Meer duidelijkheid over EncroChat-operatie

In de afgelopen maanden is er weer veel jurisprudentie verschenen waarin de berichten van die zijn veilig gesteld van het bedrijf EncroChat een belangrijke rol spelen. Het gaat volgens een Frans persbericht om meer dan 120 miljoen berichten. De Nederlandse politie spreekt van zo’n 25 miljoen (!) berichten (wellicht het aantal berichten die Nederland heeft ontvangen).

Steeds vraagt de verdediging om meer informatie over de verzameling van de gegevens bij een Frans bedrijf in Frankrijk, terwijl rechters steevast verwijzen naar het internationaal vertrouwensbeginsel en het bewijs niet onder Nederlands recht op rechtmatigheid wordt getoetst (zie bijvoorbeeld Rb. Rotterdam 24 juni 2021, ECLI:NL:RBROT:2021:6050).

Op 25 juni 2021 zijn in een Rotterdamse uitspraak (ECLI:NL:RBROT:2021:6113) eindelijk meer details naar boven gekomen over de operatie waarin de EncroChat-berichten verzameld zijn. Hieronder volgt eerst een korte beschrijving van wat EncroChat precies is en daarna volgen de beschikbare details van de operatie.

Hoe werken EncroChat-telefoons?  

EncroChat was een communicatieaanbieder van telefoons, waarmee middels de Encrochat applicatie versleutelde chats, bestaande uit tekstberichten en afbeeldingen, konden worden verzonden en ontvangen en waarmee onderling gebeld kon worden. Ook was het mogelijk om notities te bewaren op de telefoontoestellen. De gebruiker had niet de mogelijkheid om zelf applicaties te installeren op het toestel en was dus beperkt in het gebruik van de communicatieapplicaties die er door de leveranciers op gezet werden. Een Encrochattelefoon kon door de gebruiker volledig worden gewist. Dit werd ook wel ‘panic-wipe’ genoemd. Gebruikers kochten een telefoontoestel waarop de Encrochat applicaties vooraf geïnstalleerd waren in combinatie met een abonnement om de service te kunnen gebruiken. Gebruikers konden elkaars username opslaan in hun contactlijst onder een zelfgekozen omschrijving (‘nickname’). Communicatie kon tot stand komen nadat een gebruiker zijn ‘username’ stuurde naar een andere gebruiker, met het verzoek om toegevoegd te worden aan diens contactenlijst. Een chat kon bestaan uit tekstberichten en foto’s. Ieder bericht verliep na een vooraf ingestelde tijd, ook wel ‘burn-time’ of beveiligde verwijdertijd genoemd. Deze tijd was door de gebruiker aan te passen, standaard stond hij ingesteld op zeven dagen. Tevens kon er vanuit de chat een ‘VoIP’ spraakgesprek gevoerd worden. De kosten voor een Encrochat -telefoon bedroegen ongeveer €1.500,- voor een abonnement van zes maanden.

EncroChat-operatie

Over de operatie zelf overweegt in r.o. 3.2.3 de rechtbank Rotterdam (ECLI:NL:RBROT:2021:6113) het volgende. De Franse Gendarmerie zou op 1 april 2020 vanuit Pontoise, Frankrijk, rond 17:15 uur een door een Franse technische politiedienst ontwikkeld opnamemiddel hebben geïnstalleerd. Het doel van dit middel was het vastleggen van de inkomende en uitgaande communicatie middels de Encrochat-telefoontoestellen (ongeveer 55.000 toestellen waren in omloop). De rechtbank schrijft het volgende: uit een ‘Warrant Application’ die ziet op ‘Targeted Equipment Interference’ van de National Crime Agency, valt op te maken dat de NCA met de Franse Gendarmerie heeft samengewerkt gebruikt te maken van kwetsbaarheden in de servers om zo gegevens te verzamelen.

De Franse Gendarmerie heeft in januari 2020 aan de NCA te kennen gegeven dat zij Encrochat konden hacken. In een “Schedule of Conduct” staat vermeld dat in de eerste fase (stage 1) een hacktool zal worden ingezet op alle Encrochat-toestellen wereldwijd. Dit middel zal op de toestellen worden gezet via een update vanaf de server in Frankrijk. Dit middel zal de op de toestellen vastgelegde data verzamelen en zal deze verzenden naar de Franse autoriteiten. Het gaat dan om alle data, waaronder IMEI-gegevens, gebruikersnamen, wachtwoorden, opgeslagen chatberichten, afbeeldingen, locatiegegevens (‘geodata’) en notities.

Gedurende de tweede fase (stage 2) is communicatie verzameld, zoals chatberichten, opgeslagen op de Encrochat-toestellen. Deze berichten worden verzameld, zodra deze in het toestel worden opgeslagen. De geplande duur van de interceptie is naar verwachting twee maanden. De aldus verkregen data vanuit Frankrijk, veelal bestaand uit Encrochat-berichten, is volgens de politie de dataset die de politie in Nederland heeft verkregen binnen het onderzoek 26Lemont, het strafrechtelijke onderzoek naar de medeplichtigheid van Encrochat zelf aan door de gebruikers van Encrochat gepleegde misdrijven. De Franse Gendarmerie heeft op basis van “geodata” oftewel locatiegegevens, de gegevens vervolgens gedeeld met het land van herkomst, die daar – onder bepaalde voorwaarden – verder geanalyseerd en verwerkt konden worden voor strafrechtelijke onderzoeken naar de gebruikers.

In een uitspraak (ECLI:NL:RBAMS:2022:1273) van de rechtbank Amsterdam van 17 maart 2022 zijn nog meer details te lezen te lezen. Uit het proces-verbaal Overzicht beschikbare data Encrochat (AD aanvulling 1, p. 191 e.v.) en het Proces-verbaal van veiligstellen (AD aanvulling 1, p. 195 e.v.), blijkt verder het volgende. Het Franse onderzoeksteam heeft de Nederlandse politie toegang gegeven tot de Encrochat telefoondata via een beveiligde verbinding met de computersystemen in Frankrijk. De Encrochat telefoondata zijn vervolgens door Nederlandse opsporingsambtenaren vanaf het Franse computersysteem gekopieerd naar het onderzoeksnetwerk van de Nederlandse politie. Om een zo actueel mogelijke kopie van de Encrochat telefoondata te krijgen, gebruikte de politie een wijze van kopiëren waarbij met een zo klein mogelijke vertraging de nieuwe Encrochat telefoondata werden gekopieerd naar het onderzoeksnetwerk van de Nederlandse politie.

De aldus verkregen data vanuit Frankrijk, veelal bestaand uit Encrochat-berichten, is volgens de politie de dataset die de politie in Nederland heeft verkregen binnen het onderzoek 26Lemont. Het betreft data afkomstig van 39.000 telefoons, waarvan zich ongeveer 9.000 telefoons (deels) in Nederland bevonden. Nederland heeft ook nog een harde schijf ontvangen van Frankrijk met daarop alle data. De informatie op die harde schijf is vergeleken met de data die eerder gekopieerd waren. Uit deze vergelijking heeft de politie geconcludeerd dat de data “volledig en integer zijn gekopieerd” vanaf de Franse systemen naar het onderzoeksnetwerk van de Nederlandse politie.

Daarnaast heeft het Franse onderzoeksteam op 4 verschillende momenten, te weten januari 2019, oktober 2019, februari 2020 en juni 2020, een kopie gemaakt van de Encrochat infrastructuur en de informatie die op dat moment beschikbaar was op de verschillende servers. Deze informatie is ook gedeeld met Nederland, zowel in het onderzoek Bismarck dat al eerder liep, als in het kader van het JIT. Dit heeft eveneens veel informatie opgeleverd. Geen inhoudelijke berichten, maar wel veel metadata, zoals back-ups van de notitie-app, administratieve gegevens, IP adressen, overzicht van users en databases met wachtwoorden.

De Encrochat data kunnen dus opgedeeld worden in twee categorieën:

  1. data afkomstig van de servers zoals in bovenstaande alinea omschreven, de zogenaamde ‘server-data’ en
  2. data rechtstreeks afkomstig van de Encro-toestellen, de zogenaamde ‘telefoon-data’.

Nederlandse autoriteiten hebben toegang gehad tot beide data.

De resultaten (ten tijde van april 2021) worden in een jaarrapport van 2020 in de volgende mooie ‘infographic’ getoond:

Interceptietool

Dat Nederlandse opsporingsambtenaren de interceptietool (mede) hebben ontwikkeld, wordt door het Openbaar Ministerie in de brief van 24 maart 2021 expliciet ontkend. De rechtbank Rotterdam overweegt dat het ‘op dit moment’ geen reden te twijfelen aan wat het Openbaar Ministerie hierover zegt. Volgens de rechtbank ‘is niet gebleken van feiten of omstandigheden die maken dat een eventueel Nederlandse (technische) inbreng bij het ontwikkelen van de tool tot gevolg moet hebben dat de verantwoordelijkheid voor de toepassing ervan in het Franse opsporingsonderzoek (ook) in Nederland komt te liggen’.

== Update ==

In de zaak (ECLI:NL:RBMNE:2022:1389) van de Rechtbank Midden-Nederland van 12 april 2022 is te lezen dat

een Frans proces-verbaal blijkt dat de interceptietool is ontworpen door de Service Technique National de Captation Judiciaire (STNCJ), een dienst die gerechtigd is dergelijke middelen te ontwerpen en kon worden ingezet door de Service Central de Renseignement Criminel (SCRCGN) van de Franse Gendarmerie.

Machtiging rechter-commissaris

Vanwege de voorzienbare inbreuk die de interceptie van de Encrochat-data op de persoonlijke levenssfeer van de Nederlandse gebruikers van deze dienst zou hebben, heeft het Openbaar Ministerie ervoor gekozen om, mogelijk ten overvloede, in Nederland een rechterlijke toetsing te vorderen die strikt genomen het Nederlandse Wetboek van Strafvordering niet als zodanig kent. Bij de rechter-commissaris is een vordering ingediend om een machtiging voor de inzet van de hackbevoegdheid op personen die betrokken zijn bij georganiseerde misdaad (art. 126uba Sv) te geven teneinde de informatie betreffende de Nederlandse gebruikers te mogen analyseren en gebruiken (een en ander is beschreven in het proces-verbaal “Kaders gebruik dataset 26Lemont” met aanvullingen d.d. 28 september 2020 en 24 maart 2021).

== update ==

In een meer recente uitspraak van de rechtbank Gelderland van 8 december 2021 (ECLI:NL:RBGEL:2021:6584) is meer te lezen over de machtiging. Voor het gebruik van de berichten is een (Nederlandse) rechter-commissaris om een machtiging gevraagd voor de inzet van de hackbevoegdheid (artikel 126uab Sv) en het opnemen van telecommunicatie (artikel 126t Sv). In het ‘proces-verbaal aanvraag’ wordt gesteld dat het redelijk vermoeden bestaat dat de EncroChat-gebruikers zich in georganiseerd verband schuldig maken aan (het medeplegen van) één of meer van de volgende misdrijven:

  • witwassen;
  • deelnemen/leiding geven aan een criminele organisatie;
  • Opiumwet delicten;
  • wapenhandel;
  • (poging) tot moord/doodslag;
  • gijzeling en/of wederrechtelijke vrijheidsberoving; en
  • afpersing en/of diefstal met geweld.

Daarbij werden de volgende drie doelen nagestreefd:

  1. het identificeren van de NN-gebruikers;
  2. onderzoek doen naar de criminele samenwerkingsverbanden waarvan zij deel uitmaken;
  3. bewijs verzamelen over door deze criminele samenwerkingsverbanden gepleegde en/of nog te plegen misdrijven.

De EncroChat-data mocht worden doorzocht met behulp van een lijst met trefwoorden die gerelateerd zijn aan te onderzoeken feiten of verdachten. De rechter-commissaris overwoog expliciet dat het onderzoek geen fishing expedition mocht worden. De rechter-commissaris heeft de vordering vervolgens toegewezen onder de volgende zeven voorwaarden (verkort weergegeven):

  1. de wijze waarop is binnengedrongen in het geautomatiseerde werk wordt vastgelegd, als er geen gebruik wordt gemaakt van een reeds goedgekeurd middel;
  2. een beschrijving van de gebruikte software die beschikbaar is voor onderzoek, als er geen gebruik wordt gemaakt van een reeds goedgekeurd middel;
  3. de integriteit van de opgeslagen informatie wordt gegarandeerd;
  4. het onderzoek moet reproduceerbaar zijn, en gebruik moet worden gemaakt van zoeksleutels (woordenlijsten);
  5. voorkomen moet worden dat communicatie tussen cliënten en verschoningsgerechtigden wordt opgenomen;
  6. de met zoeksleutels vergaarde informatie moet binnen twee weken ter toetsing aan de rechter-commissaris worden aangeboden en pas daarna aan het openbaar ministerie en de politie ter beschikking worden gesteld voor het opsporingsonderzoek;
  7. de machtiging wordt voor een beperkte duur van vier weken verleend en kan enkel middels een vordering worden verlengd. De rechter-commissaris kan de machtiging vroegtijdig beëindigen, als de tussentijdse toets daartoe aanleiding zou geven.

Als de EncroChat-gegevens worden gedeeld met andere onderzoeken, moet daarvoor eerst toestemming moet worden gevraagd aan de rechter-commissaris waarna de officier(en) in de zaak 26Lemont op grond van artikel 126dd Sv de informatie mag delen met de zaaksofficier van dat betreffende onderzoek.

Overigens acht de rechtbank de inbreuk op de privacy van een EncroChat-gebruikers bij het doorzoeken van de EncroChats beperkt (!), omdat:

  • bij het doorzoeken van de EncroChat-data gebruik is gemaakt van vooraf door de rechter-commissaris goedgekeurde zoeksleutels gericht op de opsporing van ernstige criminele activiteiten en
  • gelet op de aard van de communicatie via PGP-telefoons als o.a. EncroChat, slechts een (beperkt) beeld wordt gekregen van iemands criminele activiteiten, er wordt geen min of meer volledig beeld gekregen van bepaalde aspecten van het privéleven van de gebruiker.

Voorzichtig geformuleerd wil ik over het bovenstaande zeggen dat je daar ook geheel anders over kan denken bij het verzamelen van 25 miljoen berichten waarbij een inbreuk wordt gemaakt op het recht op vertrouwelijke communicatie van meer dan 55.000 personen.

De rechtbank concludeert dat de door het openbaar ministerie en de rechter-commissaris gekozen werkwijze en het toegepaste toetsingskader ‘past in het stelsel van de Nederlandse wet en maximale waarborgen bieden om een onnodige inbreuk op de privacy van andere EncroChat-gebruikers te voorkomen, zonder dat dit in strijd is met de beginselen van proportionaliteit en subsidiariteit. De rechtbank komt dan ook tot de conclusie dat het verwerken van de EncroChat-data niet in strijd is met artikelen 8 EVRM en/of 1 Sv’.

Ook opvallend, maar niet per se verassend, is de overweging van de rechtbank over vormverzuimen die mogelijk hebben plaatsgevonden bij overtreding van de Wet politiegegevens (Wpg):

“De rechtbank heeft op 28 april 2021 al besloten dat de Wpg geen belangrijk strafvorderlijk voorschrift is. De verdediging heeft dan ook geen belang bij een toetsing aan de voorschriften van de Wpg. Deze toetsing is immers niet van belang voor de vragen die de rechtbank in het kader van de artikelen 348 en 350 Sv dient te beantwoorden, noch een vraag die beantwoord moet worden bij de toetsing of sprake is van een eerlijk proces als bedoeld in artikel 6 EVRM.”

Betrouwbaarheid EncroChat data

In een uitspraak van de rechtbank Rotterdam van 11 april 2022 (ECLI:NL:RBROT:2022:2809) wordt het volgende over de betrouwbaarheid van de data opgemerkt (voor zover relevant):

5.3.3 De betrouwbaarheid van de EncroChatdata

De verdediging heeft bestreden dat de EncroChatdata betrouwbaar en accuraat genoeg zijn om voor het bewijs te worden gebruikt, althans gesteld dat die betrouwbaarheid onvoldoende beoordeeld kan worden.

Allereerst heeft de verdediging in dit kader gesteld dat de politie weliswaar heeft gecheckt of de in Nederland ontvangen berichten overeenkwamen met de in Frankrijk opgeslagen berichten, maar niet of de in Frankrijk opgeslagen berichten identiek zijn geweest aan de daadwerkelijk met de toestellen verzonden en daarop aanwezige chatberichten.

De verdediging heeft daarbij gesuggereerd dat door de inzet van de interceptietool mogelijk veranderingen in de data zouden hebben kunnen plaatsgevonden, dat berichten aan andere accounts zouden zijn gekoppeld of dat bestanden niet juist zouden zijn gekopieerd. Zij hebben aan deze suggesties echter onvoldoende handen en voeten gegeven.

Met de verdediging stelt de rechtbank vast dat altijd de theoretische mogelijkheid bestaat dat data door technische omstandigheden of menselijk ingrijpen beïnvloed worden. Een dergelijke algemene vaststelling is echter onvoldoende om aan te nemen dat de EncroChatdata op zich onbetrouwbaar zijn.

Het dossier, noch de inhoud van de berichten biedt enige houvast voor de aanname dat de data door de interceptietool gemanipuleerd zouden zijn.

(…)

De verdediging heeft alsnog de heropening van het onderzoek verzocht omdat uit een aantal overgelegde krantenartikelen blijkt dat een groot deel van de data niet op de server bij Interpol terecht gekomen is. Men kan er dus niet vanuit gaan dat alle berichten zijn ‘getapt’. Daarom wil de verdediging nog een medewerker van de National Crime Agency (NCA) en/of een Nederlandse deskundige horen. Zij wil hem/haar nog bevragen over de werking van de Franse software waarmee de hack is gedaan en over de betrouwbaarheid respectievelijk de volledigheid van de verkregen data. De medewerker zou blijkens de overgelegde artikelen ook hebben verklaard dat het erop lijkt dat sommige gebruikersnamen plotseling aan een ander apparaat zijn gekoppeld en dat tijdsaanduidingen onnauwkeurig kunnen zijn en door software gewijzigd kunnen zijn.

De verdediging wil verder nog van het OM weten of zij al vanaf het begin van het verkrijgen van de dataset wisten van deze problemen en of de rechter-commissaris (de rechtbank neemt aan in de zaak 26Lemont) ook daarvan op de hoogte is gesteld voordat hij zijn 126uba-beschikking nam.

De officier van justitie heeft zich tegen de toewijzing van het verzoek verzet. Allereerst wordt niet duidelijk welke medewerker van de NCA precies is bedoeld. Bovendien heeft het OM al vaker toegelicht dat er geen uitspraak kan worden gedaan over de volledigheid van de in het dossier aanwezige cryptocommunicatie, omdat er meerdere redenen kunnen zijn waarom bepaalde informatie niet is veiliggesteld en niet al die redenen hebben te maken met de betrouwbaarheid van de interceptietool of kunnen aan het niet werken van het interceptiemiddel worden toegeschreven.

De betrouwbaarheid waaraan de verdediging refereert gaat bovendien over de vraag hoe vaak de interceptietool al dan niet werkte en heeft geen betrekking op de betrouwbaarheid van de (inhoud van de) daadwerkelijk verkregen berichten.

De rechtbank wijst het verzoek tot heropening van het onderzoek af. In het vorenstaande heeft zij zich uitgelaten over de betrouwbaarheid van de verkregen EncroChatdata. De inhoud van de overgelegde krantenartikelen, waarvan het merendeel overigens al in 2020 is verschenen, maken dit nader onderzoek in het licht van hetgeen de rechtbank op die punten heeft overwogen niet noodzakelijk.

Gelet op het voorgaande oordeelt de rechtbank dat de EncroChatberichten betrouwbaar zijn en voor het bewijs in deze zaak kunnen worden gebruikt.

En in een uitspraak (ECLI:NL:RBMNE:2022:1389) van de rechtbank Midden-Nederland overweegt men het volgende:

Betrouwbaarheid en volledigheid Encrochat berichten

De rechtbank stelt op basis van de door het NFI uitgebrachte rapportages22 vast dat de dataset met betrekking tot de verdachten in onderzoek Appel niet compleet is. In de dataset ontbreken bij alle verdachten in meer of mindere mate berichten. Dit kan een enkel bericht zijn, maar ook langere perioden aan ontbrekende berichten komen voor. Het NFI heeft eveneens onderzoek gedaan naar correctheid van de inhoud van de berichten.

 In dit onderzoek zijn de berichten die in vijf ontsleutelde inbeslaggenomen Encrochat telefoons zijn aangetroffen vergeleken met de berichten zoals die na de inzet van het technisch hulpmiddel van die gebruiker zijn aangetroffen in de dataset. Conclusie van dit onderzoek is dat er geen redenen zijn gevonden om te twijfelen aan de correctheid van de berichten die met het technisch hulpmiddel zijn onderschept, behalve voor berichten van het type outgoing call en incoming call (audiogesprekken)

Kort gezegd geldt voor de inhoud van de uitgewisselde chatberichten dat er geen verschillen in de tekst zijn geconstateerd. De rechtbank heeft daarnaast kennisgenomen van de conclusie van het Engelse onderzoek, waaruit de verdediging afleidt dat de interceptietool onbetrouwbaar was. Echter, die onbetrouwbaarheid van de interceptietool heeft slechts betrekking op het feit dat tijdens de tweede fase niet alle berichten werden onderschept. Die conclusie zegt dus niets over de betrouwbaarheid van de inhoud van de berichten die wél zijn onderschept. Aldus is er – gelet op de inhoud van het door het NFI verrichte onderzoek – geen reden om te veronderstellen dat de berichten die wel in de dataset voorkomen op een of andere manier onbetrouwbaar zijn of dat van de juistheid van die berichten niet zou kunnen worden uitgegaan.

Tijd voor een nieuwe bewaarplicht?

Op 6 oktober 2020 publiceerde het EU Hof van Justitie (HvJ EU) het arrest La Quadrature du Net/Premier ministre e.a. In dat belangrijke arrest bestendigt het Hof de eerder ingezette lijn dat een algemene en ongedifferentieerde bewaarplicht van verkeersgegevens ter bestrijding van ernstige criminaliteit niet is toegestaan en in strijd is met het recht op privacy en het recht op bescherming van persoonsgegevens uit het Handvest van de grondrechten van de Europese Unie. Ter bescherming van de nationale veiligheid laat het EU Hof een beperkte vorm van een bewaarplicht onder voorwaarden toe. Zie daarover deze annotatie die ik samen met Mireille Hagens heb geschreven, met een focus op de betekenis voor de nationale veiligheid en de Wiv 2017.  

Onlangs is ook een artikel (.pdf) in Computerrecht verschenen over het arrest en de bewaarplicht. In het artikel onderzoeken wij (ikzelf, Mireille Hagens en Sofie Royer) wat de gevolgen van deze jurisprudentie zijn voor het wetsvoorstel voor een bewaarplicht in Nederland en de ondertussen vernietigde bewaarplicht in België.

Bevindingen

De belangrijkste conclusie van ons artikel is dat het HvJ EU ruimte biedt voor een bewaarplicht van gebruikersgegevens bij aanbieders van elektronische communicatiediensten. Het preventief bewaren van verkeersgegevens is echter beperkt mogelijk voor de bestrijding van ernstige criminaliteit. Qua beperkingen moet worden gedacht aan elementen als de duur, kring van personen, en/of een geografische afbakening. Ten slotte biedt het HvJ EU enige ruimte voor een bewaarplicht bij bedreigingen van de nationale veiligheid (door het Hof als het hoogste belang gezien), voor zover deze bedreiging reëel en actueel of voorzienbaar is (gedacht kan worden aan een aanslag, hetgeen vragen met zich meebrengt als er bijvoorbeeld een permanente dreiging is van aanslagen).

In Nederland ligt de behandeling van een nieuw wetsvoorstel voor een bewaarplicht sinds 2018 stil (zie dit Kamerstuk en dit Kamerstuk voor de laatste stand van zaken). Uit de voorbereiding van het voorstel voor de invoering van een bewaarplicht in Nederland blijkt dat zich technische uitdagingen voordoen bij het op effectieve wijze koppelen van de gebruikers van telecommunicatiediensten aan een apparaat door de telecomprovider. Uit onderzoek blijkt echter dat deze uitdagingen niet onoverkomelijk zijn (zie dit WODC-rapport, uitgevoerd door Dialogic). Voor een bewaarplicht van gebruikersgegevens in Nederland is voor de bestrijding van met name cybercriminaliteit veel te zeggen. Ook verdient het volgens ons aanbeveling een uitbreiding van een bewaarplicht van gebruikersgegevens bij OTT-diensten te overwegen, hoewel daarbij onvermijdelijk handhavingsproblemen ontstaan. Het arrest van het HvJ EU biedt in die zin Nederland meer vertrouwen dat een bewaarplicht van gebruikersgegevens voor aanbieders van communicatiediensten voldoet aan de vereisten van het HvJ EU.

In België maakt La Quadrature du Net e.a. duidelijk dat een algemene bewaarplicht van verkeersgegevens zoals die vandaag in België bestaat, niet te verzoenen valt met het oordeel van het HvJ EU. Het Grondwettelijk Hof vernietigde inmiddels de Belgische dataretentiewet uit 2016 (zie hier). De wetgever is nu opnieuw aan zet gekomen om de verschillende opdelingen die het HvJ EU maakt, om te zetten in het nationale recht. De bevoegde ministers schoten meteen in actie en een voorontwerp ligt al op tafel.

Hoe verder?

In een Kamerstuk van 1 maart 2021 stelt het Nederlandse kabinet het arrest van het HvJ EU met verstrekkende gevolgen ‘te betreuren’ (klaarblijkelijk omdat wordt herhaald dat een algemene bewaarplicht van verkeersgegevens niet mogelijk is). Uit de brief is de volgende passage relevant:

“Naar verwachting zal het Portugees voorzitterschap de JBZ-Raad uitnodigen hun standpunten te delen over verdere stappen ten aanzien van dataretentie. Het voorzitterschap heeft reeds aangegeven voorstander te zijn van een verdere verkenning van de uitspraken van het Europese Hof van Justitie (het Hof) en specifiek te focussen op de onderdelen waarvoor het Hof ruimte laat: een gerichte bewaarplicht en een bewaarplicht voor gegevens die nodig zijn voor het bepalen van de ‘civiele’ identiteit van gebruikers.”

Prokuratuur

Ten slotte wijzen wij hier nog op de uitspraak van het Hof van Justitie in het arrest H.K./Prokuratuur van 2 maart 2021 die na afronding van ons artikel werd gepubliceerd (zie ook de annotatie van Dave van Toor over deze zaak en deze blogpost van Sofie Royer en Sem Careel).

Hieruit leiden wij af dat voor het vorderen van verkeersgegevens voorafgaande toestemming door een onafhankelijk orgaan (zoals de rechter-commissaris in Nederland of, in sommige gevallen, de onderzoeksrechter in België) of toestemming door een onafhankelijk instituut is vereist. Deze waarborg wordt vereist vanwege de ernst van de privacy-inmenging bij het vorderen van (en daarna analyseren) van verkeersgegevens. In Nederland heeft het al tot ‘de constatering van een vormverzuim’ geleid in deze moordzaak. De rechtbank overweegt:

“Rechtbank is van oordeel dat de in het onderhavige onderzoek opgevraagde verkeersgegevens en mastgegevens achteraf gezien niet door een officier van justitie gevorderd hadden mogen worden zonder voorafgaande onafhankelijke toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit. De rechtbank zoekt aansluiting bij het beoordelingskader van artikel 359a Sv en volstaat met constatering van de normschending, gelet op het geringe nadeel voor verdachte als gevolg van de normschending.”

Wordt het niet eens tijd dat er een plan komt hoe we ook met dit verstrekkende arrest om moeten gaan? 

Het is de vraag of Nederland het oude wetsvoorstel uit 2018 (met een nieuw kabinet) nieuw leven moet in blazen of een eventueel Europees voorstel zal afwachten. Het wetsvoorstel voorzag al in een bewaarplicht van gebruikersgegevens en een verplichte machtiging van een rechter-commissaris als waarborg voor het vorderen van verkeersgegevens. Het kan ook zijn dat de Nederlandse wetgever Europese wetgeving afwacht. We zullen zien!

Jan-Jaap Oerlemans, Mireille Hagens & Sofie Royer

Overzicht Inlichtingen en Recht april 2021

01-04-2021 Nadere memorie van antwoord Wijzigingswet Wiv 2017

De Minister van Binnenlandse Zaken en Koninkrijksrelaties Ollongren heeft op 1 april 2021 de ‘nadere memorie van antwoord’ van de wetsbehandeling van de Wijzigingswet Wiv 2017 gepubliceerd. In de nadere memorie wordt ingegaan op de vragen van de leden van de Eerste Kamer. Op 9 juni 2020 stemde de Tweede Kamer vóór de Wijzigingswet Wiv 2017 en het wetsvoorstel is nu al bijna een jaar in behandeling bij de Eerste Kamer.

De Wijzigingswet Wiv 2017 moet worden gezien als een reactie op de uitslag van het raadgevend referendum op de Wiv 2017 (waarbij 49,44% van de kiezers tegen de wet heeft gestemd, 46,55% voor en 4,03% blanco) (zie eerder ook dit blogbericht over het wetsvoorstel). De regering beoogt met de wet ‘de waarborgen van de wet op onderdelen te verduidelijken en de ruimte die de wet in de uitvoeringspraktijk biedt zo nodig in te perken’.

De belangrijkste bepalingen vormen de codificatie (en toelichting op) het gerichtheidsvereiste voor de toepassing van alle bevoegdheden. Het gerichtheidscriterium is ‘het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus’. De te vergaren gegevens moeten daarbij dus van te voren worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object.

Net als in de discussie in de Tweede Kamer stellen senatoren vragen over de evaluatie van de Wiv 2017. Het demissionaire kabinet heeft namelijk op 5 maart 2021 in een Kamerbrief aangeven dat zij de analyse, conclusies en aanbevelingen van de Commissie-Jones Bos omarmt. Het plan is echter de aanbevelingen in het rapport in een (ander) ontwerpvoorstel uit te werken. Het kabinet verwerkt dus geen elementen van het rapport van de Commissie-Jones Bos in de Wijzigingswet Wiv 2017.

Oratie

Enkele vragen van de senatoren gingen over mijn oratie ‘Grenzen stellen aan datahonger’. De minister gaat tot mijn vreugde uitgebreid in op de vragen. Kortgezegd (want er waren nogal veel woorden voor nodig), stelt de minister dat er geen sprake is van ‘function creep’ bij passagiersgegevens, omarmt het kabinet de aanbeveling van de evaluatiecommissie een beter voorzienbare regeling te creëren voor het verzamelen van bulkdatasets en zijn er geen plannen een maximale bewaartermijn in de wet op te nemen (omdat gegevens verwijderd moeten worden als ze niet meer van betekenis zijn). Ook herkent de minister niet dat de informantenbevoegdheid in artikel 39 Wiv 2017 een ‘gedrocht van een artikel’ is. ‘Integendeel’ zelfs, omdat de tekst van de wet een expliciete wettelijke basis vormt voor de vrijwillige verstrekking van gegevens door overheidsinstanties (waaronder dus ook bulkdatasets).

Stelselmatig verzamelen van gegevens door het Land Information Manoeuvre Centre (LIMC)

Opvallend is verder dat de minister aangeeft dat art. 6 lid onder e AVG een grondslag biedt voor het verwerken van gegevens uit open bronnen door overheidsinstanties zoals het LIMC. Verder moet worden voldaan aan de vereisten van de AVG en het EVRM. Naar aanleiding van het NRC-artikel wordt onderzoek verricht door de Functionaris voor Gegevensbescherming Defensie naar de naleving van de AVG door het LIMC. Het rapport van de FG, met daarin diens conclusie van het onderzoek en aanbevelingen, bevindt zich in een afrondende fase volgens de minister. Zodra gereed wordt het rapport van de FG en de appreciatie van de minister van Defensie hierop naar de Tweede Kamer en Eerste Kamer verstuurd.

06-04-2021: Advies Cyber Security Raad: investeer 833 miljoen euro aan ‘cyberweerbaarheid’

De Cyber Security Raad adviseert een landelijke regie op het hoogste politieke en ambtelijke niveau om digitale veiligheid en de digitale autonomie van Nederland te beschermen. Dat moet gepaard gaan met een investering van 833 miljoen, bovenop de huidige uitgaven en budgetten voor cyberweerbaarheid.

In het advies staan vijf speerpunten centraal, te weten regie op samenwerking en informatiedeling, weerbare vitale processen, versterking onderzoek en onderwijs, realiseren van cybercrime-handhavingsketen en zorgplicht van leveranciers voor veilige producten en diensten voor burgers, bedrijfsleven en overheid.

De raad adviseert het nieuwe kabinet om in plaats van een Minister Digitale Zaken direct een ministeriële onderraad digitale zaken in te richten, waar cyberweerbaarheid en digitale autonomie integraal aan de orde wordt gesteld. Deze onderraad moet steunen op een interdepartementale strategische overlegkoepel, met daarin alle ministeries die raakvlakken hebben met cyberweerbaarheid. Er moet één cyberweerbaarheidsstrategie komen, inclusief een meerjarenprogramma.

Luister ook naar aflevering 15 van de podcast Cyberhelden over het rapport en de toelichting daarop van Lokke Moerel. Ik vind het met name interessant dat de hoogleraar aangeeft dat de regie mogelijk gevoerd moet worden door AZ en het NCSC misschien onder gebracht moet worden onder BZK (ook verantwoordelijk voor de AIVD), net als dat het Nationaal Cyber Security Centrum in het Verenigd Koninkrijk onderdeel is van de communicatie-inlichtingendienst GCHQ. Zie ook dit uitstekende verslag in Computable: ‘Grapperhaus haalt woede Cyber Security Raad op de hals‘. Vergaand is ook het voorstel voor een ‘een volwassen landelijk dekkend stelsel van informatieknooppunten (LDS)’. Het moet zorgen voor een goede informatiedeling over cyberdreigingen en -kwetsbaarheden.

Over knelpunten in de wetgeving is de CSR in het rapport nogal kort:

“Huidige juridische beperkingen op het delen van herleidbare vertrouwelijke informatie en persoonsgegevens (zoals de AVG en huidige wet politiegegevens) staan het structureel delen van dreigingsinformatie met publieke en private partijen in de weg.”

Verder moet volgens de CSR de capaciteit van reeds betrokken partijen, zoals de Nationale Politie, Openbaar Ministerie Koninklijke Marechaussee, snel worden uitgebreid en publiek-private samenwerking moet structureel worden ingericht en gesteund. De CSR signaleert dat  de defensieve, offensieve en inlichtingen cybercapaciteiten binnen Defensie (incl. MIVD en KMar), de AIVD, het NCSC de politie en het OM een essentiële bijdrage leveren aan ‘cyberweerbaarheid’, bijvoorbeeld door middel van het inzichtelijk maken en delen van dreigingen en concrete informatie daaromtrent en de afschrikwekkende werking (deterrence) voortkomend uit de offensieve capaciteiten. ‘Investeren in de inlichtingendiensten is vrijwel gelijk aan investeren in zowel zicht op de dreiging als in deterrence’. Toch valt het budget van deze diensten valt buiten de scope van het advies.

Ten slotte stelt de CSR voor gerichte investeringen te doen in onderzoek, start-ups en een cybercurriculum in relevante opleidingen. Daarmee zou de ‘huidige academische braindrain’ een halt worden toegeroepen en kunnen we beschikken over voldoende gekwalificeerd personeel. Ook adviseert de raad om in het curriculum van het primair en voortgezet onderwijs met spoed digitale geletterdheid in te voeren en dit onderwerp los te koppelen van een algehele herziening van het curriculum.

12-04-2021: Kamerbrief Verbetering juridische grondslag verwerking persoonsgegevens NCTV

De Minister van Justitie en Veiligheid reageert in deze brief op de berichtgeving in NRC over de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). De NCTV volgt volgens NRC individuen op sociale media en verzamelt en verspreidt privacygevoelige informatie over burgers, zonder dat daar een wettelijke grondslag voor is.

Naar aanleiding van de casus Cornelius Haga Lyceum is de NCTV in februari 2020 gestart met het project ‘taken en grondslagen NCTV’, ter juridische versterking en verankering van zijn taken en grondslagen. Hieruit kwam naar voren dat het identificeren en analyseren van dreigingen en risico’s op het gebied van terrorisme en nationale veiligheid juridisch kwetsbaar is en versterking behoeft indien daarbij (bijzondere) persoonsgegevens worden verwerkt op basis van eigen openbare bronnenonderzoek.

Binnen de Rijksoverheid is de NCTV verantwoordelijk voor de coördinatie van crisisbeheersing, terrorismebestrijding, cybersecurity, statelijke dreigingen en andere terreinen van nationale veiligheid. Specifieke verantwoordelijkheden worden door de NCTV uitgevoerd op basis van specifieke wetgeving: de Politiewet, de Luchtvaartwet, de Paspoortwet en de Tijdelijke Wet Bestuurlijke Maatregelen Terrrorismebestrijding.

De minister benadrukt dat de NCTV geen inlichtingendienst is, en dat de NCTV als coördinator besluiten moet nemen op basis van informatie van andere partijen. De NCTV analyseert deze informatie wel zelf, en valideert vervolgens de analyses. In het geval van de conceptnota Ontwikkeling van het salafisme onder Turken – de invloed in Nederland, zoals genoemd in de NRC, werd de notitie niet gevalideerd en daarom niet gepubliceerd.

Sinds 2006 maakt de NCTV gebruik van internetmonitoring, teneinde een continu beeld van de voorstelbare dreiging te houden. Sinds 2009 werden hiervoor op sociale media gefingeerde accounts ingezet. Inmiddels maakt de Kerneenheid Analyse gebruik van een apart ICT-systeem waardoor meekijken op sociale media ook zonder gefingeerde accounts mogelijk is. Deze praktijk is naar aanleiding van de publicatie in de NRC gestaakt.

De minister stelt dat van werken onder dekmantel in strafvorderlijke zin geen sprake is geweest, omdat de accounts nooit hebben deelgenomen aan conversaties met andere gebruikers. Wel was er sprake van het verwerken van persoonsgegevens, omdat uitingen ‘door personen worden gedaan’. De NCTV doet dit volgens de minister in het algemeen belang, op grond van artikel 50 Organisatiebesluit Justitie en Veiligheid. Het Organisatiebesluit is dan weer gebaseerd op artikel 3, lid 2 van het Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst, dat zijn grondslag vindt in artikel 44 van de Grondwet.

De minister stelt dat de taak voor de NCTV ook is terug te voeren op artikel 5 EVRM. De NCTV heeft internetmonitoring onder het destijds geldende regiem van de Wet bescherming persoonsgegevens aangemeld voor het openbare verwerkingenregister. Het project “Implementatie AVG” is een doorlopend privacy-project binnen de NCTV.

De NCTV erkent en herkent de spanningen op de werkvloer zoals beschreven in de NRC, en heeft inmiddels maatregelen genomen.

Sophie Harleman

04-02-2021 – Algemene beraadslaging Initiatiefwetsvoorstel-Verhoeven Wet Zerodays Afwegingsproces

Ex-Kamerlid Verhoeven geeft aan dat uit het eerste gedeelte van de behandeling van het wetsvoorstel Zerodays duidelijk naar voren is gekomen dat het gedeelte waarin een beoordelingsorgaan is voorgesteld tot veel bezwaren leidt. In de nota van wijziging is het beoordelingsorgaan dan ook uit het voorstel gehaald. GroenLinks diende een motie in, waarin gevraagd wordt om één kader voor politie, Defensie en inlichtingendiensten. Daarop is door de heer Verhoeven het voorstel zodanig aangepast dat het inhoudelijk overeenkomt met datgene wat de motie zegt, alleen dan in een wet.

De demissionair minister van Binnenlandse Zaken gaat vervolgens in op de vraag of het wetsvoorstel werkbaar is voor de diensten. De minister geeft aan dat met dit voorstel nog steeds zeer gevoelige operationele informatie gedeeld moet worden met derden. Volgens artikel 3, lid 2 hóeft niet tot bekendmaking over te worden gegaan. In lid 3 van datzelfde artikel staat dat het bestuursorgaan wél moet overleggen met vertegenwoordigers van betrokkenen die de vitale infrastructuur beheren, alvorens te besluiten over de bekendmaking. Dit kan problematisch zijn wanneer het gaat over gevoelige operationele informatie, gezien potentiële veiligheidsrisico’s. De organisaties waar het om gaat hebben reeds een afwegingskader, aldus de minister. Dat roept bij de minister de vraag op wat het voorstel daar op dit specifieke punt nog aan toevoegt. Belangrijke bezwaren zijn dus weggenomen, maar op dit specifieke onderdeel rest voor de diensten nog wel een bezwaar.

Minister Grapperhaus onderschrijft in het debat dat het demissionaire kabinet nog steeds belangrijke bezwaren tegen het wetsvoorstel heeft op het punt van het dubbele kader van het proces voor de opsporing, daar politie en OM reeds een afwegingskader hebben voor het melden van onbekende kwetsbaarheden. Onbekende kwetsbaarheden worden bovendien alleen ingezet in het uiterste geval. In het regeerakkoord zijn volgens de minister reeds afspraken opgenomen over de aanschaf van binnendringsoftware door de politie.

De heer Verhoeven reageert dat hij vooral beoogt de zaken uniform te regelen. Hoewel er al een leidraad en een afwegingskader is, wil hij dat het in één wet geregeld wordt. Hij geeft aan nog één keer te kijken naar de mogelijkheden die er zijn om tegemoet te komen aan datgene wat gezegd is, maar te blijven bij zijn standpunt dat een meer uniforme en stevige regeling gewenst is.

Het gehele standpunt van het kabinet omtrent het verzoek van de vaste commissie van Binnenlandse Zaken om in te gaan op het gewijzigde initiatiefwetsvoorstel van de heer Verhoeven is hier te vinden (Kamerstukken II 2020/21, 35257, nr. 14).

Sophie Harleman

Veroordeling poging tot deelneming aan een terroristische organisatie

Het Hof Den Bosch heeft op 14 januari 2021 een verdachte in hoger beroep veroordeeld (ECLI:NL:GHSHE:2021:60) tot poging tot deelneming aan een organisatie die tot oogmerk heeft het plegen van terroristische misdrijven (IS). Uit bestendige rechtspraak van de Hoge Raad over deelneming aan een organisatie als bedoeld in artikel 140 en 140a Sr volgt dat daarvan slechts sprake kan zijn, indien de betrokkene behoort tot het samenwerkingsverband en de betrokkene een aandeel heeft in gedragingen, of deze ondersteunt, die strekken tot of rechtstreeks verband houden met de verwezenlijking van het in die artikelen bedoelde oogmerk.

De verdachte heeft op verschillende momenten en in verschillende geschriften beschreven hoe ze zich heeft verdiept in de Islam. Ze erkent vanuit Nederland naar het grensgebied van Turkije en Syrië te zijn gereisd, wat wordt ondersteund door (locatie)gegevens van gedane geldopnames en mastgegevens van haar mobiele telefoon. De verdachte heeft driemaal geprobeerd de oversteek te maken naar Syrië, maar is hierin niet geslaagd. De verdachte heeft een dagboek bijgehouden over haar pogingen, maar voerde ter terechtzitting aan dat het een boek betrof waarin de hoofdpersoon een IS-strijder was. Het hof hecht geen waarde aan deze alternatieve verklaring.

Voor een bewezenverklaring tot een poging tot deelneming aan een terroristische organisatie is nodig dat het voornemen van de verdachte zich door een begin van uitvoering heeft geopenbaard. Nu verdachte actief heeft geprobeerd de grens naar Syrië over te steken en diverse voorbereidingen heeft getroffen (het opnemen van geld, het afscheid nemen van haar familie in brieven, het bestuderen van de Arabische taal en andere voorbereidingen), acht het hof bewezen dat het voornemen van verdachte om deel te nemen aan IS zich door een begin van uitvoering heeft geopenbaard.

Verdachte is volgens het Hof strafbaar en wordt veroordeeld tot een gevangenisstraf van 413 dagen, waarvan 180 voorwaardelijk en met een proeftijd van twee jaar.

Sophie Harleman

Intrekking Nederlanderschap

De rechtbank Den Haag heeft op 8 maart 2021 geoordeeld (ECLI:NL:RBDHA:2021:2112) dat de staatssecretaris van Justitie en Veiligheid bevoegd was tot intrekking van het Nederlanderschap van eiser en bevoegd was tot diens ongewenstverklaring over te gaan.

De staatssecretaris heeft bij afzonderlijke besluiten van 27 januari 2020 het Nederlanderschap van eiser ingetrokken op grond van artikel 14, vierde lid, van de Rijkswet op het Nederlanderschap (hierna: RWN). Eiser heeft als minderjarige gedeeld in de verkrijging van het Nederlanderschap van de moeder en bezit zowel de Marokkaanse als de Nederlandse nationaliteit. Eiser is op 14 mei 2012 geëmigreerd naar Egypte en uitgeschreven uit de Basisregistratie Personen van de gemeente Rotterdam. Het Nederlanderschap van eiser is ingetrokken naar aanleiding van een individueel ambtsbericht van de AIVD van 3 januari 2020, waaruit bleek dat eiser zich heeft aangesloten bij een organisatie die deelneemt aan een internationaal gewapend conflict en een bedreiging vormt voor de Nederlandse nationale veiligheid. Verweerder geeft aan dat de inhoud van het ambtsbericht hier geen twijfel over laat. Eiser is ook tot ongewenst vreemdeling verklaard.

In het ambtsbericht van 3 januari 2020 is het volgende vermeld.

‘ [eiser] is uitgereisd naar Syrië en hij heeft zich, vanaf tenminste 2014, aangesloten bij de aan Al-Qa’ida (AQ) gerelateerde jihadistische strijdgroep Jabhat al-Nusra (JaN). In de periode na 11 maart 2017 is hij, in elk geval tot eind mei 2019, aangesloten bij Tanzim Hurras Al Din (THD), een eveneens aan AQ gelieerde organisatie. Hij wordt vanaf 2014 tot medio 2019 gelokaliseerd in Syrische plaatsen die liggen binnen het territorium van aan AQ gerelateerde jihadistische strijdgroepen. [eiser] is, in ieder geval sinds zijn verblijf in Syrië, een uitgesproken sympathisant van de gewelddadige, extremistische, islamitische ideologie. Hij is, in ieder geval sinds februari 2018, actief in mediazaken door AQ-propagandamateriaal te (laten) vervaardigen en te verspreiden. [eiser] heeft op sociale media vele jihadistische nieuwsgroepen opgezet en onderhouden en verricht hiermee, in ieder geval tot april 2019, ondersteunende activiteiten voor de gewelddadige jihad. [eiser] heeft, in ieder geval sedert juli 2018, voor THD taken uitgevoerd, zoals het verrichten van gewapende gevechtstaken (ribaat).’

Niet betwist is dat eiser zich heeft aangesloten bij THD. Hoewel THD niet als afzonderlijke organisatie op de lijst, kan deze organisatie wel als terroristische organisatie worden aangemerkt, omdat deze is gelieerd aan al Qa’ida. De rechtbank dient uit te gaan van de juistheid van het ambtsbericht. Conclusies van de AIVD als gevolg van het ontbreken van toestemming kunnen niet worden getoetst aan de hand van geheime stukken die daaraan ten grondslag liggen. Het ambtsbericht bevat voldoende feitelijke informatie over eiser.

De gemachtigde van eiser voert aan dat de staatssecretaris zich niet op de door de AIVD verstrekte informatie mag baseren, omdat de AIVD alleen deskundig is over nationale veiligheid in het algemeen, en niet wanneer het aankomt op concrete gevallen. De rechtbank oordeelt dat informatievergaring in het kader van de nationale veiligheid bij uitstek een taak en een deskundigheid is van de AIVD, en dat uit de wetsgeschiedenis (Kamerstukken I 2015-2016, 34 356, nr. C, onderdeel 3) van artikel 14, vierde lid, RWN blijkt dat een ambtsbericht van de AIVD kan dienen als grondslag voor de intrekking van het Nederlanderschap.

De rechtbank oordeelt dat de intrekking van het Nederlanderschap niet in strijd is met het verbod op discriminatie en dat er geen feiten of omstandigheden over eiser bekend zijn die duiden op een te prevaleren belang van een ongestoord familie- en gezinsleven in Nederland op grond van artikel 8 EVRM. De rechtbank komt tot het oordeel dat verweerder op grond van het ambtsbericht het Nederlanderschap van eiser kon intrekken en dat van onevenredigheid van de maatregel ten opzichte van de individuele belangen van eiser geen sprake is.

Sophie Harleman

Veroordeling deelname aan een terroristische organisatie

De rechtbank Rotterdam heeft op 12 april 2021 een verdachte veroordeeld (ECLI:NL:RBROT:2021:3131) voor het deelnemen aan een organisatie die tot oogmerk heeft het plegen van terroristische misdrijven (IS). Ook heeft de rechtbank de verdachte veroordeeld voor het faciliteren van haar partner om als jihadstrijder deel te nemen aan de gewapende strijd, het voorhanden hebben van vuurwapens, het trachten te bewegen van een andere persoon af te reizen naar Syrië, het aanhangen van radicaal extremistisch gedachtegoed en het maken van propaganda voor IS. Vast staat dat de verdachte op 11 juli 2013 naar Syrië is gereisd, waar zij is getrouwd met een Belgische jihadist. Na zijn overlijden heeft zij in vluchtelingenkampen verbleven en zich op 30 oktober 2019 aangemeld bij de Nederlandse ambassade in Ankara. Op 19 november 2019 is zij op Schiphol aangehouden.

De verdachte verklaart te weten dat er oorlog was in het gebied waarnaar zij vertrok en dat haar man werkte voor IS. Hij is in 2015 in België tot vijf jaar gevangenisstraf veroordeeld. Uit berichten van de verdachte op Facebook leidt de rechtbank af dat de verdachte wist dat haar man lid was van IS. Daarnaast bleek uit de berichten dat zij de jihadstrijd verheerlijkte en voor IS propaganda voerde. Uit chatgesprekken blijkt dat de verdachte een vuurwapen en granaten en munitie voor handen heeft gehad. Ook heeft zij uitvraag gedaan naar vuurwapens en getracht een persoon te bewegen af te reizen naar Syrië.

De rechtbank oordeelt dat de verdachte kan worden beschouwd als lid van en deelnemer aan IS, waarbinnen zij ook een maatschappelijke functie heeft bekleed.

Van psychische overmacht is geen sprake en de verdachte is dus strafbaar. De rechtbank is van oordeel dat, gelet op de aard van het delict en de omstandigheden waaronder dit is begaan, er ernstig rekening mee moet worden gehouden dat de verdachte wederom een misdrijf zal begaan dat gevaar veroorzaakt voor de onaantastbaarheid van het lichaam van één of meer personen. De verdachte wordt veroordeeld tot een gevangenisstraf voor de duur van 48 maanden, waarvan 16 voorwaardelijk en met een proeftijd van 3 jaar.

Sophie Harlema

Cybercrime jurisprudentieoverzicht maart 2021

Veroordeling drugshandel via darkweb

De rechtbank Den Haag heeft op 7 januari 2021 een verdachte veroordeeld (ECLI:NL:RBDHA:2021:432) voor het plegen van voorbereidingshandelingen voor harddrugsdelicten, de export van harddrugs door bestelling via het darkweb en verzending via de post, en het gewoontewitwassen van een geldbedrag en een hoeveelheid bitcoins. Met name de (technische) bewijsoverwegingen in de uitspraak zijn interessant, zoals de analyse van verkeersgegevens, het plaatsen van een peilbaken en camera, diverse doorzoekingen, en een pseudokoop op het darkweb.

De historische verkeersgegevens van de PGP-telefoon en de peilbakengegevens van een Mercedes Sprinter spelen bijvoorbeeld een rol in het lokaliseren van de verdachte in Duitsland en Pijnacker (Nederland). Op grond van een Europees Opsporingsbevel zijn in Duitsland postpakketten in beslag genomen die zouden zijn aangeboden aan een postbeambte en zijn de camerabeelden van dit postkantoor veiliggesteld. Op deze camerabeelden is de verdachte herkend. Op een van de inbeslaggenomen postpakketten stond een adres in Thailand vermeld en in dit pakket bleken 104 XTC-pillen te zitten. Op het andere inbeslaggenomen pakket stond een adres in China vermeld, en in dit pakket bleken 47 pillen te zitten.  

Ook is onderzoek verricht naar de data die zijn verkregen naar aanleiding van een tap op het IP-adres van de verdachte. Door de verbinding met Tor te correleren aan accountinformatie (vermoedelijk van een darkweb marktplaats), dat werd verstrekt door het Duitse onderzoeksteam, bleek dat de gebruiker van het IP-adres op 4 februari 2020 op diverse momenten gebruik heeft gemaakt van Tor. Verder heeft het Duitse onderzoeksteam de informatie verstrekt dat de verdachte voor communicatie gebruik maakte van de versleutelde chatapplicatie Wickr en de versleutelde emaildienst Protonmail. Uit de data van de IP-tap blijkt dat de verdachte gebruik maakte van Wickr en Protonmail.

Ten tijde van het onderzoek zijn er diverse pseudokopen verricht door de Duitse politie via het darkweb bij een darkweb marktplaats en zijn betalingen van deze pseudokopen zijn met bitcoins verricht. Op basis van contacten op de PGP-telefoon zijn medeverdachten geïdentificeerd en in chatberichten blijkt dat de verdachte tabletteermachines, stempels, kleurstoffen en bindstoffen regelt voor diverse andere personen. De verdachte verkocht ook EnchroChat abonnementen (de kosten voor een abonnement voor de duur van 3 maanden bedroegen €525,00) en PGP-telefoons kon regelen. Uit de chatberichten blijkt verder dat bedroegen en dat de betalingen daarvoor kennelijk vaak in euro’s plaatsvonden. Een gezamenlijk financieel overzicht en een print van een kasboek bleek voor de bewijsvoering zeer behulpzaam. Op basis van de aangetroffen gesprekken op de mobiele telefoon, concludeert de politie dat sprake is van een nauwe samenwerking tussen de verdachte en medeverdachte bij de handel van verdovende middelen via het darkweb.

De rechtbank overweegt dat ‘een gemiddelde consument een mobiele telefoon koopt om daarmee te kunnen bellen, foto’s te kunnen maken en te kunnen internetten. Een gemiddelde consument zal geen PGP-telefoon aanschaffen met een Encrochat-abonnement omdat een PGP-telefoon duur is en slechts een beperkte functionaliteit heeft. Met dergelijke telefoons kunnen geen foto’s worden gemaakt of worden gebeld. Omdat de meeste functies van een dergelijke telefoon onklaar zijn gemaakt, kan met een dergelijke telefoon eigenlijk uitsluitend nog berichten worden verzonden en ontvangen. Het is een feit van algemene bekendheid dat criminelen vaak gebruik maken van een PGP-telefoon met een Encrochat-abonnement om anoniem te blijven en door middel van versleutelde berichten veilig met elkaar te kunnen communiceren over criminele activiteiten’.

De rechtbank acht het delict witwassen van 97,6 bitcoins wettig en overtuigend bewezen. De verdachten hebben de illegale herkomst van deze bitcoins verhuld door deze bitcoins voor anderen om te ruilen in cash geld. De rechtbank acht bewezen dat de verdachten van dit witwasfeit een gewoonte hebben gemaakt gelet op het feit dat zij een vaste werkwijze hadden,  dat onder meer blijkt uit de vaste wisselcommissie die zij hanteerden en zij zeer waarschijnlijk een groot aantal bitcoinwissels hebben verricht. Voor de drugshandel en witwassen krijgt verdachte een flinke gevangenisstraf van vijf jaar opgelegd.

Nieuwe beslissing in EncroChat-zaak

De rechtbank Rotterdam heeft op 25 januari 2021 enkele beslissingen (ECLI:NL:RBROT:2021:396) genomen in een EncroChat onderzoek (onderzoek Flamenco). Gedurende een aantal maanden is de inhoud van (tekst)gesprekken tussen een aantal EncroChat-accounts gedeeld met het politieteam dat werkte aan de zaak Flamenco.

De verdediging had verzocht om toevoeging van diverse stukken uit onderzoek 26Lemont (onder meer de JIT-overeenkomst die ten grondslag ligt aan het onderzoek 26Lemont en de Franse tegenhanger ervan), het verhoor als getuige van twee officieren van justitie die leiding geven aan het onderzoek 26Lemont en van twee politieambtenaren (werkzaam bij de Landelijke Recherche en het Team High Tech Crime) en om alle EncroChat-gegevens te mogen inzien die aan het onderzoeksteam Flamenco zijn verstrekt.

De rechtbank stelt voorop dat de EncroChat-informatie in de zaak Flamenco duidelijk is geclausuleerd tot onderzoek naar georganiseerde misdaad. Zodra een machtiging  van een rechter-commissaris is verleend, zijn de inspanningen die worden verricht om de communicatie te ontsleutelen in beginsel rechtmatig. De rechtbank wijst het verzoek tot het toevoegen van stukken aan het dossier en het als getuige horen van de twee officieren van justitie van onderzoek 26Lemont en de twee politieambtenaren af. Naar het oordeel van de rechtbank is niet gebleken van een begin van aannemelijkheid dat de EncroChat-informatie anders dan rechtmatig is verkregen. Ditzelfde geldt eveneens voor de overdracht van een deel van deze informatie aan de (zaak)officier van justitie van onderzoek Flamenco. De getuigenverzoeken worden afgewezen, omdat niet is voldaan aan het verdedigingsbelangcriterium.

De rechtbank wijst het verzoek tot het verstrekken van originele (Franstalige) verzoeken en de beslissingen uit 26Lemont en/of het Franse parallelle EncroChat-onderzoek eveneens af. Er is volgens de rechtbank geen begin van aannemelijkheid dat de genoemde vertalingen qua inhoud en strekking afwijken. De rechtbank overweegt ten aanzien het verzoek om alle EncroChat-gegevens te mogen inzien het volgende. De officier van justitie heeft uiteengezet dat de vormgeving en omvang van de verstrekte gegevens eraan in de weg staan om een eenvoudig doorzoekbaar bestand te verstrekken. Het programma Hansken maakt een dergelijk onderzoek wel mogelijk, maar kan uitsluitend worden gebruikt op locatie bij het Nederlands Forensisch Instituut (NFI), en daarbij kan een verdachte die zich in voorlopige hechtenis bevindt om beveiligingsredenen niet (fysiek) aanwezig zijn.

De rechtbank wil in een aanvullend proces-verbaal nader worden voorgelicht over de technische (on)mogelijkheden en de redenen waarom de eerder toegezegde informatie door de verdediging slechts bij het NFI kan worden ingezien. De rechtbank stelt de verdediging een termijn voor het verstrekken van een overzicht van in het dossier weergegeven gesprekken die zij nader wensen te onderzoeken.

Veroordeling voor drugshandel met belangrijke bewijsrol van EncroChat-berichten

In een andere zaak buigt de rechtbank Zeeland-West-Brabant zich op 24 februari 2021 in een andere zaak over de rechtmatigheid van het onderzoek aan EncroChat-berichten. In deze zaak wordt een verdachte veroordeeld (ECLI:NL:RBZWB:2021:735) voor 6 jaar gevangenisstraf en een geldboete van 20.000 euro voor cocaïnehandel. In deze zaak voert de verdediging (o.a.) aan dat de voorwaarden van de rechter-commissaris om de data uit onderzoek 26Lemont te gebruiken niet zijn gerespecteerd en onvoldoende vast is komen te staan dat de accountnaam verdachte alleen door verdachte is gebruikt.

De rechtbank overweegt dat in een brief beschreven staat dat de Franse autoriteiten door middel van een ‘interceptie-tool’ inzicht en informatie hebben verkregen over de communicatie die is gedeeld op een forum. De Franse politie heeft onder gezag van de Franse officier van justitie, na machtiging van een Franse rechter, de interceptietool ingezet. Omdat in Nederland een soortgelijk strafrechtelijk onderzoek is opgestart, is een Joint Investigation Team (hierna: JIT) opgericht door Nederland en Frankrijk. In de JIT-overeenkomst is, zoals gebruikelijk, overeengekomen dat alle informatie en bewijsmiddelen die ten behoeve van het JIT worden vergaard worden gevoegd in een gezamenlijk onderzoeksdossier. Zekerheidshalve is ook de inzet van de hackbevoegdheid in onderzoeken naar georganiseerde misdaad (artikel 126ua Sv) ingezet. De rechter-commissaris heeft op 27 maart 2020 besloten om deze machtiging, ex artikel 126uba Sv, te verlenen onder een zevental voorwaarden. Op 16 september 2020 heeft een officier van justitie van het Landelijk Parket, op grond van artikel 126dd Sv, bepaald dat gegevens die zijn vergaard tijdens het onderzoek 26Lemont kunnen worden gebruikt in het onderzoek Catamaran. 

Kortgezegd stelt de rechtbank voorop dat het internationale vertrouwensbeginsel met zich mee brengt dat de inzet van buitenlandse bevoegdheden op basis van buitenlands recht (in dit geval Frans recht) in beginsel niet getoetst wordt door een Nederlandse rechter. In het licht van het internationale vertrouwensbeginsel wordt niet ingezien hoe de Nederlandse machtiging aan de in Frankrijk vastgestelde rechtmatigheid van eventuele aldaar geconstateerde inbreuken kan toe of af doen. Onder deze omstandigheden is de rechtbank van oordeel dat aan het eventueel niet voldoen aan voorwaarden gekoppeld aan die Nederlandse machtiging geen rechtsgevolgen kunnen worden verbonden. De gegevens zijn aan het onderzoek Catamaran toegevoegd op grond van artikel 126dd Sv. Dit betreft de wettelijke basis waarop informatie uit strafrechtelijke onderzoeken onderling gedeeld kan worden. Het is niet gebleken dat deze toevoeging onrechtmatig tot stand is gekomen en daarom is volgens de rechtbank geen sprake van een vormverzuim.

Veroordeling voor online opruiing na instellen van avondklok

Vier mannen uit Utrecht, Almere, Weesp en Hilversum zijn door de rechtbank Midden-Nederland veroordeeld (ECLI:NL:RBMNE:2021:12) tot (voorwaardelijke) gevangenisstraffen én taakstraffen vanwege online opruiing. Het viertal verstuurde online opruiende teksten. De uitspraak is interessant gezien de rellen in 2021 tegen de invoering van de avondklok in Nederland.

Voor een bewezenverklaring van opruiing moet aan de volgende vier vereisten zijn voldaan.

1. Er is geprobeerd anderen aan te sporen tot het plegen van enig strafbaar feit of gewelddadig optreden tegen het openbaar gezag. Het is niet nodig dat het feit waartoe wordt aangezet ook daadwerkelijk wordt gepleegd.

2. Er moet sprake zijn van opzet. Dat kan voorwaardelijk opzet zijn: het bewust de aanmerkelijke kans aanvaarden dat wordt opgeruid tot het plegen van een strafbaar feit.

3. De uitlating is in het openbaar gedaan. Het internet kan worden aangemerkt als een openbare plaats, mits het publiek toegang heeft tot de internetpagina waar de teksten zijn weergegeven. Indien de desbetreffende uitlatingen op voor het publiek toegankelijke sociale media worden geplaatst, zijn de uitlatingen in de openbaarheid gebracht.

4. De uitlating moet bovendien mondeling of bij geschrift of afbeelding zijn gedaan. Daaronder zijn inbegrepen video’s en tekstberichten op internet en sociale media.

In de onderhavige zaak werd op 16 april 2019 onder andere een afbeelding op internet geplaatst met de tekst:

“Voor diegenen die willen, zaterdag gaan we politiebureau in Utrecht laten trillen.

Wie ballen heeft moet komen, geen mietjes die kunnen naar [naam] .

Ben klaar met dat politiegeweld.”

Boven de afbeelding stond de naam van de verdachte. Ter zitting heeft verdachte verklaard dat hij het filmpje en de afbeelding op Snapchat heeft geplaatst uit onvrede met het politieoptreden bij een aanhouding op 16 april 2019 op de Kanaalstraat in Utrecht. Ook heeft verdachte verklaard dat hij destijds op Snapchat zo’n 10.000 volgers had.

De rechtbank is van oordeel dat de door verdachte gedane uitlatingen redelijkerwijs niet anders kunnen worden begrepen dan als een aansporing tot gewelddadig optreden tegen de politie. Daarbij geldt dat de teksten in hun geheel, in hun onderlinge samenhang en in hun context begrepen moeten worden. Tegen de achtergrond van de gewelddadige rellen die enkele weken eerder op Urk hadden plaatsgevonden en waarbij veel jongeren van buiten Urk betrokken waren, kan deze tekst door een gemiddeld persoon niet anders worden opgevat dan een oproep tot gewelddadigheden tegen de politie. Dit geldt temeer nu verdachte opriep om de adressen van de agenten, die onder andere als kankerflikkers werden bestempeld, te laten publiceren en mensen opriep om het politiebureau te laten trillen, waarbij ‘mietjes’ niet welkom waren.

Bij haar oordeel betrekt de rechtbank dat verdachte de teksten heeft verspreid onder zijn (ongeveer) 10.000 volgers en dus niet slechts aan een select gezelschap van bekenden. De rechtbank legt deze verdachte een gevangenisstraf op van 45 dagen, waarvan 30 dagen voorwaardelijk. Ook moet hij een taakstraf van 40 uur uitvoeren. De rechtbank houdt rekening met de persoonlijke omstandigheden van de verdachte.

Cybercrime jurisprudentieoverzicht januari 2021

Beslissingen in EncroChat-zaken

De rechtbank Amsterdam heeft op 18 december 2020 enkele belangrijke beslissingen genomen in de bekende EncroChat-zaken (het onderzoek wordt ‘26Douglasville’ genoemd) (Rb. Amsterdam 18 december 2020, ECLI:NL:RBAMS:2020:6443). De verdediging verzoekt tot toegang tot stukken uit een ander onderzoek (‘26Lemont’) om onderzoek te doen naar de rechtmatigheid van het onderzoek naar de EncroChat-hack ter nadere onderbouwing van hun verweer.

Kortgezegd meent het Openbaar Ministerie er geen aanleiding is om de door de verdediging gevraagde stukken aan het dossier toe te voegen, omdat een bevoegde rechterlijke autoriteit zowel in Frankrijk als in Nederland heeft getoetst of de gehanteerde werkwijze rechtmatig was. Toch blijft dan nog steeds onduidelijk wat de werkwijze precies was.

De rechtbank stelt kortgezegd dat het internationaal vertrouwensbeginsel impliceert dat het niet tot de taak van de Nederlandse strafrechter behoort om te toetsen of een door een andere EVRM-lidstaat uitgevoerd strafrechtelijk onderzoek in overeenstemming is met de in die lidstaat geldende rechtsregels (met verwijzing naar HR 5 oktober 2010, ECLI:NL:HR:2010:BL5629). Er hoeven past rechtsgevolgen te worden verbonden aan de vormverzuimen als het recht op een eerlijk proces onvoldoende kan worden gewaarborgd. De rechtbank vindt dat de verdediging onvoldoende onderbouwd waarom de stukken moeten worden versterkt. Persoonlijk heb ik begrip voor het pleidooi van de advocaten en tegelijkertijd begrijp ik de verwijzing naar staande jurisprudentie van de rechtbank. Het is een zaak die ik zeker met interesse blijf volgen.

De rechtbank overweegt zelfs dat door de raadslieden onvoldoende is onderbouwd dat onderzoek 26Lemont heeft te gelden als een voorbereidend onderzoek naar de verdachten in onderzoek 26Douglasville. De JIT-overeenkomst vormt de basis waarop de door de Franse autoriteiten vergaarde informatie uit onderzoek 26Lemont aan Nederland is verstrekt. De rechtbank draagt (vooralsnog) het Openbaar Ministerie niet op de JIT-overeenkomst aan het dossier toe te voegen. De hele constructie met JIT’s begrijp ik persoonlijk nog niet goed, dus deze overweging kan ik niet op waarde schatten.

Zie ook deze fascinerende podcast van 25 oktober 2020 op AD.nl over de EncroChat-zaken.

Hoger beroep in moordzaak en Google-tijdlijn gegevens

Het Hof Arnhem-Leeuwarden heeft op 1 december 2020 een verdachte in hoger beroep veroordeeld (ECLI:NL:GHARL:2020:9865) tot een gevangenisstraf van 20 jaar voor het medeplegen van de moord op haar echtgenoot. Het hof leunt voor de bewijsvoering sterkt op de resultaten van de Google Timeline behorende bij het Google-account van het slachtoffer, terwijl de verdachte ontkent. Eerder heb ik ook over de zaak in eerste aanleg (Rb. Noord-Nederland 11 juli 2019, ECLI:NL:RBNNE:2019:2986) bericht. De zaak is interessant omdat de bewijsvoering sterk op de gegevens van Google berust terwijl de betrouwbaarheid daarvan wordt betwist. Mijn verwachting is dat deze gegevens vaker gebruikt zullen worden. Zie ook deze artikelen in Wired (‘How Your Digital Trails Wind Up in the Police’s Hands‘) over digitaal bewijs van Google, onder andere over de fascinerende ‘geofence-warrants‘, waarbij Google verkeersgegevens van Androidtelefoons in een bepaald gebied en een bepaalde tijd aan opsporingsinstanties moeten verstrekken.

Het hof stelt voorop dat aan de hand van gebruikersactiviteiten en locatiegegevens van het Googleaccount van het slachtoffer inzicht is verkregen in een tijdlijn met locaties en daarbij behorende activiteitgegevens, waaronder gebruikersactiviteiten (de Google Timeline). Het hof gebruikt de ‘confidence-waarde’ van Google om te bepalen wat de mate van waarschijnlijkheid dat de geschatte type activiteit (door Google) correct is. Zo wordt in het arrest beschreven: ‘Om 00:27:38 uur bevindt het toestel van het slachtoffer zich volgens de locatiegegevens van Google met een waarschijnlijkheid van 95% op een gebruiker die aan het lopen is. Volgens de gebruikersactiviteiten van Google verandert de hoek waarop het toestel zich bevindt aanzienlijk om 00:40:09 uur, met een waarschijnlijkheid van 100%. Om 00:43:18 uur beweegt het toestel niet, met een waarschijnlijkheid van 100%’.

In eerste aanleg is een contra-expertise verricht naar de Google Timeline. De Telecomdeskundige van het Nationaal Forensisch Onderzoeksbureau (hierna: NFO) heeft in eerste aanleg ter terechtzitting verklaard dat hij zijn eigen script op de ruwe data van Google Timeline heeft toegepast. De gegenereerde tijdstippen en positie heeft hij geplot in Google Maps en daaruit kwamen exact dezelfde posities naar voren als weergegeven in het politieonderzoek. In hoger beroep bepleit de verdediging dat de gegevens niet betrouwbaar zijn. Daarbij is een rapport ingebracht van het ‘Nederlands Forensisch Incident Response’ (hierna: NFIR). Ik mis de technische expertise en details van de zaak om het digitaal bewijs op waarde te schatten. De tegenstelling over de betrouwbaarheid is in ieder geval opvallend.

Het hof overweegt daarover dat tussen de digitale experts van de politie, het NFO en het NFIR consensus bestaat over het feit dat Google locatiegegevens niet gebruikt kunnen worden om een mobiele telefoon met absolute zekerheid en precisie op een specifieke locatie te plaatsen, en dat de politie en de NFO deskundige met de ruwe data van Google Timeline in Google Maps tot exact dezelfde tijdstippen en posities komen. Het hof stelt vast dat de door de verdediging ingeschakelde forensisch onderzoekers (NFIR) een dergelijk volledig onderzoek niet is verricht.

Kortgezegd ziet het Hof geen enkele reden om aan de betrouwbaarheid van de Google locatiegegevens te twijfelen en deze niet voor het bewijs te bezigen. Daarbij benadrukt het hof dat de Google locatiegegevens in het kader van de bewijsvoering slechts worden gebruikt als een indicatie van de locatie van het telefoontoestel, beschouwd in het licht van de door Google zelf aangegeven confidence-waarde. Het hof beschouwt de bevindingen van Google Timeline uiteindelijk in combinatie met de resultaten van het bloedspoorpatroononderzoek en het pathologisch onderzoek en is daarmee door het bewijs overtuigd dat de verdachte de moord heeft gepleegd.

Veroordeling voor drugshandel op darknet markets

Op 16 december 2020 heeft de rechtbank Rotterdam een verdachte veroordeeld (ECLI:NL:RBROT:2020:11624) voor drugshandel via darknet markets en deelname aan een criminele organisatie. De verdachte is veroordeeld tot een gevangenisstraf van 24 maanden en een taakstraf van 240 uur. Eén van de zes medeverdachten wordt vrijgesproken van deelneming aan een criminele organisatie.

De bewijsvoering over drugshandel via darkweb is met name interessant om te lezen. De uitspraak vermeld bijvoorbeeld de handgeschreven prijslijst met verboden middelen, inloggegevens van de darknet markten ‘Alphabay’ en ‘Valhalla’, een Excellijst met verkopen uit de drugshandel per darknet market en een handleiding genaamd ‘hoe bestellingen af te handelen op de dark markets’.

De medeverdachten verstopten pakketten met drugs in uitgeholde kaarsen en verstuurden deze vanuit hun woning naar adressen in het buitenland. In de berging van de woning en de schuur van hun grootmoeder zijn aanzienlijke hoeveelheden verdovende middelen aangetroffen.

Fraude door scan van QR-code

Op 15 december 2020 heeft de rechtbank Den Haag een verdachte veroordeeld (ECLI:NL:RBDHA:2020:12796) tot vier maanden gevangenisstraf voor oplichting, computervredebreuk, diefstal met een valse sleutel en witwassen.

Hij verdiende zijn geld door middel van fraude met een QR-code. Dat ging als volgt in zijn werk. De verdachte sprak het slachtoffer aan op het station Hollands Spoor die hem op zijn telefoon de ING Mobiel Bankieren app liet zien, waarin op dat moment een QR-code zichtbaar was. De man vroeg hem om die QR-code te scannen om 2 euro naar zijn bankrekening over te maken, omdat hij geld tekort kwam voor het kopen van een treinkaartje. Een dag later bemerkte het slachtoffer dat er buiten zijn medeweten vanaf zijn bankrekening transacties waren verricht. Op de camerabeelden van station Hollands Spoor was te zien dat het slachtoffer werd aangesproken door verdachte, en een handeling verrichte op zijn telefoon (het scannen van de QR-code).

De rechtbank ziet in het handelen van de verdachte listige kunstgrepen en een samenweefsel van verdichtsels (vereist voor het delict oplichting). De verdachte heeft het slachtoffer in strijd met de waarheid voorgespiegeld dat hij door het scannen van de QR-code twee euro naar de bankrekening van verdachte zou overmaken. Op de camerabeelden van een kledingwinkel in Amsterdam is waar te nemen dat verdachte een dag later, op 4 november 2019 om 15:05 uur, een jas van € 995,- afrekende, terwijl uit de bankrekeninggegevens van het slachtoffer blijkt dat op precies hetzelfde tijdstip een bedrag van € 995,- van de bankrekening is afgeschreven bij de betreffende kledingwinkel in Amsterdam.

De verdachte is met bovenstaande handelingen ook binnengedrongen in een (deel van een) geautomatiseerd werk, namelijk de beveiligde internetbankierenomgeving van ING-bank. Verdachte heeft dit gedaan met inloggegevens tot het gebruik waarvan hij niet bevoegd was, en door zich voor te doen als geautoriseerde ING-klant, zodat in het kader van de computervredebreuk zowel sprake is van het gebruik van een valse sleutel, als van het aannemen van een valse hoedanigheid.

Jurisprudentieoverzicht inlichtingen en recht december 2020

Vrijspraak deelname terroristische organisatie 

Op 29 oktober 2020 heeft het Hof Den Bosch een Syriëganger vrijgesproken (ECLI:NL:GHSHE:2020:3371) van deelname aan een terroristische organisatie (IS/DEAESH en/of Jabat al-Nusra). De verdachte is in 2013 afgereisd naar Syrië en is in een trainingskamp verbleven. Ook heeft hij meermalen websites bezocht en filmpjes bekeken met een radicaal extremistische inhoud, contant geld ontvangen en daarmee een vliegticket gekocht, de Arabische taal (aan)geleerd en op 17 oktober 2016 getracht om via de Balkanroute naar Syrië af te reizen.

Toch heeft het hof in het procesdossier geen bewijsmiddelen aangetroffen en is daarom ook niet tot de overtuiging bekomen dat verdachte ook daadwerkelijk deel heeft uitgemaakt van een terroristische organisatie c.q. is toegelaten tot een terroristische organisatie. De verdachte heeft volgens het Hof ook geen wezenlijke bijdrage geleverd aan het verwezenlijken van de doelen van een terroristische organisatie.

Wel wordt verdachte veroordeeld voor voorbereidingshandelingen van het plegen van terroristische misdrijven (artikel 96 lid 2 Sr) en het (zichzelf) trainen tot het plegen van terroristische misdrijven (artikel 134a Sr). Het hof acht bewezen dat het de bedoeling van de verdachte was om via Duitsland en/of Boedapest (de Balkanroute) of Turkije, naar Syrië te reizen teneinde zich te begeven in Syrië en dat de reis derhalve is ondernomen ter voorbereiding van het plegen van terroristische misdrijven. Het bewijs is onder meer afkomstig van pintransacties, digitaal forensisch onderzoek en openbronnenonderzoek. De verdachte krijgt een gevangenisstraf opgelegd van 800 dagen, waarvan 473 voorwaardelijk een proeftijd van drie jaar. De kans op recidive wordt ingeschat als hoog.

Minister gevrijwaard van aansprakelijkheid bij publicatie rapport NCTV?

Op 21 december 2020 heeft de rechtbank Den Haag in een kort geding een vordering afgewezen (ECLI:NL:RBDHA:2020:13109) voor een rectificatie in het Dreigingsbeeld Terrorisme Nederland nr. 53. De zaak was aangespannen door de ‘Muslim Rights Watch Nederland’ (MRWN), omdat zij vonden dat ze worden zwartgemaakt door het NCTV door hen zonder feitelijke onderbouwing aan te merken als ‘politiek-salafistische aanjagers die onverdraagzaam, anti-integratief en antidemocratisch gedachtengoed verspreiden’. Ze stellen dat hun vrijheid van meningsuiting en recht op een persoonlijke levenssfeer is geschaad (art. 8 en 10 EVRM), onder andere omdat ze hun denkbeelden niet meer effectief kunnen uitdragen omdat ze niet meer als integer worden beschouwd.  

De staat voert de opmerkelijke, maar klaarblijkelijk uiterst effectieve, verdediging door te stellen dat op grond van artikel 71 Grondwet de staat niet kan worden aangesproken over datgeen dat aan de Staten-Generaal is voorgelegd (in dit geval: het Dreigingsbeeld Terrorisme Nederland). Het idee is dat hiermee wordt beschermd dat de (in dit geval) minister zich in het parlementaire debat kan uiten in de wetenschap dat een controle op de geoorloofdheid van hun uitlatingen niet bij de rechter berust. Voorkomen moet worden dat de minister zich in het parlementaire debat en bij de informatieverschaffing aan – in dit geval – de Tweede Kamer terughoudend opstelt om civielrechtelijke aansprakelijkheid van de Staat te vermijden (de rechtbank verwijst hierbij naar een niet gepubliceerde uitspraak van het Hof Den Haag, 27 mei 2004, ECLI:NL:GHSGR:2004:AQ8950). 

De (succesvolle) verdediging noem ik opmerkelijk, omdat hier zelden een beroep op wordt gedaan. Artikel 71 Gw beschermt de minister voor uitspraken tijdens een parlementair debat. De minister is dan immuun voor aansprakelijkheid, maar de staat in zijn algemeenheid niet (zie ook dit arrest van de Hoge Raad). Maar ook het beroep op artikel 8 en 10 EVRM slaagt volgens de rechter niet. In andere zaken die in deze rubriek zijn beschreven binnen het domein van het bestuursrecht gaan de rechters na of een conclusie wordt gestaafd op basis van de onderliggende stukken in bijvoorbeeld een ambtsbericht van de AIVD. Hier komt de rechter daar niet aan toe. Wellicht staat de verdediging in soortelijke zaken in de toekomst sterker met een verweer waarbij duidelijker wordt gemaakt wat de schade precies is.  

Intrekking Nederlanderschap  

Op 25 november 2020 heeft de rechtbank Den Haag een beroep over de intrekking van Nederlanderschap als ongegrond verklaard (ECLI:NL:RBDHA:2020:12130). Het Nederlanderschap was op 30 oktober 2019 ingetrokken op grond van artikel 14 lid 3 van de Rijkswet op het Nederlanderschap en de vrouwelijke verdachte tot ongewenst vreemdeling verklaard, wegens gevaar voor de nationale veiligheid door deelname aan een internationaal gewapend conflict. Aan dit besluit lag een ambtsbericht van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) van 27 september 2019 ten grondslag.

Daarin was vermeld:

“Betrokkene is medio juli 2013 uitgereisd naar Syrië. Zij is daar eind juli 2013 (islamitisch) getrouwd met een ISIS-strijder. In die tijd verheerlijkte zij openlijk de werkwijze van ISIS, daarnaast poseerde betrokkene met een automatisch vuurwapen.

Betrokkene bleef ook na 11 maart 2017 aangesloten bij ISIS. Betrokkene deed pro-ISIS uitlatingen via sociale media en faciliteerde bij de verspreiding van pro-ISIS uitlatingen in het (semi-)openbaar. Zo spreekt verzoekster publiekelijk positief over haar leven in een gebied waarin de religieuze politie van ISIS actief is. Verder maakt verzoekster het in 2018 mede mogelijk dat het martelaarschap via sociale media wordt verheerlijkt en een afbeelding van een aanslagmiddel wordt gedeeld.

Betrokkene was tot begin 2019 in het door ISIS gecontroleerd gebied en bevond zich in het voorjaar van 2019 in een Koerdisch kamp. Betrokkene heeft in Syrië twee kinderen gekregen; [kind 1] , geboren omstreeks april 2015 en [kind 2] , geboren omstreeks september 2016.”

De rechtbank heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties verzocht inzage te geven in de stukken die ten grondslag liggen aan het ambtsbericht. De minister heeft de rechtbank (onder verwijzing naar artikel 8:29 lid 1 van de Algemene wet bestuursrecht (Awb)) medegedeeld dat alleen de rechtbank kennis mag nemen van de onderliggende stukken van het ambtsbericht. De geheimhoudingskamer van de rechtbank heeft bepaald dat deze beperking gerechtvaardigd is. De raadvrouw van de verdachte mocht de onderliggende stukken niet inzien.

Eiseres heeft zich op het standpunt gesteld dat het ambtsbericht niet als een deskundigenbericht kan worden beschouwd omdat de AIVD in het bericht geen conclusie heeft opgenomen over het gevaar van eiseres voor de nationale veiligheid. Eiseres ziet dit als een kennelijke weigering van de AIVD om haar als een gevaar te bestempelen. In dit verband verwijst eiseres naar het op 16 juni 2020 gepubliceerde rapport van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (hierna: CTIVD) over de intrekking van het Nederlanderschap, waaruit volgens haar blijkt dat de AIVD moeite c.q. weerzin heeft zich in zaken van de IND te mengen.

De rechtbank overweegt dat het betoog van eiseres dat het ambtsbericht geen conclusies over de nationale veiligheid bevat niet slaagt, nu in het ambtsbericht onder meer vermeld staat dat eiseres aangesloten was bij ISIS en de werkwijze van ISIS verheerlijkte. Het is vervolgens aan verweerder om te beoordelen of het gestelde in het ambtsbericht tot de conclusie leidt dat eiseres een gevaar vormt voor de staatsveiligheid. Zoals verweerder ter zitting terecht heeft gesteld is de gebruiker van het deskundigenbericht verantwoordelijk voor diens eigen conclusies en besluiten. Het rapport van de CTIVD biedt geen aanknopingspunten voor het oordeel dat op grond daarvan geen betekenis aan de uitgebrachte ambtsberichten kan worden gehecht. De rechtbank overweegt dat het ambtsbericht voldoende feitelijke en concrete informatie bevat over de gedragingen van eiseres, ook na 11 maart 2017, die niet is weerlegd. Het gaat daarbij bijvoorbeeld om foto’s op sociale media van de vrouw met een aanslagmiddel en verstuurde chatberichten. De rechtbank acht het – mede gelet op de geheime stukken die door de rechtbank zijn ingezien – voldoende aannemelijk dat de berichten van eiseres afkomstig waren. Bovendien betreft dit ook berichten van na maart 2017, welke de bevindingen uit het ambtsbericht in voldoende mate onderbouwen.

De rechtbank overweegt ten slotte nog: ‘Door er zelf voor te kiezen om naar Syrië te vertrekken om aldaar een zelfstandig bestaan in door ISIS gecontroleerd gebied te gaan leiden en aldaar te huwen met een ISIS-strijder waarmee zij twee kinderen heeft gekregen, heeft eiseres zelf de afweging gemaakt om niet langer feitelijk in de nabijheid van haar familieleden in Nederland te verblijven’. Haar kinderen behouden Nederlanderschap, zijn onder toezicht gesteld en verblijven bij haar zus. De verdachte zelf is in Nederland gedetineerd.

Geheimhouding en inzage tot stukken 

Een verzoek tot kennisneming van gegevens (zoals gespreksverslagen, memo’s, notities) van de appellant met betrekking tot verhoren in een spionagezaak is afgewezen voor zover het om ‘actuele gegevens’ gaat (ECLI:NL:RVS:2020:2635). De appellant heeft wel van de minister inzagedossier van 113 pagina’s ontvangen over de periode van 1974-2011, voor zover het niet om actuele gegevens gaat.

Na de einduitspraak van de rechtbank heeft de minister per document toegelicht waarom inzage in de gegevens is geweigerd. De minister heeft verder voor een aantal geel gemarkeerde delen een nadere motivering gegeven in de alleen voor de Afdeling kenbare passages van de brief van 3 juni 2019.

De Raad van State overweegt dat een organisatie als de AIVD zijn wettelijke taak uitsluitend met een zekere mate van geheimhouding effectief kan uitvoeren. Dit betekent dat de AIVD zijn actuele kennisniveau, zijn bronnen en zijn werkwijze geheim moet kunnen houden om de veiligheid van de daarbij betrokken personen en de veiligheid van de staat te kunnen waarborgen en onderzoeken niet in gevaar te brengen. De verstrekking van gegevens mag worden geweigerd als de nationale veiligheid daardoor kan worden geschaad.

Voor zover documenten zijn geweigerd wegens de bescherming van bronnen, heeft de Afdeling eerder overwogen (in o.a. ECLI:NL:RVS:2014:3264) dat het belang daarvan niet alleen is gelegen in het waarborgen van de veiligheid van in het bijzonder menselijke bronnen maar, in het verlengde daarvan, ook in het voorkomen dat bronnen geen informatie aan de AIVD meer willen verstrekken, hetgeen het goed functioneren van die dienst belemmert waardoor de nationale veiligheid wordt geschaad. Verder heeft de Afdeling eerder over deze weigeringsgrond overwogen (in o.a. ECLI:NL:RVS:2014:3265) dat die weliswaar absoluut is, maar dat de minister wel in ieder concreet geval moet beoordelen of de nationale veiligheid wordt geschaad door verstrekking van de gegevens.

De Afdeling heeft over de weigering van kennisneming wegens de actuele werkwijze van de AIVD (ECLI:NL:RVS:2014:3264) overwogen dat de enkele omstandigheid dat de gegevens gedateerd zijn niet betekent dat de minister zich niet op het belang van bescherming mag beroepen, omdat ook in het verleden gebruikte werkwijzen nog steeds door de AIVD kunnen worden ingezet.

De rechters concluderen na kennisneming van de stukken, waaronder ook de geheime motivering, dat de minister in dit geval passages heeft mogen weigeren. Met het bovenstaande biedt de Raad van State een mooi overzichtsarrest over de jurisprudentie met betrekking tot het recht op inzage.

Op sanctielijst terrorisme 

De afdeling bestuursrechtspraak van de Raad van State heeft op 14 oktober 2020 een arrest (ECLI:NL:RVS:2020:2420) gewezen over de toepassing van de Sanctieregeling Terrorisme 2007-II op een persoon. De persoon is volgens de minister lid van de door de Europese Unie als terroristisch aangemerkte organisatie ‘Devrimci Halk Kurtuluş-Cephesi’ (DHKP/C). Hij zou fondsen werven voor de organisatie en het tijdschrift ‘Yürüyüs’ verspreiden, waarin aanslagen en aanslagplegers van DHKP/C worden verheerlijkt. De fondsen zijn daarop bevroren. De minister kwam tot dit oordeel door een ambtsbericht van de AIVD. De appellant ontving het ambtsbericht in de bezwaarfase, waarin stond vermeld:

“In het kader van de uitvoering van zijn wettelijke taak beschikt de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) over de volgende betrouwbare informatie met betrekking tot [appellant] (geb. [datum] in [plaats]). [appellant] is een leidinggevend lid van de DHKP/C (Devrimci Halk Kurtulus Partisi/Cephesi) en stond in contact met [DKHP/C-leider] (geb. [datum]). De DHKP/C (Devrimci Halk Kurtulus Partisi/Cephesi) is geplaatst op de internationale lijst van terroristische organisaties (zie besluit 2013/395/GBVB van de Raad van de Europese Unie van 25 juni 2013).

[appellant] werft fondsen voor de DHKP/C en verspreidt het blad “Yürüyüs” waarin aanslagen en aanslagplegers van de DHKP/C worden verheerlijkt. Door zijn activiteiten ondersteunt [appellant] de terroristische activiteiten van de DHKP/C.”

De Afdeling is zeer kritisch over het ambtsbericht. Zij heeft de geheime stukken in het AIVD-dossier ingezien. Daaruit blijkt dat de appellant een zekere rol speelt binnen DHKP/C, maar zonder nadere toelichting van de minister is niet duidelijk waarom die stukken de conclusie rechtvaardigen dat de appellant een leidinggevende functie binnen de organisatie vervult. De contacten met de leider van DHKP/C zijn niet aan de bevriezingsmaatregel ten grondslag gelegd en duiden ook overigens niet op een leidinggevende functie van de appellant. De structuur, opbouw en invulling van functies binnen de organisatie en de positie van de appellant daarin is in de stukken niet uiteengezet. Een nadere toelichting ten aanzien van de leidinggevende positie van de appellant binnen de organisatie kon door de minister ter zitting niet worden gegeven, omdat de aanwezige vertegenwoordiger niet op de hoogte was van de inhoud van het onderliggende AIVD-dossier.

De Raad van State acht het besluit van de minister daarom onvoldoende gemotiveerd. De Afdeling merkt ten slotte nog op dat niet de AIVD maar de minister een beroep kan doen op de procedure van artikel 8:29 Awb. Het besluit van de toepassing van de sanctieregeling wordt daarom vernietigd en de minister zal een nieuw besluit op het bezwaar van de appellant moeten nemen.

Cybercrime jurisprudentieoverzicht december 2020

Een Facebook account is geen ‘geautomatiseerd werk’

Het Hof Den Haag heeft op 22 september 2020 een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2005) voor belaging, maar vrijgesproken van computerbreuk. Een ‘Facebookaccount’ kan niet worden aangemerkt als een geautomatiseerd werk in de zin van artikel 80sexies Sr; een webserver die de opslag van gegevens en de verwerking van gegevens verzorgen voor een account is dat mogelijk wel. De webserver behoort niet toe aan het slachtoffer, maar is in eigendom van Facebook. Het OM moet bewijzen dat de verdachte is binnengedrongen in de webserver. In deze zaak kon alleen bewezen worden dat de beveiligingsvraag door de verdachte was gewijzigd. De verdachte heeft verklaard dat vervolgens het account werd geblokkeerd en zij niet verder heeft geprobeerd toegang te krijgen tot de gegevens. Het OM heeft daarom niet bewezen dat de verdachte daadwerkelijk toegang heeft verschaft tot afgeschermde gegevens in het Facebook-account van het slachtoffer en daarmee computervredebreuk heeft gepleegd.

Wel was er sprake van het delict belaging (artikel 285 lid 1 Sr). Daarvoor is volgens vaste jurisprudentie (HR 29 juni 2004, ECLI:NL:HR:2004:AO5710 en HR 4 november 2014, ECLI:NL:HR:2014:3095) van belang: de aard, de duur, de frequentie en de intensiteit van de gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer.

Kortgezegd heeft de verdachte diverse Facebook-, Twitter- en Instagram-accounts aangemaakt op naam van het slachtoffer. Op deze accounts en websites heeft de verdachte gedurende een periode van ruim drie maanden een liefdesverklaring geplaatst en foto’s en persoonlijke gegevens van de aangeefster gepubliceerd. Deze verklaringen op de accounts heeft het persoonlijke leven in sterke mate negatief beïnvloed. Volgens het Hof was er ook sprake van belaging bij een tweede slachtoffer.

De verdachte krijgt een voorwaardelijke gevangenisstraf opgelegd van drie maanden met een proeftijd van twee jaar en 120 uur taakstraf.

Bitcoins als ‘voorwerp’ en waardebepaling

Het Hof Den Haag heeft op 22 september 2020 een interessant arrest (ECLI:NL:GHDHA:2020:1804) gewezen over de inbeslagname van bitcoins. Voor het eerst oordeelt een rechtsinstantie dat bitcoins, vanwege hun eigenschappen, strafrechtelijk moeten worden gezien als voorwerp gekwalificeerd en daarmee ook vatbaar zij voor inbeslagname. Het hof overweegt dat ‘bitcoins voor menselijke beheersing vatbare objecten zijn met een reële waarde in het economische verkeer die voor overdracht vatbaar zijn. Er kan met bitcoins worden betaald. De feitelijke en exclusieve heerschappij ligt bij degene die toegang heeft tot een wallet en wordt verloren bij een succesvolle transactie naar een andere wallet. Bitcoins zijn bovendien individueel bepaalbaar: van iedere bitcoin wordt het ontstaan en iedere transactie die ermee wordt uitgevoerd, in de blockchain bijgehouden’. Daarom is het hof van oordeel dat bitcoins, vanwege deze eigenschappen, strafrechtelijk gezien als voorwerp gekwalificeerd kunnen worden. Dat is van belang vanwege bepaalde delictsomschrijven waarvan van een ‘voorwerp’ wordt gesproken en voor de strafvordelijke consequenties bij en na de inbeslagname van bitcoins.

De verdachte heeft ongeveer twee jaar lang als ‘cash trader’ gehandeld in bitcoins door (via internet) bezitters van bitcoins aan te bieden hun bitcoins om te zetten in contant geld. De verdachte en medeverdachten worden verweten een totaalbedrag van € 11.690.267,85 (!) te hebben witgewassen. De verdachte verkocht de verkregen bitcoins vervolgens aan cryptocurrency uitwisselingskantoren (‘exchanges’) als ‘Kraken’ of ‘Bitstamp’. Deze bedrijven betaalden de verdachte uit op bankrekeningen op zijn eigen naam en die van anderen. De identiteit van zijn klanten heeft de verdachte niet vastgesteld en hij hield geen administratie bij van zijn klanten. De verdachte hield slechts bij op welke datum hij een transactie heeft uitgevoerd, om welk bedrag het ging en de netto winst van die transactie in procenten uitgedrukt.

De verdachte hanteerde een hoog commissiepercentage, sprak af op openbare plekken en het ging veelal om grote bedragen. De gedragingen van verdachte voldoen hierdoor aan meerdere onderdelen van de in 2017 door de FIU opgemaakte ‘Witwastypologieën virtuele betaalmiddelen’. Van de verdachte mag worden verlangd dat hij een concrete, verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft dat het voorwerp niet van misdrijf afkomstig is.

De door de verdachte gegeven verklaring kan niet worden aangemerkt als een dergelijke verklaring voor de niet-criminele herkomst van het geld. Die verklaring en de overgelegde stukken bieden geen reëel tegenwicht aan het vermoeden van witwassen. Het hof is van oordeel dat de bitcoins en de geldbedragen uit misdrijf afkomstig waren en dat verdachte wist van de illegale herkomst. Gelet op de periode van bijna twee jaren, de hoogte van het totaalbedrag en de bedrijfsmatige handelswijze is het hof van oordeel dat verdachte van het witwassen een gewoonte heeft gemaakt. De verdachte krijgt een gevangenisstraf opgelegd van 43 maanden.

De rechtbank Rotterdam heeft op 23 oktober 2020 eveneens een interessante uitspraak (ECLI:NL:RBROT:2020:10073) gepubliceerd. In deze zaak werd de verdachte en medeverdachten verweten een bedrag van 16 miljoen euro te hebben witgewassen. De verdachte bood via internet bezitters van bitcoins aan om hun bitcoins om te zetten in contant geld. De klanten maakten bitcoins over naar één van de wallets van verdachte en/of aan hem gelieerde bedrijven en kregen vervolgens direct de tegenwaarde van deze bitcoins verminderd met een commissiepercentage contant uitbetaald. Daarbij hanteerde verdachte in vergelijking met reguliere bitcoin uitwisselingskantoren een ongewoon hoge commissie in van tussen 9,5%-15%, terwijl tussen 1-3% gebruikelijk is. De verdachte is veroordeeld tot een gevangenisstraf van 30 maanden, waarvan een half jaar voorwaardelijk.

De rechtbank verklaart 1488 bitcoins verbeurd waar geen beslag op lag. Het Openbaar Ministerie had geen beslag kunnen leggen op de bitcoins, omdat de ‘public key’ waarmee toegang kon worden verkregen tot de bitcoinadressen in de bitcoinwallets van verdachte versleuteld was en verdachte de ontsleuteling daarvan niet had prijsgegeven. Niettemin stelt de rechtbank vast dat de bitcoins zich ten tijde van de uitspraak nog in de bitcoinwallets bevonden. Bij die stand van zaken houdt de rechtbank aan dat de bitcoins in strafrechtelijke zin aan de verdachte toebehoren. De verdachte wordt de keuze gelaten het OM de volledige beschikkingsmacht over deze specifieke bitcoins te verschaffen, of de koerswaarde te betalen zoals deze heeft gegolden op de datum van de uitspraak, te vervangen door 12 maanden vervangende hechtenis.

Ontucht zonder lichamelijk contact

De Hoge Raad heeft op 27 oktober 2020 een belangrijk arrest (ECLI:NL:HR:2020:1675) gewezen over ontucht op afstand. De zaak gaat over een verdachte die via Instagram contact gehad met een meisje van destijds 13 jaar, waarbij hij zich voordeed als een jongen van 17 jaar. Het slachtoffer heeft verklaard dat verdachte naaktfoto’s van haar wilde. De verdachte is zelf begonnen met het versturen van naaktfoto’s. In eerste instantie durfde en wilde het slachtoffer geen naaktfoto’s (te) versturen, maar de verdachte heeft haar daartoe later toch overgehaald. Vervolgens stuurde het slachtoffer via WhatsApp twee thuis gemaakte naaktfoto’s en een op vakantie gemaakte naaktfoto aan verdachte. Deze foto’s zijn daadwerkelijk aangetroffen op de telefoon van verdachte.

Het hof overweegt onder verwijzing naar HR 30 november 2004, ECLI:NL:HR:2004:AQ0950 dat hoewel uit de bewijsmiddelen niet blijkt van lichamelijk contact tussen verdachte en het slachtoffer, niettemin sprake is geweest van enige voor het plegen van ontucht met het minderjarige slachtoffer. De Hoge Raad stelt in reactie voorop dat van het plegen van ontuchtige handelen met iemand beneden de leeftijd van zestien jaren ook sprake kan zijn als geen lichamelijke aanraking tussen de dader en het slachtoffer heeft plaatsgevonden. Of de gedraging(en) van de dader, al dan niet in onderlinge samenhang bezien, het plegen van ontuchtige handelingen met het slachtoffer opleveren, hangt af van de omstandigheden van het geval. Daarbij is in het bijzonder relevant in hoeverre tussen de dader en het slachtoffer enige voor het plegen of dulden van ontucht relevante interactie heeft plaatsgevonden. Daarvan zal slechts sprake kunnen zijn in uitzonderlijke gevallen.

De Hoge Raad is van oordeel dat de bewezenverklaring van het hof voor wat betreft het onderdeel ontuchtige handelingen plegen ‘met’ het slachtoffer ontoereikend is gemotiveerd. Daarbij acht de Hoge Raad mede relevant dat uit de vaststellingen van het hof niet kan worden afgeleid dat verdachte enige concrete bemoeienis heeft gehad met de wijze waarop het slachtoffer zijn verzoek om het toesturen van naaktfoto’s uitvoerde. Uit de bewijsvoering blijkt evenmin op andere wijze dat sprake zou zijn geweest van ontucht ‘met’ iemand.

Arrest gerelateerd aan Hansa Market operatie

Op 22 oktober 2020 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2065) voor medeplichtigheid aan handel in harddrugs (heroïne en cocaïne) en schuldig gemaakt aan het telen van hennep samen met de medeverdachte. De verdachte heeft haar telefoon en computer aan de medeverdachte beschikbaar gemaakt ten behoeve van drugshandel op de darknet market ‘Hansa Market’. Zij krijgt een 120 uur taakstraf opgelegd met twee jaar proeftijd.

De verdediging voert aan dat geen sprake is van een vorm van medeplegen voor de handel in drugs zoals ten laste gelegd, maar sprake is van medeplichtigheid. In overweging van het verweer herhaalt het Hof Den Haag dat voor medeplegen bewezenverklaard moet worden dat sprake is geweest van een voldoende nauwe en bewuste samenwerking bij het plegen van het strafbare feit. Ook als het tenlastegelegde medeplegen in de kern niet bestaat uit een gezamenlijke uitvoering tijdens het begaan van het strafbare feit, maar uit gedragingen die doorgaans met medeplichtigheid in verband plegen te worden gebracht, kan daarvan sprake zijn. Bij de beoordeling of daarvan sprake is, kan rekening worden gehouden met onder meer de intensiteit van de samenwerking, de onderlinge taakverdeling, de rol in de voorbereiding, de uitvoering of de afhandeling van het delict en het belang van de rol van de verdachte, diens aanwezigheid op belangrijke momenten en het zich niet terugtrekken op een daartoe geëigend tijdstip.

Het Hof spreekt de verdachte vrij van medeplegen, omdat uit het dossier niet blijkt dat de verdachte de accounts heeft gemaakt waarmee is gehandeld op Hansa Market. Uit het dossier blijkt evenmin dat zij de enveloppen heeft verzonden. Voorts is op grond van het dossier geen taakverdeling vast te stellen tussen de verdachte en haar toenmalige partner en kan niet worden bewezen of er sprake is geweest van een afgesproken, laat staan een gewichtige, rol. Wel wordt medeplichtigheid bewezen geacht.

Opvallend is dat het Hof de raadsvrouw heeft gevraagd of zij eventueel verweer wilt voeren op eventuele vormverzuimen bij de Hansa-operatie (zie hierover ook: Rb. Rotterdam 3 juli 2019, ECLI:NL:RBROT:2019:5339, Computerrecht 2019/178, m.nt. J.J. Oerlemans). De raadvrouw geeft aan hier geen verweer op te voeren. Het Hof ziet ook geen aanleiding ambtshalve in te gaan op eventuele vormverzuimen. Het verzoek tot teruggave van persoonlijke foto’s op de inbeslaggenomen laptop is volgens het Hof ten slotte onvoldoende gemotiveerd.

Veroordeling voor grootschalige phishing met malware

Op 19 november 2020 heeft de Rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2020:5038) voor de stevige gevangenisstraf van vier jaar voor computervredebreuk, oplichting, diefstal door middel van een valse sleutel, (gewoonte)witwassen en heling.

De verdachte en zijn medeverdachten achterhaalden met behulp van phishing-mails bankgegevens van meer dan zestig klanten van verschillende banken. Vervolgens bewogen zij een aantal van hen om geld over te maken. Hierbij maakten verdachte en zijn medeverdachten meer dan €480.000 buit. De zaak kwam aan het rollen door aangiftes van diverse banken in 2018, waaronder de Volksbank (SNS) en de ING bank. Vervolgens heeft een onderzoek plaatsgevonden naar verspreiders van e-mails met malware. Met die malware werden inloggegevens van internetbankieren van klanten achterhaald, waarmee vervolgens een nieuwe simkaart dan wel ‘digipas’ werd aangevraagd. Met die nieuwe simkaart dan wel digipas kon de fraudeur vervolgens geld overboeken vanaf de bankrekening van het slachtoffer naar bankrekeningen van zogenaamde katvangers. Een IP-adres dat is gebruikt bij deze frauduleuze transacties was aangesloten op het woonadres van verdachte. Op die manier is de naam van verdachte in dit onderzoek naar voren gekomen.

De werkwijze was iedere keer ongeveer hetzelfde: rekeninghouders vernamen via e-mail dat er een dreiging was rondom hun bankrekening. Door op de link in de e-mail te klikken, konden de verdachten de inloggegevens achterhalen. Vervolgens nam één van de verdachten telefonisch contact op met de rekeninghouders en wist hen te overtuigen om het geld over te boeken naar een ‘veilige rekening’. In werkelijkheid verdween het geld naar een rekening van een zogenaamde katvanger en werd dit direct opgenomen en/of omgezet in bitcoins. In totaal werden ruim 50 mensen slachtoffer van de acties van verdachten.

De verdachte in deze zaak had een bepalende rol bij het daadwerkelijk binnendringen in de geautomatiseerde werken, de digitale bankomgeving van de rekeninghouders. Hij logde in op de bankaccounts van de slachtoffers en gaf de bankgegevens aan zijn medeverdachte. Deze medeverdachte zocht vervolgens telefonisch contact op met de rekeninghouders en overtuigde de rekeninghouders tijdens de telefoongesprekken om ook echt geld over te maken.

Over het opsporingsonderzoek en de bewijsvoering is het volgende nog interessant te vermelden: uit onderzoek bleek dat de frauduleuze inloggegevens die sinds januari 2019 op de ING accounts plaatsvonden, vaak konden worden gekoppeld aan een IP-adres. Dit IP-adres bleek bij een netwerk van een hotel te behoren (red.: in de uitspraak staat: ‘dit bleek het IP-adres van een hotel te zijn’). Op 21 februari 2019 is dit aan de politie gemeld. Op 24 februari 2019 werd opnieuw door de ING bank vastgesteld dat werd ingelogd bij rekeninghouders van de ING bank vanaf het IP-adres van het hotel. Dezelfde dag zijn in het hotel de verdachte en de medeverdachte aangehouden. In hun hotelkamer werden digitale sporendragers aangetroffen en inbeslaggenomen, die in verband konden worden gebracht met computervredebreuk, oplichting, diefstal van geld en/of witwassen.

Ook de overwegingen over de opgelegde schadevergoeding maatregel zijn interessant. De verdachte moet onder andere € 154.580,73 schadevergoeding betalen aan de ING en een bedrag van €158.942,- aan de Rabobank. De rechtbank overweegt dat de banken kosten vorderen die zijn gemaakt om de schade van die personen te vergoeden die slachtoffer zijn geworden van oplichting. De banken zijn niet verplicht deze kosten te vergoeden, maar hebben vanuit een zorgplicht dan wel uit coulance gedaan. De rechtbank acht het wenselijk dat banken dit ook in de toekomst blijven doen.

Annotatie OV-chipkaart zaak

In het tijdschrift Computerrecht is recent mijn annotatie verschenen over de ‘OV-chipkaart’-zaak (ECLI:NL:RBMNE:2020:2277). De annotatie is hier te downloaden (.pdf).

Inleiding

Een ‘OV-chipkaart’ is een persoonsgebonden of anonieme kaart waarmee personen in Nederland kunnen reizen met het openbaar vervoer (zoals de trein, bus en tram). Op een persoonsgebonden OV-chipkaart staat een pasfoto, naam en geboortedatum vermeld. Het biedt als voordeel met kortingsproducten te reizen. Deze persoonsgegevens staan niet vermeld op een anonieme OV-chipkaart. Met een anonieme OV-chipkaart wordt op een vooraf opgeladen bedrag (saldo) gereisd. De OV-chipkaart bevat een bepaalde chip (de ‘Mifare Classic’ chip) en heeft een ‘Near Field Communication’ (NFC) functionaliteit, waardoor de gegevens op de chip eenvoudig en contactloos door een poortje kunnen worden uitgelezen. In de eerste helft van 2019 waren er in Nederland 7,46 miljoen persoonlijke OV-chipkaarten in omloop en 7,36 miljoen anonieme OV-chipkaarten (Kamerstukken II 2019/20, 23645, nr. 713 (Voortgangsrapportage NOVB eerste helft 2019)).

De verleiding voor hackers om een OV-chipkaart te hacken en daardoor gratis te reizen is blijkbaar groot. Sinds de eerste proeven met een OV-chipkaart in Nederland en de landelijke invoering van OV-chipkaart in 2012 zijn er op www.rechtspraak.nl vier uitspraken verschenen over computervredebreuk en OV-chipkaarten (ECLI:NL:RBROT:2013:9579, ECLI:NL:GHDHA:2015:1427, ECLI:NL:RBROT:2019:1101, ECLI:NL:GHDHA:2019:2426). Daarnaast wordt er ook serieus wetenschappelijk onderzoek uitgevoerd naar de veiligheid van de ‘Mifare Classic-chip’ in de OV-chipkaarten en komen om de zoveel tijd berichten naar buiten over kwetsbaarheden in die chip. De onderhavige zaak springt er vergeleken met de andere zaken over gehackte OV-chipkaarten uit, vanwege de lange duur dat de twee verdachten gratis konden (zwart)reizen en de hoogte van de toegewezen vordering.

De feiten

De werkwijze van de verdachte en de medeverdachte bestond onder meer uit het plaatsen van de OV-chipkaart op de NFC-kaartlezer en het met een script een ‘brute force’ aanval op de OV-chipkaart uitvoeren totdat de sleutel (‘key’) is achterhaald. Met de key kon toegang worden verschaft tot de OV-chipkaart, waarna het saldo kon worden veranderd. Voor het veranderen van het saldo werd het programma ‘OVChipAppV6’ gebruikt (Zie voor een meer gedetailleerde uitleg de BNR-podcast ‘Onderzoeksraad der dingen’, dossier #0010b: zwartrijden).

Veroordeling

Beide verdachten zijn veroordeeld voor computervredebreuk, valsheid in geschrifte met betaalpassen en voorhanden hebben van gegevens om valsheid in geschrifte te plegen. In deze zaak wordt voor het eerst wordt vervolgd voor het vervalsen van een OV-chipkaart als zijnde een ‘waardekaart’ (artikel 232 Wetboek van Strafrecht (‘Sr’)). Hoewel het vervalsen van betaalpassen of waardekaarten mogelijk ook onder het delict valsheid in geschrifte valt, heeft de wetgever met de Wet computercriminaliteit I in 1993 ervoor gekozen om hiervoor een aparte strafbepaling in het leven te roepen. Net als bij valsheid in geschrifte is ook het opzettelijk gebruiken, het opzettelijk afleveren of voorhanden hebben van een valse pas of kaart strafbaar (lid 2) (zie ook B.J. Koops & J.J. Oerlemans, ‘Materieel strafrecht & ICT’, p. 79-80 in: B.J. Koops & J.J. Oerlemans, Strafrecht & ICT, Monografieën recht en informatietechnologie, 3e druk, Den Haag: Sdu 2019).

In de uitspraak wordt verder niet ingegaan op het delict computervredebreuk (artikel 138ab Sr). Het Hof Den Haag legt in een eerder arrest (ECLI:NL:GHDHA:2015:1427) uit dat in feite computervredebreuk wordt gepleegd op de NFC chip op de OV-chipkaart, nu deze chip bestemd is (en de technische mogelijkheden heeft) om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

De chip is met andere woorden het ‘geautomatiseerde werk’ in juridische zin (artikel 80sexies Sr), waarop opzettelijk en wederrechtelijk wordt binnengedrongen. (Het begrip is overigens met de Wet computercriminaliteit III als volgt gewijzigd:

“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.”

De chip kwalificeert ook nu als geautomatiseerd werk, evenals de paaltjes waarbij men moet in- en uitchecken en de achterliggende IT-infrastructuur).

Verweer

De verdediging voert aan dat de verdachten slechts uit nieuwsgierigheid hebben gehandeld, waardoor het oogmerk op financieel gewin zou ontbreken. De rechtbank gaat hier niet in mee, omdat de verdachten hebben bekend dat zij veelvuldig het saldo van OV-chipkaarten “valselijk” hebben opgeladen. De verdediging voert ook aan dat slechts bestaande software zou zijn doorontwikkeld en niet is ‘vervaardigd’ in juridische zin. De rechtbank verwerpt dit verweer, omdat het een ‘feit van algemene bekendheid’ zou zijn dat nieuwe computerprogramma’s veelvuldig zijn gestoeld op een basis van reeds ontwikkelde software. Hierdoor ontstaat nieuwe software, waardoor wel degelijk sprake zou zijn van vervaardiging van software, zoals ten laste is gelegd.

Het openbaar ministerie kon de verdachten mogelijk ook vervolgen voor het ‘voorhanden hebben van een technisch middel of toegangscode met het oogmerk computervredebreuk te plegen’ (artikel 139d lid 2 Sr). In een meer recent arrest legt het Hof Den Haag verder uit dat een kaartlezer waarmee saldo kan worden verhoogd niet zonder meer kwalificeert als een technisch hulpmiddel in de zin van artikel 139d Sr. Het hof overweegt kortgezegd dat de kaartlezer een vrij verkrijgbaar elektronisch apparaat is, dat doorgaans wordt gebruikt voor het uitlezen en beschrijven van (onder meer) NFC-chips. Niet blijkt uit de inrichting of de eigenschappen van de kaartschrijver/kaartlezer dat de producent heeft bedoeld een hulpmiddel te produceren dat hoofdzakelijk is ontworpen voor het begaan van delicten als computervredebreuk. De software waarmee OV-chipkaarten kunnen worden gemanipuleerd zijn wél te beschouwen als ‘technisch hulpmiddel’ in de zin van artikel 139d Sr. Het hof overweegt dat deze software immers specifiek is ontworpen om binnen te dringen in OV-chipkaarten, teneinde het saldo op OV-chipkaarten aan te kunnen passen en daarmee het plegen van computervredebreuk.

Schade

De verdachten hebben ongeveer 1,5 jaar lang gratis gereisd op eigen anonieme OV-chipkaarten. Translink Systems heeft zich als benadeelde partij in het geding gevoegd en vordert een bedrag van €68.913,73 als materiële schade die zij hebben geleden. Dit schadebedrag is veel hoger dan in voorgaande zaken over het hacken van OV-chipkaarten om gratis te reizen. De rechtbank concludeert dat de schadeberekening van aangeefster niet inzichtelijk is en een aantal fouten bevat en daarom een eigen berekening moet maken. Het bedrag van de schade ziet op het woon-werkverkeer van de verdachten. Bij het berekenen van het bedrag houdt de rechtbank rekening met het gemiddeld aantal vakantiedagen van werknemers in Nederland en de verdachten ook wel eens thuiswerkten. Op basis van 333 dagen en de kosten voor een retourtje Utrecht-Alkmaar van € 28,00 euro komt de rechtbank op een bedrag van € 9.324,00. De medeverdachte heeft minder frequent gebruik gemaakt van de eigen anonieme OV-chipkaart en moet een schadevergoeding betalen van € 5.264,00. De rechtbank verklaart de vordering voor het overige niet-ontvankelijk, omdat deze onvoldoende is onderbouwd. Zo is het onduidelijk hoe het schadebedrag aan de hand van de gegevens uit de tabellen is berekend, zien de tabellen ook op OV-chipkaarten waarvan de keys niet op de computers van verdachte en medeverdachte zijn aangetroffen.

Opsporing

In nieuwsartikelen en podcasts die verschenen naar aanleiding van deze zaak komt ten slotte nog  interessante informatie over het opsporingsproces naar boven. Het blijkt behoorlijk lastig zijn dit soort OV-chipkaarthackers op te sporen als ze de encryptiesleutel kunnen achterhalen. Het begint met aangifte van Translink Systems: het bedrijf dat de OV-kaarten uitgeeft en transacties met de kaarten verwerkt. Translink verwerkt per jaar 3 miljard transacties. Dit bedrijf monitort ook de transacties en detecteert ongeregeldheden die mogelijk fraude betreffen. Na de aangifte zijn de verdachten met “ouderwets recherchewerk” door de politie geïdentificeerd.

De verdachten zijn geïdentificeerd met name door het bekijken van camerabeelden op de stations van NS op het moment dat een frauduleus aangemerkte transactie plaats heeft gevonden. Vervolgens zijn de verdachten naar verluid tot hun woning gevolgd en zijn NAW-gegevens opgevraagd. Daarna heeft de politie beide verdachten op heterdaad betrapt bij het inchecken bij een poortje met een gehackte OV-chipkaart na observatie bij een vast reispunt van de verdachte.

Tot slot

Als de software en middelen om OV-chipkaarten te hacken voor een breder publiek beschikbaar komen, kunnen we meer van dit soort zaken verwachten. De staatssecretaris van Infrastructuur en Waterstaat heeft in een Kamerbrief (.pdf) van 2 juli 2019 laten weten dat het de bedoeling is dat de OV-chipkaart in 2023 wordt uitgeschakeld. Met een nieuw systeem moet het betaalgemak groter worden, omdat dan ook met andere betaalmiddelen kan worden betaald, zoals een bankpas of mobiele telefoon. Ongetwijfeld zullen hackers dan ook weer hun best doen het systeem te kraken en gratis te reizen.  

Overzicht Inlichtingen en Recht – oktober 2020

In dit nieuwe overzicht over ‘Inlichtingen en recht’ wordt periodiek een overzicht gegeven van relevante rapporten, Kamerstukken en jurisprudentie over inlichtingen, nationale veiligheid en recht. Het doel is de kern van de stukken te vatten en op deze wijze de nodige kennis te verschaffen aan geïnteresseerden.

Deze klus doe ik samen Sophie Harleman. Zij is vanaf 1 september 2020 als promovenda door de Universiteit Utrecht aangesteld in het kader van mijn leerstoel ‘Inlichtingen en Recht’. Mr. S.A.M. Harleman is verbonden aan het Montaigne Centrum voor Rechtsstaat en Rechtspleging en het Willem Pompe Instituut voor Strafrechtwetenschappen van de Universiteit Utrecht.

Voortgangsrapportage IV over de implementatie Wiv 2017

In onderstaande blogpost ga ik (Sophie) in op de belangrijkste constateringen van de CTIVD in de laatste en vierde voortgangsrapportage over de Wiv 2017. De CTIVD concludeert dat de implementatie van de Wiv 2017 nog niet volledig is afgerond.

Een kernpunt van de rapportage is dat de CTIVD de achterstand in het implementatieproces van de Wiv 2017 te wijten acht aan onvoldoende aandacht voor de implementatie van de wet bij de totstandkoming. In hun beleidsreactie geven de ministers van BZK en Defensie aan het hiermee eens te zijn. Desalniettemin vinden zowel de ministers als de CTIVD dat de diensten een goede koers hebben ingezet. Een belangrijke rol speelt daarbij de verdere verankering van de zorgplicht op de kwaliteit van de gegevensverwerking. De AIVD heeft het zorgplichtstelsel volgens de CTIVD nu op orde, waardoor het risico voor die dienst wordt bijgesteld van beperkt naar geen. Voor de MIVD wordt het risico bijgesteld van gemiddeld naar beperkt. De diensten hebben volgens het rapport echter nog onvoldoende bereikt als het gaat om de vertaalslag van wet naar praktijk. Voor de speciale bevoegdheid van onderzoeksopdrachtgerichte interceptie (“OOG-I”) is de vertaalslag overigens niet te beoordelen, nu die bevoegdheid nog niet is ingezet.

Voor wat betreft de relevantiebeoordeling oordeelt de CTIVD dat een risico op onrechtmatigheden blijft bestaan door een grote vrijheid voor ontwikkelaars om op decentraal niveau oplossingen te zoeken en systemen in te richten. De kritiek van de CTIVD is niet onopgemerkt gebleven. Huib Modderkolk spreekt bijvoorbeeld van ‘zorgen bij de toezichthouder’.

Meer specifiek onderscheidt de CTIVD in de vierde en laatste voortgangsrapportage de volgende (knel)punten die nadere aandacht behoeven in het kader van de wetsevaluatie:

  • Datareductie

De CTIVD acht het in zijn geheel of grotendeels relevant beoordelen van bulkdatasets door de diensten onrechtmatig. De Wiv 2017 biedt hiervoor geen ruimte. De CTIVD is van mening dat de aard van de gegevensset doorslaggevend behoort te zijn. Bulkdatasets, ongeacht of deze zijn verkregen door OOG-I, vereisen in het licht daarvan bijzondere wettelijke waarborgen. In Toezichtsrapport 70 en 71 gaat de CTIVD verder in op het verzamelen van bulkdatasets met de hackbevoegdheid. Volgens de CTIVD is er sprake van een onrechtmatigheid bij het zo spoedig mogelijk beoordelen op relevantie van bulkdatasets. Er blijft een gemiddeld risico bestaan op onrechtmatig handelen voor de AIVD als het gaat om relevantiebeoordeling. De verdere risico’s blijven volgens de toezichthouder beperkt. Voor de MIVD geldt een hoog risico voor de wijze waarop onomkeerbare vernietiging plaatsvindt. Het risico m.b.t. de relevantiebeoordeling wordt verlaagd van hoog naar gemiddeld. Wat betreft het relevantiebegrip en de termijn stelt de CTIVD het risico voor de MIVD vast op beperkt.  Opvallend is dat de ministers van BZK en Defensie het oordeel van de CTIVD dat de relevantiebeoordeling van bulkdatasets onrechtmatig is uitgevoerd, niet delen. Het is daarom goed, aldus de beleidsreactie van de ministers, dat de evaluatiecommissie dit onderwerp betrekt bij de evaluatie van de Wiv 2017.

  • Geautomatiseerde data-analyse (GDA)

Ook bij geautomatiseerde data-analyse verloopt het implementatieproces volgens de CTIVD moeizaam. De algemene bevoegdheid van GDA (neergelegd in artikel 60 Wiv 2017) kan zonder waarborgen toegepast worden op het verzamelen of verkrijgen van bulkdatasets met toepassing van andere bevoegdheden dan OOG-I. De toezichthouder vindt dat een onderscheid naar eenvoudige of complexe vormen van GDA niet leidend mag zijn. Ook acht de CTIVD van belang dat de geautomatiseerde analyse van metadata (m.u.v. OOG-I) in de Wiv 2017 niet met aanvullende waarborgen is omgeven, terwijl uit jurisprudentie van het EHRM en van het HvJ EU blijkt dat metadata-analyse een zwaarwegende inmenging op het recht op privacy inhoudt (respectievelijk uit Big Brother Watch e.a. en Tele2 Sverige AB/Watson). Voldoende waarborgen zijn daarbij dus wel degelijk nodig. Desalniettemin verlaagt de CTIVD het risico voor GDA-60 van hoog naar gemiddeld. Het risico voor GDA-50 blijft op gemiddeld staan.

  • Internationale samenwerking

De toezichthouder vindt de niet-afgeronde inhoudelijke aanpassing van wegingsnotities (een schriftelijke verantwoording van een beslissing tot samenwerking met buitenlandse diensten) in combinatie met onverminderde samenwerking met buitenlandse diensten risicovol. Daarnaast onderscheidt de CTIVD een belangrijk zorgpunt bij het delen van bulkdatasets met buitenlandse diensten, gezien het gebruik van een ruimere toepassing van de reeds genoemde relevantiebeoordeling. In dit licht behoeft de definiëring van de begrippen ‘geëvalueerde’ en ‘ongeëvalueerde’ nadere aandacht bij de wetsevaluatie.

De CTIVD sluit af met de opmerking dat zij met deze rapportage een bijdrage wil leveren aan de wetsevaluatie, en dat zij onderwerpen die relevant zijn voor de evaluatie ook buiten deze rapportage zal aandragen bij de evaluatiecommissie.

Sophie Harleman

CTIVD-rapport over de hackbevoegdheid

De CTIVD heeft op 22 september 2020 twee toezichtsrapporten gepubliceerd. Rapport nr. 70 gaat over het verzamelen van bulkdatasets met de hackbevoegdheid door de AIVD en de MIVD. Rapport nr. 71 gaat over het verzamelen en verder verwerken van passagiersgegevens van luchtvaartmaatschappijen door de AIVD en MIVD. Bulkdatasets zijn gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De belangrijkste conclusies van het rapport ver de hackbevoegdheid zijn dat van de zestien onderzochte operaties, in drie van de door de AIVD aangevraagde operaties gegevens zijn verzameld nadat een toestemmingsverzoek door de Toetsingscommissie Inzet Bevoegdheden (TIB) is afgewezen. Dit is onrechtmatig. Snel na deze constatering zijn de datasets door de AIVD vernietigd. Veel dingen gingen goed, zoals het opruimen van de ‘technische hulpmiddelen’ in de systemen en het (voor zover mogelijk) aantekening houden door de gezamenlijke uitvoerende afdeling ‘Computer Network Exploitation’ (CNE).

De CTIVD constateert ook dat de toets in art. 27 Wiv 2017 – dat gegevens zo spoedig mogelijk op relevantie moeten worden beoordeeld – in de praktijk niet goed uitvoerbaar is. De diensten hebben in de onderzoeksperiode in een aantal gevallen bulkdatasets gedeeltelijk of integraal relevant verklaard, ondanks dat het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden. De CTIVD geeft aan dat door deze handeling de gegevens nu ‘in het betekenisregime zitten’ zonder definitieve vernietigingstermijn. De CTIVD beschouwt deze wijze van relevantiebeoordeling als een ‘kunstgreep om de bewaartermijn van de datasets in kwestie te verlengen, het is immers onrechtmatig om datasets met voor het merendeel niet-relevante gegevens relevant te verklaren’.

In de beleidsreactie onderstrepen de beide ministers de noodzaak van het gebruik van bulkdatasets door de diensten. Hoewel hoogst ongebruikelijk, geven de ministers aan waarvoor de gegevens in de bulkdatasets gebruikt zijn: voor het onderkennen van locaties van Nederlandse uitreizigers in (voormalig) ISIS-gebied (onder andere van wie het Nederlanderschap is ingetrokken), voor onderzoek naar de inzet van ‘Improvised Explosive Devices’ (IED’s) tegen Nederlandse militairen, voor onderzoek van de vermoedelijke betrokkenheid van de Iraanse dienst bij liquidaties in Nederland en voor het vaststellen van de identiteit van de personen betrokken bij zenuwgasaanvallen in Syrië in 2016/2017.

Het is ook ongebruikelijk dat de ministers het oneens zijn met twee conclusies en aanbevelingen in het rapport. Het onrechtmatigheidsoordeel over de relevantieverklaring en het advies tot vernietiging over te gaan van bepaalde bulkdatasets wordt ‘niet opgevolgd’. Zij achten de vernietiging ‘onverantwoord’. In de tussentijd passen de AIVD en de MIVD interne aanvullende waarborgen toe, zoals een strikt autorisatieregime en herbeoordeling voor het bewaren van de gegevens.

Jan-Jaap Oerlemans

CTIVD-rapport over passagiersgegevens

Op 22 september 2020 heeft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) ook rapport nr. 71 over de verzameling en verdere verwerking van passagiersgegevens van luchtvaartmaatschappijen gepubliceerd. In de onderzoeksperiode van 1 januari 2019 tot 1 september 2019 stonden in de database van de AIVD de gegevens van miljoenen personen. Het betreft daarmee ook een bulkdataset; gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De ‘Advanced Passenger Information’-database wordt door de Koninklijke Marechaussee (Kmar) aangelegd na verstrekking van API-gegevens door luchtvaartmaatschappijen op grond van de EU-richtlijn 2004/82/EG (API-richtlijn). API-gegevens zijn bijvoorbeeld gegevens over nationaliteit, volledige naam, geboortedatum, geslacht, vluchtnummer en het eerste instappunt (zie ook Stb. 2012, 688). De KMar verwerkt de gegevens ten behoeve van haar eigen taaktuitvoering; de uitvoering van de grenscontrole. De AIVD verzamelt de API-gegevens van de KMar op ‘structurele en geautomatiseerde wijze’ op grond van een algemene bevoegdheid, in dit geval de informantenbevoegdheid (artikel 39 Wiv 2017). De gegevens worden bijvoorbeeld verwerkt in het kader van onderzoeken naar organisaties en personen die een bedreiging voor de nationale veiligheid vormen. Daarnaast worden de gegevens gebruikt in veiligheidsonderzoeken.

De CTIVD concludeert in het rapport dat de Wiv 2017 de ruimte geeft de bulkdataset aan passagiersgegevens structureel en geautomatiseerd te verzamelen met de informantenbevoegdheid. Ook mogen de gegevens verder worden verwerkt, onder andere door middel van ‘geautomatiseerde data-analyse’. Daarnaast zijn andere dingen onrechtmatig, zoals het niet-uitvoeren van een schriftelijke toets op noodzakelijkheid, proportionaliteit en subsidiariteit voor de verzameling van de gegevens en niet toepassen van het eigen beleid ‘Werken met grote datasets’ door de AIVD en de MIVD. Ook merkt de toezichthouder op dat de diensten toegang kunnen krijgen tot PNR-gegevens op basis van de PNR-richtlijn 2016/681/EU. Dat betreft een grotere set aan gegevens, omdat het vluchten binnen de EU betreft en – naast API-gegevens – gaat over gegevens over de reservering, contactgegevens, betaalgegevens en bagage-informatie.

Vanwege de grootte van de dataset vraagt de CTIVD in het rapport zich af of een dergelijke invulling van de informantenbevoegdheid voldoende voorzienbaar is voor de burger. De toezichthouder geeft mee in de Wet op de inlichtingen- en veiligheidsdiensten een specifieke regeling op te nemen voor het verzamelen en verder verwerken van bulkdatasets.

Jan-Jaap Oerlemans

Wetsvoorstel Zerodays

Het initiatiefvoorstel Zerodays van het lid Verhoeven is in behandeling bij de Tweede Kamer. Zerodays zijn fouten in software die nog onbekend zijn bij de maker van de software (de maker heeft nul dagen gehad om het gat te dichten). Deze zerodays kunnen gebruikt worden om de werking van de betreffende software te manipuleren, oftewel te hacken. De initiatiefnemer van het voorstel is van mening dat de huidige regeling rondom zerodays niet werkt. De Raad van State staat in haar advies overigens duidelijk negatief tegenover het wetsvoorstel.

Het wetsvoorstel is in juni 2020 gewijzigd. Er is met de wijziging een behandeltermijn van vier weken voor onbekende kwetsbaarheden ingevoegd. Ook moet het orgaan ter beoordeling van kwetsbaarheden informatie verzamelen over de potentiële gevolgen van het openhouden van een kwetsbaarheid voor de samenleving, alvorens een onbekende kwetsbaarheid te beoordelen. Op 23 september 2020 is het gewijzigde voorstel plenair behandeld. Door de leden Buitenweg en Middendorp zijn verscheidene moties ingediend. Op 13 oktober 2020 is de stemming over het wetsvoorstel voor de derde keer uitgesteld.

Op 12 oktober 2020 is een tweede nota van wijziging ingediend het lid Verhoeven, de initiatiefnemer. Hij is van mening dat het initiële voorstel om te voorzien in beoordelingsorgaan voor kwetsbaarheden, bestaande uit verschillende ministeries en organisaties, teveel weerstand oproept. De wijzigingsnota ziet dan ook op het weglaten van een dergelijk orgaan. Wel moet er voor alle overheidsorganen een goed afwegingskader komen voor de inzet van onbekende kwetsbaarheden. Ook mogen bedrijven waarvan de Nederlandse overheid hacksoftware koopt, volgens het initiatiefvoorstel geen zaken doen met landen die op de EU of VN sanctielijsten staan. Voor inlichtingendiensten geldt dat zij dit moeten meenemen in hun weging bij aankoop van dergelijke software.

Privacyorganisatie Bits of Freedom heeft zich overigens op Twitter al afgevraagd of de wijziging inhoudt dat de politie nu zelf de afweging kan maken omtrent zerodays, in plaats van dat een (semi-) onafhankelijk commissie dit doet. Ook het gewijzigde voorstel roept dus vast op verschillende fronten weerstand op. Het blijft voorlopig afwachten.

Sophie Harleman

Wijzigingswet Wiv 2017

Het wetsvoorstel ‘Wijzigingswet Wiv 2017’ is op 9 juni 2020 aangenomen in de Tweede Kamer. De wet betreft onder meer een wijziging ten aanzien van het gerichtheidsvereiste. Het gerichtheidsvereiste houdt volgens de memorie van toelichting op het wetsvoorstel in: ‘in hoeverre bij de verwerving sprake is van het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus’ (Kamerstukken II 2018/19, 35242, 3, p. 4-5). De te vergaren gegevens moeten daarbij worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object.

De gewijzigde Wiv 2017 biedt deze extra waarborg voor bescherming van fundamentele rechten, omdat het vereiste, door het toe te voegen aan artikel 26 Wiv 2017, gaat gelden voor alle bevoegdheden , in plaats van slechts voor de bijzondere bevoegdheden in de Wiv 2017. Ook ziet een wijziging op het delen van ongeëvalueerde gegevens met buitenlandse diensten. De meldplicht aan de CTIVD wordt uitgebreid tot elke verstrekking van ongeëvalueerde gegevens aan een buitenlandse dienst, ongeacht de bevoegdheid waarmee deze zijn verworven. Op 15 juli 2020 is het voorlopig verslag (.pdf) over het wetsvoorstel verschenen. De leden van de fractie van GroenLinks, PvdA, PV en PvdD hebben vragen gesteld over het wetsvoorstel. Hieronder bespreek ik (Sophie) kort enkele door de fractieleden opgeworpen vragen.

GroenLinks en de PvdA vragen zich af in hoeverre de regering meent dat zij met het wetsvoorstel tegemoetkomt aan de zorgen die blijken uit de uitslag van het referendum. Daarnaast vragen leden van de GroenLinks-fractie zich af op welke wijze de positie van journalisten, advocaten en medici in het wetsvoorstel is verbeterd n.a.v. de consultatiereacties en het advies van de Raad van State. De leden van de PVV-fractie is benieuwd of de regering kan duiden hoe er met dit voorstel precies tegemoet wordt gekomen aan de zorgen in de samenleving, onder andere over de bescherming van advocaten en journalisten.

Als het gaat over samenwerkingsverbanden met andere diensten, willen de leden van de GroenLinks-fractie graag weten of de wegingsnotitie en het afwegingskader dat daarbij hoort, gedeeld kan worden met de Eerste Kamer. Daarnaast hebben zij verdere vragen over de samenwerkingsverbanden en over de mogelijkheid van het verstrekken van ongeëvalueerde gegevens aan diensten van landen waarmee geen samenwerkingsrelatie bestaat (zoals is neergelegd in artikel 64 van de Wiv 2017). Een specifieke vraag van de fractie is bijvoorbeeld: Is het mogelijk dat data wordt gedeeld met diensten die gebruik maken van gezichtsherkenningstechnologie of technologie van Clearview AI? Ook stellen zij vragen over het vergaren van informatie buiten onderzoeksopdrachtgerichte intercepties en de toetsing daarvan. De leden van de PvdA-fractie en de PvdD-fractie zitten met soortgelijke vragen over de uitwisseling van geëvalueerde gegevens. Door de PvdD fractieleden wordt de vraag gesteld waarom in deze context de bescherming ten aanzien van verschoningsgerechtigden (journalisten en advocaten) niet explicieter is gemaakt.

De leden van de PVV-fractie stellen in deze context de opvallende vraag of de regering nader kan onderbouwen waarom het mogelijk niet kunnen verstrekken van ongeëvalueerde gegevens aan andere diensten überhaupt een onaanvaardbaar risico voor de nationale veiligheid zou zijn.

Wat betreft het gerichtheidscriterium stellen de leden van de PvdA-fractie de vraag of de regering voorziet dat het criterium ‘zo gericht mogelijk’ in de toekomst nog nader wordt gespecificeerd. Verder zijn de leden benieuwd welke juridische voorzieningen de regering treft om de ‘zo gericht mogelijke’ behandeling van door informanten verkregen bulkdata af te dwingen. De leden van de PvdD-fractie vragen zich af waarom het gerichtheidscriterium, niet in de wet is opgenomen. Tot slot hebben ook de leden van de PVV-fractie verscheidene vragen over de eisen die aan het gerichtheidscriterium worden gesteld.

Het is interessant te bezien hoe de regering in de memorie van antwoord op deze vragen in zal gaan. Na verschijning van de memorie van antwoord zal dit bericht geupdate worden.

Sophie Harleman

Uitspraken HvJ EU over dataretentie

Op 6 oktober 2020 heeft het Hof van Justitie van de Europese Unie (HvJ EU) verscheidene arresten gewezen over het in bulk verstrekken van communicatiegegevens aan inlichtingen- en veiligheidsdiensten. Het betreft de zaken Privacy International (C-623/17) en samengevoegde zaken La Quadrature du Net and Others (C-511/18), French Data Network and Others (C-512/18) en Ordre des barreaux francophones et germanophone and Others (C-520/18).

De afgelopen jaren heeft het Hof van Justitie van de Europese Unie zich in verscheidene zaken uitgesproken over het opslaan van en toegang tot persoonsgegevens op het gebied van elektronische communicatie. Een opvallende uitspraak van het Hof is de Tele2 Sverige (C-203/15) uitspraak, waarin het Hof besliste dat lidstaten niet van aanbieders van elektronische communicatienetwerken en – diensten (hierna: providers) konden verlangen op een ongerichte en algemene wijze verkeers- en locatiegegevens te bewaren (zogenoemde metadata). In de uitspraken van het Hof van 6 oktober 2020 speelt, net als in Tele2 Sverige, de Europese richtlijn betreffende privacy en elektronische communicatie (Richtlijn 2002/58/EG) een centrale rol. Deze richtlijn ziet specifiek op de verwerking van persoonsgegevens door elektronische communicatiediensten.

Het Hof beslist in Privacy International allereerst dat zowel nationale wetgeving die providers verplicht verkeers- en locatiegegevens vast te houden, als wetgeving die ze verplicht de gegevens te overhandigen aan de inlichtingen- en veiligheidsdiensten, onder de reikwijdte van de richtlijn valt (par. 49).

Vervolgens buigt het Hof zich over de vraag of de richtlijn nationale wetgeving uitsluit die een overheidsinstantie de mogelijkheid verschaft van providers te eisen dat zij algemene en ongerichte verkeers- en locatiegegevens overdragen aan de inlichtingen- en veiligheidsdiensten, als deze overdracht als doel heeft de nationale veiligheid te waarborgen. Deze vraag is van belang gelet op artikel 4, lid 2 van het Verdrag betreffende de Europese Unie, dat o.a. luidt: “Met name de nationale veiligheid blijft de uitsluitende verantwoordelijkheid van elke lidstaat.”

Verkeers- en locatiegegevens mogen volgens artikel 5 van de privacy en elektronische communicatierichtlijn niet zonder toestemming worden opgeslagen of verstrekt aan derden, ook niet aan inlichtingen- of veiligheidsdiensten. De uitzondering op deze regel is neergelegd in artikel 15, lid 1 van de richtlijn: het mag wel wanneer er sprake is van een noodzakelijke, subsidiaire en proportionele maatregel in een democratische samenleving, die als doel heeft de nationale veiligheid en openbare veiligheid te waarborgen, criminaliteit te voorkomen en te bestrijden, of misbruik van het elektronische communicatienetwerk tegen te gaan.

Het Hof benadrukt dat het waarborgen van nationale veiligheid als doel zwaarder weegt dan de andere doelen die in artikel 15 van de richtlijn geformuleerd zijn (par. 75). Het gaat bij nationale veiligheid met name om het beschermen van essentiële functies en fundamentele belangen van de staat en de maatschappij. Daarbij moet ook worden gedacht aan het voorkomen en bestraffen van ontwrichtende activiteiten, zoals terrorisme (het Hof verwijst hierbij naar par. 135 van La Quadrature du Net and Others en de gevoegde uitspraken).

Het Hof stelt vast dat er in onderhavige zaak sprake is van wetgeving die ongerichte en algemene toegang tot verkeers- en locatiegegevens mogelijk maakt. Ook als er geen bewijs bestaat dat personen iets te maken hebben met het gestelde doel de nationale veiligheid te waarborgen, kunnen hun verkeers- en locatiegegevens overgedragen worden (par. 80).  Dergelijke wetgeving gaat volgens het Hof de grenzen van wat strikt noodzakelijk is te buiten, en kan niet worden geacht noodzakelijk te zijn in een democratische samenleving (par. 81).

Het Hof is dan ook van oordeel dat artikel 15, lid 1 van de Richtlijn, gelezen in het licht van artikel 4, lid 2 VEU en artikel 7, 8, 11 en 52, lid 2 van het Handvest van de Grondrechten van de Europese Unie, nationale wetgeving uitsluit die het mogelijk maakt dat overheidsinstanties van een provider algemene en ongerichte overdracht van verkeers- en locatiegegevens aan de inlichtingen en veiligheidsdiensten verlangt, ook als dit als doel heeft de nationale veiligheid te waarborgen (par. 82).

Het Hof benadrukt in de gevoegde zaken C-511/18, C-512/18 en C-520/18 echter, dat wetgeving die providers verplicht tot het vasthouden van gegevens voor een bepaalde tijd, en indien dit strikt noodzakelijk is, niet in strijd is met de richtlijn. Er moet dan wel sprake zijn van een serieuze dreiging voor de nationale veiligheid, die oprecht, aanwezig en voorzienbaar is (par. 137). Ook moet een dergelijke maatregel onderhevig zijn aan toetsing door een rechtbank of door een onafhankelijk bestuursorgaan dat bindende besluiten kan nemen (par. 139).

Het in real-time verzamelen van verkeers- en locatiegegevens dient volgens het Hof beperkt te zijn tot personen van wie het vermoeden bestaat dat zij betrokken zijn bij terroristische activiteiten. Ook hier geldt dat een voorafgaande controle door een rechter of onafhankelijk bestuursorgaan vereist is en dat de maatregel enkel is toegestaan voor zover dit strikt noodzakelijk is (par. 183-192).

Tot slot trekt het hof nog de conclusie dat het Unierecht niet de ongerichte en algemene retentie van IP-adressen uitsluit, mits dit als doel heeft de nationale veiligheid te waarborgen, serieuze criminaliteit tegen te gaan of de openbare veiligheid te beschermen. Ook hier geldt dat dit slechts voor een beperkte periode is toegestaan en dat de maatregel strikt noodzakelijk dient te zijn (par. 168).

Volgens deze recente uitspraken van het Hof is het ongericht verzamelen van telefoon- en internetgegevens dus strijdig met Europese privacyregels, ook wanneer dit gebeurt in het kader van het waarborgen van nationale veiligheid. Het is opvallend dat het Hof tot deze beslissing komt, gezien de tekst van artikel 4, lid 2 VEU. 

Sophie Harleman

Veroordeling tot 17-jaar gevangenisstraf voor voorbereiden van aanslag

Op 8 oktober 2020 heeft de rechtbank Rotterdam zes mannen veroordeeld (ECLI:NL:RBROT:2020:8905) voor het voorbereiden van een grote terroristische aanslag in Nederland. Daartoe heeft de verdachte deelgenomen aan een terroristische organisatie en heeft hij training gevolgd. De zaak heeft veel media-aandacht gekregen (zie ook dit NOS-bericht en de video).

In de uitspraak is de lezen hoe de verdachten met z’n vijven zijn een aanslag wilden plegen op een festival en dat zij ook een grote auto met behulp van een afstandsbediening tot ontploffing willen brengen in een andere stad, mogelijk vanuit Amsterdam.

De zaak kwam aan het rollen door een ambtsbericht van 26 april 2018 van de AIVD. In dit ambtsbericht werd melding gemaakt van het feit dat de verdachte (met de hoogst opgelegde gevangenisstraf) voorbereidingen trof om met een groep personen veel slachtoffers te maken door een terroristische aanslag te plegen op een groot evenement in Nederland. Hij was op zoek naar aanslagmiddelen voor meerdere personen en iemand die hierin kon faciliteren. Direct na ontvangst van dit ambtsbericht werd een groot opsporingsonderzoek, genaamd ‘26Orem’, gestart.

De verdediging voert aan dat sprake is van uitlokking van de verdachten en overtreding van het beginsel van ‘détournement de pouvoir’ door de AIVD. Volgens de verdediging is sprake van misbruik van bevoegdheden door de AIVD. De inlichtingendienst heeft haar bevoegdheden ingezet ten behoeve van strafvorderlijke doeleinden, waarbij belangrijke strafvorderlijke waarborgen opzij werden gezet. De verdediging kan volgens de rechtbank niet onderbouwen waarom sprake zou zijn van uitlokking.

Over de mate van controle door de strafrechter op AIVD onderzoek en de toetsing van de bruikbaarheid in het strafproces, verwijst de rechtbank naar het arrest (ECLI:NL:HR:2006:AV4122) van de Hoge Raad in de zaak ‘Eik’ uit 2006 met de volgende overweging:

“Een onderzoek door een inlichtingen- en veiligheidsdienst vindt plaats buiten de verantwoordelijkheid van de politie en het openbaar ministerie. De wetgever heeft de toetsing van de rechtmatigheid van het handelen van de AIVD toebedeeld aan de CTIVD. Dat daarmee de rechtmatigheidstoets aan de strafrechter onttrokken is en art. 359a Sv niet van toepassing is, neemt niet weg dat in een strafprocedure waarin van een inlichtingen- en veiligheidsdienst afkomstig materiaal voor het bewijs wordt gebruikt, moet zijn voldaan aan de eisen van een eerlijk proces. De strafrechter moet toetsen of dat het geval is. Onder omstandigheden mogen de resultaten van het door een inlichtingen- en veiligheidsdienst ingesteld onderzoek niet tot het bewijs worden gebezigd, bijvoorbeeld indien het optreden van de betrokken dienst een schending van de aan een verdachte toekomende fundamentele rechten heeft opgeleverd die van dien aard is dat daardoor geen sprake meer is van fair trial als bedoeld in art. 6 EVRM.”

De rechtbank overweegt dat er sterke aanwijzingen zijn dat er een verband is tussen de inzet van (niet politiële) infiltranten en de AIVD. Bij gebreke aan nadere transparantie gaat de rechtbank ervan uit dat de desbetreffende persoon of personen die met de verdachte contact heeft/hebben gehad gerelateerd zijn aan de AIVD. Deze infiltranten zijn contact met de verdachte blijven onderhouden. Ondanks dat de infiltranten in hun e-mails de verdachte lijken te steunen bij de uitvoering van zijn plannen, religieuze opvattingen met hem uitwisselen, bij hem erop aandringen nieuwe e-mailadressen aan te maken en contact op te nemen en te onderhouden met ‘hun broeder (de politie-infiltrant)’, is er volgens de rechtbank geen sprake van (het verbod op) uitlokking. De verdachte is door de politie-infiltrant niet tot handelingen gebracht waarop zijn opzet niet al tevoren was gericht

De handelingen onder verantwoordelijkheid van de AIVD hebben echter wel aan bijgedragen dat de verdachte met de politie-infiltrant in contact is gekomen en gebleven en zij lijken hem te hebben beïnvloed bij het vasthouden aan een bepaald doelwit voor een aanslag, ook op momenten dat de verdachte leek af te dwalen of meer tijd nodig leek te hebben. Dit handelen van de AIVD tijdens het opsporingsonderzoek is een vorm van niet-toegestane beïnvloeding. Een dergelijke vorm van niet controleerbare en niet transparante bemoeienis brengt naar het oordeel van de rechtbank het waarborgen van een eerlijk proces in gevaar. De rechtbank verbindt hier een sanctie aan, namelijk drie jaar strafvermindering voor de verdachte.

De rechtbank acht de verdachte schuldig aan de voorbereiding van een grote terroristische aanslag op willekeurige burgers en politie in Nederland. Zij hebben gezamenlijk deelgenomen aan een terroristische organisatie en een training gevolgd met het oog op het plegen van een terroristisch misdrijf. De verdachte en de medeverdachten waren voornemens eind 2018 met een voertuig een (zware) bomaanslag te plegen en elders een festival binnen te dringen ‘schietend als een gek op mensen’ met Kalasjnikovs. De verdachte en de medeverdachten zouden daarbij ook handgranaten en bomvesten hebben willen gebruiken. De bomvesten zouden gebruikt moeten worden als de politie zou arriveren, zodat ook zij daarmee slachtoffer zouden worden. De verdachte en de medeverdachten hadden namelijk duidelijk kenbaar gemaakt dat zij zelf niet levend in handen van de politie zouden willen vallen. De verdachte heeft grote hoeveelheden (beeld)materiaal aangaande het radicale en extremistische gedachtengoed van de gewapende jihadstrijd voorhanden gehad, zoals dat onder meer door terroristische organisaties als Islamitische Staat (verder: IS) wordt gepubliceerd en verkondigd.

De rechtbank overweegt ook dat deze aanslagen worden gepleegd vanuit een intolerante religieuze ideologie, waarbij wordt geprobeerd het eigen gelijk op gewelddadige wijze aan anderen op te leggen en waarbij de bevolking veelal slachtoffer is en ernstige vrees wordt aangejaagd. Daarbij worden geen middelen en methoden geschuwd. De verdachte en de medeverdachten hebben zowel de burgerbevolking als de politie in Nederland op zware wijze beoogd te treffen met een bloedige aanslag waarbij grote aantallen onschuldige personen het slachtoffer zouden moeten worden. Dankzij tijdig ingrijpen van de Nederlandse overheidsdiensten hebben de verdachte en de medeverdachten hun plannen niet kunnen uitvoeren.

De verdachte wordt veroordeeld voor de hoge gevangenisstraf van 17 jaar. De rechtbank legt tevens een maatregel voor gedragsbeïnvloeding of vrijheidsbeperking op, zoals bedoeld in artikel 38z Sr. Op die manier wordt het mogelijk om de verdachte in aansluiting op de gevangenisstraf onder toezicht te stellen indien dit op dat moment nog noodzakelijk wordt geacht.

Jan-Jaap Oerlemans

Intrekking Nederlanderschap en ongewenstverklaring

Op 11 augustus 2020 heeft de afdeling bestuursrecht van de rechtbank Den Haag een zeer uitvoering vonnis gewezen over de intrekking van Nederlanderschap en ongewenstverklaring van een Syriëganger. Normaal bespreek ik geen uitspraken uit andere rechtsgebieden, maar voor deze rubriek en in dit geval maak ik een uitzondering.

De eiser krijg geen toestemming op grond van art. 8:29 Algemene wet bestuursrecht (hierna: Awb) om de onderliggende stukken te zien voor de intrekking van het Nederlanderschap, waaronder een ambtsbericht van de AIVD. De rechtbank heeft met toepassing van artikel 8:45 lid 1 van de Awb de minister van Binnenlandse Zaken en Koninkrijksrelaties (hierna: de minister), die geen partij is, bij brief van 13 mei 2020 verzocht inzage te geven in de stukken die ten grondslag liggen aan het ambtsbericht. Bij brief van 22 mei 2020 heeft de minister de rechtbank onder verwijzing naar het bepaalde in artikel 8:29, eerste lid, van de Awb medegedeeld dat alleen de rechtbank kennis mag nemen van de onderliggende stukken van het ambtsbericht.

Eiser is in 1982 geboren in Amsterdam, uit ouders met de Marokkaanse nationaliteit. Later is hij Nederlander geworden. Op 25 oktober 2010 is eiser wegens vertrek uit Nederland uitgeschreven uit de brp van de gemeente Amsterdam naar het Register Niet-Ingezetenen. Op 18 oktober 2019 heeft de Algemene Inlichtingen- en Veiligheidsdienst (hierna: AIVD) een individueel ambtsbericht uitgebracht over eiser. Dit ambtsbericht luidt als volgt:

“In het kader van zijn wettelijke taakuitvoering beschikt de Algemene Inlichtingen en Veiligheidsdienst (AIVD) over de volgende betrouwbare informatie met betrekking tot [eiser] , geboren op [geboortedag] 1982 te Amsterdam, BSN [BSN-nummer], die volgens de BRP per 25-10-2010 is uitgeschreven met onbekende bestemming. Betrokkene bevindt zich sinds de zomer van 2012 in Syrië, alwaar hij zich aansloot bij de Islamitische Staat in Irak en al-Sham (ISIS). Vanaf medio 2014 tot maart 2019 wordt hij uitsluitend gelokaliseerd in Syrië in plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS. Na 11 maart 2017 bleef betrokkene in het strijdgebied en verrichtte hij (administratieve) medische werkzaamheden voor ISIS in Syrië. Uit een eerdere relatie heeft betrokkene een minderjarige zoon genaamd [C]. [C] is begin 2014 in Syrië geboren. Een afschrift van dit ambtsbericht wordt verstrekt aan de LOvJ.”

Bij afzonderlijke besluiten van 3 december 2019 heeft het ministerie van Justitie en Veiligheid het Nederlanderschap van eiser ingetrokken op grond van artikel 14, vierde lid, van de Rijkswet op het Nederlanderschap (hierna: RWN) en hem tot ongewenst vreemdeling verklaard in de zin van artikel 67 van de Vreemdelingenwet 2000 (Vw 2000) wegens gevaar voor de nationale veiligheid en in het belang van de internationale betrekkingen van Nederland.

De rechtbank overweegt dat uit de Memorie van Antwoord blijkt dat de aansluiting bij een organisatie zal moeten blijken uit de gedragingen van betrokkene, waarvoor doorgaans een ambtsbericht van de AIVD voorhanden is. Dit ambtsbericht kan gebaseerd zijn op een veelheid van bronnen en van geval tot geval zal moeten worden bepaald wanneer er sprake is van voldoende zekerheid over de feiten (Kamerstukken I 2015-2016, 34 356 (R2064), nr. C, onderdeel 4).

De rechtbank overweegt over het ambtsbericht dat uit het ambtsbericht onder meer blijkt dat eiser zich sinds de zomer van 2012 in Syrië bevindt, alwaar hij zich heeft aangesloten bij de Islamitische Staat in Irak en al-Sham (ISIS), dat hij vanaf medio 2014 tot maart 2019 uitsluitend gelokaliseerd wordt in Syrië op plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS, en dat hij na 11 maart 2017 in het strijdgebied verbleef en (administratieve) medische werkzaamheden verrichtte voor ISIS in Syrië.

De verweerder stelt dat de opgelegde maatregel disproportioneel is. De rechtbank overweegt dat de intrekking van de nationaliteit is weliswaar een zwaar middel is, maar dat het doel van de maatregel -het belang van bescherming van de nationale veiligheid- rechtvaardigt dat hiervan gebruik gemaakt wordt indien aan de eisen voor toepassing van artikel 14, vierde lid, van de RWN is voldaan. Naar het oordeel van de rechtbank is daaraan in het geval van eiseres voldaan. Door de intrekking van het Nederlanderschap en de ongewenstverklaring wordt de legale terugkeer van eiseres naar Nederland en het Schengengebied onmogelijk gemaakt en wordt de feitelijke terugkeer bemoeilijkt doordat eiseres zal worden gesignaleerd als ongewenst vreemdeling in verschillende systemen die kunnen worden geraadpleegd bij grenscontroles en uitgifte van visa. De rechtbank beoordeelt de maatregel als geschikt en passend om het doel te bereiken. De verweerder (het ministerie van justitie en veiligheid) heeft terecht gesteld dat er geen alternatieven zijn die hetzelfde effect hebben als de onderhavige maatregel. De intrekking of vervallenverklaring van een paspoort is geen redelijk alternatief omdat dit, kort gezegd, het recht op terugkeer naar Nederland onverlet laat.

De gemachtigde van eiser vraagt zich verder af hoe het ministerie weet dat het ambtsbericht op voldoende grondslag is gebaseerd. De gemachtigde vraagt zich ook af of wordt voldaan aan de eis van objectiviteit en wijst er op dat de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten, die op 16 juni 2020 een rapport heeft uitgebracht over deze materie, niet geëquipeerd zou zijn een oordeel te geven over individuele ambtsberichten en dat de onderliggende motivering van het standpunt van de landsadvocaat ontbreekt. De verweerder stelt dat uit het ambtsbericht blijkt dat eiser concrete taken ten behoeve van ISIS heeft verricht. Wat de conclusies van de CTIVD betreft, merkt verweerder op dat de CTIVD heeft geoordeeld dat dat de AIVD bij het uitbrengen van de ambtsberichten in het kader van artikel 14, vierde lid, van de RWN in alle gevallen rechtmatig heeft gehandeld, maar dat het bestuursorgaan degene is die de beslissingen neemt op basis van de ambtsberichten. De mogelijkheid om inzage te vragen in de onderliggende stukken als de ambtsberichten onvoldoende duidelijk zijn, is aanwezig. Aangezien het ambtsbericht helder is en voldoende essentiële informatie bevat, is van deze mogelijkheid geen gebruik gemaakt.

De rechtbank overweegt dat het ambtsbericht zoals het er ligt voldoende feitelijke en kenbare informatie bevat. Eiser was ten tijde van belang aangesloten bij een terroristische organisatie die voorkomt op de lijst (ISIS) en heeft concrete werkzaamheden voor de organisatie verricht. Verweerder heeft aan zijn motiveringsplicht voldaan. Er is geen tegenbewijs geleverd. In hetgeen de gemachtigde naar voren heeft gebracht ziet de rechtbank geen aanknopingspunten voor twijfel aan de juistheid van het gestelde in het ambtsbericht. Verweerder heeft terecht geconcludeerd dat eiser een gevaar vormde voor de nationale veiligheid. De rechtbank overweegt voorts dat het rapport van de CTIVD (Toezichtsrapport over het handelen van de AIVD in het kader van de intrekking van het Nederlanderschap in het belang van de nationale veiligheid, nr. 68, vastgesteld op 29 april 2020) geen aanknopingspunten bevat voor het oordeel dat op grond daarvan geen betekenis aan de uitgebrachte ambtsberichten kan worden gehecht. De rechtbank moet beoordelen of in het individuele geval van eiser voldaan is aan de vereisten voor intrekking en of het ambtsbericht daar voldoende grondslag voor biedt. Zoals in het voorgaande is geconcludeerd, is de rechtbank van oordeel dat in het geval van eiser, gelet op de inhoud van het uitgebrachte ambtsbericht, voldaan is aan de vereisten voor intrekking van het Nederlanderschap. Zoals de rechtbank in eerdere vergelijkbare zaken heeft geoordeeld (zie bijvoorbeeld de uitspraak van 14 april 2020, ECLI:NL:RBDHA:2020:5784) acht zij de maatregel noodzakelijk en proportioneel.

Verweerder heeft, onder verwijzing naar verschillende edities van het Dreigingsbeeld Terrorisme Nederland, het rapport ‘Terugkeerders in beeld’ (.pdf) van de AIVD van februari 2017 en eerder gepleegde aanslagen door zogeheten terugkeerders, er op gewezen dat het risico bestaat dat terugkeerders aanslagen plegen en de binnenlandse jihadistische beweging versterken. Ook bestaat het gevaar dat zij anderen rekruteren voor de gewapende strijd. De rechtbank is van oordeel dat, zoals ook de Afdeling in de eerdergenoemde uitspraken van 17 april 2019 heeft overwogen, daarmee de noodzaak van de maatregel in het belang van de bescherming van de nationale veiligheid is aangetoond. Daarnaast heeft de rechtbank geoordeeld dat de intrekking van de nationaliteit weliswaar een zwaar middel is, maar dat naast bestaande maatregelen aan deze -preventieve- maatregel behoefte bestaat gezien het doel ervan, te weten het belang van de bescherming van de nationale veiligheid. De maatregel moet daarom proportioneel worden geacht. De rechtbank overweegt verder dat uit vaste jurisprudentie volgt (zie bijvoorbeeld de uitspraken van 22 april 2015, ECLI:NL:RVS:2015:1278 en 15 mei 2019, ECLI:NL:RVS:2019:1582) dat, indien uit een ambtsbericht van de AIVD op objectieve, onpartijdige en inzichtelijke wijze blijkt welke feiten en omstandigheden aan de conclusie vervat in dit ambtsbericht ten grondslag zijn gelegd en deze conclusie niet onbegrijpelijk is zonder nadere toelichting, voor het bestuursorgaan dat beslist over de verkrijging van het Nederlanderschap geen aanleiding bestaat om de aan dit ambtsbericht ten grondslag liggende stukken in te zien, tenzij de betrokkene concrete aanknopingspunten voor twijfel aan de juistheid of volledigheid van dit ambtsbericht naar voren heeft gebracht. Verder volgt hieruit dat er in beginsel van mag worden uitgegaan dat door de AIVD verricht onderzoek op zorgvuldige wijze heeft plaatsgevonden en dat vermelding van de aan een ambtsbericht van de AIVD ten grondslag liggende bron, dan wel bronnen, achterwege mag blijven wegens de vertrouwelijkheid ervan.

De rechtbank is van oordeel dat het Ministerie van Justitie en Veiligheid op grond van de informatie uit het ambtsbericht bevoegd was tot intrekking van het Nederlanderschap van eiseres over te gaan.

Jan-Jaap Oerlemans