door een verdergaande toetsing van de TIB dan gedacht. Volgens de aanbevelingen wordt de rol van TIB beduidend teruggeduwd, krijgt de afdeling toezicht van de CTIVD geen bindende toetsinstrumenten en worden verantwoordelijkheden meer belegd bij de verantwoordelijke ministers. Zie voor een andere kijk ook de bijdrage van de CTIVD aan de evaluatiecommissie.

The ugly 

  • De aanbeveling de relevantietoets aan te passen door een toets op ‘operationele waarde’. Het gevolg is dat bulkdatasets na de termijn van drie jaar bijna in hun geheel ‘van betekenis’ worden verklaard. De gevolgen voor het gegevenbeschermingsrecht zijn hier onvoldoende doordacht. Er geldt niet eens een maximale bewaartermijn van de gegevens. Het beginsel van ‘datareductie’ met een verplichte vernietiging van gegevens wordt hierdoor uitgehold.
  • De aanbeveling het mogelijk te maken begrippen voor te leggen aan de bestuursrechter. In een rechtsstaat kan een rechter beslissen over besluiten van een toezichtsorgaan, maar de toezichthouder interpreteert in eerste instantie de wet bij de taakuitvoering.

Conclusie

In de kern kan ik mij in veel gevallen vinden in de aanbevelingen van de evaluatiecommissie. Aandacht voor de werkbaarheid van wetgeving is belangrijk, ook in het kader van een effectieve bescherming van de nationale veiligheid.

Maar ‘the devil is in the details’ en ik heb veel vraagtekens bij de uitwerking van bepaalde voorstellen. Het rapport is ook niet altijd gebalanceerd, in de zin dat het soms super technisch-juridisch en over details gaat (zoals bij OOG-interceptie en de hackbevoegdheid) en andere keer weer heel hoog over is, zonder uitgebreid te toetsen aan de juridische basis of juridische consequenties (incl. grondrechten), met name m.b.t. bulkdatasets en geautomatiseerde data-analyse.

Het onvermijdelijke wetsvoorstel (ik verwacht dat een nieuw kabinet aan de hand van de aanbevelingen de opdracht geeft een wetsvoorstel voor te bereiden) en daaropvolgende de wetsbehandeling ga ik uiteraard met interesse volgen!  

Cybercrime jurisprudentieoverzicht januari 2021

Beslissingen in EncroChat-zaken

De rechtbank Amsterdam heeft op 18 december 2020 enkele belangrijke beslissingen genomen in de bekende EncroChat-zaken (het onderzoek wordt ‘26Douglasville’ genoemd) (Rb. Amsterdam 18 december 2020, ECLI:NL:RBAMS:2020:6443). De verdediging verzoekt tot toegang tot stukken uit een ander onderzoek (‘26Lemont’) om onderzoek te doen naar de rechtmatigheid van het onderzoek naar de EncroChat-hack ter nadere onderbouwing van hun verweer.

Kortgezegd meent het Openbaar Ministerie er geen aanleiding is om de door de verdediging gevraagde stukken aan het dossier toe te voegen, omdat een bevoegde rechterlijke autoriteit zowel in Frankrijk als in Nederland heeft getoetst of de gehanteerde werkwijze rechtmatig was. Toch blijft dan nog steeds onduidelijk wat de werkwijze precies was.

De rechtbank stelt kortgezegd dat het internationaal vertrouwensbeginsel impliceert dat het niet tot de taak van de Nederlandse strafrechter behoort om te toetsen of een door een andere EVRM-lidstaat uitgevoerd strafrechtelijk onderzoek in overeenstemming is met de in die lidstaat geldende rechtsregels (met verwijzing naar HR 5 oktober 2010, ECLI:NL:HR:2010:BL5629). Er hoeven past rechtsgevolgen te worden verbonden aan de vormverzuimen als het recht op een eerlijk proces onvoldoende kan worden gewaarborgd. De rechtbank vindt dat de verdediging onvoldoende onderbouwd waarom de stukken moeten worden versterkt. Persoonlijk heb ik begrip voor het pleidooi van de advocaten en tegelijkertijd begrijp ik de verwijzing naar staande jurisprudentie van de rechtbank. Het is een zaak die ik zeker met interesse blijf volgen.

De rechtbank overweegt zelfs dat door de raadslieden onvoldoende is onderbouwd dat onderzoek 26Lemont heeft te gelden als een voorbereidend onderzoek naar de verdachten in onderzoek 26Douglasville. De JIT-overeenkomst vormt de basis waarop de door de Franse autoriteiten vergaarde informatie uit onderzoek 26Lemont aan Nederland is verstrekt. De rechtbank draagt (vooralsnog) het Openbaar Ministerie niet op de JIT-overeenkomst aan het dossier toe te voegen. De hele constructie met JIT’s begrijp ik persoonlijk nog niet goed, dus deze overweging kan ik niet op waarde schatten.

Zie ook deze fascinerende podcast van 25 oktober 2020 op AD.nl over de EncroChat-zaken.

Hoger beroep in moordzaak en Google-tijdlijn gegevens

Het Hof Arnhem-Leeuwarden heeft op 1 december 2020 een verdachte in hoger beroep veroordeeld (ECLI:NL:GHARL:2020:9865) tot een gevangenisstraf van 20 jaar voor het medeplegen van de moord op haar echtgenoot. Het hof leunt voor de bewijsvoering sterkt op de resultaten van de Google Timeline behorende bij het Google-account van het slachtoffer, terwijl de verdachte ontkent. Eerder heb ik ook over de zaak in eerste aanleg (Rb. Noord-Nederland 11 juli 2019, ECLI:NL:RBNNE:2019:2986) bericht. De zaak is interessant omdat de bewijsvoering sterk op de gegevens van Google berust terwijl de betrouwbaarheid daarvan wordt betwist. Mijn verwachting is dat deze gegevens vaker gebruikt zullen worden. Zie ook deze artikelen in Wired (‘How Your Digital Trails Wind Up in the Police’s Hands‘) over digitaal bewijs van Google, onder andere over de fascinerende ‘geofence-warrants‘, waarbij Google verkeersgegevens van Androidtelefoons in een bepaald gebied en een bepaalde tijd aan opsporingsinstanties moeten verstrekken.

Het hof stelt voorop dat aan de hand van gebruikersactiviteiten en locatiegegevens van het Googleaccount van het slachtoffer inzicht is verkregen in een tijdlijn met locaties en daarbij behorende activiteitgegevens, waaronder gebruikersactiviteiten (de Google Timeline). Het hof gebruikt de ‘confidence-waarde’ van Google om te bepalen wat de mate van waarschijnlijkheid dat de geschatte type activiteit (door Google) correct is. Zo wordt in het arrest beschreven: ‘Om 00:27:38 uur bevindt het toestel van het slachtoffer zich volgens de locatiegegevens van Google met een waarschijnlijkheid van 95% op een gebruiker die aan het lopen is. Volgens de gebruikersactiviteiten van Google verandert de hoek waarop het toestel zich bevindt aanzienlijk om 00:40:09 uur, met een waarschijnlijkheid van 100%. Om 00:43:18 uur beweegt het toestel niet, met een waarschijnlijkheid van 100%’.

In eerste aanleg is een contra-expertise verricht naar de Google Timeline. De Telecomdeskundige van het Nationaal Forensisch Onderzoeksbureau (hierna: NFO) heeft in eerste aanleg ter terechtzitting verklaard dat hij zijn eigen script op de ruwe data van Google Timeline heeft toegepast. De gegenereerde tijdstippen en positie heeft hij geplot in Google Maps en daaruit kwamen exact dezelfde posities naar voren als weergegeven in het politieonderzoek. In hoger beroep bepleit de verdediging dat de gegevens niet betrouwbaar zijn. Daarbij is een rapport ingebracht van het ‘Nederlands Forensisch Incident Response’ (hierna: NFIR). Ik mis de technische expertise en details van de zaak om het digitaal bewijs op waarde te schatten. De tegenstelling over de betrouwbaarheid is in ieder geval opvallend.

Het hof overweegt daarover dat tussen de digitale experts van de politie, het NFO en het NFIR consensus bestaat over het feit dat Google locatiegegevens niet gebruikt kunnen worden om een mobiele telefoon met absolute zekerheid en precisie op een specifieke locatie te plaatsen, en dat de politie en de NFO deskundige met de ruwe data van Google Timeline in Google Maps tot exact dezelfde tijdstippen en posities komen. Het hof stelt vast dat de door de verdediging ingeschakelde forensisch onderzoekers (NFIR) een dergelijk volledig onderzoek niet is verricht.

Kortgezegd ziet het Hof geen enkele reden om aan de betrouwbaarheid van de Google locatiegegevens te twijfelen en deze niet voor het bewijs te bezigen. Daarbij benadrukt het hof dat de Google locatiegegevens in het kader van de bewijsvoering slechts worden gebruikt als een indicatie van de locatie van het telefoontoestel, beschouwd in het licht van de door Google zelf aangegeven confidence-waarde. Het hof beschouwt de bevindingen van Google Timeline uiteindelijk in combinatie met de resultaten van het bloedspoorpatroononderzoek en het pathologisch onderzoek en is daarmee door het bewijs overtuigd dat de verdachte de moord heeft gepleegd.

Veroordeling voor drugshandel op darknet markets

Op 16 december 2020 heeft de rechtbank Rotterdam een verdachte veroordeeld (ECLI:NL:RBROT:2020:11624) voor drugshandel via darknet markets en deelname aan een criminele organisatie. De verdachte is veroordeeld tot een gevangenisstraf van 24 maanden en een taakstraf van 240 uur. Eén van de zes medeverdachten wordt vrijgesproken van deelneming aan een criminele organisatie.

De bewijsvoering over drugshandel via darkweb is met name interessant om te lezen. De uitspraak vermeld bijvoorbeeld de handgeschreven prijslijst met verboden middelen, inloggegevens van de darknet markten ‘Alphabay’ en ‘Valhalla’, een Excellijst met verkopen uit de drugshandel per darknet market en een handleiding genaamd ‘hoe bestellingen af te handelen op de dark markets’.

De medeverdachten verstopten pakketten met drugs in uitgeholde kaarsen en verstuurden deze vanuit hun woning naar adressen in het buitenland. In de berging van de woning en de schuur van hun grootmoeder zijn aanzienlijke hoeveelheden verdovende middelen aangetroffen.

Fraude door scan van QR-code

Op 15 december 2020 heeft de rechtbank Den Haag een verdachte veroordeeld (ECLI:NL:RBDHA:2020:12796) tot vier maanden gevangenisstraf voor oplichting, computervredebreuk, diefstal met een valse sleutel en witwassen.

Hij verdiende zijn geld door middel van fraude met een QR-code. Dat ging als volgt in zijn werk. De verdachte sprak het slachtoffer aan op het station Hollands Spoor die hem op zijn telefoon de ING Mobiel Bankieren app liet zien, waarin op dat moment een QR-code zichtbaar was. De man vroeg hem om die QR-code te scannen om 2 euro naar zijn bankrekening over te maken, omdat hij geld tekort kwam voor het kopen van een treinkaartje. Een dag later bemerkte het slachtoffer dat er buiten zijn medeweten vanaf zijn bankrekening transacties waren verricht. Op de camerabeelden van station Hollands Spoor was te zien dat het slachtoffer werd aangesproken door verdachte, en een handeling verrichte op zijn telefoon (het scannen van de QR-code).

De rechtbank ziet in het handelen van de verdachte listige kunstgrepen en een samenweefsel van verdichtsels (vereist voor het delict oplichting). De verdachte heeft het slachtoffer in strijd met de waarheid voorgespiegeld dat hij door het scannen van de QR-code twee euro naar de bankrekening van verdachte zou overmaken. Op de camerabeelden van een kledingwinkel in Amsterdam is waar te nemen dat verdachte een dag later, op 4 november 2019 om 15:05 uur, een jas van € 995,- afrekende, terwijl uit de bankrekeninggegevens van het slachtoffer blijkt dat op precies hetzelfde tijdstip een bedrag van € 995,- van de bankrekening is afgeschreven bij de betreffende kledingwinkel in Amsterdam.

De verdachte is met bovenstaande handelingen ook binnengedrongen in een (deel van een) geautomatiseerd werk, namelijk de beveiligde internetbankierenomgeving van ING-bank. Verdachte heeft dit gedaan met inloggegevens tot het gebruik waarvan hij niet bevoegd was, en door zich voor te doen als geautoriseerde ING-klant, zodat in het kader van de computervredebreuk zowel sprake is van het gebruik van een valse sleutel, als van het aannemen van een valse hoedanigheid.

Jurisprudentieoverzicht inlichtingen en recht december 2020

Vrijspraak deelname terroristische organisatie 

Op 29 oktober 2020 heeft het Hof Den Bosch een Syriëganger vrijgesproken (ECLI:NL:GHSHE:2020:3371) van deelname aan een terroristische organisatie (IS/DEAESH en/of Jabat al-Nusra). De verdachte is in 2013 afgereisd naar Syrië en is in een trainingskamp verbleven. Ook heeft hij meermalen websites bezocht en filmpjes bekeken met een radicaal extremistische inhoud, contant geld ontvangen en daarmee een vliegticket gekocht, de Arabische taal (aan)geleerd en op 17 oktober 2016 getracht om via de Balkanroute naar Syrië af te reizen.

Toch heeft het hof in het procesdossier geen bewijsmiddelen aangetroffen en is daarom ook niet tot de overtuiging bekomen dat verdachte ook daadwerkelijk deel heeft uitgemaakt van een terroristische organisatie c.q. is toegelaten tot een terroristische organisatie. De verdachte heeft volgens het Hof ook geen wezenlijke bijdrage geleverd aan het verwezenlijken van de doelen van een terroristische organisatie.

Wel wordt verdachte veroordeeld voor voorbereidingshandelingen van het plegen van terroristische misdrijven (artikel 96 lid 2 Sr) en het (zichzelf) trainen tot het plegen van terroristische misdrijven (artikel 134a Sr). Het hof acht bewezen dat het de bedoeling van de verdachte was om via Duitsland en/of Boedapest (de Balkanroute) of Turkije, naar Syrië te reizen teneinde zich te begeven in Syrië en dat de reis derhalve is ondernomen ter voorbereiding van het plegen van terroristische misdrijven. Het bewijs is onder meer afkomstig van pintransacties, digitaal forensisch onderzoek en openbronnenonderzoek. De verdachte krijgt een gevangenisstraf opgelegd van 800 dagen, waarvan 473 voorwaardelijk een proeftijd van drie jaar. De kans op recidive wordt ingeschat als hoog.

Minister gevrijwaard van aansprakelijkheid bij publicatie rapport NCTV?

Op 21 december 2020 heeft de rechtbank Den Haag in een kort geding een vordering afgewezen (ECLI:NL:RBDHA:2020:13109) voor een rectificatie in het Dreigingsbeeld Terrorisme Nederland nr. 53. De zaak was aangespannen door de ‘Muslim Rights Watch Nederland’ (MRWN), omdat zij vonden dat ze worden zwartgemaakt door het NCTV door hen zonder feitelijke onderbouwing aan te merken als ‘politiek-salafistische aanjagers die onverdraagzaam, anti-integratief en antidemocratisch gedachtengoed verspreiden’. Ze stellen dat hun vrijheid van meningsuiting en recht op een persoonlijke levenssfeer is geschaad (art. 8 en 10 EVRM), onder andere omdat ze hun denkbeelden niet meer effectief kunnen uitdragen omdat ze niet meer als integer worden beschouwd.  

De staat voert de opmerkelijke, maar klaarblijkelijk uiterst effectieve, verdediging door te stellen dat op grond van artikel 71 Grondwet de staat niet kan worden aangesproken over datgeen dat aan de Staten-Generaal is voorgelegd (in dit geval: het Dreigingsbeeld Terrorisme Nederland). Het idee is dat hiermee wordt beschermd dat de (in dit geval) minister zich in het parlementaire debat kan uiten in de wetenschap dat een controle op de geoorloofdheid van hun uitlatingen niet bij de rechter berust. Voorkomen moet worden dat de minister zich in het parlementaire debat en bij de informatieverschaffing aan – in dit geval – de Tweede Kamer terughoudend opstelt om civielrechtelijke aansprakelijkheid van de Staat te vermijden (de rechtbank verwijst hierbij naar een niet gepubliceerde uitspraak van het Hof Den Haag, 27 mei 2004, ECLI:NL:GHSGR:2004:AQ8950). 

De (succesvolle) verdediging noem ik opmerkelijk, omdat hier zelden een beroep op wordt gedaan. Artikel 71 Gw beschermt de minister voor uitspraken tijdens een parlementair debat. De minister is dan immuun voor aansprakelijkheid, maar de staat in zijn algemeenheid niet (zie ook dit arrest van de Hoge Raad). Maar ook het beroep op artikel 8 en 10 EVRM slaagt volgens de rechter niet. In andere zaken die in deze rubriek zijn beschreven binnen het domein van het bestuursrecht gaan de rechters na of een conclusie wordt gestaafd op basis van de onderliggende stukken in bijvoorbeeld een ambtsbericht van de AIVD. Hier komt de rechter daar niet aan toe. Wellicht staat de verdediging in soortelijke zaken in de toekomst sterker met een verweer waarbij duidelijker wordt gemaakt wat de schade precies is.  

Intrekking Nederlanderschap  

Op 25 november 2020 heeft de rechtbank Den Haag een beroep over de intrekking van Nederlanderschap als ongegrond verklaard (ECLI:NL:RBDHA:2020:12130). Het Nederlanderschap was op 30 oktober 2019 ingetrokken op grond van artikel 14 lid 3 van de Rijkswet op het Nederlanderschap en de vrouwelijke verdachte tot ongewenst vreemdeling verklaard, wegens gevaar voor de nationale veiligheid door deelname aan een internationaal gewapend conflict. Aan dit besluit lag een ambtsbericht van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) van 27 september 2019 ten grondslag.

Daarin was vermeld:

“Betrokkene is medio juli 2013 uitgereisd naar Syrië. Zij is daar eind juli 2013 (islamitisch) getrouwd met een ISIS-strijder. In die tijd verheerlijkte zij openlijk de werkwijze van ISIS, daarnaast poseerde betrokkene met een automatisch vuurwapen.

Betrokkene bleef ook na 11 maart 2017 aangesloten bij ISIS. Betrokkene deed pro-ISIS uitlatingen via sociale media en faciliteerde bij de verspreiding van pro-ISIS uitlatingen in het (semi-)openbaar. Zo spreekt verzoekster publiekelijk positief over haar leven in een gebied waarin de religieuze politie van ISIS actief is. Verder maakt verzoekster het in 2018 mede mogelijk dat het martelaarschap via sociale media wordt verheerlijkt en een afbeelding van een aanslagmiddel wordt gedeeld.

Betrokkene was tot begin 2019 in het door ISIS gecontroleerd gebied en bevond zich in het voorjaar van 2019 in een Koerdisch kamp. Betrokkene heeft in Syrië twee kinderen gekregen; [kind 1] , geboren omstreeks april 2015 en [kind 2] , geboren omstreeks september 2016.”

De rechtbank heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties verzocht inzage te geven in de stukken die ten grondslag liggen aan het ambtsbericht. De minister heeft de rechtbank (onder verwijzing naar artikel 8:29 lid 1 van de Algemene wet bestuursrecht (Awb)) medegedeeld dat alleen de rechtbank kennis mag nemen van de onderliggende stukken van het ambtsbericht. De geheimhoudingskamer van de rechtbank heeft bepaald dat deze beperking gerechtvaardigd is. De raadvrouw van de verdachte mocht de onderliggende stukken niet inzien.

Eiseres heeft zich op het standpunt gesteld dat het ambtsbericht niet als een deskundigenbericht kan worden beschouwd omdat de AIVD in het bericht geen conclusie heeft opgenomen over het gevaar van eiseres voor de nationale veiligheid. Eiseres ziet dit als een kennelijke weigering van de AIVD om haar als een gevaar te bestempelen. In dit verband verwijst eiseres naar het op 16 juni 2020 gepubliceerde rapport van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (hierna: CTIVD) over de intrekking van het Nederlanderschap, waaruit volgens haar blijkt dat de AIVD moeite c.q. weerzin heeft zich in zaken van de IND te mengen.

De rechtbank overweegt dat het betoog van eiseres dat het ambtsbericht geen conclusies over de nationale veiligheid bevat niet slaagt, nu in het ambtsbericht onder meer vermeld staat dat eiseres aangesloten was bij ISIS en de werkwijze van ISIS verheerlijkte. Het is vervolgens aan verweerder om te beoordelen of het gestelde in het ambtsbericht tot de conclusie leidt dat eiseres een gevaar vormt voor de staatsveiligheid. Zoals verweerder ter zitting terecht heeft gesteld is de gebruiker van het deskundigenbericht verantwoordelijk voor diens eigen conclusies en besluiten. Het rapport van de CTIVD biedt geen aanknopingspunten voor het oordeel dat op grond daarvan geen betekenis aan de uitgebrachte ambtsberichten kan worden gehecht. De rechtbank overweegt dat het ambtsbericht voldoende feitelijke en concrete informatie bevat over de gedragingen van eiseres, ook na 11 maart 2017, die niet is weerlegd. Het gaat daarbij bijvoorbeeld om foto’s op sociale media van de vrouw met een aanslagmiddel en verstuurde chatberichten. De rechtbank acht het – mede gelet op de geheime stukken die door de rechtbank zijn ingezien – voldoende aannemelijk dat de berichten van eiseres afkomstig waren. Bovendien betreft dit ook berichten van na maart 2017, welke de bevindingen uit het ambtsbericht in voldoende mate onderbouwen.

De rechtbank overweegt ten slotte nog: ‘Door er zelf voor te kiezen om naar Syrië te vertrekken om aldaar een zelfstandig bestaan in door ISIS gecontroleerd gebied te gaan leiden en aldaar te huwen met een ISIS-strijder waarmee zij twee kinderen heeft gekregen, heeft eiseres zelf de afweging gemaakt om niet langer feitelijk in de nabijheid van haar familieleden in Nederland te verblijven’. Haar kinderen behouden Nederlanderschap, zijn onder toezicht gesteld en verblijven bij haar zus. De verdachte zelf is in Nederland gedetineerd.

Geheimhouding en inzage tot stukken 

Een verzoek tot kennisneming van gegevens (zoals gespreksverslagen, memo’s, notities) van de appellant met betrekking tot verhoren in een spionagezaak is afgewezen voor zover het om ‘actuele gegevens’ gaat (ECLI:NL:RVS:2020:2635). De appellant heeft wel van de minister inzagedossier van 113 pagina’s ontvangen over de periode van 1974-2011, voor zover het niet om actuele gegevens gaat.

Na de einduitspraak van de rechtbank heeft de minister per document toegelicht waarom inzage in de gegevens is geweigerd. De minister heeft verder voor een aantal geel gemarkeerde delen een nadere motivering gegeven in de alleen voor de Afdeling kenbare passages van de brief van 3 juni 2019.

De Raad van State overweegt dat een organisatie als de AIVD zijn wettelijke taak uitsluitend met een zekere mate van geheimhouding effectief kan uitvoeren. Dit betekent dat de AIVD zijn actuele kennisniveau, zijn bronnen en zijn werkwijze geheim moet kunnen houden om de veiligheid van de daarbij betrokken personen en de veiligheid van de staat te kunnen waarborgen en onderzoeken niet in gevaar te brengen. De verstrekking van gegevens mag worden geweigerd als de nationale veiligheid daardoor kan worden geschaad.

Voor zover documenten zijn geweigerd wegens de bescherming van bronnen, heeft de Afdeling eerder overwogen (in o.a. ECLI:NL:RVS:2014:3264) dat het belang daarvan niet alleen is gelegen in het waarborgen van de veiligheid van in het bijzonder menselijke bronnen maar, in het verlengde daarvan, ook in het voorkomen dat bronnen geen informatie aan de AIVD meer willen verstrekken, hetgeen het goed functioneren van die dienst belemmert waardoor de nationale veiligheid wordt geschaad. Verder heeft de Afdeling eerder over deze weigeringsgrond overwogen (in o.a. ECLI:NL:RVS:2014:3265) dat die weliswaar absoluut is, maar dat de minister wel in ieder concreet geval moet beoordelen of de nationale veiligheid wordt geschaad door verstrekking van de gegevens.

De Afdeling heeft over de weigering van kennisneming wegens de actuele werkwijze van de AIVD (ECLI:NL:RVS:2014:3264) overwogen dat de enkele omstandigheid dat de gegevens gedateerd zijn niet betekent dat de minister zich niet op het belang van bescherming mag beroepen, omdat ook in het verleden gebruikte werkwijzen nog steeds door de AIVD kunnen worden ingezet.

De rechters concluderen na kennisneming van de stukken, waaronder ook de geheime motivering, dat de minister in dit geval passages heeft mogen weigeren. Met het bovenstaande biedt de Raad van State een mooi overzichtsarrest over de jurisprudentie met betrekking tot het recht op inzage.

Op sanctielijst terrorisme 

De afdeling bestuursrechtspraak van de Raad van State heeft op 14 oktober 2020 een arrest (ECLI:NL:RVS:2020:2420) gewezen over de toepassing van de Sanctieregeling Terrorisme 2007-II op een persoon. De persoon is volgens de minister lid van de door de Europese Unie als terroristisch aangemerkte organisatie ‘Devrimci Halk Kurtuluş-Cephesi’ (DHKP/C). Hij zou fondsen werven voor de organisatie en het tijdschrift ‘Yürüyüs’ verspreiden, waarin aanslagen en aanslagplegers van DHKP/C worden verheerlijkt. De fondsen zijn daarop bevroren. De minister kwam tot dit oordeel door een ambtsbericht van de AIVD. De appellant ontving het ambtsbericht in de bezwaarfase, waarin stond vermeld:

“In het kader van de uitvoering van zijn wettelijke taak beschikt de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) over de volgende betrouwbare informatie met betrekking tot [appellant] (geb. [datum] in [plaats]). [appellant] is een leidinggevend lid van de DHKP/C (Devrimci Halk Kurtulus Partisi/Cephesi) en stond in contact met [DKHP/C-leider] (geb. [datum]). De DHKP/C (Devrimci Halk Kurtulus Partisi/Cephesi) is geplaatst op de internationale lijst van terroristische organisaties (zie besluit 2013/395/GBVB van de Raad van de Europese Unie van 25 juni 2013).

[appellant] werft fondsen voor de DHKP/C en verspreidt het blad “Yürüyüs” waarin aanslagen en aanslagplegers van de DHKP/C worden verheerlijkt. Door zijn activiteiten ondersteunt [appellant] de terroristische activiteiten van de DHKP/C.”

De Afdeling is zeer kritisch over het ambtsbericht. Zij heeft de geheime stukken in het AIVD-dossier ingezien. Daaruit blijkt dat de appellant een zekere rol speelt binnen DHKP/C, maar zonder nadere toelichting van de minister is niet duidelijk waarom die stukken de conclusie rechtvaardigen dat de appellant een leidinggevende functie binnen de organisatie vervult. De contacten met de leider van DHKP/C zijn niet aan de bevriezingsmaatregel ten grondslag gelegd en duiden ook overigens niet op een leidinggevende functie van de appellant. De structuur, opbouw en invulling van functies binnen de organisatie en de positie van de appellant daarin is in de stukken niet uiteengezet. Een nadere toelichting ten aanzien van de leidinggevende positie van de appellant binnen de organisatie kon door de minister ter zitting niet worden gegeven, omdat de aanwezige vertegenwoordiger niet op de hoogte was van de inhoud van het onderliggende AIVD-dossier.

De Raad van State acht het besluit van de minister daarom onvoldoende gemotiveerd. De Afdeling merkt ten slotte nog op dat niet de AIVD maar de minister een beroep kan doen op de procedure van artikel 8:29 Awb. Het besluit van de toepassing van de sanctieregeling wordt daarom vernietigd en de minister zal een nieuw besluit op het bezwaar van de appellant moeten nemen.

Rubriek inlichtingen en recht december 2020

Jaarplan AIVD 2021

De minister van BZK heeft op 15 december 2020 de Tweede Kamer geïnformeerd over de hoofdlijnen van het jaarplan van de AIVD (Kamerstukken II 2020/21, 30977, nr. 158). Het volledige jaarplan is vanwege zijn inhoud staatsgeheim gerubriceerd. Een aantal punten wordt ter informatie door de minister uitgelicht.

De AIVD wil de samenwerkingen met de MIVD en andere ketenpartners versterken.  Door de COVID-19 pandemie is de spionagedreiging richting de farmaceutische en medische sector toegenomen. De dreiging van buitenlandse inlichtingenactiviteiten richting de Nederlandse samenleving is daarnaast onverminderd aanwezig. Het gaat hierbij zowel om spionage en ongewenste inmenging als heimelijke politieke beïnvloeding. Een aantal landen richt zijn inlichtingen- en beïnvloedingsactiviteiten met name op hun diaspora in Nederland. Deze ontwikkeling benadrukt volgens de AIVD het belang van de strafbaarstelling van spionage. Om Nederland in staat te stellen zich op effectieve wijze te kunnen weren tegen de dreiging vanuit Rusland en China zetten de MIVD en AIVD in op een gecombineerde inzet.

De AIVD benoemt verder de grote afhankelijkheid van digitale systemen die leidt tot grotere kwetsbaarheid van de Nederlands samenleving. De cyber gerelateerde inlichtingenposities van de AIVD vormen de basis voor het tijdig onderkennen van hoogwaardige (statelijke) dreigingen, en het adequaat voorkomen of tot een minimum beperken van schade die uit cyberaanvallen voortkomt. Wereldwijd vindt een bredere proliferatie van offensieve cyberprogramma’s plaats. In reactie hierop is de Cyber Intel/Info Cel (CIIC) opgericht, een samenwerkingsverband tussen de AIVD, MIVD, het Nationaal Cyber Security Centrum, de politie en het OM (zie ook Stcrt. 2020, 30702). De AIVD levert dreigingsinformatie, en combineert dat met advies over informatiebeveiliging in het digitale domein.

De AIVD wil zijn werkwijze verbeteren en streeft naar een gezamenlijke datahuishouding met de MIVD. Met dat systeem kan inzicht worden gegeven in de juridische status van gegevens, waarmee recht wordt gedaan aan de opmerkingen daarover in de voortgangsrapportages van de CTIVD. De AIVD benoemt in de jaarplanbrief ook het rapport van de onafhankelijke Wiv evaluatiecommissie Jones-Bos dat in 2021 zal verschijnen, alsmede een rapport van de Algemene Rekenkamer over de impact van de implementatie Wiv 2017 op de operationele slagkracht van de diensten. De AIVD heeft zich tot doel gesteld om mede naar aanleiding van deze rapporten en in navolging van het openbare beleid bulkdatasets dat in november 2020 is gepubliceerd, in 2021 over een aantal maatschappelijk relevante onderwerpen te voorzien in openbaar beleid om de maatschappij te laten zien hoe de AIVD de wet in de praktijk invult.  

Eén van de initiatieven waar de AIVD in 2021 mee aan de slag gaat is de noodzaak om, op basis van inlichtingen over de (digitale) dreiging vanuit statelijke actoren, concreet handelingsperspectief te geven om de digitale weerbaarheid te vergroten.

Sophie Harleman

Defensienota, lijst van vragen en antwoorden

De vaste commissie voor Defensie heeft een aantal vragen voorgelegd aan de minister van Defensie over de Defensievisie 2035 (Kamerstuk 34919, nr. 71). Een paar vragen en antwoorden (Kamerstukken II 2020/21, 34919, nr. 73) zal ik hieronder uitlichten.

Zo vraagt de commissie zich af (vraag 42) of de minister het risico ziet dat de drempel voor het aangaan van een conflict lager komt te liggen door de optie om hybride oorlogsinstrumenten in te zetten, zoals “cyber”. De minister geeft aan dat de drempel voor hybride conflictvoering door tegenstanders onder het niveau van een gewapend conflict lager ligt dan voor openlijk militair conflict. Hybride conflict wordt gekenmerkt door meer heimelijke activiteit, zoals economische spionage, cyberaanvallen, militaire intimidatie, aanvallen met chemische wapens en/of ondermijnende desinformatie. Door deze handelswijze onttrekken statelijke tegenstanders zich doelbewust aan het geldende internationaal (oorlogs)recht.

Vervolgens stelt de commissie de vraag (43) hoe Nederland met de uitvoering van de Defensievisie 2035 bijdraagt aan een effectief weerwoord op conventionele militaire dreigingen alsmede zeer moderne militaire technologieën, en geeft daarbij het voorbeeld van Russische hypersone wapens en Chinese Robots. De minister antwoordt dat de drie eigenschappen en tien inrichtingsprincipes van Defensie ertoe dienen te leiden dat in de toekomst de Nederlandse belangen kunnen worden beschermd tegen de in de Defensievisie onderkende dreigingen. Hieronder vallen ook nieuwe dreigingen zoals hybride conflictvoering en dreigingen in het cyberdomein. Defensie wil inzetten op een technologisch hoogwaardige en informatiegestuurde organisatie om te voorkomen dat Defensie achterop komt bij potentiele tegenstanders die hierin investeren.

In vraag 44 legt de commissie aan de minister voor wat de afgelopen kabinetsperiode had moeten gebeuren om ervoor te zorgen dat Defensie wél toegerust zou zijn op het verdedigen tegen hybride dreigingen en optreden in de informatieomgeving. De minister geeft aan dat dit kabinet fors heeft geïnvesteerd in Defensie, te weten €1,7 miljard euro structureel en €1,7 miljard euro incidenteel over de periode tot en met 2024. In de Defensienota 2018 zijn verder de maatregelen uiteengezet die worden genomen om stappen te zetten richting een informatiegestuurde krijgsmacht die is opgewassen tegen technologisch hoogwaardige tegenstanders en hybride dreigingen. Defensie investeerde onder andere in cyber, inlichtingen, IT, informatievergaring en het gehele informatiedomein.

Vraag 49 luidt: “Wat bedoelt u precies met “we specialiseren ons in het opbouwen en behouden van een gezaghebbende informatiepositie”? Welke extra capaciteiten wilt u creëren/aanschaffen om deze ambitie te realiseren?” De minister geeft aan dat de visie niet ingaat op welke capaciteiten aangeschaft (moeten) gaan worden, omdat dat afhangt van het toekomstige budget en toekomstige keuzes.

Vraag 54 ziet specifiek op data die Defensie vergaart en gebruikt. De vraag luidt als volgt: “Wat voor specifieke data heeft de toekomstige krijgsmacht vooral nodig? Naast het gebruiken van deze data moet het ook vergaard worden; hoe doet de krijgsmacht dit en aan welke privacy-kwesties raakt dit?”

De minister geeft als antwoord dat de toekomstige krijgsmacht onder andere data zal gebruiken uit open bronnen, haar eigen (wapen)systemen, sensoren, satellieten en inlichtingen van de MIVD. Defensie moet dit soort informatie kunnen ontsluiten, filteren, verwerken, analyseren, erop kunnen sturen en naar kunnen handelen om hun kerntaken uit te voeren. Eigenlijk, stelt de minister, is informatie voor Defensie net zo belangrijk als brandstof voor een auto. Zij geeft aan dat Defensie nu en in de toekomst binnen wettelijke kaders werkt. Omdat de inzet van nieuwe technologische fundamentele ethische en maatschappelijke vragen kan oproepen, participeert Defensie in interdepartementale en internationale trajecten om deze publieke waarden te blijven beschermen. De minister geeft aan dat de Wiv 2017 de inlichtingendienst bevoegdheden en taken geeft ten behoeve van de nationale veiligheid. De minister stelt dat hierbij altijd in ogenschouw wordt genomen dat het middel niet erger is dan de kwaal.

Vraag 56 ziet op samenwerking en interoperabiliteit tussen de partners in het Nederlandse cyberbeveiligingsnetwerk. Defensie is volgens de minister een cruciale partner in het Nederlandse cybersecuritylandschap, en probeert samen met strategische partners zoals het Nationaal Cyber Security Centrum (NCSC), de Algemene Inlichtingen en Veiligheidsdienst (AIVD), de Politie en het OM Nederland digitaal veilig te houden. Een voorbeeld van dit soort samenwerkingsverbanden is de Cyber Intel/Info Cell, waar sinds deze zomer medewerkers van de bovengenoemde organisaties fysiek bij elkaar zitten om relevante informatie zo snel mogelijk te kunnen delen.

De minister noemt verder het Nationaal Respons Netwerk waar Defensie bij is aangehaakt. Dit betreft een samenwerkingsverband tussen o.a. Defensie, NCSC en Rijkswaterstaat waar kennis, informatie en personeel (in het geval van crises) wordt gedeeld. De minister stelt dat Defensie als bron van informatie en inlichtingen en door het beschikbaar hebben van cruciale personele capaciteit een belangrijke speler in het nationale cybersecuritylandschap is.  

Als antwoord op vraag 58 stelt de minister ten slotte dat bredere bewustwording van de dreiging van desinformatie van groot belang is. Openheid over desinformatiecampagnes kan daaraan bijdragen.

Sophie Harleman

Brief van de Minister van Buitenlandse Zaken over het bericht dat de Russische militaire inlichtingendienst via ‘Bonanza Media’ desinformatie verspreidt rond het MH17 strafproces

In deze Kamerbrief (Kamerstukken II 2020/21, 33997, nr. 155) wordt door de minister van Buitenlandse Zaken gereageerd op het rapport van onderzoekscollectief Bellingcat, waarin werd gesteld dat de Russische militaire inlichtingendienst GROe via ‘Bonanza Media’ desinformatie verspreidt rondom het MH17 strafproces.

Uit de jaarverslagen van de AIVD en de MIVD is reeds gebleken dat het kabinet zorgen heeft over de Russische beïnvloedingsactiviteiten, waaronder ook met betrekking tot de beeldvorming over het MH17 strafproces.

De minister geeft aan dat de strategie van het kabinet om verspreiding van desinformatie tegen te gaan drie actielijnen kent: preventie, de informatiepositie verstevigen en, zo nodig, reactie. Het kabinet hecht grote waarde aan het onafhankelijke en pluriforme medialandschap in Nederland. De minister geeft aan dat het kabinet Rusland herhaaldelijk heeft aangesproken op het verspreiden van desinformatie rondom het neerhalen van vlucht MH17 en dat het kabinet dit waar nodig ook zal blijven doen.

Sophie Harleman

Brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties over nationale veiligheid en het tegengaan van digitale inmenging Tweede Kamer verkiezingen 2021

De minister geeft in deze Kamerbrief (Kamerstukken II 2020-21, 30821, nr. 118) aan dat het beschermen van onze verkiezingen tegen ongewenste (digitale) inmenging van groot belang is voor onze democratie. Hoewel zich bij het stemmen geen digitale dreigingen voordoen, kan de dreiging van digitale inmenging bij verkiezingen in diverse vormen voorkomen. In de brief gaat de minister in op de uitdagingen rond digitale inmenging omtrent de verkiezingen, zowel bij het verkiezingsproces zelf als in aanloop naar de verkiezingen. Ook noemt zij de maatregelen die de overheid neemt digitale inmenging bij de Tweede Kamerverkiezing van 2021 te voorkomen, en biedt ze de Kamer het rapport ‘Digitale dreigingen voor onze democratie’ van het Rathenau Instituut aan. Hieronder ga ik kort in op de voor deze rubriek relevante punten.

Kwetsbaarheid politieke partijen voor digitale incidenten verminderen
Het vertrouwen in de betrouwbaarheid van de verkiezingen is in Nederland hoog. Personen en instituties die een rol spelen in het democratisch proces zijn een potentieel doelwit voor kwaadwillenden om desinformatie te verspreiden of informatie te ontvreemden. Het moet bij betrokken partijen bekend zijn wat te dreiging van cybercrime, cyberspionage en cybersabotage inhouden teneinde de dreigingen effectief te bestrijden. De rijksoverheid geeft hierbij ondersteuning waar nodig. Politieke partijen kunnen tevens altijd een vrijwillige melding doen bij het Nationaal Cyber Security Centrum in het geval van ernstige incidenten.

Voorkomen dat mis- en desinformatie het democratisch proces ondermijnt
Mis- en desinformatie kunnen ervoor zorgen dat burgers de stembusgang wordt belemmerd. Waar bij misinformatie onbedoeld onjuiste of misleidende informatie wordt verspreid, is desinformatie gericht op het toebrengen van schade aan het publieke debat, democratische processen, de open economie of nationale veiligheid. Er zijn geen aanwijzingen dat er bij eerder verkiezingen in Nederland door statelijke actoren grootschalige desinformatiecampagnes hebben plaatsgevonden maar uit het jaarverslag van de AIVD blijkt dat online Russische beïnvloeding op West-Europese sociale media aan de orde van de dag is.

Zoals ook blijkt uit de brief van de minister van Buitenlandse Zaken over het bericht dat de Russische militaire inlichtingendienst via ‘Bonanza Media’ desinformatie verspreidt rond het MH17 strafproces (Kamerstukken II 2020/21, 33997, nr. 155), kent de strategie tegen desinformatie drie actielijnen: preventie, informatiepositie verstevigen en (indien nodig) reactie. De overheid kan in het licht van de verkiezingen misleidende informatie actief tegenspreken, zoals ook gebeurd is tijdens de COVID-19 crisis. Ook kan de overheid juridische middelen inzetten, zoals artikel 127 Wetboek van Strafrecht, dat betrekking heeft op het plegen van een bedriegelijke handeling. Verder kan de overheid juridische handvatten ontlenen aan het civielrecht, of als er sprake is van een strafbaar feit als smaad of laster.

Gebrek aan transparantie omtrent digitale campagnes verminderen
In aanloop naar de verkiezingen moet het voor burgers duidelijk zijn wie de afzender is van een politieke advertentie en waarom zij deze te zien krijgen. Vanwege de Europese gedragscode tegen desinformatie hebben internetdiensten maatregelen genomen om de transparantie van politieke advertenties te vergroten, en staan sommige internetdiensten geen politieke advertenties meer toe op hun platforms. Volgens de minister moet de Europese gedragscode tegen desinformatie worden verbeterd, onder meer door het toevoegen van minimale transparantie- en rapportagestandaarden en gemeenschappelijke definities van sleutelconcepten. Op nationaal niveau werkt de minister aan een Wet op de politieke partijen (Wpp), waarin transparantieregels ook een plek krijgen.

Informatiepositie over mis- en desinformatie verder ontwikkelen
Overheden dienen een goede informatiepositie te hebben over de aanwezigheid van mis- en desinformatie zodat zij weten of er sprake is van een dreiging die een reactie van de overheid vereist. Hiervoor dient  informatie in nationaal en internationaal verband gedeeld te worden. In Nederland staan de betrokken ministeries en diensten doorlopend in nauw contact om informatie over en signalen van mogelijke desinformatieactiviteiten te delen, te duiden en daarop zo nodig te acteren. Internationale samenwerkingsverbanden dragen bij aan het versterken van de informatiepositie. De Europese Commissie heeft recent het European Digital Media Observatory gelanceerd, waarbinnen fact-checkers, wetenschappers en andere stakeholders worden gefaciliteerd.

Rekening houden met nieuwe technieken om mis- en desinformatie te verspreiden
De technologie waarmee mis- en desinformatie kan worden verspreid is voortdurend in ontwikkeling. Het rapport ‘Digitale dreigingen voor de democratie’ van het Rathenau Instituut geeft een overzicht van de technologische ontwikkelingen die de komende jaren een rol kunnen gaan spelen bij de productie en verspreiding van desinformatie. De mogelijkheden bestaan onder andere uit tekstsynthese, voice cloning, deepfakes, microtargeting en chatbots. Met name deepfakes en psychographing, een geavanceerde vorm van microtargeting, kunnen in de toekomst ingezet worden door kwaadwillende actoren om het publieke debat en het democratische proces heimelijk te beïnvloeden. De minister geeft aan niet te verwachten dat deze technologieën bij de komende Tweede Kamerverkiezingen al een grote rol zullen spelen. De minister deelt de conclusie van het Rathenau Instituut dat met name internetdiensten een verantwoordelijkheid hebben om het verspreiden van desinformatie tegen te gaan. De overheid kan daarbij bedrijven wel aansporen om maatregelen te nemen. De beschreven nieuwe technologieën zouden een plek kunnen krijgen in een verbeterde gedragscode.

De minister wil teneinde bovenstaande uitdagingen het hoofd te bieden thematafels organiseren waarbij relevante ministeries, toezichthouders, het maatschappelijk middenveld, politieke partijen en internetdiensten worden uitgenodigd.

Sophie Harleman

Tijdelijke regeling verdere verwerking bulkdatasets 

Op 5 november 2020 is de ‘Tijdelijke regeling verdere verwerking bulkdatasets Wiv 2017’ gepubliceerd (Stcrt. 2020, 56482). Een bulkdataset wordt gedefinieerd als ‘een omvangrijke gegevensverzameling waarbij het merendeel van de gegevens betrekking heeft op personen en/of organisaties die geen onderwerp van onderzoek zijn van een dienst en dat ook niet worden’. Bulkdatasets zijn volgens de toelichting op de regeling van grote operationele waarde.  

De toelichting op de regeling noemt dat  de verwerving van bulkdatasets de diensten in staat stelt zicht te krijgen op bepaalde regio’s en uitreizigers of andere targets te (blijven) volgen. Bulkdatasets hebben een langdurige waarde voor de uitoefening van de taken van de diensten. Het stelt de AIVD en de MIVD in staat om ook over een langere periode netwerken in kaart te brengen, de intensiteit van contacten vast te stellen en reisbewegingen te herleiden. In de praktijk wordt de opbrengst uit een bulkdataset vaak gecombineerd met andere inlichtingeninformatie, bijvoorbeeld afkomstig uit de inzet van bijzondere bevoegdheden. Door deze gegevens te combineren worden verbanden zichtbaar of wordt de kennis over reeds gekende dreigingen vergroot. 

De regeling moet worden gezien als regelgeving die de minister van BZK of Defensie kan nemen ten aanzien van de organisatie, de werkwijze en het beheer van de diensten (art. 16 Wiv 2017). Daarnaast is het natuurlijk geen toeval dat de regeling is gepubliceerd na de publicatie toezichtsrapporten nr. 70 en nr. 71 van de CTIVD over bulkdatasets.  

In mijn meest recente artikel ‘Metadata-analyse in de Wiv 2017’ in het tijdschrift Privacy & Informatie merk ik het volgende over de regeling op. De toegang van AIVD- en MIVD-medewerkers tot gegevens in bulkdatasets wordt beperkt afhankelijk van de ernst van inmenging op de persoonlijke levenssfeer van personen die plaatsvindt bij de verwerking van de gegevens in de bulkdataset.De ernst van de inmenging wordt bepaald op basis van de volgende vier elementen: (1) identificerende gegevens, (2) locaties, (3) netwerk van de contacten van een persoon en (4) vertrouwelijke inhoud. Hierbij valt op dat de verwerkingsvormen van de gegevens uit de bulkdatasets niet worden meegenomen om de privacy-inbreuk te bepalen, terwijl dit volgens jurisprudentie van het EHRM en HvJ EU wel een belangrijke factor is om de ernst van de privacy-inmenging te meten. 

De toegang tot gegevens in bulkdatsets is met de regeling ingedeeld in een (a) standaard toegangsregime, (b) beperkt toegangsregime of (c) strikt beperkt toegangsregime. Onder het standaard toestemmingsregime behoren medewerkers die toegang vanuit hun functie nodig hebben, zoals medewerkers die het inlichtingenonderzoek uitvoeren, maar ook data-analisten en data-scientists. Onder het beperkt toegangsregime behoren functiegroepen die vanwege hun specifieke kennis en expertise met bulkdata de verbanden tussen verschillende gegevensbestanden inzichtelijk kunnen maken door middel van data-analyses. Dat kunnen medewerkers uit een inlichtingenteam zijn of een team dat belast is met de uitvoering van veiligheidsonderzoeken of het opstellen van dreigingsanalyses. Onder het strikte toegangsregime hebben alleen specifieke medewerkers met een bepaalde functie toegang of toegang waarbij de functionaliteit beperkt is tot het bevragen van gegevens. Een speciaal verzoek tot toestemming moet worden ingediend om toegang te krijgen tot gegevens in de bulkdataset als blijkt dat zich daarin een kenmerk bevindt, zoals een telefoonnummer. 

De tijdelijke regeling bevat geen maximale bewaartermijn van de gegevens, omdat de gegevens in de bulkdatasets allemaal relevant worden geacht. In plaats daarvan vindt een periodieke beoordeling vindt plaats om de 3 jaar, 2 jaar, of 1 jaar; afhankelijk van het type bulkdataset. Over het geheel gezien biedt deze regeling meer bescherming dan (de huidige uitvoering) van de Wiv 2017 en kan het worden gezien als een invulling van de algemene bepalingen omtrent gegevensverwerking en de zorgplicht uit de Wiv.  

Jan-Jaap Oerlemans

Nieuwe autoriteit voor de bestrijding kinderpornografisch en terroristisch materiaal?

Minister Grapperhaus van Justitie en Veiligheid heeft in het najaar van 2020 nieuwe plannen uit de doeken gedaan voor de oprichting van een nieuwe overheidsinstantie (zie de Kamerbrief van 20 november 2020 en de Kamerbrief van 8 oktober 2020). De nieuwe autoriteit zou er gericht op zijn kinderpornografisch en terroristisch materiaal door middel van het bestuursrecht te bestrijden met bestuursrechtelijke handhavingsinstrumenten, zoals de last onder bestuursdwang en boetes. Het idee is dat deze autoriteit de status van zelfstandig bestuursorgaan krijgt om de onafhankelijkheid te waarborgen. Dit zou bovendien aansluiten bij een voorstel voor een Europese verordening over het ontoegankelijk maken van online terroristisch materiaal. Op 10 december 2020 is een voorlopig akkoord bereikt over de verordening door de Raad van Ministers.

Minister Grapperhaus beziet nog of de nieuwe autoriteit bijvoorbeeld de bevoegdheid krijgt te automatisch zoeken (crawlen) naar online kinderpornografisch materiaal. Met een dergelijke bevoegdheid wordt Nederland minder afhankelijk van meldingen uit het buitenland over kinderpornografisch materiaal op servers in Nederland. Volgens de minister ontstaan ‘kwalitatieve en kwantitatieve synergievoordelen’ wanneer de bestrijding van online kinderpornografisch materiaal en online terroristisch materiaal bij één autoriteit worden ondergebracht. De minister verwacht dat het wetsvoorstel voor de autoriteit die online kinderpornografisch materiaal bestrijdt in januari 2021 in (internet)consultatie kan worden gegeven.

Problematiek

In een andere Kamerbrief van 8 oktober 2020 over de bestrijding kinderpornografisch materiaal op internet, heeft de minister de problematiek verder toegelicht. Zo vertelt de minister uitgebreid over een het rapport, de “CSAM Hosting Monitor”, die in opdracht is geschreven door de TU Delft. De minister streeft ernaar dat de monitor een structureel karakter krijgt en de rapportage periodiek wordt gepubliceerd, waarbij de op te richten toezichthouder het instrument op termijn overneemt.

In de Kamerbrief wordt bijvoorbeeld het hostingbedrijf NForce uitgelicht, klaarblijkelijk in het kader van ‘naming en shaming’. Het hostingbedrijf hostte een extreem grote hoeveelheid kinderpornografisch beeldmateriaal: van januari-augustus 2020 kreeg het bedrijf maar liefst 179.610 meldingen van het Meldpunt Kinderporno over URL’s met dergelijk materiaal. Het aandeel van NForce in alle Nederlandse meldingen van kinderpornografisch beeldmateriaal was 93.57% (!). Kortom, NForce heeft als hoster van middelbare grote volgens de minister een enorme rol in de verspreiding van kinderpornografisch beeldmateriaal.

HashCheckService

De ‘HashCheckService’ is een dienst die de politie beschikbaar stelt aan hosting providers om kinderpornografisch materiaal te detecteren, zodat het kan worden verwijderd. Na het versturen van brieven aan 17 hosters in juni 2020 die veel kinderpornografie via hun diensten distribueerden, hebben een aantal hostingbedrijven klanten afgestoten. Ook steeg het aantal domeinen dat aangesloten werd op de HashCheckService flink en één hostingbedrijf verplichtte zijn klanten om zich hierop aan te sluiten. Het resulteerde in een enorme toename van het aantal checks van deze HashCheckService. In een Kamerbrief van 7 juli 2020 werd genoemd dat 67 miljoen afbeeldingen waren gecheckt met 10.000 hits, inmiddels is dit gestegen naar 18.2 miljard afbeeldingen die zijn gecheckt met bijna 7.4 miljoen hits. Deze aantallen dragen volgens de minister fors bij aan het tegengaan van herhaald slachtofferschap.

Good hostingschap

De minister noemt allerlei maatregelen ter bestrijding van kinderpornografie die hosting bedrijven kunnen nemen in het kader van “good hostingschap”. Dat doet hij overigens zonder te verwijzen naar onderliggende wet- en regelgeving. Een ‘good hoster’ zal bijvoorbeeld een “Know-Your-Customer” beleid kunnen voeren, bijvoorbeeld door het uitvoeren van identiteitscontroles en een risico-inschatting maken ten aanzien van kinderpornografische uploads (mogelijk via de HashCheckService). Reactief acteert een good hoster volgens de minister uiteraard direct bij een melding, uiterlijk binnen door de sector zelf gestelde norm van 24 uur.

Eerste beschouwing van de plannen

De Kamerbrieven verassen mij. Het idee is interessant en vernieuwend. Maar ik mis wel een onderbouwing van de noodzaak voor de oprichting van zo’n nieuwe autoriteit, inclusief informatie over bijvoorbeeld de kosten, organisatie, etc.. Enkele vragen die alvast opkomen zijn bijvoorbeeld:

  1. Waarom wordt dit niet belegd bij een strafrechtelijke instantie of gespecialiseerde tak van het OM? Voldoet dat niet en waarom niet?
  2. Werkt het nieuwe Take Down-bevel uit artikel 125p Sv (n.a.v. de Wet computercriminaliteit III) onvoldoende? Is die bevoegdheid geëvalueerd? Zie overigens ook dit interessante rapport van de UvA in opdracht van het WODC over het verwijderen van onrechtmatige online content.
  3. Welke andere bevoegdheden zou de autoriteit moeten krijgen? Kunnen we een mooie naam voor de autoriteit verzinnen?
  4. In hoeverre wordt samengewerkt en gegevens gedeeld met andere, vergelijkbare autoriteiten?

Het is een dossier die ik zeker in de gaten blijf houden. Voor nieuwsartikelen of wetenschappelijk artikelen hierover houd ik mij aanbevolen.

== update ==

Het blijkt dat er al eerder onderzoek is gedaan naar de mogelijkheden tot het aanpakken van kinderporno op basis van bestuurlijke handhaving (.pdf). Het rapport komt op mij over als een praktisch en meer technisch georiënteerd rapport (niet super juridisch in ieder geval (hier is een juridisch advies van AKD te vinden)). Volgens het rapport kent bestuursdwang vele voordelen, zoals een mogelijk snellere rechtsgang en meer handelingsmogelijkheden. In de praktijk wordt bestuursdwang gezien als een middel om de resterende kleine groep ‘bad hosters’ aan te pakken. Dienstverleners die nu meewerken in de zelfregulering geven aan dat invoering van bestuursdwang voor deze groep weinig verandert, maar wel aanvullend ‘juridisch risico’ met zich meebrengt.

Maar “toch plaatsten veel respondenten vraagtekens bij de keuze voor bestuursdwang”. Zo zou het nemen van de eerste stap: het identificeren van de Nederlandse partij die onderwerp van bestuursdwang wordt, lastig zijn. Bestuursdwang is niet toe te passen op buitenlandse partijen en medeplichtigheid/medeverantwoordelijkheid is lastig aan te tonen, want partijen beroepen zich op het argument dat ze niet (kunnen/willen) weten wat er op hun infrastructuur gebeurt.

Ten slotte wordt in het rapport ook wel gewaarschuwd over een mogelijke precedentwerking als bestuursrechtelijk wordt gehandhaafd. Mogelijk wordt het instrument dan toegepast bij zaken als online kansspelen en online haatzaaiien (waar de verwijdering van terroristische content natuurlijk dicht bij staat). De weg via strafvordering zou volgens de auteurs op het rapport niet werken vanwege organisatorische problemen bij justitie/rechtbanken in verband met capaciteit voor het toestemming geven van het verwijderen van informatie.

Cybercrime jurisprudentieoverzicht december 2020

Een Facebook account is geen ‘geautomatiseerd werk’

Het Hof Den Haag heeft op 22 september 2020 een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2005) voor belaging, maar vrijgesproken van computerbreuk. Een ‘Facebookaccount’ kan niet worden aangemerkt als een geautomatiseerd werk in de zin van artikel 80sexies Sr; een webserver die de opslag van gegevens en de verwerking van gegevens verzorgen voor een account is dat mogelijk wel. De webserver behoort niet toe aan het slachtoffer, maar is in eigendom van Facebook. Het OM moet bewijzen dat de verdachte is binnengedrongen in de webserver. In deze zaak kon alleen bewezen worden dat de beveiligingsvraag door de verdachte was gewijzigd. De verdachte heeft verklaard dat vervolgens het account werd geblokkeerd en zij niet verder heeft geprobeerd toegang te krijgen tot de gegevens. Het OM heeft daarom niet bewezen dat de verdachte daadwerkelijk toegang heeft verschaft tot afgeschermde gegevens in het Facebook-account van het slachtoffer en daarmee computervredebreuk heeft gepleegd.

Wel was er sprake van het delict belaging (artikel 285 lid 1 Sr). Daarvoor is volgens vaste jurisprudentie (HR 29 juni 2004, ECLI:NL:HR:2004:AO5710 en HR 4 november 2014, ECLI:NL:HR:2014:3095) van belang: de aard, de duur, de frequentie en de intensiteit van de gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer.

Kortgezegd heeft de verdachte diverse Facebook-, Twitter- en Instagram-accounts aangemaakt op naam van het slachtoffer. Op deze accounts en websites heeft de verdachte gedurende een periode van ruim drie maanden een liefdesverklaring geplaatst en foto’s en persoonlijke gegevens van de aangeefster gepubliceerd. Deze verklaringen op de accounts heeft het persoonlijke leven in sterke mate negatief beïnvloed. Volgens het Hof was er ook sprake van belaging bij een tweede slachtoffer.

De verdachte krijgt een voorwaardelijke gevangenisstraf opgelegd van drie maanden met een proeftijd van twee jaar en 120 uur taakstraf.

Bitcoins als ‘voorwerp’ en waardebepaling

Het Hof Den Haag heeft op 22 september 2020 een interessant arrest (ECLI:NL:GHDHA:2020:1804) gewezen over de inbeslagname van bitcoins. Voor het eerst oordeelt een rechtsinstantie dat bitcoins, vanwege hun eigenschappen, strafrechtelijk moeten worden gezien als voorwerp gekwalificeerd en daarmee ook vatbaar zij voor inbeslagname. Het hof overweegt dat ‘bitcoins voor menselijke beheersing vatbare objecten zijn met een reële waarde in het economische verkeer die voor overdracht vatbaar zijn. Er kan met bitcoins worden betaald. De feitelijke en exclusieve heerschappij ligt bij degene die toegang heeft tot een wallet en wordt verloren bij een succesvolle transactie naar een andere wallet. Bitcoins zijn bovendien individueel bepaalbaar: van iedere bitcoin wordt het ontstaan en iedere transactie die ermee wordt uitgevoerd, in de blockchain bijgehouden’. Daarom is het hof van oordeel dat bitcoins, vanwege deze eigenschappen, strafrechtelijk gezien als voorwerp gekwalificeerd kunnen worden. Dat is van belang vanwege bepaalde delictsomschrijven waarvan van een ‘voorwerp’ wordt gesproken en voor de strafvordelijke consequenties bij en na de inbeslagname van bitcoins.

De verdachte heeft ongeveer twee jaar lang als ‘cash trader’ gehandeld in bitcoins door (via internet) bezitters van bitcoins aan te bieden hun bitcoins om te zetten in contant geld. De verdachte en medeverdachten worden verweten een totaalbedrag van € 11.690.267,85 (!) te hebben witgewassen. De verdachte verkocht de verkregen bitcoins vervolgens aan cryptocurrency uitwisselingskantoren (‘exchanges’) als ‘Kraken’ of ‘Bitstamp’. Deze bedrijven betaalden de verdachte uit op bankrekeningen op zijn eigen naam en die van anderen. De identiteit van zijn klanten heeft de verdachte niet vastgesteld en hij hield geen administratie bij van zijn klanten. De verdachte hield slechts bij op welke datum hij een transactie heeft uitgevoerd, om welk bedrag het ging en de netto winst van die transactie in procenten uitgedrukt.

De verdachte hanteerde een hoog commissiepercentage, sprak af op openbare plekken en het ging veelal om grote bedragen. De gedragingen van verdachte voldoen hierdoor aan meerdere onderdelen van de in 2017 door de FIU opgemaakte ‘Witwastypologieën virtuele betaalmiddelen’. Van de verdachte mag worden verlangd dat hij een concrete, verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft dat het voorwerp niet van misdrijf afkomstig is.

De door de verdachte gegeven verklaring kan niet worden aangemerkt als een dergelijke verklaring voor de niet-criminele herkomst van het geld. Die verklaring en de overgelegde stukken bieden geen reëel tegenwicht aan het vermoeden van witwassen. Het hof is van oordeel dat de bitcoins en de geldbedragen uit misdrijf afkomstig waren en dat verdachte wist van de illegale herkomst. Gelet op de periode van bijna twee jaren, de hoogte van het totaalbedrag en de bedrijfsmatige handelswijze is het hof van oordeel dat verdachte van het witwassen een gewoonte heeft gemaakt. De verdachte krijgt een gevangenisstraf opgelegd van 43 maanden.

De rechtbank Rotterdam heeft op 23 oktober 2020 eveneens een interessante uitspraak (ECLI:NL:RBROT:2020:10073) gepubliceerd. In deze zaak werd de verdachte en medeverdachten verweten een bedrag van 16 miljoen euro te hebben witgewassen. De verdachte bood via internet bezitters van bitcoins aan om hun bitcoins om te zetten in contant geld. De klanten maakten bitcoins over naar één van de wallets van verdachte en/of aan hem gelieerde bedrijven en kregen vervolgens direct de tegenwaarde van deze bitcoins verminderd met een commissiepercentage contant uitbetaald. Daarbij hanteerde verdachte in vergelijking met reguliere bitcoin uitwisselingskantoren een ongewoon hoge commissie in van tussen 9,5%-15%, terwijl tussen 1-3% gebruikelijk is. De verdachte is veroordeeld tot een gevangenisstraf van 30 maanden, waarvan een half jaar voorwaardelijk.

De rechtbank verklaart 1488 bitcoins verbeurd waar geen beslag op lag. Het Openbaar Ministerie had geen beslag kunnen leggen op de bitcoins, omdat de ‘public key’ waarmee toegang kon worden verkregen tot de bitcoinadressen in de bitcoinwallets van verdachte versleuteld was en verdachte de ontsleuteling daarvan niet had prijsgegeven. Niettemin stelt de rechtbank vast dat de bitcoins zich ten tijde van de uitspraak nog in de bitcoinwallets bevonden. Bij die stand van zaken houdt de rechtbank aan dat de bitcoins in strafrechtelijke zin aan de verdachte toebehoren. De verdachte wordt de keuze gelaten het OM de volledige beschikkingsmacht over deze specifieke bitcoins te verschaffen, of de koerswaarde te betalen zoals deze heeft gegolden op de datum van de uitspraak, te vervangen door 12 maanden vervangende hechtenis.

Ontucht zonder lichamelijk contact

De Hoge Raad heeft op 27 oktober 2020 een belangrijk arrest (ECLI:NL:HR:2020:1675) gewezen over ontucht op afstand. De zaak gaat over een verdachte die via Instagram contact gehad met een meisje van destijds 13 jaar, waarbij hij zich voordeed als een jongen van 17 jaar. Het slachtoffer heeft verklaard dat verdachte naaktfoto’s van haar wilde. De verdachte is zelf begonnen met het versturen van naaktfoto’s. In eerste instantie durfde en wilde het slachtoffer geen naaktfoto’s (te) versturen, maar de verdachte heeft haar daartoe later toch overgehaald. Vervolgens stuurde het slachtoffer via WhatsApp twee thuis gemaakte naaktfoto’s en een op vakantie gemaakte naaktfoto aan verdachte. Deze foto’s zijn daadwerkelijk aangetroffen op de telefoon van verdachte.

Het hof overweegt onder verwijzing naar HR 30 november 2004, ECLI:NL:HR:2004:AQ0950 dat hoewel uit de bewijsmiddelen niet blijkt van lichamelijk contact tussen verdachte en het slachtoffer, niettemin sprake is geweest van enige voor het plegen van ontucht met het minderjarige slachtoffer. De Hoge Raad stelt in reactie voorop dat van het plegen van ontuchtige handelen met iemand beneden de leeftijd van zestien jaren ook sprake kan zijn als geen lichamelijke aanraking tussen de dader en het slachtoffer heeft plaatsgevonden. Of de gedraging(en) van de dader, al dan niet in onderlinge samenhang bezien, het plegen van ontuchtige handelingen met het slachtoffer opleveren, hangt af van de omstandigheden van het geval. Daarbij is in het bijzonder relevant in hoeverre tussen de dader en het slachtoffer enige voor het plegen of dulden van ontucht relevante interactie heeft plaatsgevonden. Daarvan zal slechts sprake kunnen zijn in uitzonderlijke gevallen.

De Hoge Raad is van oordeel dat de bewezenverklaring van het hof voor wat betreft het onderdeel ontuchtige handelingen plegen ‘met’ het slachtoffer ontoereikend is gemotiveerd. Daarbij acht de Hoge Raad mede relevant dat uit de vaststellingen van het hof niet kan worden afgeleid dat verdachte enige concrete bemoeienis heeft gehad met de wijze waarop het slachtoffer zijn verzoek om het toesturen van naaktfoto’s uitvoerde. Uit de bewijsvoering blijkt evenmin op andere wijze dat sprake zou zijn geweest van ontucht ‘met’ iemand.

Arrest gerelateerd aan Hansa Market operatie

Op 22 oktober 2020 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2065) voor medeplichtigheid aan handel in harddrugs (heroïne en cocaïne) en schuldig gemaakt aan het telen van hennep samen met de medeverdachte. De verdachte heeft haar telefoon en computer aan de medeverdachte beschikbaar gemaakt ten behoeve van drugshandel op de darknet market ‘Hansa Market’. Zij krijgt een 120 uur taakstraf opgelegd met twee jaar proeftijd.

De verdediging voert aan dat geen sprake is van een vorm van medeplegen voor de handel in drugs zoals ten laste gelegd, maar sprake is van medeplichtigheid. In overweging van het verweer herhaalt het Hof Den Haag dat voor medeplegen bewezenverklaard moet worden dat sprake is geweest van een voldoende nauwe en bewuste samenwerking bij het plegen van het strafbare feit. Ook als het tenlastegelegde medeplegen in de kern niet bestaat uit een gezamenlijke uitvoering tijdens het begaan van het strafbare feit, maar uit gedragingen die doorgaans met medeplichtigheid in verband plegen te worden gebracht, kan daarvan sprake zijn. Bij de beoordeling of daarvan sprake is, kan rekening worden gehouden met onder meer de intensiteit van de samenwerking, de onderlinge taakverdeling, de rol in de voorbereiding, de uitvoering of de afhandeling van het delict en het belang van de rol van de verdachte, diens aanwezigheid op belangrijke momenten en het zich niet terugtrekken op een daartoe geëigend tijdstip.

Het Hof spreekt de verdachte vrij van medeplegen, omdat uit het dossier niet blijkt dat de verdachte de accounts heeft gemaakt waarmee is gehandeld op Hansa Market. Uit het dossier blijkt evenmin dat zij de enveloppen heeft verzonden. Voorts is op grond van het dossier geen taakverdeling vast te stellen tussen de verdachte en haar toenmalige partner en kan niet worden bewezen of er sprake is geweest van een afgesproken, laat staan een gewichtige, rol. Wel wordt medeplichtigheid bewezen geacht.

Opvallend is dat het Hof de raadsvrouw heeft gevraagd of zij eventueel verweer wilt voeren op eventuele vormverzuimen bij de Hansa-operatie (zie hierover ook: Rb. Rotterdam 3 juli 2019, ECLI:NL:RBROT:2019:5339, Computerrecht 2019/178, m.nt. J.J. Oerlemans). De raadvrouw geeft aan hier geen verweer op te voeren. Het Hof ziet ook geen aanleiding ambtshalve in te gaan op eventuele vormverzuimen. Het verzoek tot teruggave van persoonlijke foto’s op de inbeslaggenomen laptop is volgens het Hof ten slotte onvoldoende gemotiveerd.

Veroordeling voor grootschalige phishing met malware

Op 19 november 2020 heeft de Rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2020:5038) voor de stevige gevangenisstraf van vier jaar voor computervredebreuk, oplichting, diefstal door middel van een valse sleutel, (gewoonte)witwassen en heling.

De verdachte en zijn medeverdachten achterhaalden met behulp van phishing-mails bankgegevens van meer dan zestig klanten van verschillende banken. Vervolgens bewogen zij een aantal van hen om geld over te maken. Hierbij maakten verdachte en zijn medeverdachten meer dan €480.000 buit. De zaak kwam aan het rollen door aangiftes van diverse banken in 2018, waaronder de Volksbank (SNS) en de ING bank. Vervolgens heeft een onderzoek plaatsgevonden naar verspreiders van e-mails met malware. Met die malware werden inloggegevens van internetbankieren van klanten achterhaald, waarmee vervolgens een nieuwe simkaart dan wel ‘digipas’ werd aangevraagd. Met die nieuwe simkaart dan wel digipas kon de fraudeur vervolgens geld overboeken vanaf de bankrekening van het slachtoffer naar bankrekeningen van zogenaamde katvangers. Een IP-adres dat is gebruikt bij deze frauduleuze transacties was aangesloten op het woonadres van verdachte. Op die manier is de naam van verdachte in dit onderzoek naar voren gekomen.

De werkwijze was iedere keer ongeveer hetzelfde: rekeninghouders vernamen via e-mail dat er een dreiging was rondom hun bankrekening. Door op de link in de e-mail te klikken, konden de verdachten de inloggegevens achterhalen. Vervolgens nam één van de verdachten telefonisch contact op met de rekeninghouders en wist hen te overtuigen om het geld over te boeken naar een ‘veilige rekening’. In werkelijkheid verdween het geld naar een rekening van een zogenaamde katvanger en werd dit direct opgenomen en/of omgezet in bitcoins. In totaal werden ruim 50 mensen slachtoffer van de acties van verdachten.

De verdachte in deze zaak had een bepalende rol bij het daadwerkelijk binnendringen in de geautomatiseerde werken, de digitale bankomgeving van de rekeninghouders. Hij logde in op de bankaccounts van de slachtoffers en gaf de bankgegevens aan zijn medeverdachte. Deze medeverdachte zocht vervolgens telefonisch contact op met de rekeninghouders en overtuigde de rekeninghouders tijdens de telefoongesprekken om ook echt geld over te maken.

Over het opsporingsonderzoek en de bewijsvoering is het volgende nog interessant te vermelden: uit onderzoek bleek dat de frauduleuze inloggegevens die sinds januari 2019 op de ING accounts plaatsvonden, vaak konden worden gekoppeld aan een IP-adres. Dit IP-adres bleek bij een netwerk van een hotel te behoren (red.: in de uitspraak staat: ‘dit bleek het IP-adres van een hotel te zijn’). Op 21 februari 2019 is dit aan de politie gemeld. Op 24 februari 2019 werd opnieuw door de ING bank vastgesteld dat werd ingelogd bij rekeninghouders van de ING bank vanaf het IP-adres van het hotel. Dezelfde dag zijn in het hotel de verdachte en de medeverdachte aangehouden. In hun hotelkamer werden digitale sporendragers aangetroffen en inbeslaggenomen, die in verband konden worden gebracht met computervredebreuk, oplichting, diefstal van geld en/of witwassen.

Ook de overwegingen over de opgelegde schadevergoeding maatregel zijn interessant. De verdachte moet onder andere € 154.580,73 schadevergoeding betalen aan de ING en een bedrag van €158.942,- aan de Rabobank. De rechtbank overweegt dat de banken kosten vorderen die zijn gemaakt om de schade van die personen te vergoeden die slachtoffer zijn geworden van oplichting. De banken zijn niet verplicht deze kosten te vergoeden, maar hebben vanuit een zorgplicht dan wel uit coulance gedaan. De rechtbank acht het wenselijk dat banken dit ook in de toekomst blijven doen.