Enkele hoofdstukken uit de tweede editie van het Basisboek Cybercriminaliteit stel ik, na afloop van de embargoperiode van één jaar, nu in open access beschikbaar. Het gaat om de hoofdstukken ‘Verschijningsvormen van cybercriminaliteit in enge zin’ (.pdf), Verschijningsvormen van gedigitaliseerde criminaliteit (.pdf) en ‘Cybercriminaliteit en opsporing’ (.pdf).
In de tweede druk hebben we gekozen voor twee afzonderlijke hoofdstukken over cybercriminaliteit: één voor elke categorie. Onderaan deze pagina staat de inhoudsopgave van de hoofdstukken, voor een indruk krijgt van de behandelde onderwerpen.
Het studieboek wordt veel gebruikt in criminologie- en strafrechtopleidingen aan verschillende Nederlandse universiteiten en hogescholen. Heeft u vragen of opmerkingen over het boek, of wilt u wijzen op een onvolkomenheid? Dan hoor ik dat graag per e-mail (zie mijn medewerkerspagina).
De overige hoofdstukken in het boek behandelen onder andere criminologische theorieën en cybercriminaliteit, daders en slachtoffers van cybercriminaliteit, en interventiestrategieën. Deze hoofdstukken zijn niet open access beschikbaar, maar het volledige boek is onder andere verkrijgbaar via Boom.nl.
Inhoudsopgaven hoofdstukken
Hoofdstuk 3 – Verschijningsvormen van cybercriminaliteit in enge zin
Jan-Jaap Oerlemans, Wytske van der Wagen & Marleen Weulen Kranenbarg
3.1 Inleiding
3.2 Strafbaarstelling van cybercriminaliteit in enge zin
3.3 Hacken (computervredebreuk)
3.3.1 Strafbaarstelling
3.3.2 Ethisch hacken
3.4 Malware
3.4.1 Info-stealers
3.4.2 Ransomware
3.4.3 Banking malware
3.4.4 Strafbaarstelling
3.5 Botnet
3.5.1 Strafbaarstelling
3.6 Ddos-aanval
3.6.1 Strafbaarstelling
3.7 De rol van social engineering bij cybercriminaliteit
3.8 Toekomstige ontwikkelingen
3.8.1 Meer invloed van statelijke actoren
3.8.2 Het Internet der Dingen
3.9 Tot besluit
3.10 Discussievragen
3.11 Kernbegrippen
Citeerwijze:
J.J. Oerlemans, W. van der Wagen & M. Weulen Kranenbarg, ‘Verschijningsvormen van cybercriminaliteit in enge zin’, p. 69-104 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.
Hoofdstuk 4 – Verschijningsvormen van gedigitaliseerde criminaliteit
Jan-Jaap Oerlemans, Anne de Hingh & Wytske van der Wagen
4.1 Inleiding
4.2 De verschillende lagen van het internet: het clear, deep en dark web
4.3 Online handelsplaatsen
4.3.1 Handelsplaatsen op het clear web
4.3.2 Handelsplaatsen op het dark web
4.3.3 Handelsplaatsen op communicatie-apps
4.3.4 Strafbaarstelling
4.4 Witwassen met virtuele valuta
4.4.1 Regulering
4.4.2 Strafbaarstelling
4.5 Internetoplichting
4.5.1 Strafbaarstelling
4.6 Online zedendelicten
4.6.1 Beeldmateriaal van seksueel misbruik van minderjarigen
4.6.2 Sexting
4.6.3 Misbruik van seksueel beeldmateriaal
4.6.4 Sextortion
4.6.5 Online grooming en sexchatten
4.7 Online uitingsdelicten
4.7.1 Uitingsdelicten en de vrijheid van meningsuiting
4.7.2 Strafbaarstelling van uitingen
4.7.3 Het verwijderen van strafbaar materiaal
4.8 Toekomstige ontwikkelingen
4.8.1 AI en gedigitaliseerde criminaliteit
4.8.2 Criminaliteit in virtual reality- en mixed reality werelden
4.9 Tot besluit
4.10 Discussievragen
4.11 Kernbegrippen
Citeerwijze:
J.J. Oerlemans, A.E. de Hingh, W. van der Wagen, ‘Verschijningsvormen van gedigitaliseerde criminaliteit’, p. 105-164 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.
Hoofdstuk 9 – Cybercriminaliteit en opsporing
Jan-Jaap Oerlemans & Mojdeh Kobari
9.1 Inleiding 287
9.2 Het opsporingsonderzoek en de normering van opsporingsmethoden
9.2.1 De organisatie van opsporing naar cybercriminaliteit in Nederland
9.2.2 De politie
9.2.3 Openbaar Ministerie
9.2.4 Rechterlijke macht
9.2.5 Het strafvorderlijk legaliteitsbeginsel en de IRT-affaire
9.2.6 Stelsel van normering van bijzondere opsporingsbevoegdheden
9.3 Het IP-adres als digitaal spoor
9.3.1 Het opsporingsproces bij een IP-adres als spoor
9.3.2 Het vorderen van gegevens
9.3.3 Digitaal bewijs en onderzoek op gegevensdragers
9.3.4 Regels voor de inbeslagname en onderzoek op gegevensdragers
9.3.5 De netwerkzoeking
9.4 Opsporingsmethoden en de uitdaging van anonimiteit
9.4.1 Anonimiseringstechnieken
9.4.2 Publiek toegankelijke bronnen
9.4.3 Undercoverbevoegdheden
9.5 Opsporingsmethoden en de uitdaging van versleuteling
9.5.1 Versleuteling in opslag
9.5.2 Versleuteling in transport
9.5.3 De hackbevoegdheid
9.6 Jurisdictie en grensoverschrijdende digitale opsporing
9.6.1 Wetgevende jurisdictie
9.6.2 Handhavingsjurisdictie en rechtshulp
9.6.3 Unilaterale digitale opsporing
9.7 Verstoring en de brede bestrijding van cybercriminaliteit
9.8 Tot besluit
9.9 Discussievragen
9.10 Kernbegrippen
Citeerwijze:
J.J. Oerlemans & M. Kobari, ‘Cybercriminaliteit en opsporing’, p. 287-343 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.
The chapters ‘Types of cyber-dependent crime and their criminalisation’ (.pdf), Types of cyber-enabled crime and their criminalisation (.pdf), and ‘Cybercrime investigations’ (.pdf)) are now available in open access.
In this second edition, we chose to address cyber-dependent and cyber-enabled crime in separate chapters, allowing for more detailed discussion of both categories. A new section has been added on online expression offenses, with a particular focus on European legislation—an important topic that was missing from the previous edition. Additionally, recent developments such as generative AI and Large Language Models are given significant attention.
Other chapters are not available in open access, but cover a range of topics including cybercrime offenders, victims, criminal networks, criminological theories, and intervention strategies. The full book is available for purchase via Boom.nl.
Table of contents:
Chapter 3 – Types of cyber-dependent crime and their criminalisation
Jan-Jaap Oerlemans, Wytske van der Wagen & Marleen Weulen Kranenbarg
3.1 Introduction
3.2 Cyber-dependent crime and its criminalisation
3.3 Computer hacking
3.3.1 Criminalisation
3.3.2 Ethical hacking
3.4 Malware
3.4.1 Info-stealers
3.4.2 Ransomware
3.4.3 Banking malware
3.4.4 Criminalisation
3.5 Botnet
3.5.1 Criminalisation
3.6 Ddos attack
3.6.1 Criminalisation
3.7 The role of social engineering in cybercrime
3.7.1 Six principles of persuasion
3.8 Future developments
3.8.1 Greater influence of state actors
3.8.2 The Internet of Things
3.9 To conclude
3.10 Discussion questions
3.11 Key concepts
Please cite as:
Oerlemans J.., Wagen W. van der & Weulen Kranenbarg M. (2024), Types of cyber-dependent crime and their criminalisation. In: Wagen W. van der, Oerlemans J. & Weulen Kranenbarg M. (Eds.), Essentials in cybercrime: a criminological overview for education and practice. The Hague: Eleven. 63-95.
Chapter 4 – Types of cyber-enabled crime and their criminalisation
Jan-Jaap Oerlemans, Anne de HIngh & Wytske van der Wagen
4.1 Introduction
4.2 The clear, the deep and the dark web
4.3 Online criminal marketplaces
4.3.1 Criminal marketplaces on the clear web
4.3.2 Darknet markets
4.3.3 Marketplaces on communication apps
4.3.4 Criminalisation
4.4 Money laundering with virtual currency
4.4.1 Regulation
4.4.2 Criminalisation
4.5 Online fraud
4.5.1 Criminalisation
4.6 Online sexual offences
4.6.1 Images of sexual abuse of minors
4.6.2 Sexting
4.6.3 Abuse of sexual imagery (‘revenge porn’)
4.6.4 Sextortion
4.6.5 Online grooming and sex chatting
4.7 Online expression offences
4.7.1 Freedom of expression vs. criminalisation
4.7.2 Criminalisation of online expressions
4.7.3 Removing illegal content
4.8 Future developments
4.8.1 AI and cyber-enabled crime
4.8.2 Crime in virtual reality and mixed reality worlds
4.9 To conclude
4.10 Discussion questions
4.11 Key concepts
Please cite as:
Oerlemans J., Hingh A.E. de & Wagen W. van der (2024), Types of cyber-enabled crime and their criminalisation. In: Wagen W. van der, Oerlemans J. & Weulen Kranenbarg M. (Eds.), Essentials in cybercrime: a criminological overview for education and practice. The Hague: Eleven. 97-144.
Chapter 9 – Cybercrime investigations
Jan-Jaap Oerlemans & Maša Galič
9.1 Introduction
9.2 Digital investigations and criminal procedure law
9.2.1 Regulating investigative methods
9.2.2 Jurisdiction and cybercrime
9.2.3 Mutual legal assistance
9.3 IP addresses as digital leads
9.3.1 Data production and preservation orders
9.3.2 Seizing and analysing data on computers
9.3.3 Network computer searches
9.4 The challenge of anonymity
9.4.1 Anonymisation techniques
9.4.2 Open-source investigations
9.4.3 Online undercover operations
9.5 The challenge of encryption
9.5.1 Encryption in storage
9.5.2 Encryption in transit
9.5.3 Hacking as an investigative method
9.6 Disrupting cybercrime
9.7 To conclude
9.8 Discussion questions
9.9 Key concepts
10 Interventions for cyber offenders
Please cite as: Oerlemans J. & Galiç M. (2024), Cybercrime investigations. In: Wagen W. van der, Oerlemans J. & Weulen Kranenbarg M. (Eds.), Essentials in cybercrime: a criminological overview for education and practice. The Hague: Eleven. 257-315.
Bron: WordPress. Automatisch gegenereerd met prompt: “Create a featured image for a blog post discussing the recent High Court ruling on data carriers, focusing on the theme of legal analysis and technology.”
De Hoge Raad stelt naar aanleiding van de zaak Landeck (HvJ EU 4 oktober 2024, C-548/21, ECLI:EU:C:2024:830 (CG t. Bezirkshauptmannschaft Landeck)) zijn eigen rechtspraak bij over het onderzoek op gegevensdragers. In mijn annotatie (.pdf) (gepubliceerd in Computerrecht 2025/90) bespreek ik achtereenvolgens de aanleiding van het arrest HR 18 maart 2025, ECLI:NL:HR:2025:409, schets ik de ontwikkeling ten aanzien van de Smartphone-arresten van de Hoge Raad, en analyseer ik de belangrijkste overwegingen uit het arrest. Hieronder volgt een verkorte versie van de annotatie.
Ontwikkeling Smartphone-arresten
Het onderhavige arrest van de Hoge Raad betreft de cassatie op een arrest van het Hof Den Haag, waarin de raadsheren stelden dat als het voorzienbaar is dat als op voorhand is te voorzien dat een min of meer compleet beeld kan worden verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van die gegevensdrager, de rechter-commissaris moet overwegen beperkingen aan dat onderzoek te verbinden. Het ging daarmee verder dan de Hoge Raad in eerdere jurisprudentie over het onderzoek aan gegevensdragers had geoordeeld. In een ander arrest overwoog het Hof Den Haag iets heel anders (ECLI:NL:GHDHA:2023:324), namelijk dat uit het (eerste Smartphone)-arrest van de Hoge Raad van 4 april 2017 (ECLI:NL:HR:2017:584) zou volgen dat de doorzoekings- en inbeslagnemingsbevoegdheden van de rechter-commissaris mede de bevoegdheid inhouden om de gegevens op de gegevensdrager ongeclausuleerd te onderzoeken.
De Hoge Raad verwijst naar eerdere jurisprudentie en merkt op dat voor de waarheidsvinding onderzoek mag worden gedaan aan in beslag genomen voorwerpen – waaronder in computers opgeslagen gegevens – teneinde gegevens voor het strafrechtelijk onderzoek ter beschikking te krijgen. In de bekende ‘Smartphone-arresten’, stelde de Hoge Raad eerder dat voor stelselmatig onderzoek aan ‘elektronische gegevensdragers’ en ‘geautomatiseerde werken’ (hierna: gegevensdragers) een bevel van een officier van justitie of machtiging van een rechter-commissaris noodzakelijk is. Stelselmatigheid betekende in deze context dat ‘een min of meer compleet beeld is verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van de gegevensdrager of het geautomatiseerde werk’ wordt verkregen.
Bijstelling Smartphone-jurisprudentie
De Hoge Raad doet een krachtige bijstelling van de geformuleerde norm uit de voorgaande Smartphone-arresten. Het ‘stelselmatigheidscriterium’ wordt namelijk losgelaten. In plaats daarvan noemt het bepaalde typen gegevens op een gegevensdrager, waarbij toegang tot die gegevens kunnen leiden tot een ernstige of bijzonder ernstige inbreuk op het recht op privacy en de bescherming van persoonsgegevens van de betrokkene. Daar is sprake van als op voorhand is te voorzien dat door het onderzoek aan de smartphone (of andere elektronische gegevensdrager of geautomatiseerd werk) inzicht wordt verkregen in verkeers- en locatiegegevens, of in andersoortige gegevens (zoals foto’s, de browsergeschiedenis, de inhoud van via die smartphone uitgewisselde communicatie, en gevoelige gegevens). Het sluit daarbij aan op de typen gegevens die ook door het HvJ EU in de Landeck-uitspraak worden genoemd. Als de politie en justitie in zo’n geval onderzoek willen verrichten aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken, dan is voor dat onderzoek – behalve in spoedeisende gevallen – een voorafgaande toetsing door de rechter-commissaris vereist. Daarbij neemt de Hoge Raad in aanmerking dat het openbaar ministerie niet kan worden aangemerkt als een onafhankelijk bestuursorgaan. De verdachte zal in het algemeen van deze gronden op de hoogte komen als de stukken die op het onderzoek betrekking hebben, bij de processtukken worden gevoegd.
Daarbij gelden de volgende procedureregels. De officier van justitie kan een vordering sturen tot het verkrijgen van een machtiging van de rechter-commissaris voor het verrichten van het onderzoek aan de betreffende gegevensdrager. In geval van dringende noodzaak kan de machtiging van de rechter-commissaris mondeling worden gegeven. In dat geval stelt de rechter-commissaris de machtiging binnen drie dagen op schrift. Als de officier van justitie een machtiging van de rechter-commissaris vordert, moet in deze vordering voldoende concreet worden omschreven welk onderzoek aan de gegevensdrager zal worden verricht en hoe dit onderzoek zal worden uitgevoerd. Bij het verlenen van een machtiging voor het gevorderde onderzoek kan de rechter-commissaris zo nodig nadere eisen stellen aan het te verrichten onderzoek.
De Hoge Raad stelt dat onderzoek aan gegevensdragers ook een beperkte inmenging in de grondrechten van de gebruiker kan meebrengen, afhankelijk van de keuzes en de inrichting van de aard van het te verrichten onderzoek. De bevoegdheden van opsporingsambtenaren zoals neergelegd in artikel 94 in samenhang met artikel 95 en 96 Sv en in artikel 141 en 148 lid 1 Sv bieden een toereikende grondslag voor een onderzoek aan voorwerpen – waaronder ook elektronische gegevensdragers en geautomatiseerde werken – als de met dat onderzoek samenhangende inbreuk op de persoonlijke levenssfeer als beperkt kan worden beschouwd. De wet vereist in zo’n geval geen voorafgaande rechterlijke toetsing of tussenkomst van de officier van justitie. De Hoge Raad noemt daarbij twee situaties waarbij daar sprake van kan zijn: 1. onderzoek dat slechts strekt tot het identificeren van de gebruiker; en 2. Het bekijken van een aangetroffen gegevensdrager bij een verdachte, waarbij ‘enkele beperkte waarnemingen’ worden gedaan over ‘het feitelijk gebruik daarvan op dat moment of direct daaraan voorafgaand’. Als nadere toelichting wordt dan genoemd dat het kan gaan om welke contacten de gebruiker van een telefoon kort tevoren heeft gelegd.
De Hoge Raad bevestigd ook dat de rechter-commissaris gehouden is een instructie te geven welk onderzoek moet plaatsvinden en hoe dit onderzoek moet worden uitgevoerd. De rechter-commissaris kan beperkingen aanbrengen bij het te verrichten onderzoek. Het Hof Den Haag gaf meer concrete suggesties mee. Beperkingen kunnen worden aangebracht ten aanzien van het aantal te onderzoeken gegevensdragers, van de te onderzoeken gegevens (zoals afbeeldingen, communicatie, internetgedrag, et cetera), of van de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd of op de betreffende elektronische gegevensdrager zijn terechtgekomen. Ook kan volgens het hof worden gekozen voor fasering van toegestane onderzoekshandelingen, waarbij de rechter-commissaris tussentijds beslist tot uitbreiding of (verdere) beperking van het toegestane onderzoek. De Hoge Raad noemt verder dat door het onderzoek geautomatiseerd uit te voeren met behulp van een technisch hulpmiddel (forensische software) en door schriftelijke vastlegging van de uitkomsten van dat onderzoek, de inrichting en omvang van het onderzoek duidelijk kan worden. Dit kan bijdragen aan het waarborgen dat geen grotere inbreuk wordt gemaakt op de persoonlijke levenssfeer van de gebruiker dan noodzakelijk is.
Nabeschouwing
De Hoge Raad meent zelf dat het Landeck-arrest met zich meebrengt dat het onderzoek aan gegevensdragers op een “enigszins andere manier moet worden genormeerd”. Dat is nogal eufemistisch, omdat de praktijk helemaal anders moet. Veel vaker dan voorheen moet nu een machtiging van een rechter-commissaris worden verkregen bij onderzoek op gegevensdragers, omdat het al snel voorzienbaar is dat een ernstige inbreuk op het privéleven van een persoon kan plaatsvinden. In het recente verleden werd in de lagere rechtspraak bijvoorbeeld nog het kennisnemen van ‘enkele foto’s’ of ‘enige Whatsapp-berichten’ gezien als een ‘beperkte privacy-inbreuk’ (Zie bijvoorbeeld HR 10 juli 2018, ECLI:NL:HR:2018:1121 (foto’s in een fotogalerij op een smartphone), Hof Arnhem-Leeuwarden 14 juli 2017, ECLI:NL:GHARL:2017:6069 (afbeeldingen op een SD-kaart), Hof Arnhem-Leeuwarden 3 november 2023, ECLI:NL:GHARL:2023:9312 (sms en Whatsapp verkeer), en Rb. Rotterdam 17 april 2024, ECLI:NL:RBROT:2024:3887 (openstaand Whatsapp-gesprek)). Vanwege de nieuwe categorieën van de inhoud van communicatie en foto’s, worden deze handelingen nu gezien als een ernstige privacy-inbreuk, waarvoor voortaan toestemming van de rechter-commissaris noodzakelijk is. Bovendien is het onderzoek aan gegevens niet standaard ongeclausuleerd; nu moet worden uitgelegd op welke wijze het onderzoek moet worden uitgevoerd.
De Hoge Raad maakt, in navolging van de conclusie van Advocaat Generaal Harteveld, een wat vreemde vergelijking met de dataretentie-zaak La Quadrature du Net II (zie ook HvJ EU 30 april 2024, C-470/21, ECLI:EU:C:2024:370 (La Quadrature du Net e.a. II), EHRC-Updates.nl, m.nt. J.J. Oerlemans & M. Hagens). Uit deze dataretentie-uitspraak zou namelijk zijn af te leiden dat onderzoek aan gegevensdragers ook een beperkte inmenging in de grondrechten van de gebruiker kan meebrengen, afhankelijk van de keuzes en de inrichting van de aard van het te verrichten onderzoek. Het opvragen van gebruikersgegevens bij een elektronische communicatiedienst laat zich echter lastig vergelijken met onderzoek aan smartphones. In Landeck wordt niet gerept over een beperkte privacy-inbreuk, maar overweegt het HvJ EU wel dat de ernst van de inmenging met het recht op privacy en het recht op bescherming van persoonsgegevens (onder andere) afhangt van ‘de aard en de gevoeligheid van de gegevens’ waartoe de bevoegde politiediensten zich toegang kunnen verschaffen. In het geschetste scenario van een beperkte privacy-inmenging door de Hoge Raad, is het lastig na te gaan of de opsporingsambtenaar zich ook aan het beperkte onderzoek houdt.
De Hoge Raad acht het noodzakelijk dat in de aanvraag van de officier van justitie of de machtiging van de rechter-commissaris voor onderzoek aan de gegevensdrager beschreven staat welk onderzoek moet plaatsvinden, en hoe dit onderzoek moet worden uitgevoerd. Dat neemt niet weg dat er in de praktijk nog steeds sprake kan zijn van een tamelijk breed onderzoek op apparaten, zeker als niet vooraf duidelijk is welke informatie zal worden aangetroffen, terwijl deze gegevens mogelijk wel relevant kunnen zijn voor het opsporingsonderzoek. De suggestie van het Hof Den Haag van gefaseerde onderzoekshandelingen – evenals beperkingen in het aantal te onderzoeken gegevensdragers, de te onderzoeken gegevens, of de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd – zou de evenredigheid van een dergelijk onderzoek kunnen waarborgen.
In de literatuur is vooral de vraag opgeworpen of het arrest ertoe leidt dat bij het maken van een kopie (een ‘image’) van een gegevensdrager, zoals een smartphone, een machtiging van een rechter-commissaris is vereist. Ik sluit mij aan bij Taylor Parkins-Ozephius & Van Toor dat het maken van een image doorgaans een onderzoekshandeling is waarvoor een machtiging van een rechter-commissaris is vereist, omdat op voorhand redelijk is te voorzien dat een ernstige privacy-inbreuk zal plaatsvinden vanwege de verkeers- en locatiegegevens en gevoelige gegevens die zich op deze apparaten bevinden. In het bevel of in de machtiging moet vervolgens worden gemotiveerd op welke wijze het onderzoek zal plaatsvinden en waarom dat proportioneel is.
Aanpassen van wetgeving
Op 1 april 2025 heeft de Tweede Kamer ingestemd met boek 2 van het nieuwe Wetboek van Strafvordering over het opsporingsonderzoek. Artikel 2.7.38 van dit nieuwe Wetboek van Strafvordering bevat echter nog de driedeling n.a.v. de oude Smartphone-arresten. Deze driedeling is nu door de Hoge Raad vervangen door de tweedeling (de beperkte en ernstige privacy-inbreuk), met veel meer concrete categorieën van persoonsgegevens i.p.v. het criterium van ‘stelselmatigheid’ om te bepalen dat sprake is van een ernstige privacy-inbreuk. Naar aanleiding van het onderhavige arrest zal dit artikel daarom moeten worden aangepast.
Daarnaast is het belangrijk na te gaan welke consequenties het arrest moet hebben voor andere bevoegdheden (en de voorgestelde regelingen in het nieuwe Wetboek van Strafvordering) met betrekking tot het onderzoek op gegevensdragers. In het bijzonder denk ik aan de bevoegdheid tot het doorzoeken van een plaats ter vastlegging van gegevens op deze plaats die op een gegevensdrager zijn opgeslagen of vastgelegd (art. 125i Sv) en aan de netwerkzoeking in art. 125j Sv. Het ligt voor de hand hierbij hetzelfde criterium aan te leggen voor het bepalen van een ernstige privacy-inbreuk en dezelfde procedurele waarborg aan te leggen van voorafgaande toestemming van een onafhankelijke autoriteit. Zoals ik eerder in mijn annotatie met Anna Berlee bij HR 5 april 2022, ECLI:NL:HR:2022:475, Computerrecht 2022/186 heb aangegeven zou de wetgever daarbij ook een nieuwe autoriteit kunnen overwegen, in plaats van deze voorafgaande machtiging bij de rechter-commissaris te beleggen. In de tussentijd moet de praktijk geïnstrueerd worden over deze nieuwe normering voor onderzoek aan gegevensdragers. Vermoedelijk levert het een stevige verzwaring van het takenpakket van de rechter-commissaris, gezien het feit dat smartphones en andere gegevensdragers een dankbare bron aan bewijs in strafzaken lijken te zijn.
Van januari 2025 tot en met juli 2025 heb ik gewerkt aan een rapport over ‘Toezicht op buitenlandse inlichtingen- en veiligheidsdiensten’ (.pdf). In opdracht van de ministeries van Binnenlandse Zaken en Koninkrijksrelaties en van Defensie bracht ik het toetsings- en toezichtstelsel op de inlichtingen- en veiligheidsdiensten in kaart van Denemarken, Zweden, Frankrijk en het Verenigd Koninkrijk. Mijn buitenpromovenda Naomi Stal werkte met name aan het hoofdstuk over het Verenigd Koninkrijk.
De aanleiding voor dit onderzoek is dat deze informatie mogelijk gebruikt kan worden bij de aangekondigde wijziging van de Wet op de inlichtingen- en veiligheidsdiensten (meest recent nog genoemd in deze Kamerbrief van 17 juni 2025). In deze blog benoem ik de belangrijkste onderzoeksresultaten en licht ik toe welke bevindingen tot meer discussie (zouden moeten) leiden.
Luister eventueel ook naar de onderstaande (automatisch gegenereerde) podcasts of bekijk het rapport:
Podcast (in English, 22-minute version, with more attention to the ECtHR case law)
Podcast (in English, short 6-minute version, focusing on the main research results)
Onderzoeksresultaten
Kort gezegd heb ik eerst een normatief kader opgesteld om de toetsingsmechanismen en het toezicht op de inlichtingen- en veiligheidsdiensten in de genoemde landen in kaart te brengen. Daarbij bouwde ik voort op eerder werk van mijzelf en anderen over de vereisten voor toezicht op de inzet van bulkinterceptie. Dit kader werkt goed voor de onderzochte landen, omdat in elk van deze landen bulkinterceptie wordt uitgevoerd door nationale SIGINT-organisaties en elk land het EVRM heeft geratificeerd. Behalve Denemarken heeft ook elk land het gemoderniseerde gegevensbeschermingsverdrag Conventie 108+ ondertekend, dat óók van toepassing is op het inlichtingen- en defensiedomein.
Het toezichtmodel (zie Figuur 1 hieronder) gebruik ik vervolgens om het toezicht op de inlichtingen- en veiligheidsdiensten in Denemarken, Zweden, Frankrijk en het Verenigd Koninkrijk te beschrijven.
Figuur 1: Het stelsel van toezicht ten aanzien van bulkinterceptie
(bron: J.J. Oerlemans, ‘Toezicht op buitenlandse inlichtingen- en veiligheidsdiensten’, Universiteit Leiden 2025, p. 28)
Toezicht vooraf (ex ante)
De meeste landen hebben een onafhankelijke instantie of rechter die toestemming moet geven voor de inzet van bulkinterceptie, zoals is vereist in de ex ante-fase door het EHRM.
In Zweden voert een specialistische rechtbank een rechtmatigheidstoets uit op aanvragen voor bulkinterceptie. Kenmerkend is dat er in Zweden ook een speciaal aangestelde ‘privacyfunctionaris’ betrokken is bij dit oordeel, om de privacybelangen van betrokkenen te beschermen. Een wetsvoorstel uit 2025 moet ook in Denemarken voorzien in een voorafgaande toets door een dergelijk ‘Inlichtingenhof’. Dat ontbreekt vooralsnog in Denemarken.
Doorlopend toezicht (ex durante)
In elk van de onderzochte landen is een specialistische toezichthouder aanwezig die de rechtmatigheid van gegevensverwerkingen controleert. De toezichthouders in Denemarken, Frankrijk en het Verenigd Koninkrijk beschrijven in detail hoe zij deze ex durante-controle uitvoeren, met name door middel van geautomatiseerde controlesystemen en controle van logging via inspecties. In Frankrijk is zelfs een speciale organisatie opgericht om de specialistische toezichthouder CNCTR te faciliteren bij de toegang tot en ‘online controles’ van de systemen van de Franse inlichtingen- en veiligheidsdiensten.
Toezicht achteraf (ex post)
Elk van de onderzochte landen kent een specialistische toezichthouder voor het ex post-toezicht op inlichtingen- en veiligheidsdiensten, inclusief hun bulkinterceptieactiviteiten. Deze toezichthouders publiceren hun onderzoeksresultaten in een jaarrapport. Daarbij valt op dat niet elke toezichthouder bij het constateren van onrechtmatigheden bindende beslissingen kan nemen.
Naar aanleiding van de uitspraak Centrum för Rättvisa e.a. zijn er veel ontwikkelingen in wet- en regelgeving om verzoekers een effectief rechtsmiddel te bieden via een klachtregeling. De invulling daarvan – via een afdeling bij de toezichthouder of een speciale rechtbank – verschilt per land.
Frankrijk is het enige land waar de toets vooraf op de inzet van vergaande bevoegdheden, het toezicht tijdens en achteraf, én de behandeling van klachten zijn ondergebracht bij één en dezelfde specialistische toezichthouder op de inlichtingen- en veiligheidsdiensten. In de beslissing Association Confraternelle de la Presse Judiciare et Autres achtte het EHRM dit stelsel niet problematisch en vond het de hoger beroepsfunctie van de Conseil d’État belangrijk en goed in elkaar zitten.
In deze blog licht ik verder alleen het ex post toezicht op bulkinterceptie in Denemarken uit. De ex post-toezichtsfase in Denemarken kent aanzienlijke beperkingen. Deense wet- en regelgeving bevat geen gedetailleerde regeling voor bulkinterceptie, en de toezichthouder TET heeft geen toegang tot de ruwe gegevens die met SIGINT worden verzameld. Bovendien richt de huidige taakstelling van TET zich op de rechtmatigheid van gegevensverwerkingen van particulieren en rechtspersonen die in Denemarken verblijven. De verantwoordelijke minister van een inlichtingen- en veiligheidsdienst (FE) heeft het laatste woord over wetsinterpretaties, wat vragen oproept over onafhankelijkheid.
Een wetsvoorstel uit 2025 moet daar verandering in brengen. De toezichthouder TET zou daarbij een breder toezichtmandaat krijgen, een voorafgaande toetsing voor bulkinterceptie wordt georganiseerd, en het toezicht wordt versterkt met een ‘College van toezicht op de inzagerechten’, met bindende bevoegdheden waartegen geen beroep mogelijk is bij de rechter.
Discussie
Het rapport brengt de toetsingsmechanismen en toezichtstelsels van de genoemde landen in kaart. Het maakt dus geen vergelijking met Nederland en bevat geen waardering of evaluatie van de stelsels in andere landen. Dat betekent echter niet dat er geen lessen uit kunnen worden getrokken. Ik nodig dan ook andere onderzoekers uit om de resultaten te benutten.
Nederland staat namelijk aan de vooravond van een wijziging van de Wet op de inlichtingen- en veiligheidsdiensten, met aanpassingen in het toezichtstelsel. Daarbij kan inspiratie worden geput uit hoe deze stelsels in andere landen zijn ingericht.
Maar let wel op, zoals zo vaak geldt: the devil is in the details, en bepaalde onderzoeksresultaten verdienen nadere beschouwing. In het rapport heb ik dat slechts beperkt gedaan. Ik noem ter afsluiting enkele opvallende resultaten per land.
Zoals hierboven al aangegeven, voldoet Denemarken kortgezegd niet aan de EHRM-vereisten uit Big Brother Watch e.a.. Een recent wetsvoorstel moet dat deels repareren, maar introduceert ook bredere bevoegdheden met betrekking tot ‘bulkverzameling’ (bulkdatasets). Ook in Zweden loopt een wetsvoorstel dat de inlichtingen- en veiligheidsdiensten meer ruimte moet geven voor de verzameling en verwerking van gegevens uit bulkdatasets. In Nederland is dat onderwerp deels geregeld in de Tijdelijke Cyberwet, die op 1 juli 2024 in werking is getreden.
Van Zweden vond ik het verder opvallend dat het Nationaal Cybersecurity Centrum, net als in veel andere landen, verantwoordelijk is voor de bescherming van vitale infrastructuren en daarvoor tot op zekere hoogte internetverkeer mag monitoren. Maar er is geen specifieke wet- en regelgeving of toezicht op deze activiteiten geregeld. Verrassend is dat in Denemarken de toezichthouder TET juist wél jaarlijks moet rapporteren over de activiteiten van het NCSC. Het toezicht op nationale cybersecuritycentra noem ik dan ook als een van de mogelijkheden voor vervolgonderzoek naar aanleiding van het rapport. Alhoewel NCSC’s geen inlichtingen- of veiligheidsdienst zijn, heb ik deze wel voor elk land beschreven.
Frankrijk beschikt over gedetailleerde wet- en regelgeving en biedt (op papier) een duidelijk en effectief rechtsmiddel aan personen die menen dat inlichtingen- en veiligheidsdiensten mogelijk onrechtmatig hebben gehandeld. Opvallend is echter dat de toezichthouder CNCTR – met overigens de zeer informatieve website CNCTR.fr – géén toezicht houdt op de gegevensuitwisseling door de inlichtingen- en veiligheidsdiensten. Dat wijkt af van de praktijk in andere landen.
Het toezichtstelsel in het Verenigd Koninkrijk is eveneens interessant, met voorafgaande toetsing én doorlopend en ex post toezicht door IPCO. De wet- en regelgeving voor bulkinterceptie en toezicht is gelaagd en complex, en ziet er op papier goed uit. Tegelijkertijd werd duidelijk dat IPCO toezicht moet houden op meer dan 600 organisaties in het Verenigd Koninkrijk. De aandacht moet dan wel sterk verdeeld worden…
Ik hoop van harte dat ook andere onderzoekers kunnen voortbouwen op deze onderzoeksresultaten. Wellicht is het ook leuk en zinvol om andere landen via het model van toezicht op bulkinterceptie in kaart te brengen. Zelf hoop ik het model ook in toekomstig onderzoek nog te gebruiken. Voor nu wens ik iedereen een fijne zomer toe!
Bron: deze afbeelding is door WordPress gegenereerd. (automatische) Prompt: “Create a detailed and high-resolution featured image for a blog post about a legal ruling by the Hoge Raad concerning the filtering of confidential communications related to cybercrime. The main subject should showcase a courtroom scene with a gavel and legal documents, symbolizing the judicial process. Include subtle elements like digital data imagery in the background to represent cybercrime context. Use dramatic lighting, casting shadows to evoke a serious tone, and incorporate a blend of modern and traditional styles to reflect the intersection of law and technology. Ensure the image is highly detailed with sharp focus on the gavel and documents, creating a strong visual impact.”
Hoge Raad arrest over filtering van geheimhouderscommunicatie
Op 15 april 2025 heeft de Hoge Raad een arrest (ECLI:NL:HR:2025:578) gewezen over het filteren van geheimhouderscommunicatie. n dit geval betrof het een beklag (ex art. 98.4 jo 552a Sv) op beslag op digitale gegevensdragers wegens verdenking van omkoping en andere delicten bij een ziekenhuis. De rechter-commissaris had beslist dat 1727 bestanden, die door de rechter-commissaris als geheimhoudersinformatie zijn aangemerkt, “uitgegrijsd”, en dat de overige bestanden aan het onderzoeksteam van de politie werden verstrekt.
De klager heeft aangevoerd dat de analyse met de analysetool ‘NUIX’ van 1328 bestanden een groot aantal hits opleverde. De klager had deze analysetool gebruikt in plaats van de hem bij de bestanden door de FIOD toegezonden analysetool ‘QView’. Onbewust en onbedoeld is, is door de gebruikmaking van een andere analysetool door de klager de toegang tot alle uitgegrijsde gegevens verkregen. Op deze wijze zouden ook de leden van het onderzoeksteam toch toegang tot de uitgegrijsde gegevens kunnen verkrijgen. Dit maakt dat, volgens de klager, het huidige filterproces niet voldoet aan daaraan door de Hoge Raad gestelde waarborgen, zoals die gelden voor verschoningsgerechtigde data. Deze verschoningsgerechtigde data dienen, naar de klager stelt, te worden vernietigd of zodanig uitgegrijsd dat zij daadwerkelijk ontoegankelijk zijn voor het onderzoeksteam.
De belangrijkste rechtsoverwegingen van de Hoge Raad worden hieronder genoemd.
Juridisch kader
De Hoge Raad overweegt in r.o. 3.2 over het juridisch kader het volgende. Artikel 98 Sv bevat een regeling die ertoe strekt dat bij inbeslagneming van voorwerpen het (professionele) verschoningsrecht wordt gerespecteerd. Het is de rechter-commissaris die beslist of inbeslagneming is toegestaan (artikel 98 leden 1 en 3 Sv). Deze beslissing legt de rechter-commissaris neer in een beschikking. Deze procedure geldt ook als een plaats wordt doorzocht met als doel de vastlegging van gegevens die op deze plaats zijn opgeslagen of vastgelegd (artikel 125i in samenhang met artikel 98 Sv). Tegen de beschikking van de rechter-commissaris staat beklag open voor de verschoningsgerechtigde. Dit beklag richt zich tegen de beslissing van de rechter-commissaris dat de inbeslagneming – of, als het gaat om de vastlegging van gegevens, de vastlegging en/of kennisneming van die gegevens – is toegestaan. Hiertoe moet een klaagschrift worden ingediend bij het gerecht in feitelijke aanleg waarvoor de zaak wordt vervolgd (artikel 98 lid 4 Sv). Op dit beklag is artikel 552a Sv van toepassing. Dit betekent dat op het beklag wordt beslist door de raadkamer van het betreffende gerecht (Vgl. HR 1 november 2024, ECLI:NL:HR:2024:1560, rechtsoverweging 3.3.1).
Selectie van gegevens
Het beklag als bedoeld in artikel 98 lid 4 in samenhang met artikel 552a Sv is in beginsel alleen gericht tegen de beschikking van de rechter-commissaris waarin is beslist dat de inbeslagneming dan wel de vastlegging en/of kennisneming is toegestaan. In het geval dat selectie van de (digitale) stukken en gegevens noodzakelijk is gebleken, kan ook de manier waarop de selectie heeft plaatsgevonden in de beoordeling van het beklag worden betrokken. Daarbij gaat het in het bijzonder om de vraag of bij de selectie onder leiding van de rechter-commissaris het verschoningsrecht van de klager voldoende is gewaarborgd. (Vgl. HR 12 maart 2024, ECLI:NL:HR:2024:314, rechtsoverweging 2.4 en HR 1 november 2024, ECLI:NL:HR:2024:1560, rechtsoverweging 3.4.4)
Als de inbeslagneming betrekking heeft op een grote hoeveelheid (digitale) stukken of gegevens, terwijl bijvoorbeeld volgens de beslagene bepaalde stukken of gegevens onder het verschoningsrecht van geheimhouders vallen, ligt het doorgaans in de rede dat onder leiding van de rechter-commissaris een selectie wordt gemaakt tussen (digitale) stukken of gegevens die wel en die niet onder het verschoningsrecht kunnen vallen (r.o. 3.3). Daarbij kan bijvoorbeeld gebruik worden gemaakt van een – al dan niet door de beslagene te verstrekken – lijst met zoektermen die betrekking hebben op het deel van het materiaal waarover het verschoningsrecht zich mogelijk uitstrekt, zoals namen en e-mailadressen of termen die specifiek kunnen duiden op het voorwerp van het ingeroepen verschoningsrecht (vgl. HR 16 juni 2020, ECLI:NL:HR:2020:1048).
Als – zoals in dit geval – sprake is van (een forensische kopie van) een gegevensdrager met daarop gegevens die deels wel en deels niet onder het verschoningsrecht vallen, kan de door of onder verantwoordelijkheid van de rechter-commissaris te verrichten filtering ertoe leiden dat de rechter-commissaris beslist dat de gegevens die onder het verschoningsrecht vallen worden vernietigd, waarna de gegevensdrager – nadat de beschikking van de rechter-commissaris onherroepelijk is geworden – kan worden overgedragen aan de politie.
Het openbaar ministerie draagt de verantwoordelijkheid voor de door de rechter-commissaris bevolen vernietiging van de gegevens (r.o. 3.4). Van zo’n vernietiging van gegevens is ook sprake als die gegevens niet meer kenbaar zijn door bewerking van de gegevensdrager of de digitale voorziening waarmee de gegevens raadpleegbaar zijn, waarbij de gekozen werkwijze zo moet zijn ingericht dat is verzekerd dat die gegevens geen deel uitmaken van de processtukken en dat daarop in het verdere verloop van het strafproces geen acht wordt geslagen (vgl., over de vernietiging als bedoeld in artikel 126aa lid 2 Sv, HR 20 september 2022, ECLI:NL:HR:2022:1257). Om in een voorkomend geval rechterlijke controle mogelijk te maken op de manier van vernietiging in het licht van het onder 3.4.1 vermelde vereiste, moet van de vernietiging voldoende nauwkeurig verslag worden gedaan in een proces-verbaal. In het bijzonder moet in het proces-verbaal inzicht worden gegeven in de manier waarop is gewaarborgd dat personen die op enigerlei wijze bij het opsporingsonderzoek betrokken (zullen) zijn op geen enkele wijze toegang kunnen krijgen tot de betreffende gegevens (Vgl. HR 12 maart 2024, ECLI:NL:HR:2024:375, rechtsoverweging 6.7.2). Als bij die vernietiging gebruik wordt gemaakt van technische voorzieningen, moeten deze zo zijn ingericht dat kan worden nagegaan of is voldaan aan het onder 3.4.1 bedoelde vereiste dat de gegevens niet meer kenbaar zijn, bijvoorbeeld door middel van een geautomatiseerde registratie waarbij wordt bijgehouden welke handelingen binnen het systeem hebben plaatsgevonden en door wie deze zijn verricht (Vgl. HR 12 maart 2024, ECLI:NL:HR:2024:375, rechtsoverweging 6.7.2).
Verzoek tot vernietiging van gegevens op grond van artikel 552a lid 2 Sv
Over de onderhavige zaak overweegt de Hoge Raad in r.o. 3.5 het volgende. In de betreffende procedure kan de rechter, naar aanleiding van concreet aangeduide bezwaren van de belanghebbende, beoordelen of is voldaan aan het onder 3.4.1. Dit vereiste zorgt ervoor dat gegevens die als vertrouwelijk zijn aangemerkt (‘uitgegrijsde’) geen deel uitmaken van de processtukken en verder in de strafzaak niet worden meegenomen (vergelijk, met betrekking tot gevorderde gegevens, HR 20 september 2022, ECLI:NL:HR:2022:1257). Gezien de belangen die door het verschoningsrecht worden beschermd, brengt redelijke wetstoepassing mee dat een vergelijkbare procedure kan worden gevolgd met betrekking tot gegevens die zijn ontleend aan inbeslaggenomen gegevensdragers. Daarvoor kan aansluiting worden gezocht bij de regeling van artikel 552a lid 2 Sv. Dat betekent dat een belanghebbende op grond van die bepaling kan verzoeken om de vernietiging van gegevens die zijn ontleend aan inbeslaggenomen gegevensdragers en die als geheimhoudersinformatie zijn aangemerkt, waarbij de rechter in geval van concreet aangeduide bezwaren van de belanghebbende kan beoordelen of is voldaan aan het onder 3.4.1 bedoelde vereiste.
Aan het verzoek als bedoeld in artikel 552a lid 2 Sv moeten concreet aangeduide feiten en omstandigheden ten grondslag worden gelegd die erop wijzen dat aan de bevolen vernietiging van de gegevens niet of in onvoldoende mate uitvoering is gegeven. Als aan die stelplicht is voldaan moet de rechter, mede aan de hand van het onder 3.4.2 bedoelde proces-verbaal, beoordelen of voldoende aannemelijk is dat de geheimhoudersgegevens waarvan de vernietiging is bevolen op een zodanige manier zijn vernietigd dat is verzekerd dat die gegevens geen deel uitmaken van de processtukken en dat daarop in het verdere verloop van het strafproces geen acht wordt geslagen. Met het oog op die beoordeling kan de rechter zo nodig nader onderzoek opdragen aan de rechter-commissaris. Als de rechter oordeelt dat niet voldoende aannemelijk is dat is voldaan aan het onder 3.4.1 bedoelde vereiste, geeft de rechter op grond van artikel 23 lid 1 Sv het openbaar ministerie een bevel om nadere maatregelen te treffen waarmee is verzekerd dat wel aan dat vereiste is voldaan en daarvan verslag te doen.
Gevangenisstraf voor simswappen
Op 18 april 2025 heeft de rechtbank Limburg een verdachte veroordeeld (ECLI:NL:RBLIM:2025:3650) wegens ‘grootschalige cybercriminaliteit’. Hij werd schuldig bevonden aan het medeplichtig zijn aan computervredebreuk (simswappen), diefstal van cryptovaluta en witwassen. De rechtbank legde een gevangenisstraf op van 24 maanden, waarvan 6 maanden voorwaardelijk met een proeftijd van twee jaar.
De verdachte pleegde computervredebreuk door het onbevoegd installeren en activeren van het programma ‘AnyDesk’ op computers van de T-Mobileshop te Heerlen, waardoor toegang werd verkregen tot servers waarop het klantenservicesysteem ‘Salesforce’ was geïnstalleerd. Vervolgens werden gegevens uit dit systeem overgenomen. Daarvoor werd gebruik gemaakt van een verkoopmedewerker van een T-mobileshop die via de chatapplicatie ‘Wickr’ contact hield met medeverdachten. Vervolgens zijn de inloggegevens van twee belwinkels verkregen om daarmee binnen te dringen in servers met het aanvraagsysteem (hierna: TAS) en de Klanten Management Tool (hierna: KMT) van T-Mobile. Ook heeft de verdachte in januari en begin februari 2021 simswaps uitgevoerd door ‘social engineering’ via de T-Mobile klantenservice (bellen en chat), met behulp van gelekte klantgegevens en overgenomen persoonsgegevens.
Door de simswaps zijn tijdens één weekend 160 telefoonnummers overgenomen en konden zij ook de e-mailaccounts van de eigenaren van die telefoonnummers overnemen, waardoor deze eigenaren geen toegang meer hadden tot hun e-mailadres. Onder andere door het laten verzenden van verificatiecodes voor e-mailadressen en cryptoaccounts naar de overgenomen telefoonnummers, konden inloggegevens van cryptoaccounts worden aangevraagd of gereset, dan wel herstelzinnen voor cryptowallets worden gevonden in diverse applicaties.
Vervolgens veranderden ze de wachtwoorden van de cryptowallets en verstuurden ze de cryptovaluta naar een eigen cryptoadres. De cryptovaluta werden omgezet/gewisseld naar Bitcoins, waarna een medeverdachte deze Bitcoins heeft verstuurd naar een “chipmixer”, om de herkomst van de cryptovaluta te verhullen. Vanuit de chipmixer zijn de Bitcoins naar de cryptowallets van de verdachte en een medeverdachte, evenals het Binance depositadres van de medeverdachte gestuurd. Daarbij werden acht personen slachtoffer en werd in totaal ongeveer 100.000 euro weggenomen.
Naast de financiële schade overweegt de rechtbank dat de inbreuk op de privacy van de slachtoffers enorm is. Door de overname van hun telefoonnummers en het ongeautoriseerd inzien van hun e-mailaccounts, werden zij ernstig geschaad in hun persoonlijke levenssfeer. Bovendien waren ze ontdaan van de mogelijkheid om hun eigen telefoonnummer te gebruiken, waardoor ze niet meer konden bellen, sms’en of internetten. In het digitale tijdperk is dat echter onmisbaar, onder andere voor cruciale zaken als het inloggen bij DigiD, internetbankieren en de twee-factor-authenticatie voor online diensten. Dit alles hebben de slachtoffers moeten herstellen, een langdurig proces dat onder meer uit een slachtofferverklaring op de zitting bleek.
Veroordeling voor stalking
Op 21 mei 2025 veroordeelde de rechtbank Oost-Brabant (ECLI:NL:RBOBR:2025:2882) een verdachte voor belaging (stalking) (art. 285b Sr) en het vervaardigen van afbeeldingen van seksuele aard (art. 254ba Sr). Hoewel twijfelachtig is of de delicten als ‘cybercriminaliteit’ kunnen worden bestempeld, bevat de uitspraak veel details over de wijze waarop de beelden zijn gemaakt en geeft deze daarmee een inkijkje in dit type zaken en digitale bewijsvoering.
Na melding van het slachtoffer op het politiebureau dat zij verborgen camera’s had aangetroffen in haar gehuurde kamerwoning, ontdekten verbalisanten het volgende. Achter de badkamerspiegel troffen zij een holle ruimte aan. In die ruimte hingen smartphones, aangesloten op voedingskabels. Ook achter de spiegel in de slaapkamer werden twee smartphones aangetroffen, eveneens aangesloten op kabels die door een gat in de muur werden gevoerd en uitkwamen in dezelfde ruimte achter de badkamerspiegel.
Later werd in de lamp boven het bed nog een vijfde telefoon aangetroffen. De ruimte achter de badkamerspiegel was bereikbaar via het terras van de kamerwoning, waar nog meer apparatuur werd gevonden die op de verborgen telefoons was aangesloten. In de bovenwoning, in gebruik bij de verhuurder, werd een plastic doos aangetroffen met daarin afzonderlijk verpakt damesondergoed, voorzien van namen. De mobiele telefoons, ingericht als IP-camera’s, konden op afstand worden bediend en bekeken. Tevens had de verdachte twee Raspberry Pi computers aangebracht in de ruimte achter de spiegels, die waren ingericht om te functioneren als bewegingsdetectoren.
Opsporingsambtenaren troffen ook de applicatie IP WEBCAM PRO aan op een in beslag genomen apparaat, met daarbij een omschrijving van de app en de termen ‘Levensstijl’ en ‘Spionagecamera’. Later blijkt uit de uitspraak dat via de aangetroffen URL’s op de tablet verbinding kon worden gemaakt met de IP-camera’s. Bij onderzoek aan de browsergeschiedenis bleek dat met enige regelmaat de URL’s van de IP-camera’s waren bezocht vanaf een Samsung tablet.
De rechtbank overweegt dat onderzoek aan de tablet heeft aangetoond dat de verdachte in de periode van 18 juni 2024 tot en met 21 augustus 2024 de mobiele telefoons in ieder geval 143 keer vanaf de tablet heeft benaderd. De verdachte heeft verklaard dat hij de webcam-app meestal benaderde via zijn computer thuis en soms ook via zijn eigen telefoon. Hoeveel keer dit is gebeurd, kon niet worden vastgesteld omdat er geen toegang is verkregen tot de computer en de mobiele telefoon van de verdachte. De inhoud van de computer kon niet worden bekeken omdat de verdachte zijn wachtwoord weigerde te geven en de mobiele telefoon van de verdachte op de dag van zijn aanhouding door hemzelf was teruggezet naar de fabrieksinstellingen. Hoewel vrijwel geen camera-opnamen zijn veiliggesteld, volgt uit de locatie van de camera’s en de verklaringen van zowel het slachtoffer als haar partner (in samenhang met het technisch bewijs) dat er opnames van seksuele aard moeten zijn gemaakt. Immers, het slachtoffer en haar partner verklaren over meerdere keren seksuele gemeenschap in de slaapkamer op het bed, en het is aannemelijk dat zij zich meerdere keren ontkleed hebben bevonden in de bad- en slaapkamer.
De gedragingen van de verdachte waren gericht op het slachtoffer te dwingen deze gedragingen te dulden. Door het slachtoffer heimelijk te filmen, heeft de verdachte bewerkstelligd dat zij zich niet tegen het filmen kon verzetten en dat zij in die zin gedwongen werd het filmen te dulden. De verklaring van de verdachte dat de apparatuur er al langer hing, dat hij de opnames nimmer heeft bekeken en dat hij ze enkel vanaf zijn computer/tablet/telefoon heeft benaderd om ze te wissen, acht de rechtbank ongeloofwaardig. Uit het dossier blijkt immers dat de webcam-app is aangeschaft op 26 mei 2024 en kort daarna op verschillende momenten op de verschillende telefoons is geïnstalleerd. Dit was kort na het tekenen van het huurcontract met het slachtoffer en kort voordat zij daadwerkelijk de woning betrok.
De professionele en doordachte mate van wegwerken en de locaties van de aangebrachte camera’s wijzen erop dat ze zijn geplaatst met het doel het bed (een plaats waar bij uitstek seksuele handelingen plaats kunnen vinden) en de badkamer (een plaats waar men zich bij uitstek ontkleed bevindt) ongezien te filmen. Het bed werd zelfs vanuit meerdere kanten gefilmd. Het tijdstip van installatie van de app duidt erop dat bedoeld was het bed en de badkamer, waar het slachtoffer gebruik van maakte, te filmen. De rechtbank gaat er dan ook van uit dat de verdachte de mobiele telefoons heeft aangebracht en de webcam-app hierop heeft geïnstalleerd met het doel de huurster van de woning heimelijk te filmen. Gelet hierop en gelet op de vele momenten dat de verdachte de camera’s heeft benaderd en het gebruik van bewegingsdetectoren die meldingen verstuurden naar zijn e-mailadressen, gaat de rechtbank er tevens van uit dat de verdachte de opnamen ook daadwerkelijk veelvuldig heeft bekeken.
De rechtbank concludeert dat de verdachte zich schuldig heeft gemaakt aan het stalken van de bewoonster van een door hem verhuurde woning door haar gedurende bijna drie maanden heimelijk te filmen, waarbij (ook) opnames van seksuele aard werden gemaakt. Het slachtoffer heeft zich onder behandeling moeten laten stellen voor PTSS en ondervindt tot op heden de gevolgen van het handelen van de verdachte. Zij krijgt een immateriële schadevergoeding van 4000 euro en een materiële schadevergoeding van €5569,82 toegewezen.
Overigens kon de rechtbank niet vaststellen dat het ondergoed door de verdachte is gestolen, zodat de verdachte daarvan wordt vrijgesproken.
Gevangenisstraf en tbs voor online kindermisbruik
De rechtbank Rotterdam heeft op 10 juni 2025 een oprichter van een website veroordeeld (ECLI:NL:RBROT:2025:6771) waarop seksueel materiaal van minderjarigen werd verspreid. De verdachte is veroordeeld wegens het maken, verspreiden en bezitten van seksueel materiaal van minderjarigen en deelname aan een criminele organisatie.
De verdachte heeft 15 jaar geleden een website opgezet en tot zijn aanhouding in 2024 beheerd waarop het materiaal werd gedeeld tussen duizenden leden, waarmee hij grote geldbedragen verdiende. Op drie gegevensdragers werden 15.611 afbeeldingen en 847 video’s met seksueel materiaal van minderjarigen aangetroffen. De inbeslaggenomen gegevensdragers zijn onttrokken aan het verkeer en de inbeslaggenomen valuta worden bewaard, ten behoeve van de rechthebbende in afwachting van de uitkomst van de aangekondigde ontnemingsprocedure. Hij krijgt een gevangenisstraf van zes jaar en tbs met dwangverpleging opgelegd. Daarnaast moet hij 14 slachtoffers tot € 4.000,00 immateriële schadevergoeding betalen.
De verdachte deed zich op websites zoals Omegle en Skype voor als een jonge vrouw en misleidde jongens in de leeftijd van 8 tot 18 jaar om seksuele handelingen bij zichzelf te verrichten. Sommige van die videogesprekken nam hij op en verspreidde hij op zijn website, waarvoor hij geld ontving. Hij hield een lijst bij van personen die lid waren van het (betaalde) VIP-gedeelte van de site. Ook kende de website verschillende rangen met bijbehorende bevoegdheden. De verdachte had samen met een medeverdachte als administrator de meest uitgebreide bevoegdheden. Moderators hadden weer meer bevoegdheden dan VIP-leden en geregistreerde leden, wat een zekere hiërarchie aantoont. Er waren verschillende kamers ingericht, zoals de VIP-kamer en Area51, waar alleen betalende leden toegang toe hadden. Deze leden betaalden € 25,- per maand, € 100,- per vijf maanden of € 250,- voor twaalf maanden. Verder werden er advertenties op de site geplaatst en bij speciale aangelegenheden (zoals Kerst of Valentijnsdag) werden tegen betaling zogenaamde “vidpacks” aangeboden. Ten tijde van het veiligstellen van [naam website] waren er 2.937 geregistreerde gebruikers en 143 VIP-leden. De opbrengsten van de website werden verdeeld tussen de verdachte en een medeverdachte. In de VIP-sectie en in Area51 zijn 10.390 unieke beelden (foto’s en video’s) aangetroffen, waarvan tussen 40% en 50% seksueel materiaal van minderjarigen betrof. Op het merendeel van de afbeeldingen waren jongens te zien met een geschatte leeftijd tussen de 10 en 14 jaar oud, die betrokken waren bij verregaande seksuele handelingen.
De rechtbank overweegt dat de verdachte met zijn handelen de geestelijke en fysieke integriteit van de slachtoffers in ernstige mate heeft geschonden, in een fase van hun leven waarin zij hun seksualiteit aan het ontdekken waren of daar in sommige gevallen nog helemaal niet mee bezig waren. De verdachte heeft de slachtoffers de mogelijkheid ontnomen dit in hun eigen tempo en op een manier die past bij hun leeftijd te doen. Het is een feit van algemene bekendheid dat slachtoffers van seksueel misbruik daar nog jarenlang last van kunnen hebben. Ook de impact op de ouders van de slachtoffers is groot. Zo beschrijven de ouders van een slachtoffer dat zij worstelen met de vraag hoe het kan dat zij niets hebben gemerkt en dat zij niet hebben kunnen ingrijpen. Ook rekent de rechtbank de verdachte aan dat hij gedurende ongeveer 13 jaar deelnam aan een criminele organisatie door de website te runnen en zelf ook een grote hoeveelheid seksueel materiaal van minderjarigen in bezit had.
De rechtbank is op grond van het advies van de deskundigen van oordeel dat het kader van tbs met voorwaarden onvoldoende waarborgen biedt om de behandeling van de verdachte op een zodanige manier vorm te geven dat het recidiverisico tot een aanvaardbaar niveau wordt teruggebracht. Dat maakt dat de rechtbank oplegging van de terbeschikkingstelling met verpleging van overheidswege noodzakelijk acht. Daar komt bij dat de duur van de gevangenisstraf die de rechtbank de verdachte zal opleggen niet verenigbaar is met oplegging van tbs met voorwaarden.
On 11 June 2025, Europol published its new Internet Organised Crime Threat Assessment report, titled ‘Steal, deal, and repeat’ (.pdf).
A central theme of the report is the pervasive threat of data theft. For example, ‘access credentials’ (login details) to personal accounts are highly valuable because they provide direct access to mailboxes, social media accounts, online shops, financial services, and even information systems used by public administrations. The data can be used to compromise the wider network (called ‘lateral movement’ in computer systems), malware distribution, identity theft, impersonation of victims, and the dissemination of malicious content appearing to originate from trusted sources.
Data as a means to commit cybercrime
Criminals involved in online fraud schemes leverage personal information to profile targets, increasing their chances of success or gaining unauthorized access to accounts. This includes details such as age, interests, location, email addresses, dates of birth, phone numbers, and credit card data. This information allows criminals to craft more convincing and manipulative fraud narratives.
Similarly, child sex exploitation perpetrators collect personal information to tailor their communication with the victims and use it as leverage for sexual and financial extortion. This can encompass victims’ interests, personal connections, home and school addresses, and details about family and friends. The collection of such data also facilitates “doxxing”—the public exposure and shaming of victims by publishing private information online—which can lead to further victimization, cyberbullying, and the re-victimization of children.
Criminals also use stolen personal data to create fake identities for purposes such as applying for subsidies, loans, or credit cards, and committing other financial frauds. Business Email Compromise (BEC) attacks, where criminals impersonate company executives or employees, are also prevalent, tricking others into transferring funds or revealing sensitive information.
Data as a commodity
Information is stolen and converted into a commodity to be further exploited by other criminal actors in their operations. It is then marketed on various criminal platforms, including specialised marketplaces, underground forums, and dedicated channels within end-to-end encrypted (E2EE) communication apps.
Europol identifies several common commodities:
Unanalysed infostealer logs and breached data dumps (leaked or stolen data), which may contain personal data, user credentials for various services, browser artefacts and other sensitive information;
Unanalysed or verified credit card dumps (usually gathered by digital skimming), as well as the bulk sale of verified card details;
Initial access offers, ranging from credentials for remote services and accounts (e.g. RDP, VPN, firewalls, network devices and cloud environments) to established backdoor access to corporate systems and networks;
Account login credentials for various web services, including email and social media accounts, online shopping environments and adult content sites;
Criminal services, including subscriptions to phishing-kits, infostealers, exploit kits, droppers, spoofing services and malicious Large Language Models (LLMs);
Anti-detection solutions, such as VPNs, bulletproof hosting (BPH), residential proxies, money laundering services, operational security (OpSec) manuals, etc
Manuals, guidelines, and tutorials—including individual coaching sessions focused on OpSec and online fraud schemes—are widely available at low cost, often bundled with other products or services.
Infostealers are used to steal login credentials and collect application tokens and session cookies, enabling access to websites and applications as an authenticated user. They also gather information about the user’s device, operating system, settings, and browser data, allowing criminals to mimic a legitimate user’s digital fingerprint. This enables them to bypass some security features during account takeovers by configuring virtual machines to resemble genuine users.
Example: Take down of ‘Lumma’
As part of “Operation Endgame,” Europol partnered with Microsoft in 2025 to dismantle the infrastructure behind ‘Lumma’. Lumma enabled cybercriminals to collect sensitive data from compromised devices on a massive scale, harvesting stolen credentials, financial data, and personal information for sale through a dedicated marketplace. Its widespread use made it a central tool for identity theft and fraud globally.
On 16 March 2025, Microsoft identified over 394.000 Windows computers globally infected by the Lumma malware. More than 1300 domains seized by or transferred to Microsoft, including 300 domains actioned by law enforcement with the support of Europol, will be redirected to Microsoft sinkholes.
It had the following functionalities according the (more) technical report:
Browser credentials and cookies: Lumma Stealer extracts saved passwords, session cookies, and autofill data from Chromium (including Edge), Mozilla, and Gecko-based browsers.
Cryptocurrency wallets and extensions: Lumma Stealer actively searches for wallet files, browser extensions, and local keys associated with wallets like MetaMask, Electrum, and Exodus.
Various applications: Lumma Stealer targets data from various virtual private networks (VPNs) (.ovpn), email clients, FTP clients, and Telegram applications.
User documents: Lumma Stealer harvests files found on the user profiles and other common directories, especially those with .pdf, .docx, or .rtf extensions.
System metadata: Lumma Stealer collects host telemetry such as CPU information, OS version, system locale, and installed applications for tailoring future exploits or profiling victims.
Lumma Stealer used a robust C2 infrastructure, using a combination of hardcoded tier 1 C2s that are regularly updated and reordered, and fallback C2s hosted as Steam profiles and Telegram channels that also point to the tier 1 C2s. The Telegram C2, if available, is always checked first, while the Steam C2 is checked only when all the hardcoded C2s are not active. To further hide the real C2 servers, all the C2 servers are hidden behind the Cloudflare proxy
Techniques to acquire personal data
The “ClickFix” technique is gaining popularity among cybercriminals. Users encounter fake error or CAPTCHA messages while browsing, tricking them into copying and running malicious content on their devices. These pop-ups prompt users to click buttons labelled ‘Fix It’ or ‘I am not a robot,’ which then either copies a malicious PowerShell script or provides instructions for manual malware execution.
Vishing—the use of fraudulent phone calls—is facilitated by spoofing services, allowing criminals to impersonate trusted entities and increase the effectiveness of social engineering attacks. This technique is frequently used for fraud and gaining initial system access. Increasingly, vishers persuade victims to download malicious payloads, enter credentials on phishing websites, or install Remote Access Tools (RATs) or Remote Monitoring and Management (RMM) tools. Fraudsters impersonating IT solution providers are using this approach to gain access to bank accounts. Initial Access Brokers (IABs) and ransomware operators are also adopting vishing tactics to obtain VPN and user account credentials.
Use of LLM’s and generative AI
LLM’s and genAI can improve phishing techniques. enhance phishing techniques by enabling the creation of highly targeted messages incorporating local language and cultural nuances, significantly increasing click-through rates. CSE perpetrators use LLMs to personalize communications, making them more convincing and facilitating impersonation for information gathering. This makes it harder for victims to recognize manipulation. The automation provided by LLMs allows offenders to scale their grooming operations, targeting multiple victims in various languages simultaneously.
Criminals are also using voice deepfakes to enhance the credibility of spear-phishing campaigns used in BEC and CEO fraud. Generative AI can be exploited to create fake social media profiles for social engineering purposes.
As discussed above, genAI can also be exploited to generate fake social media profiles using a range of social engineering applications. For further information, refer to this Europol podcast featuring a shocking example of AI use in an online child sexual abuse case involving “Kidflix”, which contained approximately 72.000 videos and nearly two million users.
Who are they?
employ the methods previously mentioned, alongside more sophisticated techniques that enable them to compromise valuable targets. These include digital service providers (through supply-chain attacks), international corporations, and government entities; this can involve identifying and creating zero-day exploits, as well as conducting complex, targeted social engineering operations. Such actors typically do not publicise their capabilities but instead monetise their exploits by collaborating directly with cybercrime groups (for example, ransomware groups) or other hybrid threat actors. This means that valuable assets – such as zero-day exploits and access to high-value targets like large international corporations, IT supply chains, and critical infrastructure – are traded privately, often in exchange for a percentage of the buyer’s earnings.
The criminal actors who target financial data and payment system access are the primary customers of services offering phishing kits and digital skimmers. The URLs of these fraudulent webpages are disseminated through phishing campaigns and web-skimmers inserted into misconfigured or unpatched websites – techniques similar to those used by data and access brokers. Stolen account information or payment card details are frequently sold via dedicated online platforms specialising in these commodities.
The final category of actors includes child sexual exploitation and certain fraud perpetrators (such as those involved in romance scams), who do not seek to commodify the personal data they gather from their victims but instead exploit it as an integral part of their criminal processes. Rather than trading data, they use it directly to access accounts or coerce their victims. However, not all CSE offenders operate alone; doxxing channels on end-to-end encrypted (E2EE) applications have been identified, demonstrating a collaborative effort to amplify their coercive power. Within these environments, criminal actors cooperate by sharing personal data gathered on targets, intensifying the pressure imposed on victims subjected to multiple, simultaneous extortion attempts.
Market places and information brokers
Marketplaces and information brokers operate as platforms for selling stolen identities, access credentials, web shells, and financial information. Access credentials, for example, may be sold in bulk without verification of their validity or value. As an example, check out this report by TrendMicro about Russian Market.
alidated credentials and listings from IABs – advertising the systems they have compromised – are typically accompanied by details of the affected entities and sometimes auctioned to the highest bidder. Prices vary considerably depending on factors such as the compromised entity’s sector, size, revenue, geographical location, access type, level, persistence, and exclusivity. High-revenue companies in Europe and North America are particularly sought after.
Forums dedicated to breached data – such as BreachForums (article by Bleepingcomputer) – serve as advertising spaces, while negotiations and transactions increasingly take place on dedicated channels within commercial end-to-end encrypted (E2EE) communication platforms. These listings not only advertise available commodities but also help build the seller’s reputation within the ecosystem; compromising more prominent and valuable targets enhances standing in the community. Consequently, many data brokers tend to exaggerate the classification or value of their assets, which may in reality be fake or based on outdated leaks, used to attract attention.
Example: ‘Cracked’ and ‘Nulled’
On January 2025, the cybercrime forums ‘Cracked.io’ and ‘Nulled.to’ were taken down. German authorities led the operation, plus law enforcement from eight other countries, and they were supported by Europol.
The two platforms, Cracked and Nulled, had more than 10 million users in total. They were key marketplaces for stolen data, including personal data, and cybercrime tools and infrastructure, which were offered as-a-service to individuals with more limited technical skills to carry out cyber-attacks. The two forums also offered AI-based tools and scripts that could automatically scan for security vulnerabilities and optimise attacks.
Cracked.io had over four million users and listed more than 28 million posts advertising cybercrime tools and stolen information, generating approximately USD 4 million in revenue. One product advertised on Cracked offered users access to ‘billions of leaked websites’, allowing them to search for stolen login credentials.
Other associated services were also taken down; including a financial processor named Sellix which was used by Cracked, and a hosting service called StarkRDP, which was promoted on both of the platforms and run by the same suspects.
Bron: Afbeelding is AI gegenereerd door WordPress met de (automatische) prompt: “Create a highly detailed and sharp-focused image for a blog post on the role of Dutch authorities in the SkyECC operation, emphasizing the themes of cybercrime and judicial proceedings. The image should feature a digital courtroom setting with a silhouette of a judge, legal documents scattered on a modern desk, and high-tech surveillance elements in the background. Illuminate the scene with soft, dramatic lighting to enhance the seriousness of the subject, reflecting a blend of technology and law. Ensure the image is in high resolution to capture intricate details, making it suitable for a featured blog post.”
Deze blog is ook te beluisteren als podcast (gegenereerd met Notebook LM van Google, voor het eerst in het Nederlands, best wel goed!):
Rol Nederlandse autoriteiten in de SkyECC-operatie
De rechtbank Noord-Holland heeft op 4 april 2025 een uitspraak (ECLI:NL:RBNHO:2025:4038) gepubliceerd naar aanleiding van een regiezitting over het horen van getuigen en de verstrekking van stukken in het kader van SkyECC. In dit bericht worden kort de overwegingen ten aanzien van nieuwe informatie over de rol van Nederlandse opsporingsautoriteiten met betrekking tot de SkyECC-operatie genoemd, in verband met het interstatelijk vertrouwensbeginsel.
Onjuist voorgelicht over de SkyECC-hack?
De raadsman heeft in essentie aangevoerd dat het openbaar ministerie de rechtbanken, hoven en Hoge Raad de afgelopen jaren onjuist heeft voorgelicht over de aanloop naar de SkyECC-hack. Het openbaar ministerie zou de rol van Amerika en Canada bij het voorbereidende onderzoek bewust niet hebben vermeld. Voorts heeft de raadsman aangevoerd dat Nederland de interceptietool, de ontsleutelmethode en het uitleesprogramma (ChatX) heeft ontwikkeld, de plaatsing daarvan heeft geïnitieerd en Nederlandse opsporingsambtenaren de inbeslagname van de twee servers hebben verricht en gefaciliteerd. Ook zou Nederland een leidende rol hebben gehad bij de hack, waardoor niet langer kan worden volgehouden dat er slechts sprake was van technische bijstand aan Frankrijk. Er lijkt ook sprake te zijn van onregelmatigheden nu bijvoorbeeld een EOB niet is ondertekend. Dit alles brengt mee dat het vertrouwensbeginsel doorbroken moet worden en dat de rechtmatigheid van het onderzoek naar en de hack van SkyECC in volle omvang getoetst kan worden door de verdediging, aldus de raadsman.
Oordeel rechtbank
De rechtbank overweegt het volgende. Uit het arrest van de Hoge Raad van 13 juni 2023 (ECLI:NL:HR:2023:913) volgt dat het niet tot de taak van de Nederlandse strafrechter behoort om te toetsen of de wijze waarop het onderzoek onder verantwoordelijkheid van buitenlandse autoriteiten is uitgevoerd, strookt met de rechtsregels die gelden in het betreffende land voor het uitvoeren van dat onderzoek. De beslissingen van de buitenlandse autoriteiten die aan het verrichte onderzoek ten grondslag liggen, worden gerespecteerd en er wordt uitgegaan van rechtmatige uitvoering. Dit is uitsluitend anders als in het betreffende land onherroepelijk vaststaat dat het onderzoek niet in overeenstemming met de daarvoor geldende rechtsregels is verricht.
De situatie kan zich voordoen dat buiten Nederland onderzoekshandelingen worden verricht onder verantwoordelijkheid van Nederlandse autoriteiten. Op grond van artikel 539a lid 1 Sv kunnen Nederlandse opsporingsambtenaren de hun bij de Nederlandse wet toegekende opsporingsbevoegdheden ook in het buitenland uitoefenen. In die situatie is artikel 359a Sv van toepassing op vormverzuimen die zich eventueel voordoen met betrekking tot de toepassing van de bevoegdheden die hen op grond van het Nederlandse recht toekomen. De verantwoordelijkheid voor de uitvoering ligt bij de Nederlandse autoriteiten (i) als onder gezag van de (Nederlandse) officier van justitie in het buitenland, overeenkomstig artikel 539a Sv, door Nederlandse opsporingsambtenaren toepassing wordt gegeven aan de hun bij de Nederlandse wet toegekende opsporingsbevoegdheden, of (ii) als er een zo nauwe samenwerking bestaat tussen Nederlandse en buitenlandse autoriteiten bij de opsporing, dat het gezag daarover feitelijk volledig of in overwegende mate toekomt aan de (Nederlandse) officier van justitie.
Het merendeel van het betoog van de raadsman komt erop neer dat de Nederlandse politie een zo grote rol heeft gespeeld bij de hack van SkyECC en de daaruit volgende gegevensverzameling, dat sprake is van een situatie waarin de verantwoordelijkheid voor de uitvoering van het onderzoek in Frankrijk (mede) bij de Nederlandse autoriteiten is komen te liggen. Om die reden zou getoetst moeten kunnen worden of zich bij dat onderzoek vormverzuimen hebben voorgedaan. De raadsman heeft ter onderbouwing aangevoerd dat de Nederlandse politie dan wel (andere) Nederlandse IT-specialisten de interceptietool, de ontsleutelmethode en het uitleesprogramma (ChatX) hebben ontwikkeld en betrokken zijn geweest bij de inbeslagname van de servers. Dit betreft echter geen situaties zoals genoemd onder (i) en (ii). De rechtbank ziet hierin dan ook geen grond om de onderzoekswensen, die betrekking hebben op de aanloop naar en de uitvoering van het onderzoek in Frankrijk naar SkyECC, toe te wijzen. Hetgeen is aangevoerd over mogelijke (undercover)operaties door de Verenigde Staten en Canada naar bij het bedrijf SkyECC betrokken personen, maakt dit niet anders, nu het verband tussen dergelijke operaties en de verwerving van de data van SkyECC uit Frankrijk niet duidelijk is geworden.
Bewijsmiddelen en Exclu-berichten
Deze uitspraak (ECLI:NL:RBOBR:2025:1621) van de rechtbank Oost-Brabant is interessant in verband met de gedetailleerde bewijsoverwegingen ten aanzien van Exclu-berichten en andere bewijsbronnen.
Een Exclu-account was gekoppeld aan een zogenaamd CSN-nummer bestaande uit vijf cijfers. Aan dit CSN-nummer was bovendien een bijnaam gekoppeld. Binnen onderzoek 26Lytham konden, met toestemming van de rechter-commissaris, chatgesprekken tussen gebruikers van Exclu worden meegelezen wanneer deze woorden bevatten die voorkwamen op vooraf vastgestelde woordenlijsten. Vervolgens werd geprobeerd de gebruiker van het CSN-nummer te identificeren.
Op grond van de ontsleutelde Exclu-berichten en de inzet van een aantal bijzondere opsporingsbevoegdheden in onderzoek 26Lytham, zijn personen als mogelijke verdachten geïdentificeerd. Na analyse van de beschikbare Exclu-berichten werd bevestiging gevonden voor het vermoeden dat anderen zich bezig hielden met onder meer de handel in verdovende middelen.
Voor de bewijsvoering komt het in belangrijke mate aan op de inhoud van de ter beschikking gekomen cryptoberichten (Exclu). Volgens de verdediging wordt de lat van het wettelijk vereiste bewijsminimum niet gehaald door enkel gebruik te maken van deze berichten, omdat er geen andere bewijsmiddelen beschikbaar zijn, zoals chats, tapgesprekken of NFI-rapporten, waarmee daadwerkelijk kan worden vastgesteld dat sprake is geweest van (de handel of het bezit van) een onder lijst I van de Opiumwet ressorterende substantie, in dit geval cocaïne.
Eén bewijsbron of meerdere?
De rechtbank overweegt dat de in het procesdossier opgenomen Exclu-berichten te beschouwen zijn als andere geschriften in de zin van artikel 344, eerste lid, sub 5, van het Wetboek van Strafvordering (Sv). Op grond van dit wetsartikel kunnen dergelijke geschriften alleen gelden in verband met de inhoud van andere bewijsmiddelen. Eén (ander) bewijsmiddel kan volstaan en dat bewijsmiddel mag ook weer een ander geschrift zijn. Aan het verband met de inhoud van andere bewijsmiddelen worden geen zware eisen gesteld, in die zin dat het verband niet uitdrukkelijk door de rechter hoeft te worden aangegeven. Dit betekent dat (in dit geval) een Exclu-bericht steun kan vinden in een ander Exclu-bericht (volgens het arrest van de Hoge Raad van 28 maart 2023, ECLI:NL:HR:2023:474 en de conclusie van de AG van 7 februari 2023, ECLI:NL:PHR:2023:163).
Op basis van de in de chatberichten gebruikte termen, de soms bijgevoegde foto’s waarop de drugs pontificaal in beeld staan, het besproken (in- en verkoop)proces, de afgeschermde werkwijze (met versleutelde berichten, verborgen identiteiten door het gebruik van chat-ID’s) en de (door de verdachte en de medeverdachten besproken) hoogte van de met de aan- en verkoop van de middelen gemoeide geldbedragen, is het naar het oordeel van de rechtbank evident dat de berichten daadwerkelijk over verdovende middelen zijn gegaan en dat deze verdovende middelen daadwerkelijk zijn ontvangen dan wel (af)geleverd. Ook zijn diverse telefoons in beslag genomen waarop gegevens zijn aangetroffen, waaruit is gebleken dat de gebruiker van dit toestel bezig is geweest met de handel in hoeveelheden cocaïne. Het ging daarbij om berichten uit de Signal-app, notities op een telefoon, berichten en foto’s uit een Exclu-applicatie en berichten met de app ‘Threema’.
De verdachte wordt schuldig bevonden aan witwassen, het bezit van vuurwapens en opnieuw witwassen en wordt veroordeeld tot zeven jaar gevangenisstraf, met aftrek van de tijd die verdachte in voorlopige hechtenis heeft doorgebracht. Hoewel de rechtbank begrijpt dat een langdurige gevangenisstraf niet alleen voor de verdachte ernstige gevolgen heeft, maar ook (en misschien wel vooral) voor zijn gezin, ziet de rechtbank in de persoonlijke omstandigheden die de verdachte en zijn raadsman in dat verband naar voren hebben gebracht onvoldoende aanleiding om hier in strafmatigende zin rekening mee te houden.
EncroChat en verweer zendmastgegevens i.v.m. Prokuratuur
De rechtbank Amsterdam heeft op 27 januari 2025 een verdachte veroordeeld (ECLI:NL:RBAMS:2025:538) voor vijf jaar gevangenisstraf vanwege drugshandel en deelname aan een criminele organisatie. De uitspraak is relevant door de rol van digitale bewijsmiddelen, met name de discussie over zendmastgegevens.
Het bewijs in deze zaak bestaat voornamelijk uit chatberichten die zijn verstuurd en ontvangen via Encrochat en SkyECC. Om te bepalen of de verdachte de gebruiker was van de hem toegeschreven accounts, onderzocht de rechtbank ook andere bewijsmiddelen. Opvallend was daarbij een camera in de kluis van een garagebox, waarin twee bigshoppers met 29 blokken cocaïne en 34 losse blokken cocaïne werden aangetroffen. De camera bevatte een simkaart die op 5 april 2020 om 01:30 uur werd geactiveerd via een Lebara-account met een gekoppeld e-mailadres. Betalingen voor dit account geschiedden via PayPal, waarbij twee verschillende IP-adressen werden gebruikt. Deze IP-adressen waren ook gebruikt bij het bestellen van maaltijden via Thuisbezorgd.nl naar adressen in Eindhoven, waar ook de verdachte verbleef. Bovendien was de applicatie middels het Apple ID van de verdachte geïnstalleerd op de iPhone 12 die bij zijn aanhouding bij hem werd aangetroffen. De rechtbank linkt voor elke verdachte bewijs uit verschillende bronnen – chatberichten, camerabeelden en ‘reisbewegingen’ (o.a. van locatiegegevens uit zendmasten) – om de accounts aan de persoon te koppelen.
De raadvrouw voert het verweer dat de zendmastgegevens op grond van artikel 359a Sv moeten worden uitgesloten van het bewijs, omdat deze zijn verkregen zonder dat een rechter daarvoor vooraf toestemming heeft gegeven. Zij verwijst daarbij naar het arrest van het Hof van Justitie van de Europese Unie van 2 maart 2021 (ECLI:EU:C:2021:152, hierna: het Prokuratuur-arrest). De rechtbank merkt op dat de raadsvrouw niet concreet heeft benoemd op welke zendmastgegevens haar verweer betrekking heeft. Voor zover het verweer ziet op de zendmastgegevens van de telefoontoestellen die zijn gekoppeld aan het Encrochat-account en het Sky-ID, stelt de rechtbank vast dat deze afkomstig zijn uit de metadata die zijn verkregen in de EncroChat en SkyECC-operatie en dat deze informatie door de officieren van justitie overeenkomstig artikel 126dd Sv is overgedragen aan het onderzoek Velp. Daarom is ten aanzien van deze zendmastgegevens geen sprake van een vormverzuim in het voorbereidend onderzoek in de zaak van verdachte.
Voor zover het verweer ziet op de zendmastgegevens van de telefoon van de verdachte, stelt de rechtbank vast dat de officier van justitie op 25 januari 2021 op grond van artikel 126n Sv de historische verkeersgegevens van dit telefoonnummer heeft gevorderd. Gelet op het Prokuratuur-arrest had voorafgaand aan de toepassing van deze bevoegdheid een rechterlijke toetsing moeten plaatsvinden. Dat is in deze zaak niet gebeurd. Dit levert een vormverzuim op dat moet worden beoordeeld op grond van het bepaalde in artikel 359a Sv. Bij die beoordeling stelt de rechtbank voorop dat uit het dossier niet blijkt deze gegevens zijn gebruikt om de betrokkenheid van verdachte bij de ten laste gelegde feiten te onderbouwen. Het is dus niet gebleken dat de verdachte door het verzuim in zijn verdediging is geschaad en daarmee dat sprake is van een schending van artikel 6 EVRM. Gelet op bovenstaande is evenmin gebleken dat een inbreuk is gemaakt op de persoonlijke levenssfeer van verdachte, zoals beschermd in artikel 8 EVRM, en dat dit verzuim daadwerkelijk nadeel voor verdachte heeft veroorzaakt. Daarom is de rechtbank – in overeenstemming met de jurisprudentie op dit punt – van oordeel dat kan worden volstaan met een constatering van het vormverzuim zonder daaraan een rechtsgevolg te verbinden.
Ten aanzien van het opzet van de verdachten op het deelnemen aan een organisatie met het oogmerk op het plegen van harddrugsmisdrijven, weegt de rechtbank mee dat de deelnemers van de organisatie met elkaar communiceerden via versleutelde berichten waarin werd gesproken over ophalen/wegbrengen van (tassen vol) geld, prijzen rond de €27.000, blokken, stuks, spul, poeder, mixen, en waarin foto’s werden gedeeld van rechthoekige witte blokken. Ook wijst de rechtbank op het heimelijke karakter van de gedragingen binnen de organisatie. Zo werden bij de overdracht van geld en/of blokken de rijroutes door middel van voorverkenningen gecontroleerd op de aanwezigheid van (grens)politie, werden de goederen vervoerd in voertuigen met verborgen ruimtes, vond verificatie van de koper/verkoper plaats door middel van tokens en er werden uniformen van postbezorgers gedragen als dekmantel.
Aangezien alle verdachten aan gesprekken over de handel deelnamen en/of bij de overdrachten betrokken waren, achtte de rechtbank bewezen dat zij in zijn algemeenheid wisten dat de organisatie het invoeren, vervoeren, verkopen, verstrekken en aanwezig hebben van cocaïne als oogmerk had.
Hoge Raad wijst wederom arrest n.a.v. van een politiemol-zaak
Op 1 april 2025 heeft de Hoge Raad opnieuw een arrest gewezen (ECLI:NL:HR:2025:501) in een politiemol-zaak. De Hoge Raad achtte het oordeel van het hof Den Haag van 4 april 2023 (ECLI:NL:GHDHA:2023:2968) niet onbegrijpelijk dat de verdachte is binnengedrongen in de servers van de politie voor privédoeleinden en daarmee meermalen computervredebreuk pleegde. De Hoge Raad herhaalde daarbij relevante overwegingen uit eerdere arresten (HR:2013:BY9718 en HR:2011:BN9287) over het begrip ‘geautomatiseerd werk’ in relatie tot artikel 80sexies Sr (oud).
Door de verdachte werden de bevragingen uitgevoerd voor privédoeleinden die geen enkele link hadden met zijn functie als politieman. Door informatie te raadplegen waarvoor hij uitsluitend toegang had in verband met zijn werk, overschreed de verdachte de grenzen van de verleende autorisatie om politiesystemen te gebruiken. Hij wist dat de bevragingen niet plaatsvonden in het kader van een politieonderzoek. Bovendien verschijnt bij het starten of inloggen op het systeem een melding die aangeeft dat het alleen mag worden gebruikt met een gegronde reden en/of noodzaak. Het desondanks uitvoeren van de bevragingen betekent dat hij wederrechtelijk binnengedrongen is in een geautomatiseerd werk, gebruikmakend van zijn systeemautorisatie – te beschouwen als een valse sleutel.
De verdediging betoogde dat er geen sprake was van een ‘server’ zoals tenlastegelegd. Naar het oordeel van het hof kan een server deel uitmaken van een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.
De Hoge Raad oordeelt als volgt. Blijkens de bewijsvoering heeft het hof vastgesteld dat de verdachte, door in te loggen met het aan hem als politieambtenaar verstrekte account, zich de toegang heeft verschaft tot de politiesystemen en de politiewerkomgeving. In die digitale werkomgeving heeft de verdachte vervolgens personen, voertuigen (kentekens) en/of adressen bevraagd, waarna hij de verkregen gegevens heeft geëxporteerd en geprint. Het op die vaststellingen gebaseerde oordeel van het hof dat de verdachte “in één of meer geautomatiseerde werken, namelijk in één of meer servers van de politie” is binnengedrongen getuigt – in het licht van wat hiervoor is vooropgesteld – niet van een onjuiste rechtsopvatting. Dat oordeel is ook niet onbegrijpelijk.
Anders dan in de toelichting op het cassatiemiddel is betoogd, doet daaraan niet af dat het hof geen nadere vaststellingen heeft gedaan over de precieze manier waarop een concreet aangeduide server door de verdachte is binnengedrongen. Naar het hof kennelijk in aanmerking heeft genomen brengt het inloggen in, en raadplegen van, een digitale werkomgeving of digitaal systeem als hier aan de orde, met zich dat toegang wordt verworven tot één of meer servers die deze werkomgeving of dat systeem in stand houden en daarmee – al dan niet in verbinding met andere apparaten – bestemd zijn om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.
Veroordeling voor opruiing in een Telegramgroep
De rechtbank Rotterdam heeft op 17 maart 2025 een verdachte veroordeeld (ECLI:NL:RBROT:2025:3483) voor opruiing tot een terroristisch misdrijf.
Openbare Telegramgroep?
Voor het delict opruiing is vereist dat iemand opzettelijk aanzet tot strafbare feiten en/of gewelddadig optreden tegen het openbaar gezag, waarbij deze uitlating in het openbaar wordt gedaan. De rechtbank overweegt dat ‘het internet kan worden aangemerkt als een openbare plaats, mits het publiek toegang heeft tot de internetpagina waarop de teksten zijn weergegeven’. Bij de beoordeling of opruiing op een online forum in het openbaar is geschied kan bijvoorbeeld acht worden geslagen op de hoeveelheid personen die de uitlatingen ontvangen, hoe wordt bepaald wie tot een online groep wordt toegelaten en of er toetredingsvoorwaarden zijn, of de leden van de online groep elkaar kennen en welke verwachtingen bestaan met betrekking tot de vertrouwelijkheid van uitlatingen op het forum (met verwijzing naar hof Den Haag 13 november 2023, ECLI:NL:GHDHA:2023:2207)
De rechtbank stelt vast dat een medeverdachte op 4 januari 2024 de Telegramgroep heeft opgericht. De verdachte werd vanaf 11 juni 2024 lid van deze groep en deed vervolgens diverse uitlatingen. Een link naar de Telegramgroep werd openbaar gedeeld, waardoor nieuwe leden zich konden aanmelden.
De rechtbank overweegt dat de Telegramgroep een openbare status had, gelet op (1) het relatief eenvoudige toetredingsproces, (2) de willekeurige en openbare werving van leden, (3) het kennelijk ontbreken van afspraken omtrent vertrouwelijkheid van de gedeelde berichten en (4) de omvang van de groep ten tijde van de berichten van de verdachte. Daarmee waren ook de berichten die in de groep zijn gedeeld openbaar. Het feit dat de Telegramgroep op 3 juli 2024 kennelijk op besloten is gezet, doet daar niet aan af.
Opruiing tot een terroristisch misdrijf
De rechtbank stelt vast dat de Telegramgroep een trainingsgroep was voor witte mensen die zich voorbereiden op een rassenoorlog tegen ‘niet-witte’ mensen. De berichten en afbeeldingen die door de verdachten en andere deelnemers in de Telegramgroep zijn gedeeld, bevatten vele racistische en rechts-extremistische elementen, waaronder verheerlijking van Nazi-Duitsland, Hitler, hakenkruizen en de term ‘1488’. Het nummer 14 verwijst naar de 14 woorden van David Lane (‘we must secure the existence of our people and a future for white children’) en 88 staat voor ‘Heil Hitler’.
Hieruit leidt de rechtbank af dat het doel van de Telegramgroep was om tot een rassenoorlog te komen en op die wijze ‘het witte ras’ te redden. Daarbij wordt opgeroepen tot geweld tegen ‘niet-witte’ mensen, wat neerkomt op oproeping tot strafbare feiten als mishandeling en openlijke geweldpleging. Deze oproeping heeft ook een terroristisch oogmerk, omdat daarmee een deel van de bevolking, namelijk iedereen met een niet-Europese etnische afkomst, vrees wordt aangejaagd (vergelijk artikel 83a van het Wetboek van Strafrecht).
De andere in de tenlastelegging genoemde berichten en afbeeldingen die in de Telegramgroep zijn geplaatst, zijn op zichzelf niet allemaal als opruiend te beschouwen. Bezien in onderlinge samenhang kunnen alle uitlatingen echter worden aangemerkt als opruiend tot het plegen van een terroristisch misdrijf.
Gelet op vorenstaande gedragingen van de verdachte, is de rechtbank van oordeel dat wettig en overtuigend is bewezen dat de verdachte zich schuldig heeft gemaakt aan opruiing tot een terroristisch misdrijf. De rechtbank plaatst deze berichten in het kader van het accelerationisme, een rechtsextremistische ideologie die via sociale mediaplatformen wordt verspreid om terroristisch geweld te verheerlijken en een rassenoorlog te ontketenen, met als doel chaos te creëren en een witte (nationaalsocialistische) etnostaat te vestigen.
Gezien de ernst van de feiten legt de rechtbank de verdachte een gevangenisstraf op voor 191 dagen (met 30 dagen voorwaardelijk). De verdachte wordt in verminderde mate toerekeningsvatbaar geacht en krijgt een proeftijd van drie jaar met bijzondere voorwaarden, waaronder een contactverbod, meldplicht, ambulante behandelverplichting, opname in een instelling voor begeleid wonen, een social media verbod en reclasseringstoezicht.
Sociale mediaverbod
Onder het sociale mediaverbod valt het volgende (onder 6):
“het wordt de veroordeelde verboden gebruik te (laten) maken van social media zoals X (voorheen Twitter), Instagram, Facebook, Telegram. Het wordt hem tevens verboden om video’s dan wel vlogs, dan wel op een andere manier informatie te plaatsen op mediaplatforms zoals YouTube, zolang de reclassering dit noodzakelijk acht”
De veroordeelde moet meewerken aan controles van gegevensdragers en versterkt daarbij de gebruikersnamen en wachtwoorden die nodig zijn voor deze controle. De controle strekt er niet toe de inhoud van die communicatie in te zien zonder zijn toestemming. De controle vindt plaats zo frequent als door de reclassering nodig wordt geacht met een maximum van drie keer per jaar.
On 12 March 2025, Europol published its latest EU Serious and Organised Crime Threat Assessment (EU SOCTA) report (.pdf). The report immediately caught my attention, as it highlights how the DNA of serious and organised crime is evolving due to several key factors:
Increasing entanglement between organised crime and state actors, leading to ‘hybrid threats’ that destabilise society.
The growing role of the internet and digital communication tools in facilitating more traditional criminal activities.
The acceleration of crime through emerging technologies such as artificial intelligence, which grant criminal networks new capabilities.
Europol concludes that these developments are transforming the tools, tactics, and structures employed by criminal organisations. This is reflected in the title of the report: ‘The changing DNA of serious and organised crime’.
This blog provides a summary of the report’s findings, particularly focusing on the intersection between organised crime and technology. Additionally, I have created a podcast on this topic with Notebook LM, and a Dutch version is available in .pdf format. The first episode of the official podcast by Europol is also about this report.
The EU SOCTA report identifies key threats to serious and organised crime in Europe. These threats include cyber-attacks, online fraud schemes, (online) child sexual exploitation, migrant smuggling, drug trafficking, firearms trafficking, and waste crime. The key threats encompass both crimes predominantly occurring in the digital and online realm, as well as more traditional crime areas involving physical trafficking and illicit cross-border activity. This summary focusses on crimes with a clear connection to the digital and online realm, following the same structure as the report.
1. Hybridisation of Organised Crime: Destabilising Society?
According to Europol, serious and organised crime has a dual destabilising effect on the EU and its Member States. It undermines and reduces trust in the EU’s economy, the rule of law, and society as a whole by generating illicit proceeds, spreading violence, and normalising corruption.
Hybrid threats
Criminal networks may be influenced by state actors and may target democratic processes, social cohesion, public security, or the rule of law. In some cases, it may also impact financial stability and economic prosperity. These are called ‘hybrid threats’ in the report.
Some states even provide safe havens for criminals in exchange for the services of criminals, allowing them to operate with impunity. This enables states to outsource crimes such as cyber-attacks, disinformation campaigns, and money laundering, making attribution more difficult.
Ransomware
Criminal networks contribute to hybrid threats through ransomware attacks on critical infrastructure, businesses, and government agencies. These attacks generate financial profits—often through cryptocurrency payments—while also disrupting services and undermining public trust.
Europol notes that ransomware attacks are becoming more targeted, focusing on private industries, critical infrastructure, and small-to-medium-sized businesses. Additionally, there has been a growing number of supply chain attacks. The ransomware landscape is also evolving due to law enforcement interventions, leading to fragmentation and rebranding of criminal groups.
Cyberespionage and desinformation
Criminal networks can also steal data on behalf of hybrid threat actors. By infiltrating secure systems, they might steal data of strategic importance for governance or business and provide hybrid threat actors with invaluable information that can be used for espionage, economic advantage, or even coercion.
Additionally, these networks are instrumental for propaganda campaigns aimed at spreading disinformation and influencing political systems. These networks can play a key role in disinformation campaigns, using fake social media accounts, coordinated troll operations, and manipulated news content to weaken democratic institutions from within.
Corruption
Criminal networks exploit corruption to secure protection from prosecution by trying to bribe law enforcement and the judiciary. This enables them to avoid arrests, obstruct investigations, and manipulate legal proceedings in their favour. Additionally, corrupt officials may provide criminals with classified information regarding operations, allowing them to evade detection and continue their activities with impunity. Beyond law enforcement and judiciary, public institutions are highly susceptible to infiltration by criminal networks.
Europol explains that corruption has adapted to the broader trends toward digitalisation and a crime-as-a-service model. Several issues become increasingly visible: the targeting of individuals with access to digital systems in public and private entities, the use of digital recruitment tactics, and the elevated role of corruption brokers. The recruitment of, and communication with corruptees takes place online. Bribes are transferred by criminally exploiting cryptocurrencies or fintech. In addition, individuals with access to digital systems become key targets for corruption as they can provide access to information relevant to the criminal enterprise.
2. Digitalisation of organised crime
Europol states that:
“Today, nearly all forms of serious and organised crime have a digital footprint.”
Criminal networks exploit digital infrastructure for recruitment, trade, and financial transactions. They use encrypted messaging apps to communicate, recruit members (including minors), and advertise illicit goods and services. These networks employ technical specialists to enhance their operations and evade law enforcement detection.
Europol identifies two primary forms of encrypted communication:
1. Dedicated criminal platforms – Platforms such as EncroChat, Sky ECC, Ghost and others provided a communication environment for serious and organised crime. Such systems are designed to provide an end-to-end encryption that prevents external interception
2. Mainstream communication tools – Criminals abuse end-to-end encrypted communication services, which are legally designed to protect users’ privacy. These over-the-top communication applications provide legitimate encryption, large user bases that allow criminals to blend in with ordinary users. Unlike the first category, these platforms or tools are not built for criminals, making it necessary for law enforcement to engage with private companies, navigate legal frameworks to investigate and disrupt criminal networks operating within them.
Recruitment and violence
Organised crime-related violence has intensified in certain regions, particularly in urban drug markets and port cities. Criminals use online platforms to recruit hitmen and coordinate violent attacks. Violence is now increasingly offered as a service and made possible by the availability of trafficked weapons.
Within criminal networks, low-ranking members commonly act as perpetrators, but violence is also outsourced to young perpetrators, assorted criminals, and professional hitmen or hit squads offering violence-as-a-service. They are contacted directly through a network of personal contacts, in prisons, or via intermediary contacts. Encrypted communications and online platforms are instrumental in finding and recruiting these executors.
Young perpetrators
Europol finds the involvement of young perpetrators in violent crimes of particular concern. The recruitment of young perpetrators, including young adolescents and children, into serious and organised crime and terrorism is not a new phenomenon. However, it has increasingly become a means used by criminal networks to remain out of reach of law enforcement and the judiciary.
Young perpetrators are frequently exploited in several criminal markets and in several roles. In cyber-attacks, script kiddies are influenced to conduct specific cyberactivities for a fee. In drug trafficking, young people are recruited in roles like dealers or couriers but also warehouse operators, and drug extractors from shipping containers. Young people are used as money mules, receiving and transferring illicit funds through their bank accounts, often in exchange for a small share of the money.
These young perpetrators are recruited through social media platforms and messaging applications, exploiting the anonymity and encryption they offer. Criminals use tactics to lure young people, including tailored language, coded communication, and gamification strategies. By glorifying a luxurious and violent lifestyle, they convince vulnerable young people to join their ranks.
3. The Role of Technology in Other Crimes
Europol’s report reveals surprising connections between technology and traditional crimes like human trafficking and firearms smuggling. For example, criminal networks use the internet to recruit victims, advertise illicit services, and exchange funds electronically. They also circulate forged identity documents online to facilitate trafficking.
AI and 3D printing technologies are increasing access to illicit firearms and enhancing weapon modification techniques. Encrypted communication platforms are expected to play a growing role in the trafficking of firearms and explosives.
Digital content piracy
Europol explains that the current cost-of-living crisis as well as the fragmentation of content across multiple legal streaming platforms prompt consumers to seek more cost-effective and unified packages regardless of their illegality.
Criminal networks often lease servers from legitimate hosting provider companies to ensure the anonymity and scalability of their operations. Others establish their own servers which may be outsourced to other criminal networks as a service. The increased use of anonymisation tools such as VPNs to avoid server blocks ordered by judicial or law enforcement authorities will continue to be a default modus operandi. Criminal actors also rely on a variety of professional expertise, mainly associated to information technology (IT) services such as technicians who build, operate and optimise the software and digital infrastructure for illegal streaming.
Digital pirates may also steal or purchase login credentials from legitimate subscribers — often sourced via phishing scams or data breaches — and then repackage multiple over-thetop libraries into a single, unauthorized service. They often use specialised software or devices to intercept and record live or on-demand streams, relaying the pirated content through internet protocol television (IPTV) servers or file-sharing platforms.
Online pharmaceuticals
Online platforms facilitate the sale of counterfeit falsified, substandard or fraudulently obtained legitimate medicines. These are often paid with cryptocurrencies, and the pharmaceuticals are delivered by postal and parcel services.
AI and technological advancements, including 3D printing, will continue to be leveraged by criminal networks to manufacture tablets.
4. Emerging Technologies and Organised Crime
Criminal organisations are quick to adopt emerging technologies, including artificial intelligence, to enhance their operations.
An “AI fraud epidemic”?
Europol described the current online fraud landscape as follows:
The scale of online fraud, driven by advancements in automation and AI, has reached an unprecedented magnitude and is projected to continue growing. Narratives are extremely realistic, crafted with the help of AI, and incorporating trending societal topics.
The scale of online fraud, driven by advancements in automation and AI, has reached an unprecedented magnitude and is projected to continue growing. Narratives are extremely realistic, crafted with the help of AI, and incorporating trending societal topics.
Investment fraud
Investment fraud is one of the most common and growing types of online fraud, nurtured through the use of digital tools and accelerated by new technologies. The main types are Ponzi schemes, pyramid schemes, and advance fee frauds. Cryptocurrencies remain the most significant investment fraud product in the EU. While fraudsters mostly target individuals, companies are also occasionally targeted. Criminal networks have been adapting the modus operandi to the availability of digital and AI tools and to exploit new and developing markets.
Internet-enabled investment fraud is becoming more prominent than unsolicited contacts, like cold calling. Online advertisements, including social media platforms, news sites and sponsored search engine results are the main advertisement channels used by criminal networks to attract victims.
Business email compromise
In business email compromise (BEC) cases, fraudsters gain unauthorised access to the mailbox of an employee to intercept and analyse information contained in official correspondence. Once email accounts are taken over, spoofed or new versions are created. Fraudsters request payment, misleading victim by closely resembling corporate communication style and accompanying their request with well-crafted, identical falsified documents such as invoices containing modified bank accounts.
Identity theft and identity fraud are an intrinsic part of the sophisticated and targeted scheme crafted around the victim. AI, including large language models (LLMs) and deepfakes, is creating new opportunities and capabilities for criminals active in BEC. As the rapid pace of technological development continues, BEC fraud is also expected to increase. Convincing fraud emails can be easily generated with the support of LLMs, while deepfake technologies, an emerging type of impersonation replicating people’s voices, images, and videos, are now being used in CEO fraud, in which fraudsters seek to trick an organisation’s employees by impersonating their CEO.
Romance fraud
Criminal actors from around the globe are actively involved in romance fraud. Victims seeking companionship are approached on social media or dating sites by fraudsters, who impersonate individuals using fake accounts and profiles
Romance scams are expected to increase in the future, accelerated by AI tools. Voice cloning technology, deepfakes, LLM-generated scripts, and AI-driven translation will all continue to enhance fraudulent schemes, creating new fake scenarios and social engineering techniques.
A ‘transformation in child sexual exploitation material’
Child sexual exploitation and the production and distribution of child sexual abuse material (CSAM) is transforming. By creating highly realistic synthetic media, criminals are able to deceive victims, impersonate individuals and discredit or blackmail targets. The addition of AI-powered voice cloning and live video deepfakes amplifies the threat, enabling new forms of fraud, extortion, and identity theft. These tools are easily accessible and do not require specific technical skills. The accessibility of AI tools has multiplied the volume of CSAM available online, creating challenges in the analysis of imagery and identification of offenders.
Generative AI has emerged as a new means to produce CSAM, leading to growing concerns. It can support the editing of existing CSAM and the creation of new content. Explicit pictures of adults can be manipulated to make the individual look younger or applications can ‘nudify’ non-explicit images. Text-to-video models have emerged, following the rapid development of text-to-image models. Given their pace of advancement, text-to-video technology is likely to evolve just as quickly. In one of the first cases of its kind, a suspect was recently arrested for running an online platform with AI generated CSAM which he produced and shared around the world (see also this press release about ‘Operation Cumberland’)
The majority of offenders take part in online communities on the dark web and clear web, including forums, groups, and chatrooms. They discuss abuse, fantasies, how to acquire original CSAM, techniques to groom children and tips related to operational security. Offenders also use online means other than chatrooms for one-on-one interactions, with different levels of encryption and data transfer methods.
Money laundering
In the financial realm, the emergence of blockchain technology and cryptocurrencies has been leveraged to facilitate payments and launder proceeds, supported by decentralised systems and unregulated exchanges.
Cash still features prominently in money laundering schemes today. Criminals often use cash-intensive businesses—such as restaurants, hotels, car washes—to mix illicit funds with the businesses’ legitimate income. When illicit proceeds are moved physically across borders, cash is often transported via cash couriers. Increasingly, young and vulnerable people are recruited, often via social media and gaming platforms, to act as money mules.
However, the criminal exploitation of cryptocurrency as a payment method now has moved beyond the scope of cybercrime, and is encountered increasingly in more traditional crime areas such as drug trafficking or migrant smuggling.
Europol also points out a mix of digital crime and traditional crime through the report. According to Europol, professional money launderers, increasingly with specialised knowledge in digital asset trading, have developed parallel, underground financial systems that operate outside the regulatory frameworks governing legal financial institutions.
Reflection: Methodology and a Word of caution
The EU SOCTA report is based on intelligence generated by Europol analysts from data from national law enforcement agencies. While many of its findings seem to align with criminological research and Dutch court cases relating to cryptophone operations, it is important to remember that the report is not a scientific study.
At the end of the report, there is a section: “Reflection of the academic advisory group”. This group mostly praises the report, but do have one important suggestion:
“While the current approach provides significant added value to policymakers and law enforcement agencies, the inclusion of even more peer-reviewed research, established theoretical frameworks, and interdisciplinary expertise would further enhance EU-SOCTA’s analytical depth and academic rigor”.
They welcome Europol’s decision to involve the academic community in refining the methodology for the next edition.
Involving the academic community is indeed a good step and presumably a big task. Academics will look at these contents from their own perspective and knowledge base.
For example, while the academic advisory group “particularly appreciated” the chapter on hybrid threats, I found this chapter particularly weak. The underlying message of “destabilising society” is very alarming, but I don’t think it is argued well, as it lacks clear definitions, evidence thresholds, and references. Statements about “undermining democracy” or “destabilising economies” are not well substantiated, raising questions about the frequency and impact of these threats. But then again, my view is also influenced by my own perspective, experiences, and research interests 😊!
Despite this criticism and questions, the report may provide valuable and new insights to policy makers and professionals seeking to understand the digital transformation of organised crime.
Bron: afbeelding gegenereerd met Dall-E (prompt: A realistic digital illustration depicting bank helpdesk fraud and crypto scams via social media influencers)
Fraude door middel van crypto-investeringen
De cybercrimekamer van de rechtbank Zeeland-West-Brabant heeft op 30 januari 2025 vijf mannen veroordeeld voor onder andere verschillende vormen van online oplichting, computervredebreuk en witwassen. De rechtbank legde celstraffen op variërend van 8 tot 36 maanden. Daarnaast moeten de mannen gezamenlijk meer dan 600.000 euro aan schadevergoedingen betalen. Bovendien is hen een betalingsverplichting van ruim driehonderdduizend euro aan de Staat opgelegd, als ontneming van wederrechtelijk verkregen voordeel. Zie ook het persbericht, Celstraffen en schadevergoedingen voor cybercriminaliteit.
In een uitspraak van 30 januari 2025 (ECLI:NL:RBZWB:2025:499) veroordeelde de rechtbank Zeeland-West-Brabant bijvoorbeeld één van de verdachten voor oplichting door middel van crypto-investeringen. De werkwijze van de verdachten was als volgt.
De slachtoffers werden gebeld door iemand die zich voordeed als een bankmedewerker en hen wees op een verdachte transactie of een ander probleem met hun rekening. In meerdere gevallen werden de slachtoffers overtuigd om geldbedragen van hun spaarrekening over te boeken naar hun lopende rekening, waarna deze bedragen werden doorgestort naar een zogenaamde “kluisrekening” of “depositorekening”. In werkelijkheid betrof dit een rekening op naam van een katvanger (‘money mule’).
Deze money mules kwamen via een promotiefilmpje van een ‘influencer’ op Snapchat in contact met verschillende Snapchataccounts. In deze zaak was de verdachte verantwoordelijk voor deze accounts. In het promotiefilmpje werd geïnteresseerden gevraagd hun bankrekening beschikbaar te stellen. Wie hierop inging, kwam in gesprek met de gebruiker van de betreffende Snapchataccounts. De potentiële money mule kreeg vervolgens een ‘pitch’ te zien waarin werd beloofd dat hij of zij 25 tot 40% zou ontvangen van het bedrag dat naar zijn of haar rekening werd overgemaakt. In werkelijkheid kregen velen helemaal niets en verloren zij zelfs hun eigen spaargeld. Vervolgens kreeg een loopjongen of ‘pinner’ de beschikking over de pinpas en inloggegevens van de money mule. In korte tijd werden grote geldbedragen gepind en goederen aangeschaft.
De verdachte is veroordeeld voor het witwassen van ruim € 500.000. De rechtbank past daarbij het volwassenstrafrecht toe op de verdachte. Zowel de Raad voor de Kinderbescherming als de jeugdreclassering adviseerden toepassing van het sanctierecht voor volwassenen. De rechtbank acht bewezen dat de verdachte gedurende langere tijd een groot aantal strafbare feiten heeft gepleegd. Daarnaast heeft hij, direct na een eerdere veroordeling door de rechtbank Den Haag, opnieuw soortgelijke delicten begaan. Volgens de rechtbank wijst dit op een “pro-criminele levenshouding”. De verdachte lijkt bovendien niet open te staan voor pedagogische beïnvloeding en is al eerder veroordeeld voor soortgelijke feiten. De verdachte wordt daarop veroordeeld tot een gevangenisstraf van drie jaar en moet verschillende schadevergoedingen betalen.
Principiële overwegingen n.a.v. het arrest Landeck
Op 22 januari 2025 veroordeelde het Hof Den Haag (ECLI:NL:GHDHA:2025:66) een verdachte voor het aanschaffen van ongeveer 1.885 zogeheten ‘bots’ op Genesis Market, voor diefstal en voor het voorhanden hebben van gegevens die bestemd waren voor het plegen van strafbare feiten. Zie dit blogbericht over de veroordelingen naar aanleiding van operatie ‘CookieMonster’ en de ontmanteling van Genesis Market.
De principiële overwegingen van het gerechtshof over het onderzoek van een smartphone zonder toestemming van de rechter-commissaris zijn met name interessant, mede in het licht van het Landeck-arrest van het Hof van Justitie van de Europese Unie (HvJ EU) (ECLI:EU:C:2024:830). De verdediging voerde aan dat de smartphone (een iPhone XS) van de verdachte in beslag was genomen en volledig (geautomatiseerd) werd uitgelezen.
Het hof stelt met de verdediging vast dat inderdaad sprake was van een uitvoerig en intensief onderzoek van de telefoon. Dit onderzoek omvatte onder meer:
Het bekijken van foto’s, waaruit onder andere informatie over het gezinsleven van de verdachte naar voren kwam.
Het lezen van notities van de verdachte, waaronder informatie over zijn ernstig zieke moeder.
Het in kaart brengen van e-mailadressen en het koppelen van telefoonnummers aan andere informatie.
Het bekijken van chatgesprekken.
Het vinden van een boardingpass met reisgegevens.
Het analyseren van de internetgeschiedenis.
Het bekijken en integraal opnemen in het dossier van een notitie met de titel ‘my life’, waarin privacygevoelige informatie stond over het gezinsleven en medische gegevens van de verdachte.
Hierdoor konden zeer nauwkeurige conclusies over het privéleven van de verdachte worden getrokken, wat volgens het hof neerkomt op een zeer ernstige inmenging in zijn fundamentele rechten. Het hof stelt tevens met de verdediging vast dat voor dit onderzoek geen machtiging is aangevraagd bij de rechter-commissaris; in het dossier wordt slechts vermeld dat het onderzoek plaatsvond ‘met toestemming van de officier van justitie’.
Het hof stelt voorop dat uit de zogeheten Smartphone-arresten (HR 4 april 2017, ECLI:NL:HR:2017:584, ECLI:NL:HR:2017:588 en ECLI:NL:HR:2017:592) volgt dat voor het verrichten van onderzoek aan gegevens van een in beslag genomen geautomatiseerd werk of digitale gegevensdrager een getrapte bevoegdheidstoedeling geldt. Dit betekent dat:
Een opsporingsambtenaar onderzoek mag verrichten indien op voorhand te voorzien is dat de inbreuk op de persoonlijke levenssfeer beperkt zal zijn.
De officier van justitie (door of namens deze) onderzoek mag verrichten indien op voorhand te voorzien is dat sprake zal zijn van een meer dan beperkte inbreuk.
De rechter-commissaris (door of namens deze) toestemming moet geven indien op voorhand te voorzien is dat de inbreuk zeer ingrijpend zal zijn.
Waar het hof eerder (in het arrest van 20 november 2023, ECLI:NL:GHDHA:2023:2538) nog overwoog dat dit beoordelingskader in voldoende mate tegemoetkwam aan de door het HvJ EU verlangde waarborgen bij onderzoek aan gegevens, moet, mede in het licht van hetgeen door de verdediging is aangevoerd, de vraag worden beantwoord of dat na het arrest van het HvJ EU in de zaak CG/Bezirkshauptmannschaft Landeck (HvJ EU 4 oktober 2024, C-548/21, ECLI:EU:C:2024:830) nog steeds het geval is.
Kort gezegd, luidt het antwoord dat in dit geval toestemming van de rechter-commissaris noodzakelijk was voor het onderzoek aan de telefoon. Omdat die toestemming ontbrak, is sprake van een vormverzuim in het voorbereidend onderzoek in de zin van artikel 359a Sv.
Bij de beoordeling of aan deze schending een rechtsgevolg moet worden verbonden, moet het hof overwegen of: (a) de verdachte daadwerkelijk nadeel van de schending had ondervonden, (b) dit nadeel was veroorzaakt door het verzuim, (c) het nadeel geschikt was voor compensatie door middel van strafvermindering, en (d) strafvermindering, in het licht van het belang van het geschonden voorschrift en de ernst van het verzuim, gerechtvaardigd was.
Het hof concludeerde dat als de rechter-commissaris om toestemming was gevraagd, hij deze zonder nadere beperkingen had kunnen verlenen. De verdachte was door het vormverzuim dus niet in een nadeliger positie geraakt. Daarom oordeelde het hof dat bewijsuitsluiting, noch strafvermindering, een gerechtvaardigd rechtsgevolg is. Daarom volstaat het hof met de constatering van het vormverzuim.
Rol van Nederlandse opsporingsinstanties in het Exclu-onderzoek
In een tussentijdse beslissing in hoger beroep (ECLI:NL:GHDHA:2025:274) van 21 januari 2025 verduidelijkt het gerechtshof Den Haag de rol van de Nederlandse opsporingsinstanties in het Exclu-onderzoek. Daarnaast bevat de uitspraak interessante overwegingen over het interstatelijk vertrouwensbeginsel.
Het hof overweegt ten aanzien van het interstatelijk vertrouwensbeginsel het volgende. Beslissingen van rechters van de aangezochte autoriteit (Duitsland) hebben betrekking op de rechtmatigheid van de Duitse tenuitvoerlegging van het door Nederland uitgevaardigde Europees Onderzoeksbevel (hierna: EOB). De Nederlandse strafrechter komt daarover in beginsel geen oordeel toe (HR 13 juni 2023, ECLI:NL:HR:2023:913, r.o. 6.16.3). Van belang is ook dat volgens de Hoge Raad de enkele omstandigheid dat Nederlandse opsporingsambtenaren aanwezig mochten zijn bij de uitvoering van een onderzoekshandeling door een buitenlandse autoriteit, of dat zij technische assistentie verleenden, niet betekent dat de betreffende onderzoekshandelingen onder de verantwoordelijkheid van de Nederlandse opsporingsautoriteiten hebben plaatsgevonden (HR 13 juni 2023, ECLI:NL:HR:2023:913, r.o. 6.18). Evenmin kan uit het feit dat vanuit Nederland onderzoekshandelingen met grensoverschrijdende invloed zijn verricht (zoals het binnendringen in een zich in het buitenland bevindend geautomatiseerd werk), worden afgeleid dat deze handelingen onder Nederlandse verantwoordelijkheid vielen (HR 13 februari 2024, ECLI:NL:HR:2024:192).
De verdediging heeft betoogd dat Nederland verantwoordelijk is voor de in de onderzoeken 26Samber en 26Lytham verrichte onderzoekshandelingen. Volgens de raadsman heeft Nederland niet slechts EOB’s uitgevaardigd, maar ook zelfstandig onderzoekshandelingen in Duitsland uitgevoerd.
Het hof overweegt hierover dat uit de bewoordingen van het EOB, inzake de machtiging ex artikel 126uba Sv van de rechter-commissaris van 26 augustus 2022, volgt dat aan de Duitse autoriteiten is verzocht om Nederlandse opsporingsambtenaren toestemming te verlenen om vanaf Nederlands grondgebied binnen te dringen in een zich in Duitsland bevindende Exclu-berichtenserver. Tevens is verzocht om technische bijstand te mogen verlenen bij de plaatsing en monitoring van het interceptiemiddel. Daarnaast staat in het EOB vermeld dat de ontsleuteling van de Exclu-berichten in Nederland zal plaatsvinden. Het hof constateert op basis van het dossier dat de Nederlandse politie (team DIGIT) de in het Exclu-communicatieprotocol toegepaste versleuteling heeft geanalyseerd en ongedaan heeft gemaakt. Zoals door de advocaat-generaal ter terechtzitting is bevestigd, had Nederland een ‘leidende rol’ over dit onderdeel van de Exclu-operatie. Daaruit blijkt van een vergaande vorm van technische bijstand door Nederland met betrekking tot de voor de ontsleuteling van de Exclu-berichten benodigde onderzoekshandelingen.
De advocaat-generaal heeft uitdrukkelijk erkend dat Nederlandse opsporingsambtenaren in het Exclu-onderzoek zelfstandig opsporingshandelingen hebben verricht. Hij heeft hun rol zelfs als ‘leidend’ bestempeld. Het dossier bevat een grote hoeveelheid stukken, waaronder vorderingen tot machtiging ex artikel 126uba Sv, beslissingen van de rechter-commissaris, bevelen van de officier van justitie, EOB’s en processen-verbaal van politie, waarin gedetailleerd wordt omschreven welke onderzoekshandelingen zijn verricht. Het gerechtshof overweegt daarop dat de onderzoekshandelingen onder de verantwoordelijkheid van de Duitse autoriteiten hebben plaatsgevonden. Het hof acht het vertrouwensbeginsel ook in deze omstandigheden onverkort van toepassing.
De verdediging heeft verzocht om specificering van het onderzoek dat de Nederlandse autoriteiten op Duits grondgebied hebben uitgevoerd. Het hof is van oordeel dat uit het algemeen proces-verbaal 26Lytham voldoende duidelijk blijkt welke onderzoekshandelingen zijn verricht. Tegen deze achtergrond acht het hof het verzoek van de verdediging onvoldoende specifiek en wijst het af. Wel wordt het verzoek tot verstrekking van alle EOB’s in het kader van dit onderzoek toegewezen. Bijna alle andere verzoeken worden verder afgewezen, met uitzondering van een proces-verbaal van het Team High Tech Crime en een observatieverslag. Na de verstrekking van deze stukken zal de strafzaak verder gaan.
Medeplegen van cybercriminaliteit door hosting provider
Op 21 februari 2025 heeft de rechtbank Rotterdam een verdachte veroordeeld (ECLI:NL:RBROT:2025:2488) voor medeplichtigheid en medeplegen van computervredebreuk via een hostingprovider. Volgens de rechtbank heeft de verdachte met zijn dienstverlening een Mirai-botnetinfrastructuur gefaciliteerd, waarmee cybercriminelen onder meer DDoS-aanvallen konden uitvoeren. Daarnaast zijn via de servers van de verdachte ten minste drie geautomatiseerde werken wederrechtelijk binnengedrongen, al zijn er aanwijzingen dat dit in werkelijkheid op grotere schaal heeft plaatsgevonden.
Ten tijde van de ten laste gelegde feiten was de verdachte, samen met zijn medeverdachte, aandeelhouder en bestuurder van een hostingbedrijf. De servers van [medeverdachte rechtspersoon] bevonden zich in een datacentrum in Amsterdam en werden verhuurd aan klanten. Op 1 en 18 april 2019 ontving de politie van het Nationaal Cyber Security Centrum (NCSC) meldingen dat de hostingprovider mogelijk via het aan hen toebehorende IP-block een Mirai-afgeleide DDoS-botnetinfrastructuur faciliteerde, en dat er vanaf dit IP-block meer dan 30.000 DDoS-aanvallen waren uitgevoerd. Het Mirai-computervirus infecteert computers en maakt deze onderdeel van een botnet.
De rechtbank stelt vast dat de hostingprovider sinds 31 januari 2018 verantwoordelijk was voor dit IP-block (bestaande uit 256 IP-adressen). Uit onderzoek blijkt dat tussen 5 juni 2018 en 25 juli 2019 bij URLHaus (een organisatie die abusemeldingen verzamelt en openbaar maakt) 3.772 meldingen over dit IP-block zijn ingediend. Van de 2.740 malware-samples die konden worden veiliggesteld, zijn 2.372 geclassificeerd als Mirai. Verder blijkt dat 61 van de 256 IP-adressen in het IP-block in de periode van 10 februari 2018 tot 11 september 2019 Mirai-gerelateerd waren. The Spamhaus Project (een organisatie vergelijkbaar met URLHaus) classificeerde het IP-block als malafide. Bovendien zijn vanaf verschillende IP-adressen binnen het IP-block Mirai-aanvallen en een ransomware-aanval uitgevoerd, waarbij wederrechtelijk is binnengedrongen in geautomatiseerde werken. Gelet hierop stelt de rechtbank vast dat via de door [medeverdachte rechtspersoon] ter beschikking gestelde servers en IP-adressen een Mirai-botnet is gehost (feit 2) en computervredebreuk is gepleegd (feit 1).
Vervolgens beoordeelt de rechtbank of de verdachte en zijn medeverdachten medeplichtig waren aan deze strafbare feiten. Voor medeplichtigheid moet niet alleen worden bewezen dat de verdachten opzet hadden op het ter beschikking stellen van de desbetreffende servers en IP-adressen, maar ook dat hun opzet (al dan niet in voorwaardelijke zin) gericht was op de door de daders gepleegde gronddelicten: het hacken en het hosten/verspreiden van het Mirai-botnet.
Op basis van de bewijsmiddelen stelt de rechtbank vast dat de verdachten op de hoogte waren van de geldende gedragscode, maar zich hier niet aan hebben gehouden. Uit verklaringen blijkt dat zij wisten dat misbruik werd gemaakt van hun servers. Zo ontving een NAS-server tussen 18 maart en 1 oktober 2019 in totaal 8.012 e-mails, waarvan 138 betrekking hadden op ‘Mirai’ en gerelateerd waren aan het IP-block. Dagelijks kwamen meldingen over Mirai binnen. De rechtbank oordeelt dat de verdachten onvoldoende actie hebben ondernomen om dit misbruik te bestrijden.
Daarnaast blijkt uit onderzoek naar de klanten van [medeverdachte rechtspersoon] dat zij diensten konden afnemen zonder authentieke contactgegevens te verstrekken. Klanten gebruikten bijvoorbeeld e-mailadressen die te relateren zijn aan cybercriminaliteit, betaalden anoniem via bitcoins en gaven niet-bestaande adressen op, zoals ‘420 Hacktown’. Ook blijkt uit de communicatie tussen de verdachten en hun klanten dat malafide klanten bewust werden toegelaten. Zo geven reacties op klanttickets aan dat [medeverdachte rechtspersoon] ‘DDoS’ en ‘spoofing’ toestaat zolang dit geen problemen oplevert, en dat ‘botnets’ en ‘bins’ toegestaan zijn mits ze verborgen blijven. In sommige gevallen werd klanten zelfs uitgelegd hoe ‘malware binaries’ het beste konden worden verborgen. Toen een pseudokoper van de politie op 12 september 2019 vroeg of er gecontroleerd werd op abuse-rapporten, luidde het antwoord dat dit niet gebeurde.
Gelet op deze omstandigheden concludeert de rechtbank dat de verdachten bewust de aanmerkelijke kans hebben aanvaard dat hun servers en IP-adressen gebruikt zouden worden voor het verspreiden van een Mirai-botnet en voor computervredebreuk. De rechtbank acht de verdachte in deze zaak schuldig aan medeplegen en medeplichtigheid aan computervredebreuk door het beschikbaar stellen van de daarvoor benodigde middelen.
De verdachte in de onderhavige had een kleinere rol dan zijn medeverdachte. Hoewel een gevangenisstraf passend wordt geacht, houdt de rechtbank rekening met persoonlijke omstandigheden en het tijdsverloop. Daarom wordt een voorwaardelijke gevangenisstraf van vier maanden opgelegd, een taakstraf van 180 uur, met een proeftijd van twee jaar. De medeverdachte, die binnen het bedrijf verantwoordelijk was voor sales en klantencontacten en volgens de rechtbank een grotere rol speelde, krijgt een taakstraf van 240 uur en een voorwaardelijke gevangenisstraf van zes maanden opgelegd (zie ECLI:NL:RBROT:2025:2492).
Na vijf jaar is op 1 februari 2025 de leerstoel Inlichtingen en Recht aan de Universiteit Utrecht geëindigd. Daarmee is ook een einde gekomen aan mijn bijzonder hoogleraarschap. Ik blijf echter werkzaam als universitair docent Strafrecht aan de Universiteit Leiden. In 2024 heb ik uit enthousiasme ervoor gekozen mij volledig te richten op onderzoek en onderwijs en voor de universiteit te werken.
Korte terugblik Van 2020 tot 2025 heb ik met veel plezier de leerstoel Inlichtingen en Recht bekleed. Veel dank ook aan de CTIVD voor het mogelijk maken van de leerstoel. Mijn focus lag op onderzoek, de begeleiding van mijn promovenda Sophie Harleman bij haar proefschrift, en het geven van lezingen en gastcolleges om het vakgebied te bevorderen en te promoten. Een grote klus was het schrijven van Tekst & Commentaar op de Wet op de inlichtingen- en veiligheidsdiensten, dat ik met veel plezier samen met Mireille Hagens heb opgepakt. Sinds vorig jaar begeleid ik ook Naomi Stal als buitenpromovenda in haar proefschriftonderzoek op het snijvlak van inlichtingen en opsporing.
Werkzaamheden De afgelopen jaren heb ik gepubliceerd over onderwerpen zoals bulkinterceptie, de bewaarplicht van communicatiegegevens en de verwerking van gegevens ter bescherming van de nationale veiligheid (zie ook mijn publicaties). Ook heb ik de regulering van inlichtingenwerk in andere domeinen, zoals in het strafrecht en bestuursrecht, verkend. Door middel van interviews, lezingen, blogs en gastcolleges, waaronder drie keer voor Studium Generale van de Universiteit Utrecht, heb ik geprobeerd de soms complexe wetgeving en vraagstukken toegankelijk te maken voor een breder publiek.
jjoerlemans.com 