Cybercrime jurisprudentieoverzicht september 2021

Veroordeling op basis van bewijs uit Sky ECC

Op 19 augustus 2021 heeft de rechtbank Amsterdam een van de eerste verdachten veroordeeld (ECLI:NL:RBAMS:2021:4320) (mede) op basis van de berichten die zijn veilig gesteld van de ‘cryptochat-app’ ‘Sky ECC’. In een operatie van Belgische, Franse en Nederlandse opsporingsinstanties in maart 2021 zijn honderden miljoenen berichten van ongeveer 70.000 Sky ECC-gebruikers onderschept. Deze berichten worden onderzocht op strafbare feiten, waarna opsporingsonderzoeken worden opgestart. Volgens Europol waren veel personen naar Sky ECC overgestapt na de EncroChat operatie in 2020. Wereldwijd maakten 170.000 personen gebruik van de tool, waarbij 3 miljoen berichten per dag tussen gebruikers werden verstuurd. Ongeveer 20 procent van de klanten komen volgens Europol uit België en Nederland. De servers van de elektronische communicatiedienst stonden in de Europese Unie.

In het onderzoek ‘26Chesham’ staat de uitvoer van cocaïne centraal. Het opsporingsonderzoek 26Chesham is gestart naar aanleiding van informatie afkomstig uit het onderzoek ‘26Argus’. 26Argus betreft het onderzoek naar een berichtenapp Sky ECC. Het bedrijf installeerde versleutelingssoftware op iPhones, Google Pixels, Blackberry’s en Nokia’s. Het berichtenverkeer liep via servers in Frankrijk en Canada. De rechtbank overweegt verder dat de CEO en werknemers van Sky Global in de Verenigde Staten zijn aangeklaagd wegens het opzettelijk faciliteren van criminele organisaties. In het onderzoek 26Argus worden chats van de gebruikers van deze software en cryptotelefoons op basis van vooraf door de rechters-commissaris in dat onderzoek goedgekeurde trefwoorden onderzocht.

De verdediging voert aan dat sprake is van vormverzuimen, omdat de officier van justitie heeft nagelaten tijdig de essentiële stukken te overleggen die nodig zijn om te kunnen toetsen of het gebruik van informatie uit het onderzoek 26Argus rechtmatig is geweest. Op deze wijze wordt de verdediging ervan weerhouden de verdediging effectief uit te kunnen voeren, waardoor de rechten van verdachte worden geschonden. De rechtbank overweegt dat – omdat verdachte zelf heeft verklaard dat hij niet actief gebruik heeft gemaakt van zijn Sky ECC-telefoon en dat hij daarop geen berichten heeft gezien – ‘het de rechtbank niet duidelijk wat het vermeende vormverzuim voor nadelige gevolgen voor de verdachte heeft gehad’. De verweren slagen daarom niet.

De rechtbank neemt de aanwezigheid van ‘encrypted telefoons’ bij alle vier de verdachten in aanmerking. Volgens de rechtbank is ‘het is een feit van algemene bekendheid dat criminelen met zulke telefoons over de uitvoering van strafbare feiten communiceren, omdat de daarmee verzonden versleutelde berichten moeilijk te onderscheppen zijn’. Gebleken is dat ‘aan de Sky-id van [naam 1] op 8 maart 2021 een bericht is gestuurd met het adres waar hij vlak daarna door [verdachte] is opgehaald en naar de loods is gebracht’. Dat ook over het transport is gecommuniceerd met encrypted telefoons blijkt ‘uit het bericht dat op de Sky ECC-telefoon van [naam 1] is aangetroffen, betreffende het adres waar hij op 8 maart [verdachte] zou ontmoeten’.

De rechtbank acht bewezen het medeplegen van een poging tot uitvoer van 125 kilogram cocaïne op 8 maart 2021 te Cruquius alsmede het medeplegen van het opzettelijk aanwezig hebben van die cocaïne op diezelfde dag bewezen. De verdachte in deze zaak krijgt een gevangenisstraf opgelegd van 5 jaar. 

Beslissing inzake inzet bevoegdheden EncroChat

Ik heb mijn cybercrime jurisprudentieoverzicht al meerdere keren strafzaken besproken (zie hier, hier en hier) die voortvloeien uit de EncroChat-operatie, waarbij miljoenen berichten zijn verzameld en geanalyseerd door politie en justitie. Uit deze operatie komen nog steeds strafzaken uit voort, waarvan in deze rubriek er één wordt uitgelicht, omdat het een nieuwe ontwikkeling betreft.

De rechtbank Den Haag besliste op 25 augustus 2021 over onderzoekwensen in verband met EncroChat (ECLI:NL:RBDHA:2021:9368). Het meest relevante onderdeel van de beslissing is het onderdeel over de verstrekking van (ook onderliggende gegevens) bij de machtiging van de rechter-commissaris voor het gebruik van EncroChat-gegevens voor strafzaken.

De verdediging voert aan dat de officier van justitie inmiddels de machtiging van de rechter-commissaris d.d. 27 maart 2020 bij de stukken heeft gevoegd, voorzien van een begeleidende brief van het OM d.d. 7 juli 2021. De voeging heeft plaatsgevonden op grond van de volgende overweging die door diverse rechtbanken (in vrijwel gelijkluidende zin) is gebruikt:

Het feit dat de rechter-commissaris diverse voorwaarden heeft gesteld aan het gebruik van de dataset 26Lemont voor andere opsporingsonderzoeken, doet vermoeden dat de rechter-commissaris belangen van de gebruikers heeft afgewogen tegen de relevante opsporingsbelangen en daarbij aan de vereisten van subsidiariteit en proportionaliteit heeft getoetst. De rechtbank kan dit op basis van de nu verkregen stukken echter niet nagaan. Zowel de verdediging als de rechtbank beschikt slechts over het dictum van de 126uba-machtiging en niet over de inhoudelijke afwegingen van de rechter-commissaris om tot verlening van de machtiging over te gaan. De rechtbank wil op dit punt nader worden geïnformeerd.

De rechtbanken willen dus vooral geïnformeerd worden over de afweging die de rechter-commissaris bij het opstellen van de voorwaarden voor het gebruik van de dataset heeft gemaakt met betrekking tot de belangen van de gebruikers en welke toets hij ten aanzien van de subsidiariteit en proportionaliteit heeft aangelegd.

De verdediging heeft echter nog een ander punt naar voren gebracht, namelijk het gebruik van de bevoegdheid van artikel 126uba Sv. De rechter-commissaris constateert dat de machtiging niet alle door de verdediging opgeworpen vragen lijkt te beantwoorden. De (deels gezwarte) machtiging bevat bijvoorbeeld niet (expliciet/zichtbaar) alle onderdelen van het bevel, zoals is voorgeschreven in artikel 126uba lid 3 juncto 126nba lid 4 Sv. In de machtiging wordt wel verwezen naar de vordering (p. 5: “machtigt (…) overeenkomstig de vordering”), processen-verbaal van de politie en een brief van de officier van justitie, maar deze stukken zijn niet gevoegd. Naar het oordeel van de rechter-commissaris moet de verdediging in de gelegenheid worden gesteld een rechtmatigheidstoets uit te voeren naar het gebruik/de verwerking van deze data met het oog op een eventueel verweer daaromtrent. Daarvoor kan niet worden volstaan met de machtiging, ook de andere daaraan gerelateerde stukken – zoals de vordering, de onderliggende processen-verbaal, de genoemde brief en het/de op de machtiging gevolgde bevel(en) (verzoek 1) – zullen moeten worden verstrekt. Datzelfde geldt voor de verlengingen (verzoek 2).

De rechter-commissaris ziet onder ogen dat het voegen van al deze stukken (in hun geheel) gevoelig ligt. Zo staat in de begeleidende brief bij het verstrekken van de machtiging beschreven dat het respecteren van het staatsgeheim van Frankrijk meebrengt dat door de zaaksofficieren van 26Lemont is besloten om de passages in de beschikking die op dat deel betrekking hebben, zwart te maken.

De rechter-commissaris is van oordeel dat de afweging welke stukken (en welke delen daaruit) wel en niet gevoegd kunnen worden, niet (uitsluitend) bij het OM moet liggen. De rechter- commissaris verwijst daarvoor naar artikel 149b Sv: als de officier van justitie vanwege belangen als vermeld in artikel 187d lid 1 Sv, zoals een zwaarwegend opsporingsbelang, de voeging van bepaalde stukken of gedeelten daarvan bij de processtukken achterwege wil laten, behoeft hij daartoe een schriftelijke machtiging van de rechter-commissaris.

Gelet op het voorgaande zal de rechter-commissaris beslissen dat de verzoeken 1 en 2 zullen worden toegewezen en dat de betreffende 126uba-machtiging en de daaraan gerelateerde stukken in beginsel volledig en ongezwart bij de processtukken dienen te worden gevoegd. Wel staat daarbij de weg van artikel 149b Sv open. De rechter-commissaris kan op vordering van de officier van justitie een machtiging verlenen om bepaalde stukken niet te voegen of onderdelen daaruit te ‘zwarten’. Anders dan de rechtbank kan de rechter-commissaris wel kennisnemen van de volledige inhoud van de stukken. Voor de goede orde merkt de rechter-commissaris op dat deze beslissing ook geldt voor de 126uba- machtiging die inmiddels al deels gezwart door het OM bij de stukken is gevoegd. Deze machtiging zal in beginsel ongezwart moeten worden gevoegd, tenzij de rechter-commissaris een machtiging voor het zwarten van bepaalde delen heeft verleend. De rechtbank is het hier mee eens.

Veroordeling voor professionele sextortion

Op 28 juli 2021 heeft de rechtbank Den Haag een uitspraak gewezen in een opvallende ‘sextortion-zaak’ (ECLI:NL:RBDHA:2021:8203). De verdachte wordt veroordeeld voor deelname aan een criminele organisatie (art. 140 Sr) die tot oogmerk had het plegen van oplichting (art. 326 Sr), afdreiging (art. 318 Sr) en gewoontewitwassen (art. 420ter Sr). Op sociale media is een groot aantal slachtoffers met gebruik van nepaccounts gelokt en vervolgens benaderd met – tegen betaling – het aanbod van een ontmoeting met een vrouw voor een seksdate of naaktfoto’s van een vrouw. De politie heeft 39 slachtoffers geïdentificeerd die ingegaan zijn op dit aanbod en/of een naaktfoto hebben gestuurd van zichzelf.

Uit de bewijsmiddelen leidt de rechtbank af dat steeds op min of meer dezelfde manier te werk werd gegaan. Een mogelijk slachtoffer (door de verdachten ook wel aangeduid als ‘clannies’) werd op internet of via sociale media met gebruikmaking van nepaccounts tegen betaling een afspraak of (naakt)foto’s aangeboden. Uit verklaringen van meerdere verdachten is duidelijk geworden dat dit bekend stond als ‘schetsen’. Na betaling bleef de afspraak of het beeldmateriaal uit. Het slachtoffer werd na betaling onder druk gezet om meer te betalen onder dreiging van openbaarmaking van de contacten tussen het slachtoffer en het betreffende account. Ook werd slachtoffers gevraagd een naaktfoto van zichzelf te sturen. Wanneer slachtoffers aan dat verzoek voldeden, werd vervolgens gedreigd de foto te verspreiden onder familie en vrienden, tenzij er zou worden betaald. (Soms bleef het overigens niet bij dreiging). Om de bedreigingen kracht bij te zetten, werden slachtoffers vaak benaderd op verschillende van hun sociale media. De slachtoffers ontvingen, om de gevraagde betalingen te kunnen verrichten, vaak opeenvolgende betaalverzoeken, al dan niet via ‘Tikkie’, vanaf rekeningen van een of meer personen. Het geld dat met deze praktijken werd verkregen, werd over verschillende rekeningen verspreid en vervolgens contant opgenomen of doorgeboekt.

Over bovenstaande feiten en omstandigheden is door de verdediging geen verweer gevoerd. De rechtbank stelt vast dat de handelingen die gepaard gingen met de hierboven beschreven werkwijze een behoorlijke mate van samenwerking en coördinatie vereisten, te weten het maken en promoten van nepaccounts, het contact leggen met en informatie verzamelen over potentiële slachtoffers, het sturen en ontvangen van foto’s, het sturen van betaalverzoeken vanaf verschillende bankrekeningen waarbij vaak gebruik werd gemaakt van dezelfde codes/afkortingen, en het opnemen van (grote) contante bedragen na al dan niet losse overboekingen. Uit de werkwijze blijkt ook van een zekere rolverdeling binnen de organisatie als afdreiger/oplichter en geldezel/bank, welke rollen de diverse leden afwisselend vervulden. Samen met de onderlinge verbanden tussen de incidenten en de verdachten, duidt dit alles naar het oordeel van de rechtbank op een samenwerkingsverband met een zekere duurzaamheid en structuur. De organisatie legde een duidelijke stelselmatigheid aan de dag gelet op de organisatiegraad van het handelen en het grote aantal slachtoffers.

De rechtbank is op basis van de bewijsmiddelen in onderlinge samenhang bezien van oordeel dat er sprake is geweest van een criminele organisatie, waarvan het oogmerk was het plegen van afdreiging, oplichting en gewoontewitwassen.

Het merendeel van de in het onderzoek geïdentificeerde slachtoffers was minderjarig ten tijde van de misdrijven. Veel van hen hebben tegenover de politie verklaard over vaak langdurige gevoelens van angst die de feiten bij hen teweeg hadden gebracht. De daders hebben de slachtoffers misleid en bedreigd en gevoelens van schaamte en angst maximaal uitgebuit om hen zoveel mogelijk geld afhandig te maken. Gebleken is dat slachtoffers uit schaamte en/of angst nauwelijks op eigen initiatief aangifte doen van dergelijke afdreigingen en oplichtingen. Dat de verdachte heeft deelgenomen aan een organisatie die zozeer gericht was op winstbejag ten koste van de slachtoffers rechtvaardigt volgens de rechtbank op zichzelf al een forse straf. Tegelijkertijd houdt de rechtbank ook rekening met de (zeer) jonge leeftijd van de verdachte (15 jaar) ten tijde van de bewezenverklaarde feiten. De rechtbank heeft bij de bepaling van de op te leggen straf ook meegewogen dat sprake is van overschrijding van de redelijke termijn, terwijl het – omvangrijke – opsporingsonderzoek naar deze ernstige verdenkingen al in januari 2020 was afgerond. De verdachte wordt voor het onvoorwaardelijke deel van zijn straf veroordeeld tot de tijd die de verdachte in voorlopige hechtenis heeft doorgebracht.

Heimelijk filmen van seksuele handelingen

Op 23 augustus 2021 heeft de rechtbank Amsterdam een 51-jarige man veroordeeld (ECLI:NL:RBAMS:2021:4470) tot 10 maanden gevangenisstraf (waarvan 4 voorwaardelijk) voor het heimelijk maken van opnamen in de slaapkamer van een woning waar hij als schoonmaker werkte. Dit vond plaats via het hacken van een router met verkregen inloggegevens van het WiFi-netwerk en het plaatsen van een IP-camera gericht op een bed. De verdachte wordt veroordeeld voor computervredebreuk, het plaatsen van afluisterapparatuur en het opzettelijk en wederrechtelijk vervaardigen van en het ter beschikking hebben van afbeeldingen van seksuele aard van de aangeefster en haar vriend.

Op grond van het dossier en de verklaring van verdachte stelt de rechtbank vast dat verdachte een camera in de kamer van aangeefster heeft geplaatst en deze heeft verbonden met het wifi-netwerk. Om toegang te krijgen tot het wifi-netwerk heeft verdachte het wifi-wachtwoord gebruikt dat hij van aangeefster had gekregen om via internet muziek te kunnen luisteren. Omdat de verdachte het wifi-wachtwoord heeft gebruikt met een ander doel dan waarvoor deze aan hem was verstrekt, is de rechtbank van oordeel dat verdachte opzettelijk wederrechtelijk is binnengedrongen in een geautomatiseerd werk (de router dan wel het wifi-netwerk), door middel van een valse sleutel.

Op de SD-kaart in de IP-camera zijn filmpjes aangetroffen waarop te zien is dat aangeefster en haar vriend seksuele handelingen verrichten. De rechtbank overweegt dat aangeefster en haar vriend geen toestemming hebben gegeven voor het plaatsen van de camera en het filmen. Gelet op de bedoeling van verdachte met het ophangen van de camera acht de rechtbank de verklaring van verdachte dat het niet zijn bedoeling was om filmpjes op te slaan niet aannemelijk. Hierbij speelt tevens mee dat verdachte een grote hoeveelheid filmpjes heeft opgeslagen op verschillende gegevensdragers en hij ter terechtzitting heeft verklaard geïnteresseerd te zijn in “voyeur”-filmpjes van internet en dat hij deze vaak opslaat. Op grond van het voorgaande acht de rechtbank dan ook bewezen dat verdachte opzettelijk en wederrechtelijk videobeelden heeft vervaardigd waarop te zien is dat aangeefster en haar vriend seksuele handelingen verrichten. De verdediging heeft zich op het standpunt gesteld dat verdachte geen beschikking heeft gehad over de SD-kaart in de camera, omdat die zich in de woning van aangeefster bevond. De rechtbank verwerpt dit verweer. Hoewel de camera met daarin de SD-kaart zich in de woning van aangeefster bevond, had verdachte daar – tot het moment van de ontdekking van de camera – wel degelijk beschikkingsmacht over.

Het openbaar ministerie verweet de verdachte ook dat hij grote hoeveelheid filmpjes van onbekende personen heeft gemaakt, op dezelfde manier gemaakt als de filmpjes van de aangeefster. De filmpjes zijn allemaal gemaakt met een IP-camera en hebben het bed als centraal punt in beeld. De rechtbank vindt het echter niet bewezen dat verdachte foto’s of beelden heeft opgenomen in een Bed & Breakfast en dat hij de beschikking heeft gehad over die beelden terwijl hij wist of redelijkerwijs moest vermoeden dat die beelden wederrechtelijk waren opgenomen (artikel 139h Sr). De verdachte wordt daarvan vrijgesproken, omdat niet bekend is wie de personen zijn die zijn gefilmd, of het filmen zonder hun toestemming heeft plaatsgevonden (er zijn geen aangiftes gedaan) en waar de beelden zijn opgenomen. Ook is niet komen vast te staan dat verdachte degene is die een camera heeft opgehangen en de betreffende personen heeft gefilmd. Al met al bevindt zich in het dossier te weinig informatie over deze beelden om tot een bewezenverklaring van het ten laste gelegde te komen. De rechtbank kan op basis van het dossier niet vaststellen dat de beelden wederrechtelijk zijn vervaardigd.

De verdachte wordt veroordeeld voor en de vergoeding van 190 euro materiële en 1000 euro immateriële schade.

Veroordeling voor ontwikkelen van betaalomgeving voor phishing

Op 2 juli 2021 heeft het Hof Arnhem-Leeuwarden een verdachte veroordeeld (ECLI:NL:GHARL:2021:6521) voor voorbereidingshandelingen gericht op het plegen van computervredebreuk. De verdachte heeft een niet van echt te onderscheiden betaalomgeving ontwikkeld en deze omgeving aan andere personen verstrekt om phishing-activiteiten mogelijk te maken. Daarmee heeft de verdachte een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van computervredebreuk (art. 139d Sr jo 138ab Sr).

Slachtoffers werden gevraagd 1 cent over te maken om (zogenaamd) de betrouwbaarheid van te controleren. Hierbij werd de betaalomgeving van de verdachte gebruikt, waarheen de slachtoffers werden geleid.

De verdachte is inmiddels werkzaam in de ICT-branche en lijkt volgens de rechtbank ‘op meerdere terreinen – hij heeft werk, een vaste relatie en een kind – zijn leven in de goede richting ter hand te hebben genomen’. Ook is de redelijke termijn van de berechting van deze zaak overschreden. Een en ander brengt het hof ertoe een de verdachte te veroordelen tot een gevangenisstraf van 20 maanden, waarvan 10 maanden voorwaardelijk en een proeftijd van 3 jaar.

WhatsApp-fraude

Op 23 juli 2021 heeft de rechtbank Rotterdam een minderjarige verdachte veroordeeld (ECLI:NL:RBROT:2021:7807) voor oplichting (WhatsApp- en Tikkie-fraude), het medeplegen van computervredebreuk, verboden vuurwapenbezit en gewoontewitwassen.

De werkwijze was als volgt. De verdachten beschikten over een telefoonnummer van een WhatsApp-gebruiker. De verdachten vroegen een verificatiecode voor het account dat zij over wilde nemen. Deze code werd vervolgens door WhatsApp via sms verstuurd naar de gebruiker van dat telefoonnummer. Vervolgens stuurden de verdachten aan deze gebruiker een bericht met het verzoek om de verificatiecode door te sturen. Dit bericht werd verzonden namens iemand uit de contactenlijst van het beoogde slachtoffer, van wie zij al eerder het account hadden overgenomen. Op die manier lijkt het voor het beoogde slachtoffer alsof hij of zij het verzoek krijgt van een bekende. Na het ontvangen van de verificatiecode voerden de verdachten deze code in en kregen zij op deze manier toegang tot het WhatsApp-account van het slachtoffer. Daarna stuurden zij iedereen uit de contactenlijst van het slachtoffer een bericht met de vraag of zij geld konden lenen. Zij namen daarmee WhatsApp-accounts van willekeurige personen over en benaderden via die WhatsApp-accounts vrienden en familieleden van die personen. Het oorspronkelijke, echte, account werd geblokkeerd en de verdachten deden zich voor als de persoon van wie het WhatsApp-account was. Zij meldden aan de vrienden en familieleden van die persoon dat zij dringend financiële hulp nodig hadden. Veelgebruikte excuses daarbij waren dat het om een spoedgeval ging en dat zij even niet bij hun spaargeld konden.

Als de vrienden en familieleden bereid waren om te helpen, kregen zij van de verdachten een Tikkie-betaalverzoek toegestuurd. Als daar een bevestigend antwoord op kwam, werd een Tikkie betaalverzoek voor het genoemde bedrag gestuurd. Deze betalingen kwamen terecht op bankrekeningen van geldezels. De ontvangen bedragen werden zo snel mogelijk opgenomen bij de pinautomaat. Op die manier werden de contacten van het overgenomen WhatsApp-account opgelicht en werd veel geld verdiend.

Voor de bewijsvoering zijn betaalverzoeken na oplichting van de slachtoffers op de mobiele telefoons van de verdachte en (onder andere) het IP-adres van de woning van de verdachte op die dag op de internetbankieren-omgeving van vier van de vijf begunstigde bankrekeningnummers ingelogd. De rechtbank achtte in deze zaak de oplichting van dertien slachtoffers en tweemaal computervredebreuk bewezen. De rechtbank ging ervan uit dat dit slechts het topje van de ijsberg is geweest en dat er door de verdachte en zijn medeverdachte meer slachtoffers zijn gemaakt. Op basis van de verklaring ter zitting van de verdachte zelf, waaruit volgt dat hij 20% van het bedrag ontving dat op basis van een Tikkie betaalverzoek werd overgemaakt en dat hij in totaal €20.000,- zou hebben verdiend met de door hem gepleegde WhatsApp-fraude, hebben hij en zijn medeverdachte hun slachtoffers in ieder geval voor een totaalbedrag van €100.000,- benadeeld. Uitgaande van de gemiddelde bedragen die de slachtoffers in de ten laste gelegde feiten hebben overgemaakt, gaat het daarmee bij de oplichting alleen al om meer dan honderd slachtoffers. Naast de WhatsApp-fraude heeft de verdachte zich ook schuldig gemaakt aan het witwassen van grote contante geldbedragen van in totaal ruim €75.000,- en luxe schoenen. Tot slot heeft de verdachte op zijn slaapkamer een vuurwapen en kogelpatronen voorhanden gehad.

De minderjarige verdachte is veroordeeld voor 282 dagen jeugddetentie waarvan 180 dagen voorwaardelijk, een werkstraf van 180 uur, en een proeftijd van 2 jaar met bijzondere voorwaarden.  

Daarnaast heeft de rechtbank Overijssel op 9 augustus 2021 een verdachte veroordeeld (ECLI:NL:RBOVE:2021:3149) voor oplichting. De man maakte samen met zijn mededaders in 1,5 jaar tijd zo’n 18 slachtoffers. Het begon met oplichting via WhatsApp en Marktplaats, uiteindelijk deed hij zich zelfs voor als fraudebestrijder bij een bank. De groep koos vooral slachtoffers met een hogere leeftijd uit.

Hij ging daarbij als volgt te werk. Hij benaderde slachtoffers en won het vertrouwen door zich voor te doen als dochter van de aangeefster. Vervolgens werd haar verzocht om geld over te maken voor de aanschaf van een nieuwe telefoon en laptop. Dit geld kwam terecht op een bankrekening waarover verdachte de beschikking had. Ook heeft hij mensen via Markplaats opgelicht, door zich als potentiële koper voor te doen en ‘ter verificatie’ een phisinglink te sturen. Daardoor werden de slachtoffers overgehaald tot het afgeven van inloggegevens van hun internetbankierenaccounts, waarna er bedragen van hun bankrekeningen werden afgehaald. Om deze vorm van oplichting mogelijk te maken heeft verdachte geldezels geronseld. Daarna werd de oplichting door verdachte en diens medeverdachten nog geavanceerder, stelselmatiger en grootschaliger uitgevoerd. Verdachte belde zijn slachtoffers, die bewust werden uitgekozen vanwege hun hogere leeftijd, volgens een vaststaand script en deed zich voor als een medewerker van de fraude afdeling van de bank waar het slachtoffer bankierde. Verdachte ontfutselde zijn slachtoffers op die manier codes om te kunnen inloggen op het internetbankierenaccount van zijn slachtoffers. Verdachte en zijn medeverdachten waren dan in staat om alle aan dit account gekoppelde rekeningen te beheren. Het afgeboekte geld werd vaak meteen overgeboekt naar een tussenrekening, vermoedelijk om cryptovaluta aan te schaffen. Soms werden meerdere slachtoffers op één dag gebeld. Een enkele keer werd dertig keer door een aangeefster een bedrag afgeboekt tot een bedrag van maar liefst € 28.795,00. De verdachte heeft volgens de rechtbank eraan bijgedragen dat het vertrouwen van de vijftien veelal oudere slachtoffers op grove wijze is geschaad en heeft misbruik gemaakt van zijn slachtoffers enkel en alleen ten behoeve van zijn eigen financiële gewin. Dit soort digitale oplichtingspraktijken hebben tot gevolg dat mensen minder vertrouwen hebben in elektronisch bankieren. De rechtbank rekent dat verdachte zwaar aan.

Gezien de ernst van de gepleegde feiten en de lange periode waarin deze hebben plaatsgevonden, kan naar het oordeel van de rechtbank niet anders worden gereageerd dan met het opleggen van een onvoorwaardelijke gevangenisstraf van aanmerkelijke duur, ondanks dat verdachte deels wordt vrijgesproken van hetgeen hem ten laste is gelegd. De verdachte is veroordeeld tot een gevangenisstraf van 30 maanden waarvan 10 maanden voorwaardelijk met een proeftijd van 3 jaar en bijzondere voorwaarden.

Meer duidelijkheid over EncroChat-operatie

In de afgelopen maanden is er weer veel jurisprudentie verschenen waarin de berichten van die zijn veilig gesteld van het bedrijf EncroChat een belangrijke rol spelen. Steeds vraagt de verdediging om meer informatie over de verzameling van de gegevens bij een Frans bedrijf in Frankrijk, terwijl rechters steevast verwijzen naar het internationaal vertrouwensbeginsel en het bewijs niet onder Nederlands recht op rechtmatigheid wordt getoetst (zie bijvoorbeeld Rb. Rotterdam 24 juni 2021, ECLI:NL:RBROT:2021:6050). Op 25 juni 2021 is in een Rotterdamse uitspraak (ECLI:NL:RBROT:2021:6113) eindelijk meer details naar boven gekomen over de operatie, waarbij de EncroChat berichten verzameld zijn. Hieronder volgt eerst een korte beschrijving van wat EncroChat precies is en daarna volgen de beschikbare details van de operatie.

Hoe werken EncroChat-telefoons?  

EncroChat was een communicatieaanbieder van telefoons, waarmee middels de Encrochat applicatie versleutelde chats, bestaande uit tekstberichten en afbeeldingen, konden worden verzonden en ontvangen en waarmee onderling gebeld kon worden. Ook was het mogelijk om notities te bewaren op de telefoontoestellen. De gebruiker had niet de mogelijkheid om zelf applicaties te installeren op het toestel en was dus beperkt in het gebruik van de communicatieapplicaties die er door de leveranciers op gezet werden. Een Encrochattelefoon kon door de gebruiker volledig worden gewist. Dit werd ook wel ‘panic-wipe’ genoemd. Gebruikers kochten een telefoontoestel waarop de Encrochat applicaties vooraf geïnstalleerd waren in combinatie met een abonnement om de service te kunnen gebruiken. Gebruikers konden elkaars username opslaan in hun contactlijst onder een zelfgekozen omschrijving (‘nickname’). Communicatie kon tot stand komen nadat een gebruiker zijn ‘username’ stuurde naar een andere gebruiker, met het verzoek om toegevoegd te worden aan diens contactenlijst. Een chat kon bestaan uit tekstberichten en foto’s. Ieder bericht verliep na een vooraf ingestelde tijd, ook wel ‘burn-time’ of beveiligde verwijdertijd genoemd. Deze tijd was door de gebruiker aan te passen, standaard stond hij ingesteld op zeven dagen. Tevens kon er vanuit de chat een ‘VoIP’ spraakgesprek gevoerd worden. De kosten voor een Encrochat -telefoon bedroegen ongeveer €1.500,- voor een abonnement van zes maanden.

EncroChat-operatie

Over de operatie zelf overweegt in r.o. 3.2.3 de rechtbank het volgende. De Franse Gendarmerie zou op 1 april 2020 vanuit Pontoise, Frankrijk, rond 17:15 uur een door een Franse technische politiedienst ontwikkeld opnamemiddel hebben geïnstalleerd. Het doel van dit middel was het vastleggen van de inkomende en uitgaande communicatie middels de Encrochat-telefoontoestellen (ongeveer 55.000 toestellen waren in omloop). De rechtbank schrijft het volgende: uit een ‘Warrant Application’ die ziet op ‘Targeted Equipment Interference’ van de National Crime Agency, valt op te maken dat de NCA met de Franse Gendarmerie heeft samengewerkt gebruikt te maken van kwetsbaarheden in de servers om zo gegevens te verzamelen. De Franse Gendarmerie heeft in januari 2020 aan de NCA te kennen gegeven dat zij Encrochat konden hacken. In een “Schedule of Conduct” staat vermeld dat in de eerste fase (stage 1) een hacktool zal worden ingezet op alle Encrochat-toestellen wereldwijd. Dit middel zal op de toestellen worden gezet via een update vanaf de server in Frankrijk. Dit middel zal de op de toestellen vastgelegde data verzamelen en zal deze verzenden naar de Franse autoriteiten. Het gaat dan om alle data, waaronder IMEI-gegevens, gebruikersnamen, wachtwoorden, opgeslagen chatberichten, afbeeldingen, locatiegegevens (‘geodata’) en notities. Gedurende de tweede fase (stage 2) zal communicatie, zoals chatberichten, opgeslagen op de Encrochat-toestellen, worden verzameld. Deze berichten worden verzameld, zodra deze in het toestel worden opgeslagen. De geplande duur van de interceptie is naar verwachting twee maanden.

De rechtbank overweegt verder dat de vanuit Engeland verkregen informatie aansluit bij de informatie die de Nederlandse politie hieromtrent heeft gegeven. Volgens de politie heeft het Franse onderzoeksteam op uitgaande en inkomende communicatie verzameld van Encrochat-telefoontoestellen. Het Franse politieteam sloeg deze data op gedurende deze periode op computersystemen in Frankrijk. Het Franse onderzoeksteam heeft de Nederlandse politie toegang gegeven tot de Encrochat-telefoondata over een beveiligde verbinding met die computersystemen in Frankrijk. De Encrochat-telefoondata zijn gedurende deze periode gekopieerd naar het onderzoeksnetwerk van de Nederlandse politie. De aldus verkregen data vanuit Frankrijk, veelal bestaand uit Encrochat-berichten, is volgens de politie de dataset die de politie in Nederland heeft verkregen binnen het onderzoek 26Lemont, het strafrechtelijke onderzoek naar de medeplichtigheid van Encrochat zelf aan door de gebruikers van Encrochat gepleegde misdrijven. De Franse Gendarmerie heeft op basis van “geodata” oftewel locatiegegevens, de gegevens vervolgens gedeeld met het land van herkomst, die daar – onder bepaalde voorwaarden – verder geanalyseerd en verwerkt konden worden voor strafrechtelijke onderzoeken naar de gebruikers.

Machtiging rechter-commissaris

De rechtbank overweegt verder: uit het proces-verbaal valt af te leiden dat voorafgaand aan de interceptie reeds bekend was dat in Nederland binnen de georganiseerde criminaliteit op grote schaal gebruik werd gemaakt van cryptotelefoons van deze aanbieder. Er waren ook al vele cryptotelefoons van deze aanbieder in beslag genomen bij personen die van ernstige strafbare feiten werden verdacht. Vanwege de voorzienbare inbreuk die de interceptie van de Encrochat-data op de persoonlijke levenssfeer van de Nederlandse gebruikers van deze dienst zou hebben, heeft het Openbaar Ministerie ervoor gekozen om, mogelijk ten overvloede, in Nederland een rechterlijke toetsing te vorderen die strikt genomen het Nederlandse Wetboek van Strafvordering niet als zodanig kent. Bij de rechter-commissaris is een vordering ingediend om een machtiging te geven teneinde de informatie betreffende de Nederlandse gebruikers te mogen analyseren en gebruiken (een en ander is beschreven in het proces-verbaal “Kaders gebruik dataset 26Lemont” met aanvullingen d.d. 28 september 2020 en 24 maart 2021).

Interceptietool

Dat Nederlandse opsporingsambtenaren de interceptietool (mede) hebben ontwikkeld, wordt door het Openbaar Ministerie in de brief van 24 maart 2021 expliciet ontkend. De rechtbank Rotterdam overweegt dat het ‘op dit moment’ geen reden te twijfelen aan wat het Openbaar Ministerie hierover zegt. Volgens de rechtbank ‘is niet gebleken van feiten of omstandigheden die maken dat een eventueel Nederlandse (technische) inbreng bij het ontwikkelen van de tool tot gevolg moet hebben dat de verantwoordelijkheid voor de toepassing ervan in het Franse opsporingsonderzoek (ook) in Nederland komt te liggen’.

Klein succes bij onderzoekswensen verdediging

Alle onderzoekswensen ter beoordeling van de rechtmatigheid van de operatie, bijvoorbeeld over het horen van Frans de en Nederlandse betrokkenen bij de operatie, worden daarop afgewezen. Wel vinden de rechters dat de machtiging van de Nederlandse rechter-commissaris van 20 september 2020 belangrijk kan zijn voor de strafzaak en daaropvolgende beoordeling van de rechter. Daarom moet er een uitgebreider proces-verbaal komen over de machtiging. Ook dragen de rechters de officieren van justitie op gegevens aan de verdediging te verstrekken zodat deze in gelijke mate in de gelegenheid te worden gesteld om deze datasets te kunnen onderzoeken.

Openstaande vragen

Het werd wat mij betreft de hoogste tijd dat in een uitspraak meer details naar boven kwamen over de operatie. De feiten – en dan met name de beschreven rol van Nederland – lijkt mij ook niet bijzonder gevoelig. Toch blijven veel vragen onbeantwoord. De overweging van de rechtbank over de ontwikkeling van de interceptietool ‘waarbij de feiten en omstandigheden (…) tot gevolg moet hebben dat de verantwoordelijkheid voor de toepassing ervan (…) ook in Nederland komt te liggen’ is tamelijk cryptisch. En stel dat Nederland de tool heeft geleverd om versleuteling van de communicatie met de telefoons ongedaan te maken, zoals wordt bericht door Crimesite en de noodzaak daartoe door deze Britse expert in deze YouTube-video, dan is het nog steeds de vraag welke rechtsgevolgen het zou moeten hebben. Misschien dat het proces-verbaal over de machtiging van de rechter-commissaris meer duidelijkheid biedt.

Tijd voor een nieuwe bewaarplicht?

Op 6 oktober 2020 publiceerde het EU Hof van Justitie (HvJ EU) het arrest La Quadrature du Net/Premier ministre e.a. In dat belangrijke arrest bestendigt het Hof de eerder ingezette lijn dat een algemene en ongedifferentieerde bewaarplicht van verkeersgegevens ter bestrijding van ernstige criminaliteit niet is toegestaan en in strijd is met het recht op privacy en het recht op bescherming van persoonsgegevens uit het Handvest van de grondrechten van de Europese Unie. Ter bescherming van de nationale veiligheid laat het EU Hof een beperkte vorm van een bewaarplicht onder voorwaarden toe. Zie daarover deze annotatie die ik samen met Mireille Hagens heb geschreven, met een focus op de betekenis voor de nationale veiligheid en de Wiv 2017.  

Onlangs is ook een artikel (.pdf) in Computerrecht verschenen over het arrest en de bewaarplicht. In het artikel onderzoeken wij (ikzelf, Mireille Hagens en Sofie Royer) wat de gevolgen van deze jurisprudentie zijn voor het wetsvoorstel voor een bewaarplicht in Nederland en de ondertussen vernietigde bewaarplicht in België.

Bevindingen

De belangrijkste conclusie van ons artikel is dat het HvJ EU ruimte biedt voor een bewaarplicht van gebruikersgegevens bij aanbieders van elektronische communicatiediensten. Het preventief bewaren van verkeersgegevens is echter beperkt mogelijk voor de bestrijding van ernstige criminaliteit. Qua beperkingen moet worden gedacht aan elementen als de duur, kring van personen, en/of een geografische afbakening. Ten slotte biedt het HvJ EU enige ruimte voor een bewaarplicht bij bedreigingen van de nationale veiligheid (door het Hof als het hoogste belang gezien), voor zover deze bedreiging reëel en actueel of voorzienbaar is (gedacht kan worden aan een aanslag, hetgeen vragen met zich meebrengt als er bijvoorbeeld een permanente dreiging is van aanslagen).

In Nederland ligt de behandeling van een nieuw wetsvoorstel voor een bewaarplicht sinds 2018 stil (zie dit Kamerstuk en dit Kamerstuk voor de laatste stand van zaken). Uit de voorbereiding van het voorstel voor de invoering van een bewaarplicht in Nederland blijkt dat zich technische uitdagingen voordoen bij het op effectieve wijze koppelen van de gebruikers van telecommunicatiediensten aan een apparaat door de telecomprovider. Uit onderzoek blijkt echter dat deze uitdagingen niet onoverkomelijk zijn (zie dit WODC-rapport, uitgevoerd door Dialogic). Voor een bewaarplicht van gebruikersgegevens in Nederland is voor de bestrijding van met name cybercriminaliteit veel te zeggen. Ook verdient het volgens ons aanbeveling een uitbreiding van een bewaarplicht van gebruikersgegevens bij OTT-diensten te overwegen, hoewel daarbij onvermijdelijk handhavingsproblemen ontstaan. Het arrest van het HvJ EU biedt in die zin Nederland meer vertrouwen dat een bewaarplicht van gebruikersgegevens voor aanbieders van communicatiediensten voldoet aan de vereisten van het HvJ EU.

In België maakt La Quadrature du Net e.a. duidelijk dat een algemene bewaarplicht van verkeersgegevens zoals die vandaag in België bestaat, niet te verzoenen valt met het oordeel van het HvJ EU. Het Grondwettelijk Hof vernietigde inmiddels de Belgische dataretentiewet uit 2016 (zie hier). De wetgever is nu opnieuw aan zet gekomen om de verschillende opdelingen die het HvJ EU maakt, om te zetten in het nationale recht. De bevoegde ministers schoten meteen in actie en een voorontwerp ligt al op tafel.

Hoe verder?

In een Kamerstuk van 1 maart 2021 stelt het Nederlandse kabinet het arrest van het HvJ EU met verstrekkende gevolgen ‘te betreuren’ (klaarblijkelijk omdat wordt herhaald dat een algemene bewaarplicht van verkeersgegevens niet mogelijk is). Uit de brief is de volgende passage relevant:

“Naar verwachting zal het Portugees voorzitterschap de JBZ-Raad uitnodigen hun standpunten te delen over verdere stappen ten aanzien van dataretentie. Het voorzitterschap heeft reeds aangegeven voorstander te zijn van een verdere verkenning van de uitspraken van het Europese Hof van Justitie (het Hof) en specifiek te focussen op de onderdelen waarvoor het Hof ruimte laat: een gerichte bewaarplicht en een bewaarplicht voor gegevens die nodig zijn voor het bepalen van de ‘civiele’ identiteit van gebruikers.”

Prokuratuur

Ten slotte wijzen wij hier nog op de uitspraak van het Hof van Justitie in het arrest H.K./Prokuratuur van 2 maart 2021 die na afronding van ons artikel werd gepubliceerd (zie ook de annotatie van Dave van Toor over deze zaak en deze blogpost van Sofie Royer en Sem Careel).

Hieruit leiden wij af dat voor het vorderen van verkeersgegevens voorafgaande toestemming door een onafhankelijk orgaan (zoals de rechter-commissaris in Nederland of, in sommige gevallen, de onderzoeksrechter in België) of toestemming door een onafhankelijk instituut is vereist. Deze waarborg wordt vereist vanwege de ernst van de privacy-inmenging bij het vorderen van (en daarna analyseren) van verkeersgegevens. In Nederland heeft het al tot ‘de constatering van een vormverzuim’ geleid in deze moordzaak. De rechtbank overweegt:

“Rechtbank is van oordeel dat de in het onderhavige onderzoek opgevraagde verkeersgegevens en mastgegevens achteraf gezien niet door een officier van justitie gevorderd hadden mogen worden zonder voorafgaande onafhankelijke toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit. De rechtbank zoekt aansluiting bij het beoordelingskader van artikel 359a Sv en volstaat met constatering van de normschending, gelet op het geringe nadeel voor verdachte als gevolg van de normschending.”

Wordt het niet eens tijd dat er een plan komt hoe we ook met dit verstrekkende arrest om moeten gaan? 

Het is de vraag of Nederland het oude wetsvoorstel uit 2018 (met een nieuw kabinet) nieuw leven moet in blazen of een eventueel Europees voorstel zal afwachten. Het wetsvoorstel voorzag al in een bewaarplicht van gebruikersgegevens en een verplichte machtiging van een rechter-commissaris als waarborg voor het vorderen van verkeersgegevens. Het kan ook zijn dat de Nederlandse wetgever Europese wetgeving afwacht. We zullen zien!

Jan-Jaap Oerlemans, Mireille Hagens & Sofie Royer

Overzicht Inlichtingen en Recht april 2021

01-04-2021 Nadere memorie van antwoord Wijzigingswet Wiv 2017

De Minister van Binnenlandse Zaken en Koninkrijksrelaties Ollongren heeft op 1 april 2021 de ‘nadere memorie van antwoord’ van de wetsbehandeling van de Wijzigingswet Wiv 2017 gepubliceerd. In de nadere memorie wordt ingegaan op de vragen van de leden van de Eerste Kamer. Op 9 juni 2020 stemde de Tweede Kamer vóór de Wijzigingswet Wiv 2017 en het wetsvoorstel is nu al bijna een jaar in behandeling bij de Eerste Kamer.

De Wijzigingswet Wiv 2017 moet worden gezien als een reactie op de uitslag van het raadgevend referendum op de Wiv 2017 (waarbij 49,44% van de kiezers tegen de wet heeft gestemd, 46,55% voor en 4,03% blanco) (zie eerder ook dit blogbericht over het wetsvoorstel). De regering beoogt met de wet ‘de waarborgen van de wet op onderdelen te verduidelijken en de ruimte die de wet in de uitvoeringspraktijk biedt zo nodig in te perken’.

De belangrijkste bepalingen vormen de codificatie (en toelichting op) het gerichtheidsvereiste voor de toepassing van alle bevoegdheden. Het gerichtheidscriterium is ‘het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus’. De te vergaren gegevens moeten daarbij dus van te voren worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object.

Net als in de discussie in de Tweede Kamer stellen senatoren vragen over de evaluatie van de Wiv 2017. Het demissionaire kabinet heeft namelijk op 5 maart 2021 in een Kamerbrief aangeven dat zij de analyse, conclusies en aanbevelingen van de Commissie-Jones Bos omarmt. Het plan is echter de aanbevelingen in het rapport in een (ander) ontwerpvoorstel uit te werken. Het kabinet verwerkt dus geen elementen van het rapport van de Commissie-Jones Bos in de Wijzigingswet Wiv 2017.

Oratie

Enkele vragen van de senatoren gingen over mijn oratie ‘Grenzen stellen aan datahonger’. De minister gaat tot mijn vreugde uitgebreid in op de vragen. Kortgezegd (want er waren nogal veel woorden voor nodig), stelt de minister dat er geen sprake is van ‘function creep’ bij passagiersgegevens, omarmt het kabinet de aanbeveling van de evaluatiecommissie een beter voorzienbare regeling te creëren voor het verzamelen van bulkdatasets en zijn er geen plannen een maximale bewaartermijn in de wet op te nemen (omdat gegevens verwijderd moeten worden als ze niet meer van betekenis zijn). Ook herkent de minister niet dat de informantenbevoegdheid in artikel 39 Wiv 2017 een ‘gedrocht van een artikel’ is. ‘Integendeel’ zelfs, omdat de tekst van de wet een expliciete wettelijke basis vormt voor de vrijwillige verstrekking van gegevens door overheidsinstanties (waaronder dus ook bulkdatasets).

Stelselmatig verzamelen van gegevens door het Land Information Manoeuvre Centre (LIMC)

Opvallend is verder dat de minister aangeeft dat art. 6 lid onder e AVG een grondslag biedt voor het verwerken van gegevens uit open bronnen door overheidsinstanties zoals het LIMC. Verder moet worden voldaan aan de vereisten van de AVG en het EVRM. Naar aanleiding van het NRC-artikel wordt onderzoek verricht door de Functionaris voor Gegevensbescherming Defensie naar de naleving van de AVG door het LIMC. Het rapport van de FG, met daarin diens conclusie van het onderzoek en aanbevelingen, bevindt zich in een afrondende fase volgens de minister. Zodra gereed wordt het rapport van de FG en de appreciatie van de minister van Defensie hierop naar de Tweede Kamer en Eerste Kamer verstuurd.

06-04-2021: Advies Cyber Security Raad: investeer 833 miljoen euro aan ‘cyberweerbaarheid’

De Cyber Security Raad adviseert een landelijke regie op het hoogste politieke en ambtelijke niveau om digitale veiligheid en de digitale autonomie van Nederland te beschermen. Dat moet gepaard gaan met een investering van 833 miljoen, bovenop de huidige uitgaven en budgetten voor cyberweerbaarheid.

In het advies staan vijf speerpunten centraal, te weten regie op samenwerking en informatiedeling, weerbare vitale processen, versterking onderzoek en onderwijs, realiseren van cybercrime-handhavingsketen en zorgplicht van leveranciers voor veilige producten en diensten voor burgers, bedrijfsleven en overheid.

De raad adviseert het nieuwe kabinet om in plaats van een Minister Digitale Zaken direct een ministeriële onderraad digitale zaken in te richten, waar cyberweerbaarheid en digitale autonomie integraal aan de orde wordt gesteld. Deze onderraad moet steunen op een interdepartementale strategische overlegkoepel, met daarin alle ministeries die raakvlakken hebben met cyberweerbaarheid. Er moet één cyberweerbaarheidsstrategie komen, inclusief een meerjarenprogramma.

Luister ook naar aflevering 15 van de podcast Cyberhelden over het rapport en de toelichting daarop van Lokke Moerel. Ik vind het met name interessant dat de hoogleraar aangeeft dat de regie mogelijk gevoerd moet worden door AZ en het NCSC misschien onder gebracht moet worden onder BZK (ook verantwoordelijk voor de AIVD), net als dat het Nationaal Cyber Security Centrum in het Verenigd Koninkrijk onderdeel is van de communicatie-inlichtingendienst GCHQ. Zie ook dit uitstekende verslag in Computable: ‘Grapperhaus haalt woede Cyber Security Raad op de hals‘. Vergaand is ook het voorstel voor een ‘een volwassen landelijk dekkend stelsel van informatieknooppunten (LDS)’. Het moet zorgen voor een goede informatiedeling over cyberdreigingen en -kwetsbaarheden.

Over knelpunten in de wetgeving is de CSR in het rapport nogal kort:

“Huidige juridische beperkingen op het delen van herleidbare vertrouwelijke informatie en persoonsgegevens (zoals de AVG en huidige wet politiegegevens) staan het structureel delen van dreigingsinformatie met publieke en private partijen in de weg.”

Verder moet volgens de CSR de capaciteit van reeds betrokken partijen, zoals de Nationale Politie, Openbaar Ministerie Koninklijke Marechaussee, snel worden uitgebreid en publiek-private samenwerking moet structureel worden ingericht en gesteund. De CSR signaleert dat  de defensieve, offensieve en inlichtingen cybercapaciteiten binnen Defensie (incl. MIVD en KMar), de AIVD, het NCSC de politie en het OM een essentiële bijdrage leveren aan ‘cyberweerbaarheid’, bijvoorbeeld door middel van het inzichtelijk maken en delen van dreigingen en concrete informatie daaromtrent en de afschrikwekkende werking (deterrence) voortkomend uit de offensieve capaciteiten. ‘Investeren in de inlichtingendiensten is vrijwel gelijk aan investeren in zowel zicht op de dreiging als in deterrence’. Toch valt het budget van deze diensten valt buiten de scope van het advies.

Ten slotte stelt de CSR voor gerichte investeringen te doen in onderzoek, start-ups en een cybercurriculum in relevante opleidingen. Daarmee zou de ‘huidige academische braindrain’ een halt worden toegeroepen en kunnen we beschikken over voldoende gekwalificeerd personeel. Ook adviseert de raad om in het curriculum van het primair en voortgezet onderwijs met spoed digitale geletterdheid in te voeren en dit onderwerp los te koppelen van een algehele herziening van het curriculum.

12-04-2021: Kamerbrief Verbetering juridische grondslag verwerking persoonsgegevens NCTV

De Minister van Justitie en Veiligheid reageert in deze brief op de berichtgeving in NRC over de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). De NCTV volgt volgens NRC individuen op sociale media en verzamelt en verspreidt privacygevoelige informatie over burgers, zonder dat daar een wettelijke grondslag voor is.

Naar aanleiding van de casus Cornelius Haga Lyceum is de NCTV in februari 2020 gestart met het project ‘taken en grondslagen NCTV’, ter juridische versterking en verankering van zijn taken en grondslagen. Hieruit kwam naar voren dat het identificeren en analyseren van dreigingen en risico’s op het gebied van terrorisme en nationale veiligheid juridisch kwetsbaar is en versterking behoeft indien daarbij (bijzondere) persoonsgegevens worden verwerkt op basis van eigen openbare bronnenonderzoek.

Binnen de Rijksoverheid is de NCTV verantwoordelijk voor de coördinatie van crisisbeheersing, terrorismebestrijding, cybersecurity, statelijke dreigingen en andere terreinen van nationale veiligheid. Specifieke verantwoordelijkheden worden door de NCTV uitgevoerd op basis van specifieke wetgeving: de Politiewet, de Luchtvaartwet, de Paspoortwet en de Tijdelijke Wet Bestuurlijke Maatregelen Terrrorismebestrijding.

De minister benadrukt dat de NCTV geen inlichtingendienst is, en dat de NCTV als coördinator besluiten moet nemen op basis van informatie van andere partijen. De NCTV analyseert deze informatie wel zelf, en valideert vervolgens de analyses. In het geval van de conceptnota Ontwikkeling van het salafisme onder Turken – de invloed in Nederland, zoals genoemd in de NRC, werd de notitie niet gevalideerd en daarom niet gepubliceerd.

Sinds 2006 maakt de NCTV gebruik van internetmonitoring, teneinde een continu beeld van de voorstelbare dreiging te houden. Sinds 2009 werden hiervoor op sociale media gefingeerde accounts ingezet. Inmiddels maakt de Kerneenheid Analyse gebruik van een apart ICT-systeem waardoor meekijken op sociale media ook zonder gefingeerde accounts mogelijk is. Deze praktijk is naar aanleiding van de publicatie in de NRC gestaakt.

De minister stelt dat van werken onder dekmantel in strafvorderlijke zin geen sprake is geweest, omdat de accounts nooit hebben deelgenomen aan conversaties met andere gebruikers. Wel was er sprake van het verwerken van persoonsgegevens, omdat uitingen ‘door personen worden gedaan’. De NCTV doet dit volgens de minister in het algemeen belang, op grond van artikel 50 Organisatiebesluit Justitie en Veiligheid. Het Organisatiebesluit is dan weer gebaseerd op artikel 3, lid 2 van het Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst, dat zijn grondslag vindt in artikel 44 van de Grondwet.

De minister stelt dat de taak voor de NCTV ook is terug te voeren op artikel 5 EVRM. De NCTV heeft internetmonitoring onder het destijds geldende regiem van de Wet bescherming persoonsgegevens aangemeld voor het openbare verwerkingenregister. Het project “Implementatie AVG” is een doorlopend privacy-project binnen de NCTV.

De NCTV erkent en herkent de spanningen op de werkvloer zoals beschreven in de NRC, en heeft inmiddels maatregelen genomen.

Sophie Harleman

04-02-2021 – Algemene beraadslaging Initiatiefwetsvoorstel-Verhoeven Wet Zerodays Afwegingsproces

Ex-Kamerlid Verhoeven geeft aan dat uit het eerste gedeelte van de behandeling van het wetsvoorstel Zerodays duidelijk naar voren is gekomen dat het gedeelte waarin een beoordelingsorgaan is voorgesteld tot veel bezwaren leidt. In de nota van wijziging is het beoordelingsorgaan dan ook uit het voorstel gehaald. GroenLinks diende een motie in, waarin gevraagd wordt om één kader voor politie, Defensie en inlichtingendiensten. Daarop is door de heer Verhoeven het voorstel zodanig aangepast dat het inhoudelijk overeenkomt met datgene wat de motie zegt, alleen dan in een wet.

De demissionair minister van Binnenlandse Zaken gaat vervolgens in op de vraag of het wetsvoorstel werkbaar is voor de diensten. De minister geeft aan dat met dit voorstel nog steeds zeer gevoelige operationele informatie gedeeld moet worden met derden. Volgens artikel 3, lid 2 hóeft niet tot bekendmaking over te worden gegaan. In lid 3 van datzelfde artikel staat dat het bestuursorgaan wél moet overleggen met vertegenwoordigers van betrokkenen die de vitale infrastructuur beheren, alvorens te besluiten over de bekendmaking. Dit kan problematisch zijn wanneer het gaat over gevoelige operationele informatie, gezien potentiële veiligheidsrisico’s. De organisaties waar het om gaat hebben reeds een afwegingskader, aldus de minister. Dat roept bij de minister de vraag op wat het voorstel daar op dit specifieke punt nog aan toevoegt. Belangrijke bezwaren zijn dus weggenomen, maar op dit specifieke onderdeel rest voor de diensten nog wel een bezwaar.

Minister Grapperhaus onderschrijft in het debat dat het demissionaire kabinet nog steeds belangrijke bezwaren tegen het wetsvoorstel heeft op het punt van het dubbele kader van het proces voor de opsporing, daar politie en OM reeds een afwegingskader hebben voor het melden van onbekende kwetsbaarheden. Onbekende kwetsbaarheden worden bovendien alleen ingezet in het uiterste geval. In het regeerakkoord zijn volgens de minister reeds afspraken opgenomen over de aanschaf van binnendringsoftware door de politie.

De heer Verhoeven reageert dat hij vooral beoogt de zaken uniform te regelen. Hoewel er al een leidraad en een afwegingskader is, wil hij dat het in één wet geregeld wordt. Hij geeft aan nog één keer te kijken naar de mogelijkheden die er zijn om tegemoet te komen aan datgene wat gezegd is, maar te blijven bij zijn standpunt dat een meer uniforme en stevige regeling gewenst is.

Het gehele standpunt van het kabinet omtrent het verzoek van de vaste commissie van Binnenlandse Zaken om in te gaan op het gewijzigde initiatiefwetsvoorstel van de heer Verhoeven is hier te vinden (Kamerstukken II 2020/21, 35257, nr. 14).

Sophie Harleman

Veroordeling poging tot deelneming aan een terroristische organisatie

Het Hof Den Bosch heeft op 14 januari 2021 een verdachte in hoger beroep veroordeeld (ECLI:NL:GHSHE:2021:60) tot poging tot deelneming aan een organisatie die tot oogmerk heeft het plegen van terroristische misdrijven (IS). Uit bestendige rechtspraak van de Hoge Raad over deelneming aan een organisatie als bedoeld in artikel 140 en 140a Sr volgt dat daarvan slechts sprake kan zijn, indien de betrokkene behoort tot het samenwerkingsverband en de betrokkene een aandeel heeft in gedragingen, of deze ondersteunt, die strekken tot of rechtstreeks verband houden met de verwezenlijking van het in die artikelen bedoelde oogmerk.

De verdachte heeft op verschillende momenten en in verschillende geschriften beschreven hoe ze zich heeft verdiept in de Islam. Ze erkent vanuit Nederland naar het grensgebied van Turkije en Syrië te zijn gereisd, wat wordt ondersteund door (locatie)gegevens van gedane geldopnames en mastgegevens van haar mobiele telefoon. De verdachte heeft driemaal geprobeerd de oversteek te maken naar Syrië, maar is hierin niet geslaagd. De verdachte heeft een dagboek bijgehouden over haar pogingen, maar voerde ter terechtzitting aan dat het een boek betrof waarin de hoofdpersoon een IS-strijder was. Het hof hecht geen waarde aan deze alternatieve verklaring.

Voor een bewezenverklaring tot een poging tot deelneming aan een terroristische organisatie is nodig dat het voornemen van de verdachte zich door een begin van uitvoering heeft geopenbaard. Nu verdachte actief heeft geprobeerd de grens naar Syrië over te steken en diverse voorbereidingen heeft getroffen (het opnemen van geld, het afscheid nemen van haar familie in brieven, het bestuderen van de Arabische taal en andere voorbereidingen), acht het hof bewezen dat het voornemen van verdachte om deel te nemen aan IS zich door een begin van uitvoering heeft geopenbaard.

Verdachte is volgens het Hof strafbaar en wordt veroordeeld tot een gevangenisstraf van 413 dagen, waarvan 180 voorwaardelijk en met een proeftijd van twee jaar.

Sophie Harleman

Intrekking Nederlanderschap

De rechtbank Den Haag heeft op 8 maart 2021 geoordeeld (ECLI:NL:RBDHA:2021:2112) dat de staatssecretaris van Justitie en Veiligheid bevoegd was tot intrekking van het Nederlanderschap van eiser en bevoegd was tot diens ongewenstverklaring over te gaan.

De staatssecretaris heeft bij afzonderlijke besluiten van 27 januari 2020 het Nederlanderschap van eiser ingetrokken op grond van artikel 14, vierde lid, van de Rijkswet op het Nederlanderschap (hierna: RWN). Eiser heeft als minderjarige gedeeld in de verkrijging van het Nederlanderschap van de moeder en bezit zowel de Marokkaanse als de Nederlandse nationaliteit. Eiser is op 14 mei 2012 geëmigreerd naar Egypte en uitgeschreven uit de Basisregistratie Personen van de gemeente Rotterdam. Het Nederlanderschap van eiser is ingetrokken naar aanleiding van een individueel ambtsbericht van de AIVD van 3 januari 2020, waaruit bleek dat eiser zich heeft aangesloten bij een organisatie die deelneemt aan een internationaal gewapend conflict en een bedreiging vormt voor de Nederlandse nationale veiligheid. Verweerder geeft aan dat de inhoud van het ambtsbericht hier geen twijfel over laat. Eiser is ook tot ongewenst vreemdeling verklaard.

In het ambtsbericht van 3 januari 2020 is het volgende vermeld.

‘ [eiser] is uitgereisd naar Syrië en hij heeft zich, vanaf tenminste 2014, aangesloten bij de aan Al-Qa’ida (AQ) gerelateerde jihadistische strijdgroep Jabhat al-Nusra (JaN). In de periode na 11 maart 2017 is hij, in elk geval tot eind mei 2019, aangesloten bij Tanzim Hurras Al Din (THD), een eveneens aan AQ gelieerde organisatie. Hij wordt vanaf 2014 tot medio 2019 gelokaliseerd in Syrische plaatsen die liggen binnen het territorium van aan AQ gerelateerde jihadistische strijdgroepen. [eiser] is, in ieder geval sinds zijn verblijf in Syrië, een uitgesproken sympathisant van de gewelddadige, extremistische, islamitische ideologie. Hij is, in ieder geval sinds februari 2018, actief in mediazaken door AQ-propagandamateriaal te (laten) vervaardigen en te verspreiden. [eiser] heeft op sociale media vele jihadistische nieuwsgroepen opgezet en onderhouden en verricht hiermee, in ieder geval tot april 2019, ondersteunende activiteiten voor de gewelddadige jihad. [eiser] heeft, in ieder geval sedert juli 2018, voor THD taken uitgevoerd, zoals het verrichten van gewapende gevechtstaken (ribaat).’

Niet betwist is dat eiser zich heeft aangesloten bij THD. Hoewel THD niet als afzonderlijke organisatie op de lijst, kan deze organisatie wel als terroristische organisatie worden aangemerkt, omdat deze is gelieerd aan al Qa’ida. De rechtbank dient uit te gaan van de juistheid van het ambtsbericht. Conclusies van de AIVD als gevolg van het ontbreken van toestemming kunnen niet worden getoetst aan de hand van geheime stukken die daaraan ten grondslag liggen. Het ambtsbericht bevat voldoende feitelijke informatie over eiser.

De gemachtigde van eiser voert aan dat de staatssecretaris zich niet op de door de AIVD verstrekte informatie mag baseren, omdat de AIVD alleen deskundig is over nationale veiligheid in het algemeen, en niet wanneer het aankomt op concrete gevallen. De rechtbank oordeelt dat informatievergaring in het kader van de nationale veiligheid bij uitstek een taak en een deskundigheid is van de AIVD, en dat uit de wetsgeschiedenis (Kamerstukken I 2015-2016, 34 356, nr. C, onderdeel 3) van artikel 14, vierde lid, RWN blijkt dat een ambtsbericht van de AIVD kan dienen als grondslag voor de intrekking van het Nederlanderschap.

De rechtbank oordeelt dat de intrekking van het Nederlanderschap niet in strijd is met het verbod op discriminatie en dat er geen feiten of omstandigheden over eiser bekend zijn die duiden op een te prevaleren belang van een ongestoord familie- en gezinsleven in Nederland op grond van artikel 8 EVRM. De rechtbank komt tot het oordeel dat verweerder op grond van het ambtsbericht het Nederlanderschap van eiser kon intrekken en dat van onevenredigheid van de maatregel ten opzichte van de individuele belangen van eiser geen sprake is.

Sophie Harleman

Veroordeling deelname aan een terroristische organisatie

De rechtbank Rotterdam heeft op 12 april 2021 een verdachte veroordeeld (ECLI:NL:RBROT:2021:3131) voor het deelnemen aan een organisatie die tot oogmerk heeft het plegen van terroristische misdrijven (IS). Ook heeft de rechtbank de verdachte veroordeeld voor het faciliteren van haar partner om als jihadstrijder deel te nemen aan de gewapende strijd, het voorhanden hebben van vuurwapens, het trachten te bewegen van een andere persoon af te reizen naar Syrië, het aanhangen van radicaal extremistisch gedachtegoed en het maken van propaganda voor IS. Vast staat dat de verdachte op 11 juli 2013 naar Syrië is gereisd, waar zij is getrouwd met een Belgische jihadist. Na zijn overlijden heeft zij in vluchtelingenkampen verbleven en zich op 30 oktober 2019 aangemeld bij de Nederlandse ambassade in Ankara. Op 19 november 2019 is zij op Schiphol aangehouden.

De verdachte verklaart te weten dat er oorlog was in het gebied waarnaar zij vertrok en dat haar man werkte voor IS. Hij is in 2015 in België tot vijf jaar gevangenisstraf veroordeeld. Uit berichten van de verdachte op Facebook leidt de rechtbank af dat de verdachte wist dat haar man lid was van IS. Daarnaast bleek uit de berichten dat zij de jihadstrijd verheerlijkte en voor IS propaganda voerde. Uit chatgesprekken blijkt dat de verdachte een vuurwapen en granaten en munitie voor handen heeft gehad. Ook heeft zij uitvraag gedaan naar vuurwapens en getracht een persoon te bewegen af te reizen naar Syrië.

De rechtbank oordeelt dat de verdachte kan worden beschouwd als lid van en deelnemer aan IS, waarbinnen zij ook een maatschappelijke functie heeft bekleed.

Van psychische overmacht is geen sprake en de verdachte is dus strafbaar. De rechtbank is van oordeel dat, gelet op de aard van het delict en de omstandigheden waaronder dit is begaan, er ernstig rekening mee moet worden gehouden dat de verdachte wederom een misdrijf zal begaan dat gevaar veroorzaakt voor de onaantastbaarheid van het lichaam van één of meer personen. De verdachte wordt veroordeeld tot een gevangenisstraf voor de duur van 48 maanden, waarvan 16 voorwaardelijk en met een proeftijd van 3 jaar.

Sophie Harlema

Cybercrime jurisprudentieoverzicht maart 2021

Veroordeling drugshandel via darkweb

De rechtbank Den Haag heeft op 7 januari 2021 een verdachte veroordeeld (ECLI:NL:RBDHA:2021:432) voor het plegen van voorbereidingshandelingen voor harddrugsdelicten, de export van harddrugs door bestelling via het darkweb en verzending via de post, en het gewoontewitwassen van een geldbedrag en een hoeveelheid bitcoins. Met name de (technische) bewijsoverwegingen in de uitspraak zijn interessant, zoals de analyse van verkeersgegevens, het plaatsen van een peilbaken en camera, diverse doorzoekingen, en een pseudokoop op het darkweb.

De historische verkeersgegevens van de PGP-telefoon en de peilbakengegevens van een Mercedes Sprinter spelen bijvoorbeeld een rol in het lokaliseren van de verdachte in Duitsland en Pijnacker (Nederland). Op grond van een Europees Opsporingsbevel zijn in Duitsland postpakketten in beslag genomen die zouden zijn aangeboden aan een postbeambte en zijn de camerabeelden van dit postkantoor veiliggesteld. Op deze camerabeelden is de verdachte herkend. Op een van de inbeslaggenomen postpakketten stond een adres in Thailand vermeld en in dit pakket bleken 104 XTC-pillen te zitten. Op het andere inbeslaggenomen pakket stond een adres in China vermeld, en in dit pakket bleken 47 pillen te zitten.  

Ook is onderzoek verricht naar de data die zijn verkregen naar aanleiding van een tap op het IP-adres van de verdachte. Door de verbinding met Tor te correleren aan accountinformatie (vermoedelijk van een darkweb marktplaats), dat werd verstrekt door het Duitse onderzoeksteam, bleek dat de gebruiker van het IP-adres op 4 februari 2020 op diverse momenten gebruik heeft gemaakt van Tor. Verder heeft het Duitse onderzoeksteam de informatie verstrekt dat de verdachte voor communicatie gebruik maakte van de versleutelde chatapplicatie Wickr en de versleutelde emaildienst Protonmail. Uit de data van de IP-tap blijkt dat de verdachte gebruik maakte van Wickr en Protonmail.

Ten tijde van het onderzoek zijn er diverse pseudokopen verricht door de Duitse politie via het darkweb bij een darkweb marktplaats en zijn betalingen van deze pseudokopen zijn met bitcoins verricht. Op basis van contacten op de PGP-telefoon zijn medeverdachten geïdentificeerd en in chatberichten blijkt dat de verdachte tabletteermachines, stempels, kleurstoffen en bindstoffen regelt voor diverse andere personen. De verdachte verkocht ook EnchroChat abonnementen (de kosten voor een abonnement voor de duur van 3 maanden bedroegen €525,00) en PGP-telefoons kon regelen. Uit de chatberichten blijkt verder dat bedroegen en dat de betalingen daarvoor kennelijk vaak in euro’s plaatsvonden. Een gezamenlijk financieel overzicht en een print van een kasboek bleek voor de bewijsvoering zeer behulpzaam. Op basis van de aangetroffen gesprekken op de mobiele telefoon, concludeert de politie dat sprake is van een nauwe samenwerking tussen de verdachte en medeverdachte bij de handel van verdovende middelen via het darkweb.

De rechtbank overweegt dat ‘een gemiddelde consument een mobiele telefoon koopt om daarmee te kunnen bellen, foto’s te kunnen maken en te kunnen internetten. Een gemiddelde consument zal geen PGP-telefoon aanschaffen met een Encrochat-abonnement omdat een PGP-telefoon duur is en slechts een beperkte functionaliteit heeft. Met dergelijke telefoons kunnen geen foto’s worden gemaakt of worden gebeld. Omdat de meeste functies van een dergelijke telefoon onklaar zijn gemaakt, kan met een dergelijke telefoon eigenlijk uitsluitend nog berichten worden verzonden en ontvangen. Het is een feit van algemene bekendheid dat criminelen vaak gebruik maken van een PGP-telefoon met een Encrochat-abonnement om anoniem te blijven en door middel van versleutelde berichten veilig met elkaar te kunnen communiceren over criminele activiteiten’.

De rechtbank acht het delict witwassen van 97,6 bitcoins wettig en overtuigend bewezen. De verdachten hebben de illegale herkomst van deze bitcoins verhuld door deze bitcoins voor anderen om te ruilen in cash geld. De rechtbank acht bewezen dat de verdachten van dit witwasfeit een gewoonte hebben gemaakt gelet op het feit dat zij een vaste werkwijze hadden,  dat onder meer blijkt uit de vaste wisselcommissie die zij hanteerden en zij zeer waarschijnlijk een groot aantal bitcoinwissels hebben verricht. Voor de drugshandel en witwassen krijgt verdachte een flinke gevangenisstraf van vijf jaar opgelegd.

Nieuwe beslissing in EncroChat-zaak

De rechtbank Rotterdam heeft op 25 januari 2021 enkele beslissingen (ECLI:NL:RBROT:2021:396) genomen in een EncroChat onderzoek (onderzoek Flamenco). Gedurende een aantal maanden is de inhoud van (tekst)gesprekken tussen een aantal EncroChat-accounts gedeeld met het politieteam dat werkte aan de zaak Flamenco.

De verdediging had verzocht om toevoeging van diverse stukken uit onderzoek 26Lemont (onder meer de JIT-overeenkomst die ten grondslag ligt aan het onderzoek 26Lemont en de Franse tegenhanger ervan), het verhoor als getuige van twee officieren van justitie die leiding geven aan het onderzoek 26Lemont en van twee politieambtenaren (werkzaam bij de Landelijke Recherche en het Team High Tech Crime) en om alle EncroChat-gegevens te mogen inzien die aan het onderzoeksteam Flamenco zijn verstrekt.

De rechtbank stelt voorop dat de EncroChat-informatie in de zaak Flamenco duidelijk is geclausuleerd tot onderzoek naar georganiseerde misdaad. Zodra een machtiging  van een rechter-commissaris is verleend, zijn de inspanningen die worden verricht om de communicatie te ontsleutelen in beginsel rechtmatig. De rechtbank wijst het verzoek tot het toevoegen van stukken aan het dossier en het als getuige horen van de twee officieren van justitie van onderzoek 26Lemont en de twee politieambtenaren af. Naar het oordeel van de rechtbank is niet gebleken van een begin van aannemelijkheid dat de EncroChat-informatie anders dan rechtmatig is verkregen. Ditzelfde geldt eveneens voor de overdracht van een deel van deze informatie aan de (zaak)officier van justitie van onderzoek Flamenco. De getuigenverzoeken worden afgewezen, omdat niet is voldaan aan het verdedigingsbelangcriterium.

De rechtbank wijst het verzoek tot het verstrekken van originele (Franstalige) verzoeken en de beslissingen uit 26Lemont en/of het Franse parallelle EncroChat-onderzoek eveneens af. Er is volgens de rechtbank geen begin van aannemelijkheid dat de genoemde vertalingen qua inhoud en strekking afwijken. De rechtbank overweegt ten aanzien het verzoek om alle EncroChat-gegevens te mogen inzien het volgende. De officier van justitie heeft uiteengezet dat de vormgeving en omvang van de verstrekte gegevens eraan in de weg staan om een eenvoudig doorzoekbaar bestand te verstrekken. Het programma Hansken maakt een dergelijk onderzoek wel mogelijk, maar kan uitsluitend worden gebruikt op locatie bij het Nederlands Forensisch Instituut (NFI), en daarbij kan een verdachte die zich in voorlopige hechtenis bevindt om beveiligingsredenen niet (fysiek) aanwezig zijn.

De rechtbank wil in een aanvullend proces-verbaal nader worden voorgelicht over de technische (on)mogelijkheden en de redenen waarom de eerder toegezegde informatie door de verdediging slechts bij het NFI kan worden ingezien. De rechtbank stelt de verdediging een termijn voor het verstrekken van een overzicht van in het dossier weergegeven gesprekken die zij nader wensen te onderzoeken.

Veroordeling voor drugshandel met belangrijke bewijsrol van EncroChat-berichten

In een andere zaak buigt de rechtbank Zeeland-West-Brabant zich op 24 februari 2021 in een andere zaak over de rechtmatigheid van het onderzoek aan EncroChat-berichten. In deze zaak wordt een verdachte veroordeeld (ECLI:NL:RBZWB:2021:735) voor 6 jaar gevangenisstraf en een geldboete van 20.000 euro voor cocaïnehandel. In deze zaak voert de verdediging (o.a.) aan dat de voorwaarden van de rechter-commissaris om de data uit onderzoek 26Lemont te gebruiken niet zijn gerespecteerd en onvoldoende vast is komen te staan dat de accountnaam verdachte alleen door verdachte is gebruikt.

De rechtbank overweegt dat in een brief beschreven staat dat de Franse autoriteiten door middel van een ‘interceptie-tool’ inzicht en informatie hebben verkregen over de communicatie die is gedeeld op een forum. De Franse politie heeft onder gezag van de Franse officier van justitie, na machtiging van een Franse rechter, de interceptietool ingezet. Omdat in Nederland een soortgelijk strafrechtelijk onderzoek is opgestart, is een Joint Investigation Team (hierna: JIT) opgericht door Nederland en Frankrijk. In de JIT-overeenkomst is, zoals gebruikelijk, overeengekomen dat alle informatie en bewijsmiddelen die ten behoeve van het JIT worden vergaard worden gevoegd in een gezamenlijk onderzoeksdossier. Zekerheidshalve is ook de inzet van de hackbevoegdheid in onderzoeken naar georganiseerde misdaad (artikel 126ua Sv) ingezet. De rechter-commissaris heeft op 27 maart 2020 besloten om deze machtiging, ex artikel 126uba Sv, te verlenen onder een zevental voorwaarden. Op 16 september 2020 heeft een officier van justitie van het Landelijk Parket, op grond van artikel 126dd Sv, bepaald dat gegevens die zijn vergaard tijdens het onderzoek 26Lemont kunnen worden gebruikt in het onderzoek Catamaran. 

Kortgezegd stelt de rechtbank voorop dat het internationale vertrouwensbeginsel met zich mee brengt dat de inzet van buitenlandse bevoegdheden op basis van buitenlands recht (in dit geval Frans recht) in beginsel niet getoetst wordt door een Nederlandse rechter. In het licht van het internationale vertrouwensbeginsel wordt niet ingezien hoe de Nederlandse machtiging aan de in Frankrijk vastgestelde rechtmatigheid van eventuele aldaar geconstateerde inbreuken kan toe of af doen. Onder deze omstandigheden is de rechtbank van oordeel dat aan het eventueel niet voldoen aan voorwaarden gekoppeld aan die Nederlandse machtiging geen rechtsgevolgen kunnen worden verbonden. De gegevens zijn aan het onderzoek Catamaran toegevoegd op grond van artikel 126dd Sv. Dit betreft de wettelijke basis waarop informatie uit strafrechtelijke onderzoeken onderling gedeeld kan worden. Het is niet gebleken dat deze toevoeging onrechtmatig tot stand is gekomen en daarom is volgens de rechtbank geen sprake van een vormverzuim.

Veroordeling voor online opruiing na instellen van avondklok

Vier mannen uit Utrecht, Almere, Weesp en Hilversum zijn door de rechtbank Midden-Nederland veroordeeld (ECLI:NL:RBMNE:2021:12) tot (voorwaardelijke) gevangenisstraffen én taakstraffen vanwege online opruiing. Het viertal verstuurde online opruiende teksten. De uitspraak is interessant gezien de rellen in 2021 tegen de invoering van de avondklok in Nederland.

Voor een bewezenverklaring van opruiing moet aan de volgende vier vereisten zijn voldaan.

1. Er is geprobeerd anderen aan te sporen tot het plegen van enig strafbaar feit of gewelddadig optreden tegen het openbaar gezag. Het is niet nodig dat het feit waartoe wordt aangezet ook daadwerkelijk wordt gepleegd.

2. Er moet sprake zijn van opzet. Dat kan voorwaardelijk opzet zijn: het bewust de aanmerkelijke kans aanvaarden dat wordt opgeruid tot het plegen van een strafbaar feit.

3. De uitlating is in het openbaar gedaan. Het internet kan worden aangemerkt als een openbare plaats, mits het publiek toegang heeft tot de internetpagina waar de teksten zijn weergegeven. Indien de desbetreffende uitlatingen op voor het publiek toegankelijke sociale media worden geplaatst, zijn de uitlatingen in de openbaarheid gebracht.

4. De uitlating moet bovendien mondeling of bij geschrift of afbeelding zijn gedaan. Daaronder zijn inbegrepen video’s en tekstberichten op internet en sociale media.

In de onderhavige zaak werd op 16 april 2019 onder andere een afbeelding op internet geplaatst met de tekst:

“Voor diegenen die willen, zaterdag gaan we politiebureau in Utrecht laten trillen.

Wie ballen heeft moet komen, geen mietjes die kunnen naar [naam] .

Ben klaar met dat politiegeweld.”

Boven de afbeelding stond de naam van de verdachte. Ter zitting heeft verdachte verklaard dat hij het filmpje en de afbeelding op Snapchat heeft geplaatst uit onvrede met het politieoptreden bij een aanhouding op 16 april 2019 op de Kanaalstraat in Utrecht. Ook heeft verdachte verklaard dat hij destijds op Snapchat zo’n 10.000 volgers had.

De rechtbank is van oordeel dat de door verdachte gedane uitlatingen redelijkerwijs niet anders kunnen worden begrepen dan als een aansporing tot gewelddadig optreden tegen de politie. Daarbij geldt dat de teksten in hun geheel, in hun onderlinge samenhang en in hun context begrepen moeten worden. Tegen de achtergrond van de gewelddadige rellen die enkele weken eerder op Urk hadden plaatsgevonden en waarbij veel jongeren van buiten Urk betrokken waren, kan deze tekst door een gemiddeld persoon niet anders worden opgevat dan een oproep tot gewelddadigheden tegen de politie. Dit geldt temeer nu verdachte opriep om de adressen van de agenten, die onder andere als kankerflikkers werden bestempeld, te laten publiceren en mensen opriep om het politiebureau te laten trillen, waarbij ‘mietjes’ niet welkom waren.

Bij haar oordeel betrekt de rechtbank dat verdachte de teksten heeft verspreid onder zijn (ongeveer) 10.000 volgers en dus niet slechts aan een select gezelschap van bekenden. De rechtbank legt deze verdachte een gevangenisstraf op van 45 dagen, waarvan 30 dagen voorwaardelijk. Ook moet hij een taakstraf van 40 uur uitvoeren. De rechtbank houdt rekening met de persoonlijke omstandigheden van de verdachte.

Cybercrime jurisprudentieoverzicht januari 2021

Beslissingen in EncroChat-zaken

De rechtbank Amsterdam heeft op 18 december 2020 enkele belangrijke beslissingen genomen in de bekende EncroChat-zaken (het onderzoek wordt ‘26Douglasville’ genoemd) (Rb. Amsterdam 18 december 2020, ECLI:NL:RBAMS:2020:6443). De verdediging verzoekt tot toegang tot stukken uit een ander onderzoek (‘26Lemont’) om onderzoek te doen naar de rechtmatigheid van het onderzoek naar de EncroChat-hack ter nadere onderbouwing van hun verweer.

Kortgezegd meent het Openbaar Ministerie er geen aanleiding is om de door de verdediging gevraagde stukken aan het dossier toe te voegen, omdat een bevoegde rechterlijke autoriteit zowel in Frankrijk als in Nederland heeft getoetst of de gehanteerde werkwijze rechtmatig was. Toch blijft dan nog steeds onduidelijk wat de werkwijze precies was.

De rechtbank stelt kortgezegd dat het internationaal vertrouwensbeginsel impliceert dat het niet tot de taak van de Nederlandse strafrechter behoort om te toetsen of een door een andere EVRM-lidstaat uitgevoerd strafrechtelijk onderzoek in overeenstemming is met de in die lidstaat geldende rechtsregels (met verwijzing naar HR 5 oktober 2010, ECLI:NL:HR:2010:BL5629). Er hoeven past rechtsgevolgen te worden verbonden aan de vormverzuimen als het recht op een eerlijk proces onvoldoende kan worden gewaarborgd. De rechtbank vindt dat de verdediging onvoldoende onderbouwd waarom de stukken moeten worden versterkt. Persoonlijk heb ik begrip voor het pleidooi van de advocaten en tegelijkertijd begrijp ik de verwijzing naar staande jurisprudentie van de rechtbank. Het is een zaak die ik zeker met interesse blijf volgen.

De rechtbank overweegt zelfs dat door de raadslieden onvoldoende is onderbouwd dat onderzoek 26Lemont heeft te gelden als een voorbereidend onderzoek naar de verdachten in onderzoek 26Douglasville. De JIT-overeenkomst vormt de basis waarop de door de Franse autoriteiten vergaarde informatie uit onderzoek 26Lemont aan Nederland is verstrekt. De rechtbank draagt (vooralsnog) het Openbaar Ministerie niet op de JIT-overeenkomst aan het dossier toe te voegen. De hele constructie met JIT’s begrijp ik persoonlijk nog niet goed, dus deze overweging kan ik niet op waarde schatten.

Zie ook deze fascinerende podcast van 25 oktober 2020 op AD.nl over de EncroChat-zaken.

Hoger beroep in moordzaak en Google-tijdlijn gegevens

Het Hof Arnhem-Leeuwarden heeft op 1 december 2020 een verdachte in hoger beroep veroordeeld (ECLI:NL:GHARL:2020:9865) tot een gevangenisstraf van 20 jaar voor het medeplegen van de moord op haar echtgenoot. Het hof leunt voor de bewijsvoering sterkt op de resultaten van de Google Timeline behorende bij het Google-account van het slachtoffer, terwijl de verdachte ontkent. Eerder heb ik ook over de zaak in eerste aanleg (Rb. Noord-Nederland 11 juli 2019, ECLI:NL:RBNNE:2019:2986) bericht. De zaak is interessant omdat de bewijsvoering sterk op de gegevens van Google berust terwijl de betrouwbaarheid daarvan wordt betwist. Mijn verwachting is dat deze gegevens vaker gebruikt zullen worden. Zie ook deze artikelen in Wired (‘How Your Digital Trails Wind Up in the Police’s Hands‘) over digitaal bewijs van Google, onder andere over de fascinerende ‘geofence-warrants‘, waarbij Google verkeersgegevens van Androidtelefoons in een bepaald gebied en een bepaalde tijd aan opsporingsinstanties moeten verstrekken.

Het hof stelt voorop dat aan de hand van gebruikersactiviteiten en locatiegegevens van het Googleaccount van het slachtoffer inzicht is verkregen in een tijdlijn met locaties en daarbij behorende activiteitgegevens, waaronder gebruikersactiviteiten (de Google Timeline). Het hof gebruikt de ‘confidence-waarde’ van Google om te bepalen wat de mate van waarschijnlijkheid dat de geschatte type activiteit (door Google) correct is. Zo wordt in het arrest beschreven: ‘Om 00:27:38 uur bevindt het toestel van het slachtoffer zich volgens de locatiegegevens van Google met een waarschijnlijkheid van 95% op een gebruiker die aan het lopen is. Volgens de gebruikersactiviteiten van Google verandert de hoek waarop het toestel zich bevindt aanzienlijk om 00:40:09 uur, met een waarschijnlijkheid van 100%. Om 00:43:18 uur beweegt het toestel niet, met een waarschijnlijkheid van 100%’.

In eerste aanleg is een contra-expertise verricht naar de Google Timeline. De Telecomdeskundige van het Nationaal Forensisch Onderzoeksbureau (hierna: NFO) heeft in eerste aanleg ter terechtzitting verklaard dat hij zijn eigen script op de ruwe data van Google Timeline heeft toegepast. De gegenereerde tijdstippen en positie heeft hij geplot in Google Maps en daaruit kwamen exact dezelfde posities naar voren als weergegeven in het politieonderzoek. In hoger beroep bepleit de verdediging dat de gegevens niet betrouwbaar zijn. Daarbij is een rapport ingebracht van het ‘Nederlands Forensisch Incident Response’ (hierna: NFIR). Ik mis de technische expertise en details van de zaak om het digitaal bewijs op waarde te schatten. De tegenstelling over de betrouwbaarheid is in ieder geval opvallend.

Het hof overweegt daarover dat tussen de digitale experts van de politie, het NFO en het NFIR consensus bestaat over het feit dat Google locatiegegevens niet gebruikt kunnen worden om een mobiele telefoon met absolute zekerheid en precisie op een specifieke locatie te plaatsen, en dat de politie en de NFO deskundige met de ruwe data van Google Timeline in Google Maps tot exact dezelfde tijdstippen en posities komen. Het hof stelt vast dat de door de verdediging ingeschakelde forensisch onderzoekers (NFIR) een dergelijk volledig onderzoek niet is verricht.

Kortgezegd ziet het Hof geen enkele reden om aan de betrouwbaarheid van de Google locatiegegevens te twijfelen en deze niet voor het bewijs te bezigen. Daarbij benadrukt het hof dat de Google locatiegegevens in het kader van de bewijsvoering slechts worden gebruikt als een indicatie van de locatie van het telefoontoestel, beschouwd in het licht van de door Google zelf aangegeven confidence-waarde. Het hof beschouwt de bevindingen van Google Timeline uiteindelijk in combinatie met de resultaten van het bloedspoorpatroononderzoek en het pathologisch onderzoek en is daarmee door het bewijs overtuigd dat de verdachte de moord heeft gepleegd.

Veroordeling voor drugshandel op darknet markets

Op 16 december 2020 heeft de rechtbank Rotterdam een verdachte veroordeeld (ECLI:NL:RBROT:2020:11624) voor drugshandel via darknet markets en deelname aan een criminele organisatie. De verdachte is veroordeeld tot een gevangenisstraf van 24 maanden en een taakstraf van 240 uur. Eén van de zes medeverdachten wordt vrijgesproken van deelneming aan een criminele organisatie.

De bewijsvoering over drugshandel via darkweb is met name interessant om te lezen. De uitspraak vermeld bijvoorbeeld de handgeschreven prijslijst met verboden middelen, inloggegevens van de darknet markten ‘Alphabay’ en ‘Valhalla’, een Excellijst met verkopen uit de drugshandel per darknet market en een handleiding genaamd ‘hoe bestellingen af te handelen op de dark markets’.

De medeverdachten verstopten pakketten met drugs in uitgeholde kaarsen en verstuurden deze vanuit hun woning naar adressen in het buitenland. In de berging van de woning en de schuur van hun grootmoeder zijn aanzienlijke hoeveelheden verdovende middelen aangetroffen.

Fraude door scan van QR-code

Op 15 december 2020 heeft de rechtbank Den Haag een verdachte veroordeeld (ECLI:NL:RBDHA:2020:12796) tot vier maanden gevangenisstraf voor oplichting, computervredebreuk, diefstal met een valse sleutel en witwassen.

Hij verdiende zijn geld door middel van fraude met een QR-code. Dat ging als volgt in zijn werk. De verdachte sprak het slachtoffer aan op het station Hollands Spoor die hem op zijn telefoon de ING Mobiel Bankieren app liet zien, waarin op dat moment een QR-code zichtbaar was. De man vroeg hem om die QR-code te scannen om 2 euro naar zijn bankrekening over te maken, omdat hij geld tekort kwam voor het kopen van een treinkaartje. Een dag later bemerkte het slachtoffer dat er buiten zijn medeweten vanaf zijn bankrekening transacties waren verricht. Op de camerabeelden van station Hollands Spoor was te zien dat het slachtoffer werd aangesproken door verdachte, en een handeling verrichte op zijn telefoon (het scannen van de QR-code).

De rechtbank ziet in het handelen van de verdachte listige kunstgrepen en een samenweefsel van verdichtsels (vereist voor het delict oplichting). De verdachte heeft het slachtoffer in strijd met de waarheid voorgespiegeld dat hij door het scannen van de QR-code twee euro naar de bankrekening van verdachte zou overmaken. Op de camerabeelden van een kledingwinkel in Amsterdam is waar te nemen dat verdachte een dag later, op 4 november 2019 om 15:05 uur, een jas van € 995,- afrekende, terwijl uit de bankrekeninggegevens van het slachtoffer blijkt dat op precies hetzelfde tijdstip een bedrag van € 995,- van de bankrekening is afgeschreven bij de betreffende kledingwinkel in Amsterdam.

De verdachte is met bovenstaande handelingen ook binnengedrongen in een (deel van een) geautomatiseerd werk, namelijk de beveiligde internetbankierenomgeving van ING-bank. Verdachte heeft dit gedaan met inloggegevens tot het gebruik waarvan hij niet bevoegd was, en door zich voor te doen als geautoriseerde ING-klant, zodat in het kader van de computervredebreuk zowel sprake is van het gebruik van een valse sleutel, als van het aannemen van een valse hoedanigheid.

Jurisprudentieoverzicht inlichtingen en recht december 2020

Vrijspraak deelname terroristische organisatie 

Op 29 oktober 2020 heeft het Hof Den Bosch een Syriëganger vrijgesproken (ECLI:NL:GHSHE:2020:3371) van deelname aan een terroristische organisatie (IS/DEAESH en/of Jabat al-Nusra). De verdachte is in 2013 afgereisd naar Syrië en is in een trainingskamp verbleven. Ook heeft hij meermalen websites bezocht en filmpjes bekeken met een radicaal extremistische inhoud, contant geld ontvangen en daarmee een vliegticket gekocht, de Arabische taal (aan)geleerd en op 17 oktober 2016 getracht om via de Balkanroute naar Syrië af te reizen.

Toch heeft het hof in het procesdossier geen bewijsmiddelen aangetroffen en is daarom ook niet tot de overtuiging bekomen dat verdachte ook daadwerkelijk deel heeft uitgemaakt van een terroristische organisatie c.q. is toegelaten tot een terroristische organisatie. De verdachte heeft volgens het Hof ook geen wezenlijke bijdrage geleverd aan het verwezenlijken van de doelen van een terroristische organisatie.

Wel wordt verdachte veroordeeld voor voorbereidingshandelingen van het plegen van terroristische misdrijven (artikel 96 lid 2 Sr) en het (zichzelf) trainen tot het plegen van terroristische misdrijven (artikel 134a Sr). Het hof acht bewezen dat het de bedoeling van de verdachte was om via Duitsland en/of Boedapest (de Balkanroute) of Turkije, naar Syrië te reizen teneinde zich te begeven in Syrië en dat de reis derhalve is ondernomen ter voorbereiding van het plegen van terroristische misdrijven. Het bewijs is onder meer afkomstig van pintransacties, digitaal forensisch onderzoek en openbronnenonderzoek. De verdachte krijgt een gevangenisstraf opgelegd van 800 dagen, waarvan 473 voorwaardelijk een proeftijd van drie jaar. De kans op recidive wordt ingeschat als hoog.

Minister gevrijwaard van aansprakelijkheid bij publicatie rapport NCTV?

Op 21 december 2020 heeft de rechtbank Den Haag in een kort geding een vordering afgewezen (ECLI:NL:RBDHA:2020:13109) voor een rectificatie in het Dreigingsbeeld Terrorisme Nederland nr. 53. De zaak was aangespannen door de ‘Muslim Rights Watch Nederland’ (MRWN), omdat zij vonden dat ze worden zwartgemaakt door het NCTV door hen zonder feitelijke onderbouwing aan te merken als ‘politiek-salafistische aanjagers die onverdraagzaam, anti-integratief en antidemocratisch gedachtengoed verspreiden’. Ze stellen dat hun vrijheid van meningsuiting en recht op een persoonlijke levenssfeer is geschaad (art. 8 en 10 EVRM), onder andere omdat ze hun denkbeelden niet meer effectief kunnen uitdragen omdat ze niet meer als integer worden beschouwd.  

De staat voert de opmerkelijke, maar klaarblijkelijk uiterst effectieve, verdediging door te stellen dat op grond van artikel 71 Grondwet de staat niet kan worden aangesproken over datgeen dat aan de Staten-Generaal is voorgelegd (in dit geval: het Dreigingsbeeld Terrorisme Nederland). Het idee is dat hiermee wordt beschermd dat de (in dit geval) minister zich in het parlementaire debat kan uiten in de wetenschap dat een controle op de geoorloofdheid van hun uitlatingen niet bij de rechter berust. Voorkomen moet worden dat de minister zich in het parlementaire debat en bij de informatieverschaffing aan – in dit geval – de Tweede Kamer terughoudend opstelt om civielrechtelijke aansprakelijkheid van de Staat te vermijden (de rechtbank verwijst hierbij naar een niet gepubliceerde uitspraak van het Hof Den Haag, 27 mei 2004, ECLI:NL:GHSGR:2004:AQ8950). 

De (succesvolle) verdediging noem ik opmerkelijk, omdat hier zelden een beroep op wordt gedaan. Artikel 71 Gw beschermt de minister voor uitspraken tijdens een parlementair debat. De minister is dan immuun voor aansprakelijkheid, maar de staat in zijn algemeenheid niet (zie ook dit arrest van de Hoge Raad). Maar ook het beroep op artikel 8 en 10 EVRM slaagt volgens de rechter niet. In andere zaken die in deze rubriek zijn beschreven binnen het domein van het bestuursrecht gaan de rechters na of een conclusie wordt gestaafd op basis van de onderliggende stukken in bijvoorbeeld een ambtsbericht van de AIVD. Hier komt de rechter daar niet aan toe. Wellicht staat de verdediging in soortelijke zaken in de toekomst sterker met een verweer waarbij duidelijker wordt gemaakt wat de schade precies is.  

Intrekking Nederlanderschap  

Op 25 november 2020 heeft de rechtbank Den Haag een beroep over de intrekking van Nederlanderschap als ongegrond verklaard (ECLI:NL:RBDHA:2020:12130). Het Nederlanderschap was op 30 oktober 2019 ingetrokken op grond van artikel 14 lid 3 van de Rijkswet op het Nederlanderschap en de vrouwelijke verdachte tot ongewenst vreemdeling verklaard, wegens gevaar voor de nationale veiligheid door deelname aan een internationaal gewapend conflict. Aan dit besluit lag een ambtsbericht van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) van 27 september 2019 ten grondslag.

Daarin was vermeld:

“Betrokkene is medio juli 2013 uitgereisd naar Syrië. Zij is daar eind juli 2013 (islamitisch) getrouwd met een ISIS-strijder. In die tijd verheerlijkte zij openlijk de werkwijze van ISIS, daarnaast poseerde betrokkene met een automatisch vuurwapen.

Betrokkene bleef ook na 11 maart 2017 aangesloten bij ISIS. Betrokkene deed pro-ISIS uitlatingen via sociale media en faciliteerde bij de verspreiding van pro-ISIS uitlatingen in het (semi-)openbaar. Zo spreekt verzoekster publiekelijk positief over haar leven in een gebied waarin de religieuze politie van ISIS actief is. Verder maakt verzoekster het in 2018 mede mogelijk dat het martelaarschap via sociale media wordt verheerlijkt en een afbeelding van een aanslagmiddel wordt gedeeld.

Betrokkene was tot begin 2019 in het door ISIS gecontroleerd gebied en bevond zich in het voorjaar van 2019 in een Koerdisch kamp. Betrokkene heeft in Syrië twee kinderen gekregen; [kind 1] , geboren omstreeks april 2015 en [kind 2] , geboren omstreeks september 2016.”

De rechtbank heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties verzocht inzage te geven in de stukken die ten grondslag liggen aan het ambtsbericht. De minister heeft de rechtbank (onder verwijzing naar artikel 8:29 lid 1 van de Algemene wet bestuursrecht (Awb)) medegedeeld dat alleen de rechtbank kennis mag nemen van de onderliggende stukken van het ambtsbericht. De geheimhoudingskamer van de rechtbank heeft bepaald dat deze beperking gerechtvaardigd is. De raadvrouw van de verdachte mocht de onderliggende stukken niet inzien.

Eiseres heeft zich op het standpunt gesteld dat het ambtsbericht niet als een deskundigenbericht kan worden beschouwd omdat de AIVD in het bericht geen conclusie heeft opgenomen over het gevaar van eiseres voor de nationale veiligheid. Eiseres ziet dit als een kennelijke weigering van de AIVD om haar als een gevaar te bestempelen. In dit verband verwijst eiseres naar het op 16 juni 2020 gepubliceerde rapport van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (hierna: CTIVD) over de intrekking van het Nederlanderschap, waaruit volgens haar blijkt dat de AIVD moeite c.q. weerzin heeft zich in zaken van de IND te mengen.

De rechtbank overweegt dat het betoog van eiseres dat het ambtsbericht geen conclusies over de nationale veiligheid bevat niet slaagt, nu in het ambtsbericht onder meer vermeld staat dat eiseres aangesloten was bij ISIS en de werkwijze van ISIS verheerlijkte. Het is vervolgens aan verweerder om te beoordelen of het gestelde in het ambtsbericht tot de conclusie leidt dat eiseres een gevaar vormt voor de staatsveiligheid. Zoals verweerder ter zitting terecht heeft gesteld is de gebruiker van het deskundigenbericht verantwoordelijk voor diens eigen conclusies en besluiten. Het rapport van de CTIVD biedt geen aanknopingspunten voor het oordeel dat op grond daarvan geen betekenis aan de uitgebrachte ambtsberichten kan worden gehecht. De rechtbank overweegt dat het ambtsbericht voldoende feitelijke en concrete informatie bevat over de gedragingen van eiseres, ook na 11 maart 2017, die niet is weerlegd. Het gaat daarbij bijvoorbeeld om foto’s op sociale media van de vrouw met een aanslagmiddel en verstuurde chatberichten. De rechtbank acht het – mede gelet op de geheime stukken die door de rechtbank zijn ingezien – voldoende aannemelijk dat de berichten van eiseres afkomstig waren. Bovendien betreft dit ook berichten van na maart 2017, welke de bevindingen uit het ambtsbericht in voldoende mate onderbouwen.

De rechtbank overweegt ten slotte nog: ‘Door er zelf voor te kiezen om naar Syrië te vertrekken om aldaar een zelfstandig bestaan in door ISIS gecontroleerd gebied te gaan leiden en aldaar te huwen met een ISIS-strijder waarmee zij twee kinderen heeft gekregen, heeft eiseres zelf de afweging gemaakt om niet langer feitelijk in de nabijheid van haar familieleden in Nederland te verblijven’. Haar kinderen behouden Nederlanderschap, zijn onder toezicht gesteld en verblijven bij haar zus. De verdachte zelf is in Nederland gedetineerd.

Geheimhouding en inzage tot stukken 

Een verzoek tot kennisneming van gegevens (zoals gespreksverslagen, memo’s, notities) van de appellant met betrekking tot verhoren in een spionagezaak is afgewezen voor zover het om ‘actuele gegevens’ gaat (ECLI:NL:RVS:2020:2635). De appellant heeft wel van de minister inzagedossier van 113 pagina’s ontvangen over de periode van 1974-2011, voor zover het niet om actuele gegevens gaat.

Na de einduitspraak van de rechtbank heeft de minister per document toegelicht waarom inzage in de gegevens is geweigerd. De minister heeft verder voor een aantal geel gemarkeerde delen een nadere motivering gegeven in de alleen voor de Afdeling kenbare passages van de brief van 3 juni 2019.

De Raad van State overweegt dat een organisatie als de AIVD zijn wettelijke taak uitsluitend met een zekere mate van geheimhouding effectief kan uitvoeren. Dit betekent dat de AIVD zijn actuele kennisniveau, zijn bronnen en zijn werkwijze geheim moet kunnen houden om de veiligheid van de daarbij betrokken personen en de veiligheid van de staat te kunnen waarborgen en onderzoeken niet in gevaar te brengen. De verstrekking van gegevens mag worden geweigerd als de nationale veiligheid daardoor kan worden geschaad.

Voor zover documenten zijn geweigerd wegens de bescherming van bronnen, heeft de Afdeling eerder overwogen (in o.a. ECLI:NL:RVS:2014:3264) dat het belang daarvan niet alleen is gelegen in het waarborgen van de veiligheid van in het bijzonder menselijke bronnen maar, in het verlengde daarvan, ook in het voorkomen dat bronnen geen informatie aan de AIVD meer willen verstrekken, hetgeen het goed functioneren van die dienst belemmert waardoor de nationale veiligheid wordt geschaad. Verder heeft de Afdeling eerder over deze weigeringsgrond overwogen (in o.a. ECLI:NL:RVS:2014:3265) dat die weliswaar absoluut is, maar dat de minister wel in ieder concreet geval moet beoordelen of de nationale veiligheid wordt geschaad door verstrekking van de gegevens.

De Afdeling heeft over de weigering van kennisneming wegens de actuele werkwijze van de AIVD (ECLI:NL:RVS:2014:3264) overwogen dat de enkele omstandigheid dat de gegevens gedateerd zijn niet betekent dat de minister zich niet op het belang van bescherming mag beroepen, omdat ook in het verleden gebruikte werkwijzen nog steeds door de AIVD kunnen worden ingezet.

De rechters concluderen na kennisneming van de stukken, waaronder ook de geheime motivering, dat de minister in dit geval passages heeft mogen weigeren. Met het bovenstaande biedt de Raad van State een mooi overzichtsarrest over de jurisprudentie met betrekking tot het recht op inzage.

Op sanctielijst terrorisme 

De afdeling bestuursrechtspraak van de Raad van State heeft op 14 oktober 2020 een arrest (ECLI:NL:RVS:2020:2420) gewezen over de toepassing van de Sanctieregeling Terrorisme 2007-II op een persoon. De persoon is volgens de minister lid van de door de Europese Unie als terroristisch aangemerkte organisatie ‘Devrimci Halk Kurtuluş-Cephesi’ (DHKP/C). Hij zou fondsen werven voor de organisatie en het tijdschrift ‘Yürüyüs’ verspreiden, waarin aanslagen en aanslagplegers van DHKP/C worden verheerlijkt. De fondsen zijn daarop bevroren. De minister kwam tot dit oordeel door een ambtsbericht van de AIVD. De appellant ontving het ambtsbericht in de bezwaarfase, waarin stond vermeld:

“In het kader van de uitvoering van zijn wettelijke taak beschikt de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) over de volgende betrouwbare informatie met betrekking tot [appellant] (geb. [datum] in [plaats]). [appellant] is een leidinggevend lid van de DHKP/C (Devrimci Halk Kurtulus Partisi/Cephesi) en stond in contact met [DKHP/C-leider] (geb. [datum]). De DHKP/C (Devrimci Halk Kurtulus Partisi/Cephesi) is geplaatst op de internationale lijst van terroristische organisaties (zie besluit 2013/395/GBVB van de Raad van de Europese Unie van 25 juni 2013).

[appellant] werft fondsen voor de DHKP/C en verspreidt het blad “Yürüyüs” waarin aanslagen en aanslagplegers van de DHKP/C worden verheerlijkt. Door zijn activiteiten ondersteunt [appellant] de terroristische activiteiten van de DHKP/C.”

De Afdeling is zeer kritisch over het ambtsbericht. Zij heeft de geheime stukken in het AIVD-dossier ingezien. Daaruit blijkt dat de appellant een zekere rol speelt binnen DHKP/C, maar zonder nadere toelichting van de minister is niet duidelijk waarom die stukken de conclusie rechtvaardigen dat de appellant een leidinggevende functie binnen de organisatie vervult. De contacten met de leider van DHKP/C zijn niet aan de bevriezingsmaatregel ten grondslag gelegd en duiden ook overigens niet op een leidinggevende functie van de appellant. De structuur, opbouw en invulling van functies binnen de organisatie en de positie van de appellant daarin is in de stukken niet uiteengezet. Een nadere toelichting ten aanzien van de leidinggevende positie van de appellant binnen de organisatie kon door de minister ter zitting niet worden gegeven, omdat de aanwezige vertegenwoordiger niet op de hoogte was van de inhoud van het onderliggende AIVD-dossier.

De Raad van State acht het besluit van de minister daarom onvoldoende gemotiveerd. De Afdeling merkt ten slotte nog op dat niet de AIVD maar de minister een beroep kan doen op de procedure van artikel 8:29 Awb. Het besluit van de toepassing van de sanctieregeling wordt daarom vernietigd en de minister zal een nieuw besluit op het bezwaar van de appellant moeten nemen.

Cybercrime jurisprudentieoverzicht december 2020

Een Facebook account is geen ‘geautomatiseerd werk’

Het Hof Den Haag heeft op 22 september 2020 een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2005) voor belaging, maar vrijgesproken van computerbreuk. Een ‘Facebookaccount’ kan niet worden aangemerkt als een geautomatiseerd werk in de zin van artikel 80sexies Sr; een webserver die de opslag van gegevens en de verwerking van gegevens verzorgen voor een account is dat mogelijk wel. De webserver behoort niet toe aan het slachtoffer, maar is in eigendom van Facebook. Het OM moet bewijzen dat de verdachte is binnengedrongen in de webserver. In deze zaak kon alleen bewezen worden dat de beveiligingsvraag door de verdachte was gewijzigd. De verdachte heeft verklaard dat vervolgens het account werd geblokkeerd en zij niet verder heeft geprobeerd toegang te krijgen tot de gegevens. Het OM heeft daarom niet bewezen dat de verdachte daadwerkelijk toegang heeft verschaft tot afgeschermde gegevens in het Facebook-account van het slachtoffer en daarmee computervredebreuk heeft gepleegd.

Wel was er sprake van het delict belaging (artikel 285 lid 1 Sr). Daarvoor is volgens vaste jurisprudentie (HR 29 juni 2004, ECLI:NL:HR:2004:AO5710 en HR 4 november 2014, ECLI:NL:HR:2014:3095) van belang: de aard, de duur, de frequentie en de intensiteit van de gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer.

Kortgezegd heeft de verdachte diverse Facebook-, Twitter- en Instagram-accounts aangemaakt op naam van het slachtoffer. Op deze accounts en websites heeft de verdachte gedurende een periode van ruim drie maanden een liefdesverklaring geplaatst en foto’s en persoonlijke gegevens van de aangeefster gepubliceerd. Deze verklaringen op de accounts heeft het persoonlijke leven in sterke mate negatief beïnvloed. Volgens het Hof was er ook sprake van belaging bij een tweede slachtoffer.

De verdachte krijgt een voorwaardelijke gevangenisstraf opgelegd van drie maanden met een proeftijd van twee jaar en 120 uur taakstraf.

Bitcoins als ‘voorwerp’ en waardebepaling

Het Hof Den Haag heeft op 22 september 2020 een interessant arrest (ECLI:NL:GHDHA:2020:1804) gewezen over de inbeslagname van bitcoins. Voor het eerst oordeelt een rechtsinstantie dat bitcoins, vanwege hun eigenschappen, strafrechtelijk moeten worden gezien als voorwerp gekwalificeerd en daarmee ook vatbaar zij voor inbeslagname. Het hof overweegt dat ‘bitcoins voor menselijke beheersing vatbare objecten zijn met een reële waarde in het economische verkeer die voor overdracht vatbaar zijn. Er kan met bitcoins worden betaald. De feitelijke en exclusieve heerschappij ligt bij degene die toegang heeft tot een wallet en wordt verloren bij een succesvolle transactie naar een andere wallet. Bitcoins zijn bovendien individueel bepaalbaar: van iedere bitcoin wordt het ontstaan en iedere transactie die ermee wordt uitgevoerd, in de blockchain bijgehouden’. Daarom is het hof van oordeel dat bitcoins, vanwege deze eigenschappen, strafrechtelijk gezien als voorwerp gekwalificeerd kunnen worden. Dat is van belang vanwege bepaalde delictsomschrijven waarvan van een ‘voorwerp’ wordt gesproken en voor de strafvordelijke consequenties bij en na de inbeslagname van bitcoins.

De verdachte heeft ongeveer twee jaar lang als ‘cash trader’ gehandeld in bitcoins door (via internet) bezitters van bitcoins aan te bieden hun bitcoins om te zetten in contant geld. De verdachte en medeverdachten worden verweten een totaalbedrag van € 11.690.267,85 (!) te hebben witgewassen. De verdachte verkocht de verkregen bitcoins vervolgens aan cryptocurrency uitwisselingskantoren (‘exchanges’) als ‘Kraken’ of ‘Bitstamp’. Deze bedrijven betaalden de verdachte uit op bankrekeningen op zijn eigen naam en die van anderen. De identiteit van zijn klanten heeft de verdachte niet vastgesteld en hij hield geen administratie bij van zijn klanten. De verdachte hield slechts bij op welke datum hij een transactie heeft uitgevoerd, om welk bedrag het ging en de netto winst van die transactie in procenten uitgedrukt.

De verdachte hanteerde een hoog commissiepercentage, sprak af op openbare plekken en het ging veelal om grote bedragen. De gedragingen van verdachte voldoen hierdoor aan meerdere onderdelen van de in 2017 door de FIU opgemaakte ‘Witwastypologieën virtuele betaalmiddelen’. Van de verdachte mag worden verlangd dat hij een concrete, verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft dat het voorwerp niet van misdrijf afkomstig is.

De door de verdachte gegeven verklaring kan niet worden aangemerkt als een dergelijke verklaring voor de niet-criminele herkomst van het geld. Die verklaring en de overgelegde stukken bieden geen reëel tegenwicht aan het vermoeden van witwassen. Het hof is van oordeel dat de bitcoins en de geldbedragen uit misdrijf afkomstig waren en dat verdachte wist van de illegale herkomst. Gelet op de periode van bijna twee jaren, de hoogte van het totaalbedrag en de bedrijfsmatige handelswijze is het hof van oordeel dat verdachte van het witwassen een gewoonte heeft gemaakt. De verdachte krijgt een gevangenisstraf opgelegd van 43 maanden.

De rechtbank Rotterdam heeft op 23 oktober 2020 eveneens een interessante uitspraak (ECLI:NL:RBROT:2020:10073) gepubliceerd. In deze zaak werd de verdachte en medeverdachten verweten een bedrag van 16 miljoen euro te hebben witgewassen. De verdachte bood via internet bezitters van bitcoins aan om hun bitcoins om te zetten in contant geld. De klanten maakten bitcoins over naar één van de wallets van verdachte en/of aan hem gelieerde bedrijven en kregen vervolgens direct de tegenwaarde van deze bitcoins verminderd met een commissiepercentage contant uitbetaald. Daarbij hanteerde verdachte in vergelijking met reguliere bitcoin uitwisselingskantoren een ongewoon hoge commissie in van tussen 9,5%-15%, terwijl tussen 1-3% gebruikelijk is. De verdachte is veroordeeld tot een gevangenisstraf van 30 maanden, waarvan een half jaar voorwaardelijk.

De rechtbank verklaart 1488 bitcoins verbeurd waar geen beslag op lag. Het Openbaar Ministerie had geen beslag kunnen leggen op de bitcoins, omdat de ‘public key’ waarmee toegang kon worden verkregen tot de bitcoinadressen in de bitcoinwallets van verdachte versleuteld was en verdachte de ontsleuteling daarvan niet had prijsgegeven. Niettemin stelt de rechtbank vast dat de bitcoins zich ten tijde van de uitspraak nog in de bitcoinwallets bevonden. Bij die stand van zaken houdt de rechtbank aan dat de bitcoins in strafrechtelijke zin aan de verdachte toebehoren. De verdachte wordt de keuze gelaten het OM de volledige beschikkingsmacht over deze specifieke bitcoins te verschaffen, of de koerswaarde te betalen zoals deze heeft gegolden op de datum van de uitspraak, te vervangen door 12 maanden vervangende hechtenis.

Ontucht zonder lichamelijk contact

De Hoge Raad heeft op 27 oktober 2020 een belangrijk arrest (ECLI:NL:HR:2020:1675) gewezen over ontucht op afstand. De zaak gaat over een verdachte die via Instagram contact gehad met een meisje van destijds 13 jaar, waarbij hij zich voordeed als een jongen van 17 jaar. Het slachtoffer heeft verklaard dat verdachte naaktfoto’s van haar wilde. De verdachte is zelf begonnen met het versturen van naaktfoto’s. In eerste instantie durfde en wilde het slachtoffer geen naaktfoto’s (te) versturen, maar de verdachte heeft haar daartoe later toch overgehaald. Vervolgens stuurde het slachtoffer via WhatsApp twee thuis gemaakte naaktfoto’s en een op vakantie gemaakte naaktfoto aan verdachte. Deze foto’s zijn daadwerkelijk aangetroffen op de telefoon van verdachte.

Het hof overweegt onder verwijzing naar HR 30 november 2004, ECLI:NL:HR:2004:AQ0950 dat hoewel uit de bewijsmiddelen niet blijkt van lichamelijk contact tussen verdachte en het slachtoffer, niettemin sprake is geweest van enige voor het plegen van ontucht met het minderjarige slachtoffer. De Hoge Raad stelt in reactie voorop dat van het plegen van ontuchtige handelen met iemand beneden de leeftijd van zestien jaren ook sprake kan zijn als geen lichamelijke aanraking tussen de dader en het slachtoffer heeft plaatsgevonden. Of de gedraging(en) van de dader, al dan niet in onderlinge samenhang bezien, het plegen van ontuchtige handelingen met het slachtoffer opleveren, hangt af van de omstandigheden van het geval. Daarbij is in het bijzonder relevant in hoeverre tussen de dader en het slachtoffer enige voor het plegen of dulden van ontucht relevante interactie heeft plaatsgevonden. Daarvan zal slechts sprake kunnen zijn in uitzonderlijke gevallen.

De Hoge Raad is van oordeel dat de bewezenverklaring van het hof voor wat betreft het onderdeel ontuchtige handelingen plegen ‘met’ het slachtoffer ontoereikend is gemotiveerd. Daarbij acht de Hoge Raad mede relevant dat uit de vaststellingen van het hof niet kan worden afgeleid dat verdachte enige concrete bemoeienis heeft gehad met de wijze waarop het slachtoffer zijn verzoek om het toesturen van naaktfoto’s uitvoerde. Uit de bewijsvoering blijkt evenmin op andere wijze dat sprake zou zijn geweest van ontucht ‘met’ iemand.

Arrest gerelateerd aan Hansa Market operatie

Op 22 oktober 2020 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2065) voor medeplichtigheid aan handel in harddrugs (heroïne en cocaïne) en schuldig gemaakt aan het telen van hennep samen met de medeverdachte. De verdachte heeft haar telefoon en computer aan de medeverdachte beschikbaar gemaakt ten behoeve van drugshandel op de darknet market ‘Hansa Market’. Zij krijgt een 120 uur taakstraf opgelegd met twee jaar proeftijd.

De verdediging voert aan dat geen sprake is van een vorm van medeplegen voor de handel in drugs zoals ten laste gelegd, maar sprake is van medeplichtigheid. In overweging van het verweer herhaalt het Hof Den Haag dat voor medeplegen bewezenverklaard moet worden dat sprake is geweest van een voldoende nauwe en bewuste samenwerking bij het plegen van het strafbare feit. Ook als het tenlastegelegde medeplegen in de kern niet bestaat uit een gezamenlijke uitvoering tijdens het begaan van het strafbare feit, maar uit gedragingen die doorgaans met medeplichtigheid in verband plegen te worden gebracht, kan daarvan sprake zijn. Bij de beoordeling of daarvan sprake is, kan rekening worden gehouden met onder meer de intensiteit van de samenwerking, de onderlinge taakverdeling, de rol in de voorbereiding, de uitvoering of de afhandeling van het delict en het belang van de rol van de verdachte, diens aanwezigheid op belangrijke momenten en het zich niet terugtrekken op een daartoe geëigend tijdstip.

Het Hof spreekt de verdachte vrij van medeplegen, omdat uit het dossier niet blijkt dat de verdachte de accounts heeft gemaakt waarmee is gehandeld op Hansa Market. Uit het dossier blijkt evenmin dat zij de enveloppen heeft verzonden. Voorts is op grond van het dossier geen taakverdeling vast te stellen tussen de verdachte en haar toenmalige partner en kan niet worden bewezen of er sprake is geweest van een afgesproken, laat staan een gewichtige, rol. Wel wordt medeplichtigheid bewezen geacht.

Opvallend is dat het Hof de raadsvrouw heeft gevraagd of zij eventueel verweer wilt voeren op eventuele vormverzuimen bij de Hansa-operatie (zie hierover ook: Rb. Rotterdam 3 juli 2019, ECLI:NL:RBROT:2019:5339, Computerrecht 2019/178, m.nt. J.J. Oerlemans). De raadvrouw geeft aan hier geen verweer op te voeren. Het Hof ziet ook geen aanleiding ambtshalve in te gaan op eventuele vormverzuimen. Het verzoek tot teruggave van persoonlijke foto’s op de inbeslaggenomen laptop is volgens het Hof ten slotte onvoldoende gemotiveerd.

Veroordeling voor grootschalige phishing met malware

Op 19 november 2020 heeft de Rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2020:5038) voor de stevige gevangenisstraf van vier jaar voor computervredebreuk, oplichting, diefstal door middel van een valse sleutel, (gewoonte)witwassen en heling.

De verdachte en zijn medeverdachten achterhaalden met behulp van phishing-mails bankgegevens van meer dan zestig klanten van verschillende banken. Vervolgens bewogen zij een aantal van hen om geld over te maken. Hierbij maakten verdachte en zijn medeverdachten meer dan €480.000 buit. De zaak kwam aan het rollen door aangiftes van diverse banken in 2018, waaronder de Volksbank (SNS) en de ING bank. Vervolgens heeft een onderzoek plaatsgevonden naar verspreiders van e-mails met malware. Met die malware werden inloggegevens van internetbankieren van klanten achterhaald, waarmee vervolgens een nieuwe simkaart dan wel ‘digipas’ werd aangevraagd. Met die nieuwe simkaart dan wel digipas kon de fraudeur vervolgens geld overboeken vanaf de bankrekening van het slachtoffer naar bankrekeningen van zogenaamde katvangers. Een IP-adres dat is gebruikt bij deze frauduleuze transacties was aangesloten op het woonadres van verdachte. Op die manier is de naam van verdachte in dit onderzoek naar voren gekomen.

De werkwijze was iedere keer ongeveer hetzelfde: rekeninghouders vernamen via e-mail dat er een dreiging was rondom hun bankrekening. Door op de link in de e-mail te klikken, konden de verdachten de inloggegevens achterhalen. Vervolgens nam één van de verdachten telefonisch contact op met de rekeninghouders en wist hen te overtuigen om het geld over te boeken naar een ‘veilige rekening’. In werkelijkheid verdween het geld naar een rekening van een zogenaamde katvanger en werd dit direct opgenomen en/of omgezet in bitcoins. In totaal werden ruim 50 mensen slachtoffer van de acties van verdachten.

De verdachte in deze zaak had een bepalende rol bij het daadwerkelijk binnendringen in de geautomatiseerde werken, de digitale bankomgeving van de rekeninghouders. Hij logde in op de bankaccounts van de slachtoffers en gaf de bankgegevens aan zijn medeverdachte. Deze medeverdachte zocht vervolgens telefonisch contact op met de rekeninghouders en overtuigde de rekeninghouders tijdens de telefoongesprekken om ook echt geld over te maken.

Over het opsporingsonderzoek en de bewijsvoering is het volgende nog interessant te vermelden: uit onderzoek bleek dat de frauduleuze inloggegevens die sinds januari 2019 op de ING accounts plaatsvonden, vaak konden worden gekoppeld aan een IP-adres. Dit IP-adres bleek bij een netwerk van een hotel te behoren (red.: in de uitspraak staat: ‘dit bleek het IP-adres van een hotel te zijn’). Op 21 februari 2019 is dit aan de politie gemeld. Op 24 februari 2019 werd opnieuw door de ING bank vastgesteld dat werd ingelogd bij rekeninghouders van de ING bank vanaf het IP-adres van het hotel. Dezelfde dag zijn in het hotel de verdachte en de medeverdachte aangehouden. In hun hotelkamer werden digitale sporendragers aangetroffen en inbeslaggenomen, die in verband konden worden gebracht met computervredebreuk, oplichting, diefstal van geld en/of witwassen.

Ook de overwegingen over de opgelegde schadevergoeding maatregel zijn interessant. De verdachte moet onder andere € 154.580,73 schadevergoeding betalen aan de ING en een bedrag van €158.942,- aan de Rabobank. De rechtbank overweegt dat de banken kosten vorderen die zijn gemaakt om de schade van die personen te vergoeden die slachtoffer zijn geworden van oplichting. De banken zijn niet verplicht deze kosten te vergoeden, maar hebben vanuit een zorgplicht dan wel uit coulance gedaan. De rechtbank acht het wenselijk dat banken dit ook in de toekomst blijven doen.

Annotatie OV-chipkaart zaak

In het tijdschrift Computerrecht is recent mijn annotatie verschenen over de ‘OV-chipkaart’-zaak (ECLI:NL:RBMNE:2020:2277). De annotatie is hier te downloaden (.pdf).

Inleiding

Een ‘OV-chipkaart’ is een persoonsgebonden of anonieme kaart waarmee personen in Nederland kunnen reizen met het openbaar vervoer (zoals de trein, bus en tram). Op een persoonsgebonden OV-chipkaart staat een pasfoto, naam en geboortedatum vermeld. Het biedt als voordeel met kortingsproducten te reizen. Deze persoonsgegevens staan niet vermeld op een anonieme OV-chipkaart. Met een anonieme OV-chipkaart wordt op een vooraf opgeladen bedrag (saldo) gereisd. De OV-chipkaart bevat een bepaalde chip (de ‘Mifare Classic’ chip) en heeft een ‘Near Field Communication’ (NFC) functionaliteit, waardoor de gegevens op de chip eenvoudig en contactloos door een poortje kunnen worden uitgelezen. In de eerste helft van 2019 waren er in Nederland 7,46 miljoen persoonlijke OV-chipkaarten in omloop en 7,36 miljoen anonieme OV-chipkaarten (Kamerstukken II 2019/20, 23645, nr. 713 (Voortgangsrapportage NOVB eerste helft 2019)).

De verleiding voor hackers om een OV-chipkaart te hacken en daardoor gratis te reizen is blijkbaar groot. Sinds de eerste proeven met een OV-chipkaart in Nederland en de landelijke invoering van OV-chipkaart in 2012 zijn er op www.rechtspraak.nl vier uitspraken verschenen over computervredebreuk en OV-chipkaarten (ECLI:NL:RBROT:2013:9579, ECLI:NL:GHDHA:2015:1427, ECLI:NL:RBROT:2019:1101, ECLI:NL:GHDHA:2019:2426). Daarnaast wordt er ook serieus wetenschappelijk onderzoek uitgevoerd naar de veiligheid van de ‘Mifare Classic-chip’ in de OV-chipkaarten en komen om de zoveel tijd berichten naar buiten over kwetsbaarheden in die chip. De onderhavige zaak springt er vergeleken met de andere zaken over gehackte OV-chipkaarten uit, vanwege de lange duur dat de twee verdachten gratis konden (zwart)reizen en de hoogte van de toegewezen vordering.

De feiten

De werkwijze van de verdachte en de medeverdachte bestond onder meer uit het plaatsen van de OV-chipkaart op de NFC-kaartlezer en het met een script een ‘brute force’ aanval op de OV-chipkaart uitvoeren totdat de sleutel (‘key’) is achterhaald. Met de key kon toegang worden verschaft tot de OV-chipkaart, waarna het saldo kon worden veranderd. Voor het veranderen van het saldo werd het programma ‘OVChipAppV6’ gebruikt (Zie voor een meer gedetailleerde uitleg de BNR-podcast ‘Onderzoeksraad der dingen’, dossier #0010b: zwartrijden).

Veroordeling

Beide verdachten zijn veroordeeld voor computervredebreuk, valsheid in geschrifte met betaalpassen en voorhanden hebben van gegevens om valsheid in geschrifte te plegen. In deze zaak wordt voor het eerst wordt vervolgd voor het vervalsen van een OV-chipkaart als zijnde een ‘waardekaart’ (artikel 232 Wetboek van Strafrecht (‘Sr’)). Hoewel het vervalsen van betaalpassen of waardekaarten mogelijk ook onder het delict valsheid in geschrifte valt, heeft de wetgever met de Wet computercriminaliteit I in 1993 ervoor gekozen om hiervoor een aparte strafbepaling in het leven te roepen. Net als bij valsheid in geschrifte is ook het opzettelijk gebruiken, het opzettelijk afleveren of voorhanden hebben van een valse pas of kaart strafbaar (lid 2) (zie ook B.J. Koops & J.J. Oerlemans, ‘Materieel strafrecht & ICT’, p. 79-80 in: B.J. Koops & J.J. Oerlemans, Strafrecht & ICT, Monografieën recht en informatietechnologie, 3e druk, Den Haag: Sdu 2019).

In de uitspraak wordt verder niet ingegaan op het delict computervredebreuk (artikel 138ab Sr). Het Hof Den Haag legt in een eerder arrest (ECLI:NL:GHDHA:2015:1427) uit dat in feite computervredebreuk wordt gepleegd op de NFC chip op de OV-chipkaart, nu deze chip bestemd is (en de technische mogelijkheden heeft) om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

De chip is met andere woorden het ‘geautomatiseerde werk’ in juridische zin (artikel 80sexies Sr), waarop opzettelijk en wederrechtelijk wordt binnengedrongen. (Het begrip is overigens met de Wet computercriminaliteit III als volgt gewijzigd:

“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.”

De chip kwalificeert ook nu als geautomatiseerd werk, evenals de paaltjes waarbij men moet in- en uitchecken en de achterliggende IT-infrastructuur).

Verweer

De verdediging voert aan dat de verdachten slechts uit nieuwsgierigheid hebben gehandeld, waardoor het oogmerk op financieel gewin zou ontbreken. De rechtbank gaat hier niet in mee, omdat de verdachten hebben bekend dat zij veelvuldig het saldo van OV-chipkaarten “valselijk” hebben opgeladen. De verdediging voert ook aan dat slechts bestaande software zou zijn doorontwikkeld en niet is ‘vervaardigd’ in juridische zin. De rechtbank verwerpt dit verweer, omdat het een ‘feit van algemene bekendheid’ zou zijn dat nieuwe computerprogramma’s veelvuldig zijn gestoeld op een basis van reeds ontwikkelde software. Hierdoor ontstaat nieuwe software, waardoor wel degelijk sprake zou zijn van vervaardiging van software, zoals ten laste is gelegd.

Het openbaar ministerie kon de verdachten mogelijk ook vervolgen voor het ‘voorhanden hebben van een technisch middel of toegangscode met het oogmerk computervredebreuk te plegen’ (artikel 139d lid 2 Sr). In een meer recent arrest legt het Hof Den Haag verder uit dat een kaartlezer waarmee saldo kan worden verhoogd niet zonder meer kwalificeert als een technisch hulpmiddel in de zin van artikel 139d Sr. Het hof overweegt kortgezegd dat de kaartlezer een vrij verkrijgbaar elektronisch apparaat is, dat doorgaans wordt gebruikt voor het uitlezen en beschrijven van (onder meer) NFC-chips. Niet blijkt uit de inrichting of de eigenschappen van de kaartschrijver/kaartlezer dat de producent heeft bedoeld een hulpmiddel te produceren dat hoofdzakelijk is ontworpen voor het begaan van delicten als computervredebreuk. De software waarmee OV-chipkaarten kunnen worden gemanipuleerd zijn wél te beschouwen als ‘technisch hulpmiddel’ in de zin van artikel 139d Sr. Het hof overweegt dat deze software immers specifiek is ontworpen om binnen te dringen in OV-chipkaarten, teneinde het saldo op OV-chipkaarten aan te kunnen passen en daarmee het plegen van computervredebreuk.

Schade

De verdachten hebben ongeveer 1,5 jaar lang gratis gereisd op eigen anonieme OV-chipkaarten. Translink Systems heeft zich als benadeelde partij in het geding gevoegd en vordert een bedrag van €68.913,73 als materiële schade die zij hebben geleden. Dit schadebedrag is veel hoger dan in voorgaande zaken over het hacken van OV-chipkaarten om gratis te reizen. De rechtbank concludeert dat de schadeberekening van aangeefster niet inzichtelijk is en een aantal fouten bevat en daarom een eigen berekening moet maken. Het bedrag van de schade ziet op het woon-werkverkeer van de verdachten. Bij het berekenen van het bedrag houdt de rechtbank rekening met het gemiddeld aantal vakantiedagen van werknemers in Nederland en de verdachten ook wel eens thuiswerkten. Op basis van 333 dagen en de kosten voor een retourtje Utrecht-Alkmaar van € 28,00 euro komt de rechtbank op een bedrag van € 9.324,00. De medeverdachte heeft minder frequent gebruik gemaakt van de eigen anonieme OV-chipkaart en moet een schadevergoeding betalen van € 5.264,00. De rechtbank verklaart de vordering voor het overige niet-ontvankelijk, omdat deze onvoldoende is onderbouwd. Zo is het onduidelijk hoe het schadebedrag aan de hand van de gegevens uit de tabellen is berekend, zien de tabellen ook op OV-chipkaarten waarvan de keys niet op de computers van verdachte en medeverdachte zijn aangetroffen.

Opsporing

In nieuwsartikelen en podcasts die verschenen naar aanleiding van deze zaak komt ten slotte nog  interessante informatie over het opsporingsproces naar boven. Het blijkt behoorlijk lastig zijn dit soort OV-chipkaarthackers op te sporen als ze de encryptiesleutel kunnen achterhalen. Het begint met aangifte van Translink Systems: het bedrijf dat de OV-kaarten uitgeeft en transacties met de kaarten verwerkt. Translink verwerkt per jaar 3 miljard transacties. Dit bedrijf monitort ook de transacties en detecteert ongeregeldheden die mogelijk fraude betreffen. Na de aangifte zijn de verdachten met “ouderwets recherchewerk” door de politie geïdentificeerd.

De verdachten zijn geïdentificeerd met name door het bekijken van camerabeelden op de stations van NS op het moment dat een frauduleus aangemerkte transactie plaats heeft gevonden. Vervolgens zijn de verdachten naar verluid tot hun woning gevolgd en zijn NAW-gegevens opgevraagd. Daarna heeft de politie beide verdachten op heterdaad betrapt bij het inchecken bij een poortje met een gehackte OV-chipkaart na observatie bij een vast reispunt van de verdachte.

Tot slot

Als de software en middelen om OV-chipkaarten te hacken voor een breder publiek beschikbaar komen, kunnen we meer van dit soort zaken verwachten. De staatssecretaris van Infrastructuur en Waterstaat heeft in een Kamerbrief (.pdf) van 2 juli 2019 laten weten dat het de bedoeling is dat de OV-chipkaart in 2023 wordt uitgeschakeld. Met een nieuw systeem moet het betaalgemak groter worden, omdat dan ook met andere betaalmiddelen kan worden betaald, zoals een bankpas of mobiele telefoon. Ongetwijfeld zullen hackers dan ook weer hun best doen het systeem te kraken en gratis te reizen.