Wetsvoorstel Wet seksuele misdrijven

Op 10 oktober 2022 is het wetsvoorstel voor de Wet seksuele misdrijven naar de Tweede Kamer gestuurd. Daarmee is ook de memorie van toelichting en het advies van de Raad van State beschikbaar geworden.

Het wetsvoorstel dient met name de artikelen over zedendelicten te herstructureren, wat de inzichtelijkheid van deze titel in het Wetboek van Strafrecht ten goede komt. Hierna volgt een korte samenvatting van het wetsvoorstel met een focus op de computergerelateerde delicten.

Noodzaak wetswijziging

Het wetsvoorstel vervangt in Boek 2 van het Wetboek van Strafrecht de huidige Titel XIV Misdrijven tegen de zeden door een nieuwe Titel XIV Seksuele misdrijven. In deze titel wordt de strafrechtelijke aansprakelijkheid voor verschillende vormen van seksueel grensoverschrijdend gedrag opnieuw vastgesteld en begrensd. De strafrechtelijke bescherming tegen seksueel geweld (aanranding en verkrachting) wordt uitgebreid en gemoderniseerd. Online gepleegde seksuele misdrijven krijgen in de nieuwe titel een duidelijke plaats. Zowel de inhoud van de strafbepalingen als de wettelijke structuur wordt gemoderniseerd. Hiermee wordt tevens gevolg gegeven aan de aanbeveling uit het WODC-onderzoek ‘Herziening van de zedendelicten’ (zie K. Lindenberg & A.A van Dijk, Herziening van de zedendelicten. Een analyse van Titel XIV, Tweede Boek, Wetboek van Strafrecht met het oog op samenhang, complexiteit en normstelling, Zutphen: Paris 2016). Daarnaast verruimt dit wetsvoorstel de mogelijkheden om strafrechtelijk op te treden tegen seksueel getint overlast veroorzakend gedrag door seksuele intimidatie zelfstandig strafbaar te stellen als overtreding tegen de openbare orde.

De regering stelt de wijzigingen noodzakelijk zijn ‘als gevolg van verschillende maatschappelijke, technologische en juridische ontwikkelingen is de huidige zedenwetgeving verouderd geraakt. Mede onder invloed van internationale ontwikkelingen zijn de afgelopen jaren de opvattingen binnen onze samenleving over seksuele grensoverschrijding strikter geworden en zijn de grenzen over welk gedrag strafwaardig is verschoven. Daarnaast is de maatschappelijke aandacht voor en het bewustzijn van het leed dat slachtoffers van seksueel grensoverschrijdend gedrag wordt aangedaan toegenomen. Ook zijn als gevolg van technologische ontwikkelingen, andere en nieuwe (geheel of deels) online verschijningsvormen van seksuele grensoverschrijding ontstaan, waarvan in het bijzonder kinderen het risico lopen slachtoffer te worden. De huidige strafwet schiet als gevolg van voornoemde ontwikkelingen tekort’.

In de memorie van toelichting wordt over de online problematiek onder andere opgemerkt dat veel mensen slachtoffer zijn geworden. Uit de prevalentiemonitor blijkt dat in 2020 circa 770.000 personen aangaven slachtoffer te zijn geweest van online seksuele intimidatie. Hierbij gaat het om ongewenst seksueel gedrag dat plaatsvond via het internet, zoals via sociale media, WhatsApp, (video)chat of e-mail. Daarbij is bijvoorbeeld sprake van seksueel getinte opmerkingen of het ongewenst sturen naaktfoto’s – zoals een afbeelding van het mannelijk geslachtsdeel, ook wel een “dickpic” – of seksfilmpjes. Vrouwen waren vaker slachtoffer van seksuele intimidatie dan mannen en jongeren (met name 18- tot 24-jarigen) vaker dan ouderen. Van de 16- tot 18-jarige vrouwen gaf 29% aan met online seksuele intimidatie te maken hebben gehad. In de meeste situaties (92%) was de pleger iemand van buiten de huiselijke kring. Ongeveer de helft van de slachtoffers van online seksuele intimidatie had te maken met (een) onbekende pleger(s). De andere helft kende de pleger(s) wel.  

Volgens de regering is het wetboek onvoldoende ingericht als er sprake is van seksueel geweld of seksueel misbruik, maar geen sprake is van fysiek seksueel contact tussen dader en slachtoffer. Deze vorm van seksuele interactie heeft de afgelopen jaren een vlucht genomen. Via een webcam kunnen mensen worden gedwongen of aangezet tot het verrichten van seksuele handelingen aan of met het eigen lichaam, zoals bij ‘sextortion’. Een andere online veelvoorkomende verschijningsvorm van seksueel kindermisbruik waarop de huidige strafwet onvoldoende is ingericht is het op indringende en niet leeftijdsconforme wijze mondeling of schriftelijk seksueel benaderen van kinderen. Dit wordt ook wel aangeduid als ‘sexchatting’. Hierbij gaat het om gedrag waarbij (nog) geen sprake is van seksueel misbruik waarbij handelingen aan of met het lichaam van een slachtoffer worden verricht, maar dat naar de huidige opvattingen wel schadelijk wordt geacht voor kinderen. Seksualiserende benadering van kinderen is schadelijk, omdat hierdoor hun seksuele ontwikkeling wordt doorkruist. Ook kunnen de psychologische gevolgen ernstig zijn.

De regering stelt daarom voor:

1. de delictsgedraging van verschillende seksuele misdrijven “online proof” te maken;

2. de strafbaarstelling te introduceren van het indringend mondeling of schriftelijk communiceren met kinderen op een wijze die schadelijk te achten is voor kinderen; en

3. de strafbaarstelling voor kinderpornografie te actualiseren.

Strafbaarstelling sexchatten

Het voorgestelde artikel 251 Sr is de rechtsopvolger van verschillende artikelen waarin het seksueel benaderen van kinderen beneden de leeftijd van zestien jaren is strafbaar gesteld. Het betreft het seksueel corrumperen van kinderen (eerste lid, onder b) en grooming (eerste lid, onder c). Hieraan wordt een nieuwe vorm van seksualiserende benadering toegevoegd, het zogenoemde sexchatting (eerste lid, onder a). Schade bij een specifiek slachtoffer hoeft hierbij niet te worden vastgesteld. De regering legt uit dat ‘het gesteld ontbreken van schade bij een bepaald slachtoffer kan niet tot straffeloosheid leiden’.

Voor zover de seksualiserende benadering plaatsvindt in het kader van een gelijkwaardige situatie tussen leeftijdsgenoten onderling zal deze over het algemeen niet plaatsvinden op een wijze die schadelijk te achten is voor een zestienminner. Experimenteergedrag tussen jongeren onderling is in beginsel dus niet strafbaar. Met het oog hierop is in het tweede lid een strafuitsluitingsgrond opgenomen voor het voorstellen van een ontmoeting voor seksuele doeleinden en enige handeling hiertoe ondernemen in een gelijkwaardige situatie tussen leeftijdsgenoten. Het antwoord op de vraag of sprake is van een gelijkwaardige situatie is afhankelijk van de omstandigheden van het geval. Bij de beoordeling hiervan kunnen onder meer de volgende factoren relevant zijn: 1) de mate van vrijwilligheid 2) het al dan niet bestaan van een (seksuele) relatie 3) de aard van het voorstel tot een ontmoeting voor seksuele doelen. Het OM betrekt deze omstandigheden bij de afweging om in een individuele zaak al dan niet tot vervolging over te gaan. Als het OM besluit tot vervolging over te gaan en de verdachte is van mening dat een beroep kan worden gedaan op de strafuitsluitingsgrond in het tweede lid, dan is het aan de verdachte om dit aan te voeren en te onderbouwen. Indien de strafuitsluitingsgrond van toepassing wordt geacht leidt dit tot ontslag van alle rechtsvervolging.

Bredere inzet van de “lokpuber”

De onder a tot en met c genoemde gedragingen zijn in artikel 251 Sr ook strafbaar gesteld ten aanzien van ‘iemand die zich voordoet als een persoon beneden de leeftijd van zestien jaren’. De daadwerkelijke betrokkenheid van een kind beneden de leeftijd van zestien jaar behoeft daarmee niet in alle gevallen te worden bewezen. Daarmee is de inzet van de figuur van de zogenaamde ‘lokpuber’, die is geïntroduceerd bij de inwerkingtreding van de Wet computercriminaliteit III (in de artikelen 248a en 248e Sr), mogelijk. Hiermee is beoogd de inzet van een opsporingsambtenaar die zich online voordoet als een minderjarige, al dan niet in de vorm van een virtuele creatie van een minderjarige, mogelijk te maken. Het wetsvoorstel maakt het mogelijk dat de figuur van de lokpuber naast de opsporing en vervolging van grooming ook kan worden ingezet ten behoeve van de opsporing en vervolging van sexchatting (onderdeel a) en het iemand getuige doen zijn van een handeling of een visuele weergave van seksuele aard of met een onmiskenbaar seksuele strekking (onderdeel b). De regering legt uit dat ‘op deze manier kunnen deze voor kinderen schadelijke gedragingen, die veelal geheel online plaatsvinden en daardoor moeilijk op te sporen zijn, vroegtijdig een halt worden toegeroepen’.

De beslissing tot inzet van een lokprofiel in een concrete zaak alsmede de wijze waarop dit geschiedt is voorbehouden aan het OM. Het optreden van de opsporingsambtenaar is hier overigens gebaseerd op de algemene taakstellende bepalingen. De regering merkt nog op dat ‘dat het gebruik van lokprofielen voor het verlenen van assistentie aan de opsporing door niet-overheidsinstanties of burgers niet strookt met het uitgangspunt van een integere en behoorlijke strafrechtspleging’.

Seksueel corrumperen

Onderdeel b van artikel 251 Sr is de opvolger van de huidige artikelen 239, 240a en 248d Sr waarin verschillende vormen van het seksueel corrumperen van kinderen strafbaar zijn gesteld. Strafbaar is degene die een kind beneden de leeftijd van zestien jaren (of een persoon die zich als zodanig voordoet) getuige doet zijn van een handeling of een visuele weergave van seksuele aard of met een onmiskenbaar seksuele strekking.

Grooming

Ten opzichte van het huidige artikel 248e Sr wordt de delictsomschrijving in artikel 251 onderdeel c Sr aanzienlijk ingekort. Dat komt ten eerste doordat het ontuchtbestanddeel (ontuchtig oogmerk) is vervallen. Voldoende is dat de dader (voorwaardelijk) opzet heeft op de totstandkoming van een ontmoeting voor seksuele doeleinden. Zo is het bestanddeel betreffende het middel waarmee een ontmoeting wordt voorgesteld – een geautomatiseerd werk of een communicatiedienst – vervallen: het doet er in feite niet toe hoe aan het kind een ontmoeting als bedoeld in dit artikel wordt voorgesteld. Zowel gedragingen in de reële als de digitale wereld brengen kinderen schade toe en dienen derhalve strafbaar te zijn. De regering merkt op dat een strafbare poging tot grooming ‘niet zelden’ ook strafbaarheid wegens sexchatting zal opleveren (eerste lid, onderdeel a).

Strafbaarstelling ‘kinderpornografische activiteiten’

Artikel 252 Sr is de rechtsopvolger van het huidige artikel 240b Sr en stelt verschillende kinderpornografische activiteiten strafbaar. De nieuwe strafbaarstelling is beter toegesneden op moderne verschijningsvormen van kinderpornografisch materiaal. De delictsgedraging ‘zich de toegang daartoe verschaft’ wordt techniekonafhankelijker geformuleerd. De zinsnede ‘door middel van een geautomatiseerd werk of met gebruikmaking van een communicatiedienst’, omdat het middel waarmee degene die zich toegang verschaft tot kinderpornografisch materiaal zich bedient doet niet ter zake voor de strafwaardigheid. Het zich toegang verschaffen veronderstelt dat dit welbewust gebeurt. Er is een actieve handeling vereist. Een andere wijziging is dat de term ‘afbeelding’ uit het huidige artikel 240b Sr wordt vervangen door de techniekonafhankelijker term ‘visuele weergave’.

De formulering ‘seksuele gedraging waarbij een persoon die kennelijk de leeftijd van achttien jaren nog niet heeft bereikt is betrokken of schijnbaar is betrokken’ uit het huidige artikel 240b Sr is vervangen door visuele weergave van ‘seksuele aard of met een onmiskenbaar seksuele strekking waarbij een persoon die kennelijk de leeftijd van achttien jaren nog niet heeft bereikt is betrokken of schijnbaar is betrokken’. Onder de genoemde gedraging wordt in de jurisprudentie van de Hoge Raad verstaan: seksuele gedraging van een kind met een ander, van een ander met een kind en van een kind met zichzelf. Aan de term ‘seksuele gedraging’ wordt een ruime invulling gegeven. Ook weergaven die geen seksuele gedragingen tonen maar wel een onmiskenbaar seksuele strekking hebben worden als kinderpornografisch beschouwd.

Virtueel kinderpornografisch materiaal, dat betrekking heeft op een visuele weergave waarbij een kind dat de leeftijd van achttien jaren nog niet heeft bereikt schijnbaar is betrokken, valt eveneens onder de reikwijdte van de strafbaarstelling. Vereist is dat het een realistische weergave van seksuele aard of met een onmiskenbaar seksuele strekking betreft (zie HR 8 december 2015, ECLI:NL:HR:2015:3483).

Meer duidelijkheid over de SkyECC-operatie

SkyECC is een chatapplicatie waarmee gebruikers op versleutelde wijze met elkaar kunnen communiceren. Met de app was het mogelijk berichten, foto’s en audioberichten uit te wisselen. Bellen is met een ‘Skytelefoon’ niet mogelijk. De app werd aangeboden door het bedrijf ‘Sky Global’ en deze installeerde de versleutelingssoftware op iPhones, Google Pixels, Blackberry’s en Nokia’s. In 2021 had het bedrijf wereldwijd 70.000 gebruikers. Een toestel geconfigureerd voor het gebruik van de Sky ECC-app kostte tenminste € 729,-. Een abonnement op de Sky ECC app kostte € 2.200,- per jaar of € 600,- per 3 maanden. Om van Sky ECC gebruik te kunnen maken krijgt iedere gebruiker een unieke combinatie van zes tekens welke bestaat uit cijfers en letters, de zogenoemde Sky-ID (User ldentifier). Dit unieke nummer is nodig om een gebruiker toe te voegen als contact.

De CEO en werknemers van Sky Global werden in de Verenigde Staten aangeklaagd wegens het opzettelijk faciliteren van criminele organisaties (zie bijvoorbeeld dit artikel ‘Arrest warrants issued for Canadians behind Sky ECC cryptophone network used by organised crime’). Sinds 19 maart 2021 is Sky Global niet meer actief.

Volgens het OM zijn tijdens operatie ‘Argus’ honderden miljoenen berichten (!) uitgelezen tijdens de operatie. In België alleen al zijn er naar verluidt meer dan 2.000 verdachten geïdentificeerd, waarvan er 360 aangehouden konden worden. Er lopen 268 strafonderzoeken waarin de gelekte berichten worden benut. Het gros daarvan, 192 zaken, zijn nieuwe dossiers dankzij de kraak (JDVS/RL, Al 2000 verdachten ontmaskerd na kraak misdaadtelefoons, HLN, 25 september 2021).

In dit blogbericht zet ik de feiten uit de rechtspraak over de operatie en de Nederlandse rol daarbij op een rijtje. De informatie is met name afkomstig uit proces-verbalen en een brief van 2 juni 2022 van het Openbaar Ministerie over de SkyECC operatie. Deze staat in de overwegingen in uitspraken, zoals in ECLI:NL:RBAMS:2022:6816 van de Rechtbank Amsterdam van 21 november 2022.

Onderzoek ’13Yucca’

Het onderzoek begon in Nederland op 30 oktober 2018 met het onderzoek ‘13Yucca’. Uit meerdere strafrechtelijke onderzoeken bleek dat door personen die zich bezighielden met het beramen en plegen van zware criminaliteit, in de periode vanaf augustus 2015 gebruik maakten van SkyECC telefoons om versleuteld te communiceren. Het onderzoek ‘13Yucca’ was erop gericht om de criminele samenwerkingsverbanden inzichtelijk te krijgen en zicht te krijgen op gepleegde en nog te plegen strafbare feiten.

Door Nederlandse opsporingsambtenaren reeds vastgesteld dat de servers van SkyECC zich in Frankrijk bevonden. Nederland was ermee bekend dat ook België voornemens was om een strafrechtelijk onderzoek naar de onderneming SkyECC te starten. Aangezien de servers van SkyECC zich bij hostingbedrijf ‘OVH’ in de Franse plaats Roubaix bevonden, hebben de Nederlandse en Belgische autoriteiten contact gezocht met Frankrijk en heeft op 9 oktober 2018 een verkennend overleg plaatsgevonden. Het doel van dit overleg was om toelichting te geven op de aanstaande EOB’s van Nederland en België en helderheid te verkrijgen over de vraag of Frankrijk de onderzoeken zou kunnen verrichten.

Nederland heeft vervolgens op 6 december 2018 een Europees Onderzoeksbevel (EOB) naar Frankrijk verzonden met het verzoek om een image te maken van de servers. Met een image kon de technische inrichting van de servers kon worden onderzocht met het oog op nader onderzoek, zoals het tappen en ontsleutelen van de via die servers gevoerde communicatie, en zodat inzicht kon worden verkregen in de organisatie van SkyECC.

Voordat dit EOB werd verzonden, is door de officier van justitie aan de rechter-commissaris om een machtiging gevraagd om een vordering ex artikel 126ug lid 2 Sv te kunnen doen. De rechter-commissaris verleende die machtiging op 30 november 2018 en gaf toestemming voor het maken van een image, maar met de uitdrukkelijke restrictie dat de vergaarde informatie uitsluitend mocht worden aangewend voor het onderzoek naar de technische mogelijkheden voor het tappen en de ontsleuteling. De inhoud van de eventueel op de servers aan te treffen berichten mocht niet zonder uitdrukkelijke voorafgaande toestemming van de rechter-commissaris worden gebruikt in een strafrechtelijk onderzoek. België heeft eerder op 21 november 2018 een soortgelijk EOB naar Frankrijk gezonden.

Frankrijk heeft uitvoering gegeven aan de EOB’s en heeft de architectuur van de servers geanalyseerd. Uit het onderzoek bleek dat er twee servers werden gehost bij OVH, te weten een hoofdserver die rechtstreeks met het internet verbonden was en een back-upserver. Naar aanleiding van dat onderzoek besloot de Franse officier van justitie bij de rechtbank van Lille op 13 februari 2019 een opsporingsonderzoek te openen naar SkyECC. Binnen dat onderzoek heeft de Franse officier van justitie toestemming gevraagd aan de Franse rechter om over te gaan tot interceptie, opname en transcriptie van de communicatie tussen de SkyECC servers, welke toestemming op 14 juni 2019 is verleend. Op 24 juni en 26 juni 2019 zijn vervolgens IP-taps geplaatst op de twee servers. Nederland was niet aanwezig bij het plaatsen van de IP-tap. Op 8 juli 2019 is Nederland hierover geïnformeerd en op 11 juli 2019 zijn de data van de IP-tap beschikbaar geworden voor Nederland.

In het tweede EOB van Nederland aan Frankrijk staat dat Nederland formeel het verzoek doet om die verkregen data te verstrekken aan Nederland. Voorts blijkt uit een ‘bericht van overdracht’ van 20 augustus 2019 dat de geïntercepteerde data door de rechter-commissaris van de rechtbank Lille uit eigen beweging op grond van artikel 26 van het Cybercrimeverdrag en artikel 7 van het Rechtshulpverdrag zijn overgedragen aan twee officieren van justitie van het parket Rotterdam. Daarbij is verzocht om de bevindingen naar aanleiding van de data weer terug te koppelen aan Frankrijk.

Onderzoek ’26Werl’

Op 1 november 2019 is opsporingsonderzoek ‘26Werl’ opgestart, waarbij de verdenking was gericht jegens het bedrijf SkyECC. Op 13 december 2019 hebben Nederland, België en Frankrijk een JIT-overeenkomst gesloten. Onderzoek Werl maakte deel uit van het JIT. Vanaf dit moment zijn de door Frankrijk geïntercepteerde data aan het gemeenschappelijke onderzoeksteam verstrekt en op die wijze gedeeld met Nederland en België.

De IP-tap data zijn geanalyseerd en verwerkt en tijdens de analyse is gebleken dat de getapte IP-communicatie versleutelde communicatie bevat. Sommige informatie was niet versleuteld. Zo werd in de loop van juli 2019 inzicht verkregen in de onderwerp-regels van sommige groepsgesprekken en de SkyECC-ID’s van de deelnemers aan deze groepsgesprekken. Ook werd uit de interceptie op dit netwerk inzicht verkregen in de nicknames van SkyECC-gebruikers en bleek dat berichten om andere gebruikers als contactpersoon uit te nodigen niet versleuteld werden verstuurd. Op 15 november 2019 is gebleken dat een deel van de groepsberichten mogelijk kon worden ontsleuteld en is bij wijze van test een eerste groepsbericht succesvol ontsleuteld. De JIT-partners hebben besloten om de groepsberichten tot nader order niet te ontsleutelen, omdat deze mogelijke dataset beperkt en zeer incompleet zou zijn en daardoor onvoldoende mogelijkheden zou bieden om onderzoek te verrichten. Met uitzondering van enige testberichten zijn er overeenkomstig het besluit van het JIT tot aan de aanloop van de live fase geen groepsberichten ontsleuteld.

Nederlandse technici hebben binnen het JIT een techniek ontwikkeld om een kopie te maken van het werkgeheugen van één van de SkyECC-servers zonder dat die offline zou gaan. Op 14 mei 2020 en 3 juni 2020 heeft Frankrijk die ontwikkelde techniek ingezet.

Vervolgens heeft Nederland een zogenoemde ‘Man in the Middle-techniek’ (MITM-techniek) ontwikkeld, die het ontsleutelen van het berichtenverkeer mogelijk maakte.

(Zie ook Rb. Amsterdam 7 juli 2022, ECLI:NL:RBAMS:2022:4257. Zie hierover eerder ook: OM weerspreekt ‘systematisch liegen’ over actieve rol bij hack van Sky ECC tegen, NU.nl).

Deze techniek is op 18 november 2020 aangesloten en geactiveerd, nadat de Franse adviescommissie, die een oordeel moet vellen over apparatuur die inbreuk kan maken op de persoonlijke levenssfeer en het briefgeheim, hier een vergunning voor heeft verleend.

Onderzoek ’26Argus’

Op 11 december 2020 startte in Nederland het onderzoek ‘26Argus’, dat zich richt op de criminele samenwerkingsverbanden van de NN-gebruikers van SkyECC (een ‘Titel V-onderzoek’). Het onderzoek had onder meer tot doel “het aan de hand van de inhoudelijke data in beeld brengen en analyseren van de criminele samenwerkingsverbanden die gebruikmaken van cryptotelefoons van SkyECC“. De rechtbank Amsterdam overweegt nog in het onderzoek 26Zenne (ECLI:NL:RBAMS:2022:6816) dat 26Argus een onderzoek is waarin onderzoek wordt gedaan naar een crimineel verband en de rol die verschillende personen bij dat verband spelen. Bij enkele in titel V geregelde bevoegdheden, namelijk het opnemen van telecommunicatie en het opnemen van vertrouwelijke communicatie, is de kring van personen beperkt tot personen ten aanzien van wie een redelijk vermoeden bestaat dat zij betrokken zijn bij het in georganiseerd verband beramen of plegen van ernstige misdrijven. Zij behoeven geen verdachte te zijn in de zin van artikel 27 Sv, maar zij dienen wel een meer dan toevallige betrokkenheid te hebben bij het criminele handelen van de groepering, die bijvoorbeeld blijkt uit meer dan incidentele contacten met de criminele organisatie of haar leden.

In het onderzoek 26Argus heeft het Openbaar Ministerie op 14 december 2020 een vordering ingediend bij de rechters-commissarissen om een machtiging te verstrekken voor een bevel op grond van artikelen 126t en 126t, zesde lid Sv. Op 15 december 2020 hebben de rechters-commissarissen deze machtiging verleend. Op 5 en 11 februari 2021 heeft het Openbaar Ministerie een (aanvullende) vordering ingediend bij de rechters-commissarissen op grond van artikel 126uba Sv, welke machtigingen op 7 en 11 februari 2021 zijn verleend.

In een proces-verbaal van bevindingen van de rechters-commissarissen hebben zij inzicht gegeven in de gang van zaken en hun afwegingen en beslissingen. Aangezien de wet geen procedure kent voor dit soort gevallen, hebben de rechters-commissarissen zich allereerst afgevraagd of er wel een machtiging van hen vereist was en waarop hun bevoegdheid in dat geval was gebaseerd. Zij concludeerden dat hoewel op voorhand niet vaststaat dat een beslissing van de Nederlandse rechter-commissaris noodzakelijk is voor de rechtmatigheid van het gebruik van de SkyECC-data, een toetsing van de proportionaliteit door de rechter-commissaris toch aangewezen is, met het oog op de bescherming van de persoonlijke levenssfeer van de betrokkenen. De rechters-commissarissen hebben afwegingen gemaakt en voorwaarden gesteld, om op die manier de privacy schending zoveel mogelijk in te kaderen en zogenaamde ‘fishing expeditions’ te voorkomen.

De voorwaarden die de rechters-commissarissen aan de uitvoering van de machtiging hebben gesteld luiden als volgt:

  1. De vergaarde en ontsleutelde informatie mag slechts worden onderzocht met toepassing van vooraf aan de rechter-commissaris voorgelegde zoeksleutels, zoals:
    – informatie over SkyECC-gebruikers (en hun tegencontacten en eventueel daar weer de tegencontacten van) uit lopend onderzoek naar criminele samenwerkingsverbanden;
    – zoektermen (steekwoorden) en/of afbeeldingen die naar hun aard wijzen op ernstige criminele activiteiten in georganiseerd verband;
  2. Het onderzoek met de zoeksleutels moet zo worden ingericht dat desgewenst achteraf reproduceerbaar en verifieerbaar is voor de rechtbank en verdediging welke resultaten/dataset de zoekslag heeft opgeleverd, en dus welke gegevens ter beschikking zijn gesteld voor het desbetreffende opsporingsonderzoek;
  3. Er wordt bij het onderzoek recht gedaan aan het verschoningrecht van geheimhouders waaronder advocaten. Voor zoveel mogelijk wordt geheimhouderscommunicatie actief uitgefilterd;
  4. De rechter-commissaris wordt inzage gegeven in de onderliggende Franse rechterlijke beslissingen;
  5. De vergaarde informatie wordt na het onderzoek zoals hiervoor omschreven voorgelegd aan de rechter-commissaris om de inhoud en omvang te controleren, en de relatie tot concrete vermoedelijke strafbare feiten te beoordelen;
  6. De vergaarde informatie zal pas na uitdrukkelijke toestemming van de rechter-commissaris aan het Openbaar Ministerie of de politie ter beschikking worden gesteld ten behoeve van (verder) opsporingsonderzoek. Daarbij moet (gelet op voorwaarde 2) duidelijk zijn op welke gegevens de toestemming ziet, en welke gegevens aan het onderzoeksteam worden verstrekt;
  7. De vergaarde informatie zal slechts ter beschikking worden gesteld voor onderzoeken naar strafbare feiten die naar hun aard, in georganiseerd verband gepleegd of beraamd, een ernstige inbreuk maken op de rechtsorde, dan wel misdrijven met een terroristisch oogmerk.

In de verlenging van de machtiging ex artikel 126t Sv van 11 januari 2021 zijn de voorwaarden waaronder aanvullende toestemming kan worden verkregen voor het gebruik van de data nader uitgewerkt. De aanvragen zijn onderverdeeld in vier categorieën en steeds is bepaald wat de omvang is van de SkyECC-data waarvoor toestemming werd gegeven en van welke kaders de communicatie mocht worden ingezien en gebruikt.

Late informatievoorziening

Bovenstaande feiten staan in overwegingen van uitspraken, omdat advocaten het Openbaar Ministerie verwijten dat zij onvolledig en onjuist zijn geïnformeerd over de wijze waarop SkyECC-data is verkregen. Ook zou Nederland een zeer belangrijke en bepalende rol gehad in de verkrijging van de data, onder andere omdat Nederland de interceptietools heeft ontwikkeld. Het OM zou zich daarom onterecht achter het vertrouwensbeginsel verschuilen. Hierover zijn op 19 december 2022 door de rechtbank Noord-Nederland in het onderzoek ‘Shifter’ prejudiciële zaken gesteld (ECLI:NL:RBNNE:2022:4797) aan de Hoge Raad.

Ondertussen gaat de behandeling van zaken waarbij bewijs uit SkyECC wordt gebruikt gewoon door. De rechtbank Amsterdam overweegt bijvoorbeeld in de ‘mega’ Cherokee (ECLI:NL:RBAMS:2022:7693) dat zij geen aanleiding gezien de zaak aan te houden in afwachting van de beantwoording van de Hoge Raad van prejudiciële vragen van de rechtbank Noord-Nederland in het onderzoek Shifter. “Zolang de Hoge Raad nog niet gesproken heeft, plegen de rechtbanken de zaken voort te zetten en zeker niet een inhoudelijke behandeling aan te houden” volgens de rechtbank.

De rechtbank Gelderland maakt in ECLI:NL:RBGEL:2022:7105 van 20 december 2022 nog de kritische opmerking dat de informatievoorziening door het Openbaar Ministerie ‘te weinig transparant en zeer moeizaam is verlopen’. Doordat het Openbaar Ministerie aanvankelijk slechts zeer beperkt informatie verschafte over de Nederlandse inbreng bij de hack van SkyECC, hebben advocaten in meerdere strafzaken door het hele land veel moeite moeten doen om hierover meer duidelijkheid te krijgen. Dit heeft bij de verdediging geleid tot gevoelens van wantrouwen jegens het Openbaar Ministerie.

De rechtbank onderkent uiteraard dat de samenstelling van het procesdossier in beginsel aan het Openbaar Ministerie is en dat de betreffende zaaksofficieren van justitie afhankelijk zijn van diverse andere collega-officieren van justitie om hen van informatie te voorzien.

Dat neemt niet weg dat het wenselijk was geweest dat het Openbaar Ministerie vanaf het begin duidelijkheid had verschaft en inzage had gegeven in de Nederlandse bijdrage bij de hack van SkyECC, zoals uiteindelijk pas bij brief van 2 juni 2022 is gedaan.

De rechtbank concludeert dat het Openbaar Ministerie tekort is geschoten in de informatievoorziening door niet direct openheid van zaken te geven, maar niet zodanig dat hierdoor een ernstige inbreuk is gemaakt op de beginselen van een behoorlijke procesorde, met name nu de volledige gang van zaken uiteindelijk in de brief van 2 juni 2022 uiteen is gezet.

Wetsvoorstel uitbreiding strafbaarheid spionageactiviteiten

Op 16 december 2022 is het wetsvoorstel ‘Uitbreiding strafbaarheid spionageactiviteiten’ naar de Tweede Kamer gestuurd. Ook de memorie van toelichting en advies van de Raad van State is daarmee beschikbaar.

Het voorstel voorziet in de invoering van een zelfstandige strafbaarstelling voor spionageactiviteiten. Ook worden enkele computerdelicten aangepast, als die zijn gepleegd “ten behoeve van een buitenlandse mogendheid”. Ten slotte wordt voorzien in uitbreiding van rechtsmacht naar ‘ieder die zich buiten Nederland schuldig maakt aan de spionageactiviteiten’. Dezelfde wijzigingen worden voorgesteld voor het Wetboek van Strafrecht BES (Bonaire, Sint Eustatius en Saba).

De regering acht de wetswijzigingen noodzakelijk, omdat naast staatsgeheime informatie (waarvan het lekken strafbaar is o.g.v. (o.a.) 98a Sr) ook andere (ongerubriceerde) informatie kan dienen als voorkennis voor staten om bijvoorbeeld in te kunnen spelen op politieke of maatschappelijke ontwikkelingen, om kwetsbaarheden in Nederlandse systemen of processen te identificeren, om besluitvorming te beïnvloeden of om economisch voordeel te behalen en de eigen concurrentiepositie te versterken. Ook is de gedachte dat door de strafbaarstelling op gelijkwaardig niveau te houden met de wetgeving in andere Europese landen, wordt voorkomen dat Nederland een interessant doelwit wordt en dat de nieuwe strafbaarstelling en aanpassingen van andere delicten het eenvoudiger zou worden vervolging in te zetten en opsporingsbevoegdheden in te zetten.

In deze blog volgt een samenvatting van het wetsvoorstel. Het valt mij op dat er weinig discussie is over het wetsvoorstel. Door de feiten op een rijtje te zetten kunnen (strafrecht)experts en geïnteresseerden zich beter een mening vormen. Zelf vind ik het ook (nog) lastig een waardeoordeel over het wetsvoorstel te geven.

Nieuwe strafbaarstelling voor spionageactiviteiten

Het voorstel voorziet in de invoering van een zelfstandige strafbaarstelling voor spionageactiviteiten. Het voorgestelde artikel 98d Sr luidt als volgt:

  1. Met een gevangenisstraf van ten hoogste acht jaar of geldboete van de vijfde categorie wordt gestraft hij die, wetende dat daarvan gevaar is te duchten voor de veiligheid van de staat, van zijn bondgenoten of van een volkenrechtelijke organisatie, voor de vitale infrastructuur, voor de integriteit en exclusiviteit van hoogwaardige technologieën, of voor de veiligheid van een of meer personen, opzettelijk in heimelijke betrokkenheid met een buitenlandse mogendheid

1°. schadetoebrengende handelingen verricht ten behoeve van die buitenlandse mogendheid; of

2°. aan die buitenlandse mogendheid onmiddellijk of middellijk inlichtingen, een voorwerp of gegevens verstrekt.

  1. Met dezelfde straf wordt gestraft hij die een ander beweegt tot de in het eerste lid bedoelde handelingen.

In de memorie van toelichting staat dat onder “spionage” wordt verstaan: ‘het heimelijk of onrechtmatig vergaren van (gevoelige) informatie of objecten door, of in opdracht van een buitenlandse mogendheid’. En daarnaast moet worden gedacht aan andere spionageactiviteiten, zoals sabotage, het interveniëren in (besluitvormings)processen of beïnvloeding van personen. Het gaat bij de spionageactiviteiten overigens niet alleen om Nederlandse instellingen. Nederland is ook gastland voor een groot aantal volkenrechtelijke organisaties en onderdeel uitmaakt van verschillende bondgenootschappen, die op zichzelf onderdeel kunnen zijn van spionage.

Met betrekking tot het element in het voorgestelde artikel 98d Sr van gevaar voor de veiligheid van de staat” moet volgens de memorie van toelichting worden gedacht aan de belangen die door Titel I van Boek 2 van het Wetboek van Strafrecht worden beschermd en de zes nationale veiligheidsbelangen, zoals beschreven in de Nationale Veiligheidsstrategie 2019. Dit zijn:

  1. territoriale veiligheid;
  2. fysieke veiligheid;
  3. economische veiligheid;
  4. ecologische veiligheid;
  5. sociale en politieke stabiliteit; en
  6. het functioneren van de internationale rechtsorde.

Deze belangen worden in de toelichting verder niet gedefinieerd.

Het begrip “vitale infrastructuur” staat ook in artikel 138b Sr, maar is niet gedefinieerd. De wetgever verwijst naar de memorie van toelichting van de wet ‘Implementatie richtlijn aanvallen op informatiesystemen’ (Kamerstukken II 2014/15, 34034, nr. 3, p. 9) en noemt dat het daarbij gaat om “voorzieningen, systemen of delen daarvan die van essentieel belang zijn voor het behoud van vitale maatschappelijke functies, de gezondheid, de veiligheid, de beveiliging, de economische welvaart of het maatschappelijk welzijn”. Door de continuïteit, weerbaarheid, vertrouwelijkheid of integriteit van vitale processen te verstoren kan een kwaadwillende buitenlandse mogendheid de stabiliteit van de Nederlandse samenleving verminderen en maatschappelijke ontwrichting veroorzaken.

Voor de invulling moet bij “hoogwaardige technologieën kan volgens de memorie van toelichting worden gekeken naar de Wet veiligheidstoets investeringen, fusies en overnames (Wet vifo). Blijkens die wet worden als sensitieve technologieën aangeduid: “militaire technologieën, technologieën die een ‘dual use-toepassing’ hebben; (andere) technologieën die van essentieel belang zijn voor het functioneren van defensie, opsporings-, inlichtingenen veiligheidsdiensten bij de uitoefening van hun taken; technologieën die essentieel zijn om onaanvaardbare risico’s voor de verkrijgbaarheid van bepaalde essentiële producten of voorzieningen te voorkomen; technologieën die worden gekenmerkt door een breed toepassingsbereik binnen verschillende vitale processen of processen die raken aan de nationale veiligheid (vgl. artikel 8 van de Wet vifo)”. Daarnaast worden onder “hoogwaardige technologieën” begrepen (andere) innovatieve technologieën die (ook) kwaadaardig kunnen worden toegepast tegen Nederland, andere landen en burgers of die van groot belang zijn voor de economische en strategische positie van Nederland. Voorbeelden zijn kunstmatige intelligentie, hoogwaardige micro-elektronica (waaronder semi-conductoren), DNA-technieken en agrarische innovaties als zaadveredeling.

Ten slotte is het belang van “de veiligheid van één of meer personen” in art. 98d Sr opgenomen, mede met het oog op de zogenoemde “diasporaspionage”. Daarmee wordt gedoeld op landen met een diaspora in Nederland die hier (persoons)gegevens verzamelen en burgers uit deze gemeenschap proberen te beïnvloeden vanuit een (vermeend) eigen intern veiligheidsbelang. Familie- of vriendschapsbanden kunnen hierbij door een buitenlandse mogendheid als drukmiddel worden ingezet om handelingen ten behoeve van deze mogendheid te verrichten.

Met het element “een ander bewegen tot spionageactiviteiten in art. 98d lid 2 Sr wordt voorgesteld om niet alleen degene die de hiervoor beschreven gedragingen ten behoeve van de buitenlandse mogendheid verricht, maar ook degene die de ander beweegt om dergelijke gedragingen te verrichten strafbaar te stellen. Ook personen werkzaam voor buitenlandse inlichtingendiensten vallen daarmee binnen het bereik van deze strafbaarstelling.

Met het opzetvereiste van “wetende dat” wordt de strafbaarstelling van deze nieuwe bepaling beperkt. Met het element wordt tot uitdrukking gebracht dat de verdachte zich bewust moet zijn geweest – in de zin van opzet – van deze gevaarzetting en die tot drijfveer moet hebben gehad of op de koop toe hebben genomen. De verdachte moet er daarnaast opzet op hebben gehad de handelingen te verrichten ten behoeve van een buitenlandse mogendheid. Personen die bijvoorbeeld niet konden weten dat zij handelingen verrichtten voor een buitenlandse mogendheid, zijn niet strafbaar. Het opzetvereiste van “wetende dat” bevat overigens ook voorwaardelijk opzet (HR 30 mei 2008, ECLI:NL:HR:2008:BC8673). Dat betekent dat een persoon ook strafbaar is als hij bewust de aanmerkelijke kans heeft aanvaard (op de koop heeft toegenomen) dat gevaar zou komen te duchten voor de genoemde belangen en dat zijn handelingen werden verricht ten behoeve van een buitenlandse mogendheid.

Strafverzwarende omstandigheid bij computerdelicten

Met betrekking tot de computerdelicten wordt aan de artikelen 138ab Sr (computervredebreuk) en 138c Sr (het overnemen van niet-openbare gegevens) een bepaling met strafverzwaring toegevoegd als het feit ‘is gepleegd ten behoeve van een buitenlandse mogendheid’.

In artikel 138b Sr – dit artikel bevat de strafbaarstelling voor ddos-aanvallen en betreft een verzamelbepaling voor strafverzwarende omstandigheden bij computerdelicten – wordt een bepaling toegevoegd dat de op het feit gestelde gevangenisstraf met een derde verhoogd ‘indien het feit is gepleegd ten behoeve van een buitenlandse mogendheid’.

Kritiek

Ten opzichte van de versie op internetconsultatie is veranderd dat er nu bij staat dat de gedraging “in heimelijke betrokkenheid met een buitenlandse mogendheid” moet plaatsvinden en het moet gaan om “schadetoebrengende handelingen”.

Het element van “heimelijke betrokkenheid” kan wordt afgeleid uit de “uiterlijke verschijningsvorm van de gedraging”. Hierbij kan worden gedacht aan omstandigheden zoals de heimelijkheid van het contact of de handelingen, het handelen in strijd met integriteitscodes, pogingen het gedrag te verhullen, het gebruikmaken van versleutelde communicatie of codetaal en de gevoeligheid van de betrokken informatie.

Bij “schadetoebrengende handelingen” gaat het volgens de memorie van toelichting om de situatie waarin nadeel of verlies is geleden. Daarbij kan worden gedacht aan fysieke en vermogensschade, maar ook aan schade die wordt toegebracht aan andere te beschermen belangen, zoals de persoonlijke levenssfeer en persoonlijke vrijheid, de integriteit en waarachtigheid van (overheids)handelen of van informatie en de openbare orde. Het kan ook gaan om het in de gaten houden, volgen of intimideren van in Nederland verblijvende personen en het openbaar maken of het verspreiden van schadelijke informatie, bijvoorbeeld over personen. In verband met de gekozen strafmaat is niet alleen poging tot plegen van schadetoebrengende handelingen als bedoeld in sub 1° of het verstrekken van informatie als bedoeld in sub 2° strafbaar (artikel 45 Sr), maar zijn voorbereidingshandelingen dat eveneens (artikel 46 Sr). Door zowel het ‘onmiddellijk als middellijk’ verstrekken van gegevens strafbaar te stellen is ook het verstrekken van informatie en voorwerpen via bijvoorbeeld tussenpersonen strafbaar.

Bovengenoemde wijzigingen zijn ingegeven door de (forse) kritiek van – onder andere – de Raad van State (.pdf) op het wetsvoorstel. Met name de reikwijdte van de voorgestelde strafbaarstelling zou te ruim zijn in het licht van het strafrechtelijk legaliteitsbeginsel. Ook de Raad voor de Rechtspraak vindt duidelijkheid over de reikwijdte van de strafbaarstelling is geboden. Volgens de wetgever is het “niet in strijd met het legaliteitsbeginsel dat een wet tot op zekere hoogte open normen bevat. De wet mag enige ruimte laten om veranderende omstandigheden mee te kunnen nemen”. Om deze reden zijn geen wettelijke definities in het wetsvoorstel opgenomen. Wel zijn ten opzichte van de versie op internetconsultatie.nl bepaalde begrippen verduidelijkt.

Het advies van de NVvR om de behandeling van deze strafbare feiten te concentreren bij één rechtbank wordt niet overgenomen. In concentratie wordt volgens de wetgever alleen in bijzondere gevallen voorzien. In “spionagezaken” zal weliswaar in voorkomende gevallen gebruik worden gemaakt van bijvoorbeeld rapporten van de inlichtingen- en veiligheidsdiensten, maar dat kan ook aan de orde zijn in andere zaken, zoals wanneer andere misdrijven tegen de staat zijn gepleegd of bij een verdenking van een terroristisch misdrijf. Dit lijkt op zichzelf dus een onvoldoende rechtvaardiging voor wettelijke concentratie, aldus de memorie van toelichting.

Opsporing en vervolging

In de toelichting wordt opgemerkt dat ‘in de praktijk in de regel een ambtsbericht van de AIVD of de MIVD aan de basis liggen van een opsporingsonderzoek naar gedragingen die samenhangen met spionage’. Als een van de inlichtingen- en veiligheidsdiensten beschikt over voor de opsporing of vervolging relevante informatie, is er de mogelijkheid om via een ambtsbericht de Landelijke Officier van Justitie te informeren op basis van artikel 66 van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). Inlichtingen- en veiligheidsdiensten hebben op grond van artikel 17 Wiv 2017 overigens zelf geen bevoegdheid tot het opsporen van strafbare feiten.

Het is daarnaast ook mogelijk dat aangifte wordt gedaan door bijvoorbeeld een getroffen bedrijf of een persoon uit een diaspora. Ook kunnen politie en OM over eigen informatie beschikken uit strafrechtelijke onderzoeken. Dit laatste zal volgens de toelichting met name voorkomen bij onderzoeken naar (hightech) cybercrime. Door de strafverhoging van maximaal 6 jaar gevangenisstraf naar 8 jaar gevangenisstraf (ten opzichte van de consultatieversie) wordt het in het bijzonder mogelijk de bevoegdheden van het opnemen van vertrouwelijke communicatie in een woning (art. 126l lid 2 Sv) en de hackbevoegdheid (art. 126nba Sv) in te zetten (en daarmee bewijs te verzamelen voor het opsporingsonderzoek). Het OM en de politie hadden blijkens hun reactie overigens graag een uitgebreidere strafbaarstelling gezien, omdat ‘de vereisten wetenschap op het te duchten gevaar’ te beperkend zou zijn en het een bewijstechnische drempel op werpt. Dat voorstel is niet overgenomen.

De inschatting is dat de politie en het OM ‘structureel meer in overleg zullen treden met de inlichtingen- en veiligheidsdiensten ten behoeve van informatie-uitwisseling over en coördinatie van de uitvoering en handhaving van de in dit wetsvoorstel voorgestelde strafbare gedragingen’. Voor informatie-uitwisseling tussen de uitvoeringsorganisaties lijken vooralsnog geen nieuwe of aanvullende afspraken benodigd. De bestaande afspraken in het kader van ‘het afstemmingsoverleg waarin onder andere terrorisme en cyber gerelateerde zaken’ worden besproken, lijken hiervoor te volstaan, aldus de regering.

In de memorie van toelichting wordt nog opgemerkt dat het ‘niet in alle gevallen mogelijk zal zijn (alle) betrokkenen bij spionageactiviteiten te vervolgen en te berechten. In voorkomende gevallen kan sprake zijn van immuniteit en/of onschendbaarheid onder internationaal recht. Te denken valt hierbij aan leden van diplomatieke en consulaire zendingen en officiële missies. In dergelijke gevallen zijn aanhouding en vervolging niet aan de orde, tenzij de zendstaat van de buitenlandse overheidsfunctionaris hiermee instemt’.

Samen met de AIVD verwacht het OM dat het ‘om aantal zaken per jaar’ zal gaan, maar deze zaken ‘(zeer) complex en lang kunnen duren’.

Conclusie

De uitbreiding voor de strafbaarstelling van spionageactiviteiten heeft veel vragen opgeroepen bij de organisaties die geconsulteerd zijn. Hun adviezen hebben tot wijzigingen geleid in het huidige wetsvoorstel, maar de vraag blijft natuurlijk of die organisaties daarmee tevreden zijn. Ik blijf zelf ook kritisch naar het wetsvoorstel kijken.

Een vraag waar ik bijvoorbeeld mee zit is of er geen sprake moet zijn van bepaalde drempelwaarden bij ‘een gevaar voor de veiligheid van de staat’ bij onderwerpen als ‘economische veiligheid’ en ‘ecologische veiligheid’? Het gebrek aan definities vind ik nog steeds problematisch, omdat dan het gevaar bestaat dat te eenvoudig en voor onduidelijke gronden voor het nieuwe delict wordt vervolgd. De staat krijgt met deze wet immers meer mogelijkheden haar zwaardmacht en vervolging in te zetten.

In het verleden hebben we in Nederland weinig vervolgingen gehad voor het schenden van staatsgeheimen (de vervolging o.g.v. 98 en 98a Sr van een voormalig F-16 piloot is een belangrijk geval (ECLI:NL:GHDHA:2013:BZ8627). Dat maakt het ook lastig in te schatten hoe het OM – blijkbaar samen met de AIVD en de MIVD die vaak de basis voor vervolging leggen – hiermee om zullen gaan, in zaken waar de verdachten vaak in precaire situaties zitten en/of gechanteerd worden. Al met al is dit een spannend wetsvoorstel, waar ik meer discussie over hoop te zien en heel benieuwd ben naar de uitvoering (als deze wet wordt aangenomen).  

Nieuwe wetgeving voor inlichtingen- en veiligheidsdiensten

Op 2 december 2022 is het wetsvoorstel ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’ naar de Tweede Kamer gestuurd (hierna: Tijdelijke cyberwet).

Daarnaast is op 23 december 2022 de ‘Nota van wijziging Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’ (hierna: Nota van wijziging) op internetconsultatie.nl gepubliceerd (reageren kan tot en met 16 januari 2023). De planning is dat deze nota begin april 2023 bij de Tweede Kamer wordt ingediend.

Ten slotte wordt in een Kamerbrief over de voorgenomen wetswijzigingen gesproken over een ‘hoofdlijnennotitie’ op de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) 2017. Daarin zet de regering haar visie uiteen voor een algehele wijziging van de wet. Deze hoofdlijnnotitie wordt naar verwachting ‘in het eerste kwartaal van 2023’ naar de Tweede Kamer gestuurd.

De Tijdelijke cyberwet en de Nota van wijziging zijn of worden al aan de Tweede Kamer aangeboden, omdat de ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie – en de TIB en de CTIVD – van mening zijn dat ‘gelet op de in het geding zijnde belangen van nationale veiligheid en de bescherming van fundamentele rechten op kortst mogelijke termijn via aanpassing van wetgeving dienen te worden geregeld’. De regering verwacht dat de algehele herziening van de Wiv 2017 nog ‘geruime tijd’ zal vergen (zie de Kamerbrief).

In deze blog zet ik de kernpunten van de Tijdelijke cyberwet en Nota van wijziging op een rij. Daarbij sluit ik aan op de memorie van toelichting en onthoud ik mij verder van commentaar. Ik beoog daarmee een neutrale weergave van de wetgeving te geven.  Dit bericht wordt t.z.t. geüpdatet als de hoofdlijnennotitie beschikbaar is.

Tijdelijke cyberwet

Het doel van de Tijdelijke cyberwet is om de AIVD en de MIVD meer operationele armslag te bieden inlichtingen te verzamelen over de offensieve cyberprogramma’s van statelijke actoren, zoals Rusland en China.

Het wetvoorstel voorziet in een aantal wijzigingen ten aanzien van de inzet van bepaalde bijzondere bevoegdheden voor bulkinterceptie (dit wordt ‘onderzoeksopdracht gerichte interceptie’ (ook wel: OOG-interceptie) in de Wiv 2017 genoemd) en de hackbevoegdheid. Deze aanpassingen worden alleen mogelijk gemaakt voor zover deze bevoegdheden worden ingezet bij de uitvoering van onderzoeksopdrachten die te maken hebben met offensieve cyberprogramma’s van statelijke actoren. Door op bepaalde punten de toetsing van de inzet van deze bijzondere bevoegdheden te verschuiven van de Toetsingscommissie Inzet Bevoegdheden (TIB) naar bindend toezicht op de uitoefening ervan door de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), wordt de operationele armslag van de diensten vergroot en zou de uitvoering van deze bevoegdheden beter aansluiten bij het toezicht.

Met betrekking tot de bijzondere bevoegdheden gaat het concreet om de volgende voorstellen:

  1. Het schrappen van de rechtmatigheidstoets van de TIB bij het ‘verkennen’ bij de uitvoering van de hackbevoegdheid (art. 45 Wiv 2017) (dus voordat op computers (geautomatiseerde werken) wordt binnengedrongen). Het hoofd van de dienst moet daartoe toestemming geven. De CTIVD houdt daarop (bindend) toezicht. Het doel van de wijziging is de drempel voor het verkennen te verlagen. Het verkennen dient ter ondersteuning van het uiteindelijke binnendringen in een geautomatiseerd werk. Daarnaast dient verkennen ertoe een up-to-date beeld te krijgen van de voor de diensten relevante delen van het digitale landschap. Het verkennen van geautomatiseerde werken maakt ook een minder vergaande inbreuk op fundamentele rechten dan het binnendringen. De wijziging heeft tot doel de snelheid en effectiviteit van de inzet van de hackbevoegdheid te verhogen.
  1. Het vergroten van de mogelijkheden tot “bijschrijven” ten aanzien van de hackbevoegdheid (art. 45 lid 8 Wiv 2017), de bevoegdheid tot het gericht intercepteren van communicatie (art. 47 lid 7 Wiv 2017) en het opvragen van gegevens bij aanbieders van telecommunicatie- en opslagdiensten (art. 54 Wiv 2017). De achtergrond van deze wijziging is ingegeven, omdat de TIB de wet zodanig uitlegt dat er een exclusiviteitscriterium zou gelden (de wet spreekt namelijk over een geautomatiseerd werk van een persoon of organisatie). Met de wijziging dat het bij te schrijven geautomatiseerd werk ‘in gebruik is’ bij een persoon of organisatie, is duidelijk dat de AIVD en de MIVD kunnen overgaan tot “bijschrijving” bij de uitvoering van de hackbevoegdheid als de statelijke actor van server wisselt bij hun activiteiten. Dan is duidelijk dat er geen sprake hoeft te zijn van eigendom over het geautomatiseerde werk en het bijvoorbeeld ook kan gaan om gedeelde systemen waar een target gebruik van maakt. De CTIVD houdt bindend toezicht op de bijgeschreven kenmerken tijdens de inzet van de hackbevoegdheid. Daarnaast kan de TIB oordelen over de bijgeschreven geautomatiseerde werken die in de verzoeken tot verlenging van de toestemming door de Ministers zijn opgenomen en na akkoord van de Minister aan de TIB ter toetsing worden voorgelegd.
  1. Het schrappen van de voorafgaande toets van de TIB op de technische risico’s die verbonden zijn aan de inzet van de hackbevoegdheid (art. 45 lid 4 sub a en sub b Wiv 2017). In de memorie van toelichting staat dat de vooraf ‘bekende’ technische risico’s onderdeel zijn van de proportionaliteitstoets van de TIB. De omschrijving van de technische risico’s dient ertoe dat een afweging kan worden gemaakt tussen het belang van de nationale veiligheid enerzijds, en de technische risico’s die verbonden zijn aan de inzet van de hackbevoegdheid, zoals de kans dat het geautomatiseerd werk onbedoeld schade ondervindt van de hack, anderzijds. In de praktijk is een spanningsveld ontstaan op deze toets op technische risico’s door de TIB, omdat het niet mogelijk zou zijn voorafgaand aan een toestemmingsperiode van drie maanden te voorspellen welke handelingen precies nodig zullen zijn om gedurende die periode het met de inzet van de hackbevoegdheid beoogde doel te bereiken. De eventuele technische risico’s die gekoppeld zijn aan deze handelingen zijn daarom van tevoren ook niet te voorzien. Wel moeten in de aanvraag nog steeds de relevante technische aspecten aan de orde dient te komen die de minister nodig heeft om tot een geïnformeerd oordeel te komen. Het gaat dan om technische informatie, inclusief risico’s, die op het moment van de aanvraag bekend is. Volgens de toelichting kan de TIB in het kader van haar proportionaliteitstoets dus wel de op het moment van het verzoek om toestemming voor inzet van de bevoegdheid bekende risico’s betrekken. Gezien de dynamische en onvoorzienbare aard van hackoperaties zal deze toets een “hoger abstractieniveau” hebben. De CTIVD houdt verder toezicht op de technische risico’s bij de uitvoering van de hackbevoegdheid.
  1. De introductie van de mogelijkheid tot het verkennen ten behoeve van OOG-interceptie (art. 48 Wiv 2017), met het uitsluitende doel vast te stellen op welke gegevensstromen een verzoek om toestemming tot OOG-interceptie betrekking dient te hebben (ook wel ‘snapshotten’ genoemd). Daarbij wordt het gerichtsheidsvereiste voor dit verkennen buiten werking gesteld. Er is wel toestemming van de minister en toetsing hiervan door de TIB vereist. De toestemming wordt verleend voor een periode van ten hoogste een jaar. De geïntercepteerde gegevens moeten na een periode van ten hoogste zes maanden worden vernietigd, als ze niet bijdragen aan het doel van de verwerking. De achtergrond van de introductie van de bevoegdheid tot het verkennen bij OOG-interceptie is de gevoelde noodzaak dat met de bevoegdheid kan worden onderbouwd waarom kan worden overgegaan tot kabelinterceptie (omdat er verkeer dat relevant is voor onderzoeksopdrachten langs de fiber op de kabel stroomt). De wijziging is ook ingegeven door CTIVD-rapport nr. 75 (2022), waarin de CTIVD constateert dat een algemene grondslag voor verkennen ten behoeve van OOG-interceptie ontbreekt in de Wiv 2017.
  1. De beperking van de proportionaliteitstoets en gerichtheidstoets van de TIB bij OOG-interceptie. In de toelichting is te lezen dat daarbij ‘met name’ de volgende aspecten mogen worden betrokken: a. een indicatie van de te verwerven gegevensstromen en b. een indicatie van de wijze waarop de reductie van gegevens binnen de gehele keten van verwerving invulling krijgt. De achtergrond van deze wijziging is volgens de toelichting dat ‘juist het feit dat het gaat om het blootleggen van ongekende (cyber)dreigingen maakt dat dit middel alleen effectief is als sprake is van een bepaalde mate van ongerichtheid bij het verzamelen van gegevens’. De gegevens die uiteindelijk door de diensten worden opgeslagen, zijn gerelateerd aan de onderzoeksopdrachten van de diensten. Het voorstel zou een oplossing moeten bieden ‘voor de verschillende zienswijzen ter zake van de Ministers en de TIB over de toepassing van het gerichtheidscriterium bij OOG-interceptie’.
  1. Het vervallen van de voorafgaande rechtmatigheidstoets van de TIB bij de bijzondere bevoegdheid tot ‘geautomatiseerde data analyse’ op OOG-interceptie (art. 50 lid 4 Wiv 2017). De CTIVD houdt bindend toezicht op de uitvoering van deze bijzondere bevoegdheid. De achtergrond is dat bij het analyseren van gegevens voortdurend nieuwe inzichten worden verkregen en aan nieuwe hypotheses worden getoetst, en daarbij de datahuishouding van de diensten veranderlijk is, waardoor op voorhand niet is te voorspellen op welke exacte wijze GDA (en in welke vorm) wordt ingezet bij de uitvoering van onderzoeken van de diensten (zie in dat kader ook mijn artikel ‘Metadata-analyse in de Wiv 2017’, Privacy & Informatie 2020, nr. 6, p. 260-267). De toets op voorhand sluit niet goed aan bij dit dynamische proces van gegevensverwerking. Ook ten aanzien van deze bijzondere bevoegdheid krijgt de CTIVD bindend toezicht.

Over de voorgestelde wijzigingen en achtergrond met betrekking tot deze bijzondere bevoegdheden is meer te lezen in dit NJB-artikel van Sophie Harleman.

Op de (bindende) besluiten van de TIB en de CTIVD, wordt in het kader van dit wetsvoorstel een ‘beroepsmogelijkheid’ gecreëerd bij de (hoogste) bestuursrechter, de Afdeling bestuursrecht van de Raad van State (ABRvS). Andere bepalingen uit het wetsvoorstel gaan over het proces dat wordt doorlopen als de ministers (AIVD en/of MIVD) van deze beroepsprocedure gebruik maken. In tegenstelling tot de versie van afgelopen zomer op internetconsultatie.nl, zijn de uitspraken van de ABRvS in beginsel nu wel openbaar.

Het idee is dat de bepalingen in deze tijdelijke wet op termijn onderdeel uitmaken van de hoofdlijnennotitie dat als basis moet dienen voor een wetsvoorstel voor de algehele wijziging van de Wiv. De wijzigingen kunnen daarmee een doorwerking krijgen op de algehele wijziging. Over de wijzigingen met betrekking tot het toezichtstelsel is meer te lezen in dit NJB-artikel van Rowin Jansen

Nota van wijziging

De Nota van wijziging regelt de volgende drie onderwerpen:

  1. De introductie van een rechtmatigheidstoets van de TIB na toestemming voor de inzet van de zogeheten “stomme tap”. Dat wil zeggen een vordering voor ‘real time’ verkeers- en locatiegegevens bij aanbieders van communicatiediensten.
  1. De introductie van de mogelijkheid de beoordelingstermijn ten behoeve van de toets op relevantie, na de verwerving van bulkdatasets met een bijzondere bevoegdheid (niet zijnde OOG-interceptie in art. 48 Wiv 2017), telkens met een jaar te verlengen. De CTIVD moet (bindend) toestemming geven voor de verlenging of kan de verlenging afkeuren. Bij afkeuring kunnen de ministers/diensten ‘in beroep’ gaan bij de ABRvS.
  1. Een overgangsregeling voor bulkdatasets die op grond van een bijzondere bevoegdheid (niet zijnde OOG-interceptie in art. 48 Wiv 2017) zijn verzameld, voordat de deze wet in werking treedt en nog aan de relevantietoets van art. 27 Wiv 2017 zijn onderworpen. 

De Nota wijzigt de Tijdelijke cyberwet. Het is echter belangrijk te realiseren dat de reikwijdte van de Nota vervolgens breder is dan de Tijdelijk wet, omdat het ook werking heeft voor alle andere inlichtingenonderzoeken van de diensten. Bulkdatasets en de inzet van de stomme tap zijn namelijk ook belangrijk bij andere onderzoeken, ook buiten het ‘cyberdomein’, aldus de (concept)memorie van toelichting.

Aanpassing van de regeling omtrent de ‘stomme tap’

De aanpassing van artikel 55 Wiv 2017 voor de zogeheten “stomme tap” is ingegeven door de uitspraak van het Hof van Justitie van de Europese Unie van 6 oktober 2020 (zie ook HvJ EU 6 oktober 2020, C-511/18, C512/18 en C-520/18, ECLI:EU:C:2020:791 (La Quadrature du Net e.a./Premier ministre e.a.) (zie ook onze annotatie in JBP 2021/1-2, m.nt. J.J. Oerlemans & M. Hagens). In deze zaak waren door de Franse Raad van State en het Belgische Constitutionele Hof enkele prejudiciële vragen voorgelegd, onder meer over het in  real time verzamelen van verkeers- en locatiegegevens. Dit zou naar het oordeel van het HvJ EU alleen zijn toegestaan als een dergelijk besluit onderworpen is een voorafgaande bindende toetsing door een rechter of een onafhankelijke administratieve autoriteit, waarbij wordt vastgesteld dat deze maatregel zich beperkt tot wat strikt noodzakelijk is. In de toelichting is te lezen dat ‘hoewel de uitspraak in deze prejudiciële zaak direct van betekenis is voor de rechterlijke instantie die de prejudiciële zaak aanhangig heeft gemaakt en aan deze uitspraak is gebonden, heeft deze uitspraak uiteraard ook (indirect) effect voor de andere lidstaten van de Unie. Immers het ligt in de rede dat in vergelijkbare zaken een vergelijkbaar oordeel zal worden geveld’.

Om bovenstaande reden wordt de Nederlandse wetgeving met het arrest in lijn gebracht voor de bijzondere bevoegdheid tot het in real time verzamelen van verkeers- en locatiegegevens (artikel 55 lid 1 Wiv 2017). Na toestemming van de minister en een rechtmatigheidstoets van de TIB kunnen de AIVD en de MIVD zich wenden tot een aanbieder van een communicatiedienst met de opdracht gegevens te verstrekken over het communicatieverkeer dat met betrekking tot een bepaalde gebruiker na het tijdstip van de opdracht zal plaatsvinden.

Aanpassing van de relevantietoets bij bulkdatasets

De aanpassing van de beoordelingstermijn van de relevantietoets ten aanzien van bulkdatasets die zijn verworven met bijzondere bevoegdheden is ingegeven door de problematiek dat gegevens die door de inzet van een bijzondere bevoegdheid worden verworven binnen maximaal 1,5 jaar op relevantie moeten worden beoordeeld (op grond art. 27 lid 1 en lid 3 Wiv 2017). Deze termijn is volgens de toelichting in de praktijk problematisch, omdat de gegevens in bulkdatasets vaak langer van waarde zijn voor de onderzoeken van de diensten. Het verstrijken van de beoordelingstermijn kan er dan ook toe leiden dat mogelijk waardevolle gegevens moeten worden vernietigd. De Wiv 2017 biedt echter geen ruimte om deze bulkdatasets langer op relevantie te beoordelen. Dit onderstreept volgens de regering zowel de noodzaak voor deze regeling als een spoedige inwerkingtreding van de Tijdelijke wet en de Nota van wijziging. Zie over deze problematiek de CTIVD-voortgangsrapportages nrs. 66 (2019) en 69 (2020) en het toezichtrapport over het verzamelen van bulkdatasets met de hackbevoegdheid (nr. 70 (2020)).

In de Nota van wijziging wordt verder uitgelegd dat het een kenmerkende eigenschap van bulkdatasets is dat niet op voorhand te bepalen is welke gegevens uit die bulkdatasets relevant zijn voor een concreet inlichtingenonderzoek, maar dat alle gegevens potentieel van waarde kunnen zijn. Dit betekent dat de set als geheel van waarde kan zijn, en dat pas achteraf zal blijken welke gegevens uit een bulkdataset daadwerkelijk gebruikt zijn bij het beantwoorden van concrete onderzoeksvragen. Het voorgaande brengt mee dat de gegevens in bulkdatasets puzzelstukjes kunnen zijn, die soms jaren na verwerving van een set gegevens een cruciale rol spelen bij inlichtingenonderzoeken. Ook regelt het voorstel dat in – in afwijking van art. 27 lid 1 Wiv 2017 – de gegevens niet zo spoedig mogelijk op relevantie dienen te worden onderzocht.

De regeling zit zo in elkaar dat in de toestemmingsaanvraag aan de CTIVD om een bulkdataset langer te bewaren onderbouwd moet worden waarom de bulkdataset nog steeds van belang is voor de onderzoeken van de diensten. Daarbij moet de opbrengst van de afgelopen periode gemeld worden en moet er vooruit gekeken worden naar wat deze bulkdataset nog kan opleveren in het komende jaar. In dit systeem is dus geen vooraf vastgestelde bewaartermijn voorzien, maar wordt deze per bulkdataset bepaald.

In de toelichting staat dat de noodzakelijkheid van de verlenging kan worden getoetst aan de hand van de volgende objectieve toetsingscriteria:

a. het gebruik van gegevens uit de bulkdataset door de betrokken dienst van het afgelopen jaar of de afgelopen jaren. Hierbij kan, indien relevant, worden meegenomen in hoeverre de bulkdataset de inzet van andere (gerichte) middelen mogelijk heeft gemaakt. Dat kan bijvoorbeeld afgeleid uit het feit in hoeverre informatie uit de bulkdataset in onderzoek is gebruikt of heeft geleid tot exploitatie.

En:

b. de verwachte potentiële bijdrage van gegevens uit de bulkdataset aan onderzoeken van de betrokken dienst gedurende het komende jaar of de komende jaren. De vraag die kan worden gesteld is of naar verwachting de komende periode meer of minder gebruik wordt gemaakt van de bulkdataset. Ook kunnen onderdelen van de bulkdataset meer of minder intensief worden gebruikt in de komende periode, bijvoorbeeld vanwege een verwachte ontwikkeling binnen het onderzoek in het komende jaar.

Hoofdlijnennotitie

De Tijdelijke cyberwet en de Nota van wijziging hebben hun achtergrond in het rapport van de Evaluatiecommissie Wiv 2017 (ook wel de commissie Jones-Bos genoemd, naar haar voorzitster) en het rapport van de Algemene Rekenkamer over de operationele slagkracht van de diensten. Zie voor de duidelijkheid ook deze tijdlijn op de website van de AIVD:

Het demissionaire kabinet was indertijd enthousiast over het rapport en ‘omarmde de analyse, conclusies en aanbevelingen van de commissie’. Indertijd werd aangekondigd dat werd gewerkt aan een algehele wijziging van de Wiv 2017, maar dit heeft tot nu toe alleen geresulteerd in de Tijdelijke wet en de Nota van wijziging.

De andere aanbevelingen van de commissie Jones-Bos behoeven nog steeds opvolging in een algehele wijziging van de Wiv 2017, volgens de  Nota van wijziging. Daar aan vooraf gaat nog een ‘hoofdlijnennotitie’. Qua planning is ‘de verwachting dat het traject tot herziening van de Wiv 2017 binnen de werkingsduur van de Tijdelijke wet kan worden bewerkstelligd. Mocht dat onverhoopt niet het geval zijn, dan zal moeten worden bezien of een traject tot verlenging van de werkingsduur van de Tijdelijke wet moet worden ingezet’.

Uit de  Nota van wijziging is ten slotte nog af te leiden, dat in de hoofdlijnennotitie in ieder geval de uitgangspunten voor een ‘breed en integraal bulkregime’ verwerkt worden (ook voor bulkdatasets verkregen uit algemene bevoegdheden, zoals de informantenbevoegdheid).

Verder blijft de inhoud van de hoofdlijnennotitie en planning voor algehele herziening van de Wiv 2017 vooralsnog onduidelijk.

Publicatie HR rapport over de hackbevoegdheid

Op 9 november 2022 heeft de Hoge Raad een onderzoeksrapport over de hackbevoegdheid gepubliceerd (.pdf). Het onderzoek zag op de periode van 2019-2021. De Hoge Raad, met procureur-generaal Edwin Bleichrodt als rapporteur, is opvallend positief over de uitvoering van de hackbevoegdheid. In de conclusie is te lezen:

“De wijze waarop het OM toepassing geeft aan de bevoegdheid tot het uitvoeren van onderzoek in een geautomatiseerd werk voldoet ten aanzien van de onderzochte gevallen tijdens de onderzoeksperiode 2019-2021 grosso mode aan de wettelijke voorschriften. In alle onderzochte zaken is op zichzelf voldaan aan beginselen van proportionaliteit en subsidiariteit.”

De volgende aantallen over 2019-2021 worden genoemd, waarbij het – als ik het goed begrijp – ook kan gaan om andere bevoegdheden dan de hackbevoegdheid, zoals direct afluisteren (art. 126l Sv).

Zie p. 111 van het rapport. En Let op: zaken waar ‘onderzoek in een geautomatiseerd werk’ is uitgevoerd in een ander land en onder gezag van de justitiële autoriteiten van dat andere land worden niet meegeteld (JJO: zoals EncroChat en SkyECC die juist een grote(re) invloed op de strafrechtpraktijk hebben), evenals zaken waarin een ander land via een rechtshulpverzoek om ‘onderzoek in een geautomatiseerd werk’ heeft verzocht.

Dit blogbericht licht slechts het verbeterpunt met betrekking tot de verbalisering en het gebrek aan toezicht uit. Zie voor alle aanbevelingen p. 141 van het rapport.

(Geheim) Commercieel hulpmiddel

Het geheime commerciële technische hulpmiddel dat verreweg in de meeste zaken (33 van de 36) wordt gebruikt, kan volgens de speciaal toegewezen officier van justitie (DIGIT officier) (en andere rechercheofficieren) niet worden gekeurd. Het systeem – dat bestaat uit zowel hardware als software – wordt vaak geüpdatet, zonder dat vooraf bekend is wanneer die updates plaatsvinden. Het is opvallend dat volgens de onderzoekers (JJO: beschreven met wat vaag taalgebruik, zoals wel vaker in het rapport) ‘de afwegingen van de digit-officier omtrent de geschiktheid voor keuring’ “plausibel voorkomen” (p. 113).

In het rapport wordt helder uitgelegd wat de bezwaren waren tegen de inzet van commerciële software (en het mogelijke gebruik van onbekende kwetsbaarheden). Daarbij wordt opgemerkt dat ‘de eventuele aanwezigheid van dergelijke kwetsbaarheden voor politie en het OM veelal niet bekend zal zijn’ en over de toets dat het commerciële product niet aan dubieuze regimes mag worden geleverd ‘mogen geen hoge verwachtingen worden gekoesterd’. Toch constateren de onderzoekers dat ‘een afweging van de hierboven geschetste risico’s en bezwaren enerzijds en het belang van de bestrijding van ernstige criminaliteit anderzijds, waarbij aan het tweede prioriteit is gegeven, is binnen het OM centraal en op zichzelf zorgvuldig tot stand gekomen. Het OM heeft het geldende rechtskader daarbij niet miskend’. Zij concluderen (JJO: in wat typische bewoordingen) dat:

“niet worden geoordeeld dat dit gebruik als zodanig in strijd is met de beginselen van proportionaliteit, subsidiariteit en behoorlijkheid in individuele zaken. Het probleemveld is voor het overige politiek van aard, zodat hier met de signalering van het voorgaande wordt volstaan”

 (p. 118) (JJO: door mij dikgedrukt).

“Betrekkelijk minutieus” geregelde bevoegdheid

Tussen de regels door is wel te lezen dat de PG het een streng gereguleerde bevoegdheid vindt. Zie p. 80:

“De weergegeven schets van dit regelkader (JJO: de eerste 80 pagina’s van het rapport (!)) maakt duidelijk dat de bevoegdheid die in de artikelen 126nba lid 1, 126uba lid 1 en 126zpa lid 1 Sv aan de officier van justitie is toegekend (op sommige punten) betrekkelijk minutieus is geregeld. Dat bergt het risico van een zekere starheid in zich, die het OM beperkt in de ruimte om in te spelen op nieuwe ontwikkelingen of om rekening te houden met de omstandigheden van het geval.”

Het is wel een heel voorzichtig geformuleerde “conclusie”, waardoor het niet helemaal duidelijk is wat dan het gevolg van die conclusie moet zijn. Zie in vergelijkbare zin ook de afsluiting van Ybo Buruma’s blog over ‘wettelijke hackbevoegdheden’: “De rapportages over de wettelijke hackbevoegdheden lijken geruststellend vanuit het oogpunt van geldend recht. Maar dat betekent niet dat het geldend recht optimaal is.”

Verbeteringen

De belangrijkste constatering met betrekking tot de hackbevoegdheid vind ik het volgende:

“In de processen-verbaal die de politie opstelt over de toepassing van het hacken wordt met het oog op de afscherming van methodieken slechts zeer globaal en op zeer korte wijze verantwoording afgelegd over het toepassen van de hackbevoegdheid.” (uit het persbericht)

Op p. 102 is bijvoorbeeld te lezen dat over de onderzoeksdoelen van de hackbevoegdheid het ‘LP DIGIT’ het standpunt heeft ingenomen dat ‘onderzoekshandelingen niet méér concreet kunnen worden omschreven dan dat “gegevens worden overgenomen”. Indien ook wordt omschreven op welke wijze dat overnemen plaatsvindt, zal de toegepaste methode (mogelijk) worden prijsgegeven.’ De identiteit van het technische hulpmiddel, de broncode en/of de specificaties kunnen niet worden prijsgegeven. Overigens worden in de praktijk andere opsporingsmiddelen ook wel ingezet om de informatie dat wordt verkregen door toepassing van de hackbevoegdheid te verifiëren (p. 122).

Het bovenstaande staat mijns inziens wel in spanning met het recht op een eerlijk proces en het beginsel van equality of arms. Het vormt een belangrijk punt van discussie voor in de toekomst als belangrijk bewijs met de hackbevoegdheid en gebruik van software is verzameld.

De PG beveelt hierover het OM aan “op meer concrete wijze invulling te geven aan de plicht verantwoording af te leggen over de uitvoering van het hacken. Datzelfde geldt voor het opnemen van de vereiste informatie in het hackbevel zelf.”

Verder zien enkele van de suggesties op het beschermen van communicatie van professionele geheimhouders, zoals artsen en advocaten. De procureur-generaal bij de Hoge Raad adviseert het Openbaar Ministerie om de rechter-commissaris een regisserende rol toe te kennen bij de selectie van geheimhoudersgegevens, eventueel in afwachting van nieuwe regelgeving die door de procureur-generaal op dit punt wenselijk wordt geacht.

Al met al is de PG van de Hoge Raad mijns inziens tamelijk mild over de niet-naleving van de keuring, mogelijk gebruik van onbekende kwetsbaarheden en gebruik van commerciële software. Het rapport getuigt van een pragmatische insteek, met begrip van en voor de praktijk, waarbij duidelijk keuzes zijn gemaakt voor belangrijke verbeterpunten voor het OM.

Gebrek aan toezicht op de hedendaagse gedigitaliseerde strafrechtspraktijk

Een andere belangrijke conclusie uit het rapport waar ik nog aandacht aan wil geven gaan over gebreken in het toezicht op de gedigitaliseerde politiepraktijk.  

De PG van de Hoge Raad schetst in p. 1-3 het rapport de belangrijke ontwikkeling dat het OM steeds intensiever samenwerkt met publiekrechtelijke en privaatrechtelijke partijen.

“Samen met verschillende partners probeert het OM te kiezen voor interventies die een maximaal effect sorteren. Het strafrecht wordt hierbij ingezet als ‘optimum remedium’ en als instrument dat in verbinding staat met andere vormen van handhaving en toezicht.

Bij deze andere vormen van handhaving en toezicht is de strafrechter niet de eerst aangewezene om controle uit te oefenen. Een substantieel deel van het werk van het OM onttrekt zich daardoor aan het gezichtsveld van de strafrechter.

Vanuit rechtsstatelijk oogpunt is het wenselijk en noodzakelijk dat de controle en het toezicht op de uitoefening van bevoegdheden door of onder verantwoordelijkheid van het OM worden versterkt, vooral voor zover de uitoefening van die bevoegdheden slechts in beperkte mate aan rechterlijk toezicht is onderworpen.”

Daarnaast wijzen zij erop dat ‘een effectieve bestrijding van computercriminaliteit de toepassing van alternatieve interventies, zoals preventieve of verstorende maatregelen richting cybercriminelen, digitale infrastructuur of facilitators vergt’. (met uitgebreide verwijzing naar het interessante WODC-rapport over de ‘Verstoring van cybercriminaliteit’ (de .pdf is hier te vinden)).

En: “het toenemend gebruik van de telefoon- en internettap, de opslag van verkeersgegevens omtrent internet- en telefoongebruik, de registratie en opslag van kentekengegevens (ANPR), de toepassing van gezichts- en gedragsherkenningssoftware bij het cameratoezicht, en de overige toepassingen van digitale opsporingsmethoden tot de verwerking (registratie, opslag en afgifte) van een immense hoeveelheid (persoons)gegevens. Op al deze terreinen is controle door de strafrechter onvolledig of zelfs nagenoeg afwezig.”

Het is mooi dat de PG van de Hoge Raad het bovenstaande allemaal observeert. Maar als zijn toezichtsclub zo’n drie jaar doet over één toezichtsrapport op één bijzondere opsporingsbevoegdheid, geeft dit rapport niet direct vertrouwen in effectief toezicht op deze (bredere) praktijk. Gelukkig wordt dat ook in het rapport erkent. Op p. 6 en 7 is namelijk te lezen:

“Volgens de Afdeling advisering van de Raad van State is structureel systeemtoezicht nodig op de rechtmatige uitoefening van opsporingsbevoegdheden waarbij gebruik wordt gemaakt van ICT in zaken die niet aan de strafrechter zijn voorgelegd” (…) “Structureel systeemtoezicht op de rechtmatige uitoefening van taken van het OM op het terrein van opsporingsbevoegdheden zal de PG-HR niet kunnen bieden. De PG-HR is wel in staat (en bereid) tot het bieden van aanvullend toezicht in de vorm van thematische, probleemgerichte onderzoeken”. (JJO: woorden zijn door mij dikgedrukt).

Overzicht cryptophone-operaties

Ongeveer vier jaar geleden, in november 2018, verscheen het eerste persbericht op OM.nl over het veiligstellen van berichten die zijn verstuurd met ‘cryptotelefoons’ (ook wel ‘PGP-telefoons’ genoemd).

De beschikbare informatie over cryptotelefoons heb ik in de volgende blogberichten hieronder op een rijtje gezet:

  1. Ennetcom (2016)
  2. PGP Safe (2017)
  3. Ironchat (2017)
  4. EncroChat (2020)
  5. Sky ECC (2020)
  6. ANOM (2021)

(Dit overzicht van 30 december 2021 is geüpdatet op 14 november 2022).

Waarom een overzicht?

Op 15 september 2022 zijn er al meer dan 400 uitspraken beschikbaar op rechtspraak.nl, waarin bewijs uit de cryptotelefoons een belangrijke rol speelt. In de media worden de cryptophone-berichten ook wel een ‘goudmijn aan bewijs’ genoemd en de gegevens vormen een game changer voor de politie. Strafrechtadvocaten trekken vaak de rechtmatigheid van de operaties in twijfel, maar vooralsnog lijkt de verdediging bot te vangen.

De operaties zijn blijkbaar bijzonder belangrijk voor de strafrechtpraktijk en toch is er relatief weinig bekend over de operaties. Ook geniet het nog vrij weinig aandacht van strafrechtwetenschappers.

De grote hoeveelheid jurisprudentie en onduidelijkheid over de ‘wat’, ‘wanneer’ en ‘hoe’-vragen vormde voor mij aanleiding een overzicht te maken (ook voor mijzelf voor toekomstige publicaties). Daarbij heb ik mij gebaseerd op persberichten van het OM, de politie en rechtspraak.

Wat en wanneer

  1. Ennetcom (2016)

Leverancier van cryptotelefoons met apps op een Blackberry telefoon. Oprichters van het bedrijf zijn uiteindelijk veroordeeld voor deelname aan een criminele organisatie, gewoontewitwassen en medeplegen van valsheid in geschrifte. Tijdens de operatie zijn 3,6 miljoen berichten veiliggesteld. De operatie werd bekend gemaakt op 9 maart 2017.

Leverancier van cryptotelefoons met apps op Android en Blackberry toestellen. Tijdens de operatie zijn 700.000 berichten veiliggesteld. De verdenking was aanvankelijk dat de verdachte zich tezamen met anderen als professionele facilitator van versleutelde communicatie schuldig zou hebben gemaakt aan overtreding van witwassen (art. 420bis Sr) en deelneming aan een criminele organisatie (art. 140 Sr). De verdachte wordt uiteindelijk alleen veroordeeld (ECLI:NL:RBROT:2022:363) voor valsheid in geschrifte en ‘begunstiging’. De operatie werd bekend gemaakt op 9 mei 2017.

Leverancier van Wileyfox-telefoons met Ironchat-app er op. Onderzoek gericht op de oprichters van het bedrijf (verdenkingen nog onduidelijk). Tijdens de operatie zijn 258.000 berichten veiliggesteld. De operatie werd bekend op 6 november 2018.

Leverancier van cryptotelefoons met EncroChat (en andere Encro) apps. Redelijk vermoeden dat Encro en de gebruikers zich in georganiseerd verband schuldig maakten aan o.a. witwassen en deelname aan criminele organisaties. Tijdens de operatie zijn 25 miljoen berichten veiliggesteld.  De operatie werd bekend gemaakt op 2 juli 2020.

Leverancier van cryptotelefoons met Sky ECC app. Sky ECC en de daaraan gelieerde (natuurlijke) personen verdacht van deelname aan een criminele organisatie en (gewoonte)witwassen.  Tijdens de operatie zijn honderden miljoenen berichten veiliggesteld.  De operatie werd bekend gemaakt op 9 maart 2021.

ANOM was een zogenoemde ‘store front’, oftewel een zelf opgezette communicatiedienst. De operatie stond onder leiding van de FBI en de Australische Federal Police met het doel om verdachten van criminele organisaties te identificeren. Tijdens de operatie zijn 27 miljoen berichten onderschept. De operatie ving al aan in 2019, maar werd pas na Sky ECC bekend op 8 juni 2021.

Hoe

1.      Ennetcom (2016)
Via een rechtshulpverzoek aan Canada, met machtiging van een Canadese rechter. NL grondslag: 125i Sv. Canadese rechter verbond voorwaarden aan verstrekking en gebruik van gegevens aan Nederlandse opsporingsinstanties.  

Zie ook: B.W. Schermer & J.J. Oerlemans, ‘AI, strafrecht en het recht op een eerlijk proces’, Computerrecht 2020/3 en Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (veroordeling oprichter Ennetcom). (HR uitspraak: HR 28 juni 2022, ECLI:NL:HR:2022:900 en blog).
 
2.      PGP Safe (2017)
Via een rechtshulpverzoek aan Costa Rica, met assistentie van Nederlandse politie. Machtiging voor bevel tot binnentreden, de doorzoeking en de beslaglegging afgegeven door het Gerecht in Strafzaken van het Eerste District San Jose. Aan de verstrekking van de veilig gestelde gegevens zijn geen beperkingen aan Nederland opgelegd.
 
3.      Ironchat (2017)
Gegevensvergaring via een Europees Opsporingsbevel aan het Verenigd Koninkrijk. Na eigen onderzoek vond verstrekking van een kopie van de server (een image) plaats. Grondslag strafvordering voor operatie vooralsnog onduidelijk.
 
4.      EncroChat (2020)
Via JIT en EOB’s. Franse autoriteiten verzamelden gegevens met inzet “interceptietool”.  Extra machtiging voor inzet hackbevoegdheid (126uba Sv) op verdachten met verdenking van betrokkenheid/beramen van het plegen van misdrijven in georganiseerd verband. Beperkingen en vereisten aan onderzoek opgelegd door Nederlandse rechter-commissaris in een machtiging voor het onderzoeken van gegevens van Nederlandse ingezetenen.

Zie ook: B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2.
 
5.      Sky ECC (2020)
Via JIT. Franse autoriteiten vergaren gegevens met inzet “interceptietool”. Door Nederlandse opsporingsambtenaren is technische expertise en/of bijstand geleverd met betrekking tot de ontwikkeling en plaatsing van de tool.

De in Frankrijk vergaarde informatie is aanvankelijk vrijwillig op basis van artikel 26 van het Cybercrimeverdrag gedeeld met het Nederlandse Openbaar Ministerie. Later zijn ook machtigingen Nederlandse rechter-commissaris verleend. De vorderingen en machtigingen zagen op de toepassing van de artikelen 126t lid 1 en 126t lid 6 Sv (onderzoek communicatie door middel van een geautomatiseerd werk bij georganiseerde criminaliteit) en later ook op aanvullende, ondersteunende vorderingen op de voet van artikel 126uba Sv (hackbevoegdheid bij verdenking betrokkenheid beramen/plegen misdrijven in georganiseerd verband).

6. ANOM (2021)

Door een ‘spontane eenzijdige verstrekking van informatie zonder een voorafgaand verzoek van de Nederlandse opsporingsdiensten’.

De Nederlandse opsporingsdiensten zouden niet betrokken zijn geweest bij de verkrijging van de gegevens. Wel heeft de Nederlandse software ontwikkeld waarmee de berichten konden worden geanalyseerd en geduid. Deze software is ook beschikbaar gesteld aan Europol, zodat deze dienst de gegevens kon analyseren en beschikbaar stellen aan andere landen.

Meer duidelijkheid over de ANOM-operatie

Op 8 juni 2021 traden verschillende politieorganisaties tegelijkertijd naar buiten met ‘Operation Trojan Shield’ (zie ook het Nederlandse persbericht van de Politie). In de internationale politie-operatie zijn ongeveer 27 miljoen berichten van de cryptocommunicatiedienst ANOM onderschept.

In het Nederlandse persbericht is verder te lezen dat met ANOM in minstens 45 verschillende talen werd gecommuniceerd over zaken als de handel in drugs, wapens, munitie en explosieven, ram- en plofkraken, gewapende overvallen en, niet in de laatste plaats, liquidaties. De meeste berichten waren in het Nederlands, Duits en Zweeds. Volgens deze ‘affidavit’ (gepubliceerd door VICE) waren de meeste ANOM-telefoons in gebruik in Duitsland, Nederland, Spanje, Australië en Servië.

In het persbericht van Europol is te lezen dat het in totaal ging om meer dan 12.000 apparaten die door meer dan 300 criminele organisaties werden gebruikt in meer dan 100 landen.

Landen waarin de cryptophones werden gebruikt. Bron: https://www.justice.gov/usao-sdca/pr/fbi-s-encrypted-phone-platform-infiltrated-hundreds-criminal-syndicates-result-massive

ANOM telefoons

Met de AN0M-app was het mogelijk tekstberichten, foto’s en berichten, notities te versturen. Voor de politie was het dus ook mogelijk dit alles te analyseren, omdat zij van alles een kopie maakten (zie verder bij de kop ‘Hoe?’).  Zogenaamde resellers en ANOM-beheerders konden nieuwe smartphones instellen, ANOM-smartphones buiten gebruik stellen en op afstand wissen. Met de cryptotelefoons was het niet mogelijk te bellen of e-mails te versturen.

In een uitspraak van de rechtbank Oost-Brabant van 10 november 2022 zijn meer details de te lezen (ECLI:NL:RBOBR:2022:4957). Toegang tot het netwerk was beschermd door een gebruikersnaam en een wachtwoord. Het vereiste ook dat de gebruiker verbinding maakte via een VPN-verbinding die alleen beschikbaar was voor diegenen die door de ‘ANOM-operator’ geautoriseerd waren.

De meest voorkomende modellen van ANOM-telefoons waren Google Pixel, Samsung Galaxy of Xiaomi. Op alle toestellen werd een versie van het Android-besturingssysteem gebruikt. De toestellen werden verkocht in combinatie met een verlengbaar abonnement (de kosten voor verlenging met 6 maanden waren bij benadering 1.000 dollar).  

De dienst werd geactiveerd via een app die oogde als een rekenmachine-app (en die ook als zodanig bruikbaar was). Dat kon door een wachtwoord in te voeren dat enkel geldig was op dat specifieke toestel. Naast de toegangs-PIN-code voor de app bestond er ook een “dwang-PIN-code” die een verwijdering van alle informatie vanuit de app in gang kon zetten. 

Toen het ANOM-netwerk op 8 juni 2021 door de FBI werd beëindigd waren er volgens de uitspraak van de rechtbank Oost-Brabant ongeveer 12.500 gebruikers. De Amerikaanse opsporingsdiensten konden data ontvangen en analyseren van 530 actieve, in Nederland gelokaliseerde, cryptotelefoons.

Nederlandse rol

De overheidsdiensten hebben de ANOM communicatiedienst zelf ontwikkeld en beheerd. De ‘Australian Federal Police’ (AFP) en de ‘Federal Bureau of Investigation’ (FBI) namen hierin het voortouw. Ook Nederland speelde een rol in de operatie.

In het Nederlandse persbericht is te lezen dat ‘binnen operatie Trojan Shield een prominente rol was weggelegd voor FBI, AFP, de Zweedse politie en de Landelijke Eenheid van de Nederlandse politie. Zij werkten nauw met elkaar samen. In totaal namen aan deze operatie 16 landen deel. Volgens Europol waren dit: Australië, Oostenrijk, Canada, Denemarken, Estland, Finland, Duitsland, Hongarije, Litouwen, Nieuw-Zeeland, Nederland, Noorwegen, Zweden, het Verenigd Koninkrijk, Schotland en de Verenigde Staten.

In het persbericht is te lezen dat:

“voor deze grootschalige operatie de Landelijke Eenheid innovatieve software ontwikkelde waarmee miljoenen berichten kunnen worden geanalyseerd en geduid. Deze software werd beschikbaar gesteld aan Europol, zodat deze dienst de data kon analyseren. De uitkomsten stelde Europol beschikbaar aan andere landen.”

In de eerste gepubliceerde rechtszaken zijn vragen gesteld over de Nederlandse rol. Daar is bijvoorbeeld in te lezen dat:

“Het OM heeft verklaard dat van enige betrokkenheid van Nederlandse opsporingsdiensten bij de verkrijging van de ANOM-data geen sprake is geweest en dat het OM niet is gebleken van enige aanwijzing dat deze niet rechtmatig zou zijn vergaard.”

Rb. Overijssel 9 juni 2022, ECLI:NL:RBOVE:2022:1767.

De door de Amerikaanse autoriteiten verstrekte informatie en de daaropvolgende datasets betroffen volgens het OM ‘een spontane eenzijdige verstrekking van informatie zonder een voorafgaand verzoek van de Nederlandse opsporingsdiensten’. In de rechtspraak wordt tot nu toe aangenomen dat Nederland de resultaten uit het onderzoek mag gebruiken, zonder opnieuw aan de regels in het Wetboek van Strafvordering te toetsten (op basis van het interstatelijk vertrouwensbeginsel). De Rechtbank Oost-Brabant overweegt bijvoorbeeld:

“dat de Nederlandse politie techniek ontwikkelt ten behoeve van analyse van datasets, maakt niet dat zij daarmee betrokken is bij de verkrijging van die data; met de verkrijging van die data heeft de Nederlandse politie niets van doen gehad. Die is aan ons verstrekt door de Amerikaanse autoriteiten, onder mededeling dat de informatie op rechtmatige wijze is verkregen en dat deze door de Nederlandse opsporingsdiensten in een strafrechtelijk onderzoek mag worden gebruikt”.

(Rb. Oost-Brabant 31 maart 2022, ECLI:NL:RBOBR:2022:1331).

De Hoge Raad heeft overigens onlangs op 8 november 2022 een bezwaar op uitlevering van een belangrijk distributeur van ANOM-communicatiemiddelen verworpen (ECLI:NL:HR:2022:1589, zie ook de Conclusie van AG Hofstee: ECLI:NL:PHR:2022:877). Volgens de Amerikanen was het gemeenschappelijk doel van de distributeurs van ANOM: i) het creëren, onderhouden, gebruiken en controleren van een methode van beveiligde communicatie, om zo de handel in verdovende middelen in Australië, Azië, Europa en Noord-Amerika te bevorderen, ii) het witwassen van de opbrengsten van deze drugshandel en iii) het dwarsbomen van wetshandhavingsonderzoeken door middel van een systeem waarbij op afstand bewijs van illegale activiteiten kon worden verwijderd uit de chat-app.

Hoe?

Het onderzoek begon nadat het cryptophone bedrijf ‘Phantom Secure’ (gevestigd in Canada) door de FBI werd ontmandeld in 2018. De FBI beschrijft de operatie Trojan Shield als volgt:

“Operation Trojan Shield is an Organized Crime Drug Enforcement Task Forces (OCDETF) investigation.  OCDETF identifies, disrupts, and dismantles the highest-level drug traffickers, money launderers, gangs, and transnational criminal organizations that threaten the United States by using a prosecutor-led, intelligence-driven, multi-agency approach that leverages the strengths of federal, state, and local law enforcement agencies against criminal networks.”

De FBI maakte tijdens de operatie gebruik van een eigen ontwikkelde app, genaamd ‘AN0M’. Deze werd geïnstalleerd op telefoons waarmee alleen de berichten konden worden verstuurd naar gebruikers met dezelfde app. Op de telefoon was een eigen ‘master key’ ter onsleuteling van de berichten aangebracht. De Australische politie bracht de telefoons in circulatie bij verdachten. De FBI maakte een kopie van elk bericht dat werd verstuurd met de telefoon op een server in een ‘derde land’ (buiten de Verenigde Staten). De gegevens werden daarna naar de FBI verstuurd met de toepassing van een rechtshulpverdrag (‘mutual legal assistance agreement’) vanaf 7 oktober 2019 tot en met 7 juni 2021.

Meer, ook technische, details zijn te lezen in randnummers 12-20 in de eerdergenoemde ‘affidavit’ over de operatie. Een opvallend detail bijvoorbeeld is dat de operatie was de ‘geofenced’; dat wil zeggen dat de FBI geen data bekeek van 15 ANOM telefoons in de Verenigde Staten. Ook is opvallend hoe wordt beschreven dat na de ontmanteling van Sky Global (van de Sky ECC telefoons) op 12 maart 2021 het gebruikersaantal steeg van 3000 actieve gebruikers naar 9000.

Het genoemde “derde land” in het persbericht en ‘affidavit’ zou overigens niet Nederland betreffen. De rechtbank Overijssel overweegt hierover in een zaak (ECLI:NL:RBOVE:2022:1767) dat:

“Wanneer zou blijken dat Nederland het eerdergenoemde “derde land” is, het mogelijk wel tot de taak van de strafrechter behoort om de rechtmatigheid van die informatievergaring en -verstrekking te toetsen volgens de bepalingen van het Nederlandse strafrecht.

Ter terechtzitting hebben de officieren van justitie niet de garantie kunnen geven dat Nederland niet het bedoelde derde land is.

Gelet hierop zal de rechtbank het openbaar ministerie opdragen te onderzoeken of Nederland het derde land is (waarin in het affidavit wordt gesproken) dan wel te garanderen dat Nederland niet het derde land is.”

Mijn Utrechtse collega’s hebben overigens een mooi artikel over de ANOM-operatie geschreven. De conclusie is als volgt: “In deze bijdrage nemen wij een voorschot op de discussie over de legaliteit van de opsporingshandelingen die in de feitenrechtspraak vermoedelijk los zal gaan barsten. Uit onze analyse blijkt dat geen evidente misstanden bestaan met betrekking tot de toetsing van de uitgevoerde opsporingshandelingen in het licht van het legaliteitsbeginsel.” Het hele artikel in Tijdschrift voor Bijzonder Strafrecht & Handhaving is in open access beschikbaar.

Resultaten

Politie.nl bericht dat op de dag van de onthulling van de operatie Nederland 49 verdachten zijn aangehouden. Daarnaast werden 25 drugslocaties (productie-, opslag- en tableerlocaties) opgerold en nam de politie onder andere grote hoeveelheden drugs, 8 vuurwapens en ruim 2,3 miljoen euro in beslag.

Europol vermeldt in een infographic de wereldwijde resultaten:

Bron: https://www.europol.europa.eu/media-press/newsroom/news/800-criminals-arrested-in-biggest-ever-law-enforcement-operation-against-encrypted-communication

De FBI sprak op 8 juni 2021 van meer dan 500 arrestaties wereldwijd, met doorzoekingen in meer dan 700 locaties waarbij meer dan 9000 politiemensen bij betrokken waren, waarvan 4000 uit Australië. Volgens de Australische politie konden veel verdachten worden gelinkt aan de Italiaanse mafia, criminele motorclubs, en georganiseerde misdaad uit Azië en Albanië. De operatie leidde daar tot de arrestatie van 224 verdachten. Inlichtingen uit de operatie leidde ook in 20 gevallen tot ingrepen in gevallen waarbij personen geliquideerd dreigden te worden.   

WODC-onderzoek ‘Strafvorderlijke gegevensverwerking’ gepubliceerd

Op 25 oktober 2022 is het WODC-onderzoek ‘Strafvorderlijke gegevensverwerking’ gepubliceerd (zie ook de .pdf naar het volledige rapport). Het onderzoek is in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie en Veiligheid uitgevoerd door Fedorova en anderen van de Radboud Universiteit. En full disclosure: ik zat samen met anderen in de begeleidingscommissie van het onderzoek. Dat wil zeggen dat ik advies en feedback heb gegeven op eerdere versies van het rapport.

Hieronder geef ik de kern van het rapport weer en ga ik wat uitgebreider op het onderdeel over toezicht op de huidige praktijk van gegevensverwerking door de politie in opsporingsonderzoeken. Dit laatste heeft mijn bijzondere interesse, omdat ik daar zelf ook onderzoek naar doe.

Inleiding

In het persbericht op wodc.nl wordt de huidige praktijk mooi beschreven:

Door inbeslagname of hacks van grote gegevensdragers heeft de politie steeds vaker toegang tot enorme hoeveelheden persoonsgegevens. Dit biedt kansen voor het digitale opsporingswerk en de vervolging van verdachten van zware misdrijven. Denk aan de miljoenen recent gekraakte (criminele) berichten van Ennetcom, EncroChat of Sky ECC.

Zeker in de huidige gedigitaliseerde maatschappij waarin steeds meer gegevens en geavanceerde data-analyse technologieën voorhanden zijn, heeft de politie steeds meer mogelijkheden om gegevens die reeds in de politiesystemen aanwezig zijn, met elkaar te combineren en zodoende een min of meer volledig beeld van iemands privéleven te krijgen. Daar komt bij dat politie ook steeds vaker grote datasets in handen krijgt waarin nadere zoekslagen kunnen worden uitgevoerd, zonder dat er op het moment van verkrijging reeds een op het individu of een groep toegesneden verdenking sprake hoeft te zijn.

Met name voor grote hoeveelheden, in bulk verkregen gegevens geldt doorgaans dat de gegevens op zichzelf niet zoveel zeggen, maar relevant worden wanneer de politie deze gegevens nader analyseert, visualiseert of in verband brengt met andere gegevens.

Daarmee verplaatst het zwaartepunt van de door de overheid gemaakte privacy-inbreuk van de vergaring van gegevens veeleer naar de (verdere) verwerking van die gegevens. Het verkrijgen van bulkgegevens is volgens de onderzoekers vanuit het recht op privacygevoeliger dan het verkrijgen van gegevens die wel te relateren zijn aan een of meer personen die reeds onderwerp van onderzoek zijn.

Onderzoeksvragen

Uit het onderzoek blijkt dat in het Wetboek van Strafvordering vooral aandacht is voor de inzet van digitale opsporingsbevoegdheden: in welke gevallen, voor welke doelen en met toestemming van welke autoriteit mogen persoonsgegevens worden verzameld? Dat geldt zowel voor het huidige Wetboek van Strafvordering als voor (de plannen voor de) modernisering van het Wetboek van Strafvordering. Aan het verdere gebruik van die gegevens wordt in dat wetgevingstraject veel minder aandacht besteed, terwijl de politie juist door het verdere gebruik een (nieuwe) inbreuk op de privacy van burgers kan maken.

De onderzoekers hebben onderzocht hoe de Wet politiegegevens (Wpg) zich onder andere verhoudt tot het Wetboek van Strafvordering. Ook is nagegaan of het huidige kader wel voldoet aan de eisen die het Europese recht stelt en hebben ze naar het toezicht op de nieuwe politiepraktijk gekeken.

Normering

In de plannen inzake de modernisering van het Wetboek van Strafvordering wordt strikt onderscheid gemaakt tussen enerzijds de normering van de vergaring van gegevens langs de weg van het uitoefenen van strafvorderlijke bevoegdheden en anderzijds de verdere verwerking van gegevens. Plannen voor wijziging van de Wet politiegegevens zijn volgens de onderzoekers overigens op de lange baan geschoven (“Op korte termijn komt er geen nieuwe gegevensverwerkingswet”).

Volgens de onderzoekers valt de keuze in toekomstplannen van het moderniseringsproject Strafvordering om het onderscheid vergaren-verwerking strikt door te voeren, “in ieder geval niet goed te verdedigen”. Zij stellen voor om verwerkingshandelingen die zijn gericht op kennisvermeerdering en een strafvorderlijk doel dienen, in het Wetboek van Strafvordering onder de aandacht te brengen aldaar nader te normeren:

“Te veel normen die voor de uitoefening van digitale opsporingsbevoegdheden van belang zijn, – zoals doelspecificatie, verenigbaar gebruik, verwijdering en transparantie verplichtingen – zijn vooralsnog niet in het gemoderniseerde Sv terecht gekomen, terwijl ze wel van belang voor de opsporing.”

Ook pleiten de onderzoekers voor meer specifieke regels voor strafvorderlijk onderzoek aan bulkgegevens. Daarbij denken zij aan ‘nadere waarborgen in de vorm van een verzwaarde noodzakelijkheidstoets en een relevantietoets door analisten die niet bij het opsporingsonderzoek zijn betrokken’.

Toezicht

De onderzoekers schrijven – ook naar aanleiding van hun analyse van rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM) en het Hof van Justitie (HvJ EU) – dat meer nadruk komt te liggen op (effectief) toezicht bij de ‘verdere verwerking van gegevens’. Ik verwijs en citeer hierbij graag uit paragraaf 6.3.4 uit het rapport:

Het probleem

Het probleem is dat in de huidige toezichtspraktijk door de strafrechter (in rechtszaken) en door de Autoriteit Persoonsgegevens “doorgaans niet (mijn cursivering) uitvoerig wordt gecontroleerd of de Wpg en de daarin vervatte gegevensbeschermingsrechtelijke beginselen zijn nageleefd, nu dergelijke schendingen toch vaak niet tot rechtsgevolg hoeven te leiden. Voorts wordt ook aangenomen dat het niet tot de taak van de strafrechter behoort om de opsporing te controleren. De Autoriteit Persoonsgegevens lijkt deze rol ook niet voor haar rekening te willen nemen, nu deze autoriteit vooral systeemtoezicht houdt en niet op concrete zaken. Het gegevensbeschermingrecht is bovendien niet het enige gezichtspunt dat relevant is bij de normering van de verwerking van gegevens voor strafvorderlijke doeleinden.”

“Door het houden van toezicht wordt niet alleen de norm bevestigd (en eventueel afgedwongen), maar kan de norm – daar waar nodig – nader wordt uitgelegd. (…) In de kern is het probleem dat weliswaar verschillende onafhankelijke en niet-onafhankelijke toezichtsorganen toezicht kunnen houden op de verwerking van gegevens voor strafvorderlijke doeleinden, maar dat vanwege de taakopvatting en verschillende capaciteitsoverwegingen niet daadwerkelijk van effectief toezicht kan worden gesproken. Bij het nadenken over nieuwe systemen of andere inhoudelijk normering, kan een andere reflectie op het toezicht dus niet achterwege blijven.”

De aanbeveling: een nieuwe gespecialiseerde onafhankelijke toezichthouder

“Het verdient aanbeveling een toezichthouder in het leven te roepen die specifiek toezicht kan houden op de verwerking van gegevens voor strafvorderlijke doeleinden. Ook kan een gespecialiseerd toezichthouder voor een breder publiek inzichtelijk maken waar de vragen en dilemma’s liggen zodat daarover een breder maatschappelijke of politieke discussie kan plaatsvinden.”

De onderzoekers identificeren daarvoor twee opties. De eerste optie is een gespecialiseerde toezichthouders voor de gegevensverwerking door de opsporingsautoriteiten in het leven te roepen. De tweede optie is dat: ‘het toezicht binnen het strafvorderlijk kader wordt versterkt door naast het huidige AP en de strafrechter, een toezichthoudend orgaan op te richten naar het voorbeeld van de CTIVD dat toezicht uitoefent op het optreden van de inlichtingen- en veiligheidsdiensten. De CTIVD oefent immers toezicht uit zowel tijdens de uitoefenen van de bevoegdheden als achteraf. Over dit toezicht brengt de CTIVD verslag uit in openbare rapporten.’

“Het voordeel van het in het leven roepen van een met de CTIVD vergelijkbaar orgaan boven een specialistisch gegevensbeschermingsautoriteit, is dat de eerste een bredere taakopdracht kan worden toebedeeld binnen het strafvorderlijk kader, een taak die verder gaat dan die van een waakhondfunctie. Daardoor kan dit toezichthoudende orgaan ook een belangrijke rol vervullen op het gebied van normprecisiering. Dit orgaan zou wat ons betreft bovendien als klankbord kunnen fungeren bij vragen van de politie over de verwerking van gegevens gedurende de opsporing. Zo kan ook buiten de rechter om worden geborgd dat fundamentele rechten voldoende zijn beschermd alsmede dat de opsporing werkbaar blijft.”

En tot slot: over “goed toezicht”

“Goed toezicht wil echter niet zeggen dat elke (verwerkings)handeling vooraf gefiatteerd of achteraf bekeken moet worden; er zijn andere manieren om de vereiste volledigheid van toezicht te realiseren. Waar het momenteel vooral aan lijkt te ontbreken is een onafhankelijk toezichthouder die real-time mee kan kijken bij de uitoefening van digitale opsporingsbevoegdheden en waar nodig kan interfereren (en dat ook doet). Nu wordt bij onderzoek aan bulkgegevens op ad hoc basis de rechter-commissaris betrokken, maar dat lijkt niet een erg effectieve vorm van toezicht of gegevensbescherming te zijn. Immers, vaak is vooraf nog niet precies duidelijk wat men gaat tegenkomen in de bulk van gegevens. In het kader van de Wiv 2017 en de plannen tot hervorming van die regeling, denkt men momenteel na hoe een dergelijk vorm van toezicht gestalte kan krijgen.”

“De trend naar meer ex durante en ex post toezicht is ook in de jurisprudentie van het EHRM te zien, ook al formuleert het EHRM weinig harde eisen. Dat laat onverlet dat er alle aanleiding is om het stelsel van toezicht zoals we dat in Nederland kennen, te verstevigen. Op deze manier kan aan zorgen van burgers tegemoet worden gekomen en kunnen de belangen van de verdachte voldoende worden gewaarborgd.”

Bron: M.I. Fedorova e.a., ‘Strafvorderlijke gegevensverwerking. Een verkennende studie naar de relevante gezichtspunten bij de normering van het verwerken van persoonsgegevens voor strafvorderlijke doeleinden’, Den Haag: WODC / Nijmegen: Radboud University Press 2022.

Evaluatierapport: ‘De hackbevoegdheid in de praktijk’

Op 16 september 2022 is de WODC-evaluatie de ‘De hackbevoegdheid in de praktijk’ gepubliceerd (.pdf). Het omvangrijke rapport (215 blz.) staat vol met interessante informatie over de inzet van de hackbevoegdheid (art. 126nba Sv) door de Nederlandse politie. Het betreft vooral een beschrijvend evaluatierapport; de auteurs trekken wel conclusies n.a.v. bevindingen, maar waardeoordelen of oplossingen voor de geconstateerde problemen blijven grotendeels uit. En full disclosure natuurlijk: ik heb zitting gehad in de begeleidingscommissie van het rapport en eerdere versies van het rapport becommentarieerd.

De minister van Justitie geeft pas in het voorjaar van 2023 een inhoudelijke reactie op het rapport, omdat er ook nog een ander (langverwacht) onderzoek verschijnt van de Procureur-Generaal bij de Hoge Raad “in het kader van het hem toekomende toezicht op het Openbaar Ministerie”. Enkele opvallende conclusies uit het rapport zet ik hier onder op een rijtje.

Inzet

Uniek aan dit rapport zijn de cijfers over de inzet van de hackbevoegdheid, afgesplitst tegen het type geautomatiseerd werk (30 van de 38 geautomatiseerde werken waarop de bevoegdheid is ingezet betreft een telefoon (!)) en het type misdrijf waarvoor het wordt ingezet (zie p. 86 en p. 88).

De auteurs van het rapport zeggen over de inzet op het type delicten het volgende:

“De naam computercriminaliteit suggereert wellicht dat de hackbevoegdheid vooral wordt ingezet voor cybercriminaliteit in enge zin. Bovenstaand overzicht laat echter zien dat het overgrote deel van de inzetten betrekking had op opsporingsonderzoeken naar zware vormen van meer traditionele criminaliteit, zowel wat betreft de proportionaliteit (feiten waarvoor een substantiële gevangenisstraf kan worden opgelegd en die de rechtsorde schaden) als wat betreft de subsidiariteit (andere bijzondere opsporingsbevoegdheden hebben weinig opgeleverd).”

In het onderzoek naar cybercriminaliteit in enge zin ging het volgens het rapport om ‘het ontoegankelijk maken van een botnet’. Volgens mij is maar één zaak daarover afgelopen jaren in de publiciteit geweest en dat was de ontoegankelijkheidmaking van het Emotet-botnet dat volgens dit persbericht 1 miljoen slachtoffers wereldwijd maakte. Luister ook deze podcast van Europol over de zaak (vond ‘m zelf wat tegenvallen overigens).

Binnen een groot deel van de onderzoeken waarbinnen het speciale team ‘Digit’ een inzet heeft gedaan (8 van de 25) was sprake van een misdrijf binnen de Opiumwet, al dan niet in combinatie met andere delicten zoals witwassen, omkoping en misdrijven gerelateerd aan de Wet Wapens en Munitie. Ten slotte betrof moord of doodslag een aanzienlijk deel (8 van de 25) van de delicten waarnaar een tactisch team van de politie onderzoek deed.  

Ondanks dat de hackbevoegdheid in 26 opsporingsonderzoeken is ingezet tussen maart 2019 tot en met maart 2021, zijn er nog geen uitspraken gepubliceerd waar de inzet van de hackbevoegdheid ter sprake komt. Volgens de auteurs zal dat ‘bij een deel ook nooit gebeuren’. Overigens geeft team Digit aan behoefte te hebben aan een steunbevoegdheid, zodat ze bijvoorbeeld ook fysiek een woning mogen binnendringen om vervolgens de hackbevoegdheid in te zetten.

Commerciële middelen

Volgens team Digit is het noodzakelijk gebruik te maken van binnendringsoftware van commerciële leveranciers. De informatie over de leverancier is vertrouwelijk en is daarom niet gedeeld met de auteurs van het rapport. De ‘ontwikkeling van eigen hulpmiddelen (en ze vooraf goedgekeurd krijgen) is nauwelijks haalbaar gebleken in de praktijk in verband met de tijd die het kost om een volledig goedgekeurd middel te ontwikkelen’.

De auteurs identificeren drie redenen voor de inzet van commerciële middelen. Ten eerste is er volgens team Digit veel kennis en mankracht nodig om de beveiliging van computers die worden gehackt te doorbreken. In het Regeerakkoord is destijds 10 miljoen euro beschikbaar gesteld, onder andere om Digit zelf producten te laten ontwikkelen. Ook met dat extra bedrag is het volgens sommige geïnterviewden niet realistisch om de samenwerking met commerciële leveranciers volledig los te laten. Niet alleen omdat veel extra personeel moet worden aangenomen, maar ook omdat de kennisachterstand inmiddels zo groot zou zijn dat het kennisniveau van leveranciers niet geëvenaard kan worden.

Het tweede argument is dat leveranciers ook het onderhoud van hun product voor hun rekening nemen. Bij de aanschaf van een product sluit Digit een onderhoudscontract af, zodat de continue werking ervan zo veel mogelijk gewaarborgd kan blijven.

Het derde argument heeft te maken met de meldplicht. Hierover zeggen de auteurs: ‘mocht het mogelijk zijn voor Digit om een zelf gevonden onbekende kwetsbaarheid gebruiksklaar te maken, eerder is gebleken dat dit vooral vanwege de technische complexiteit een zo goed als hypothetische situatie is, dan vormt de meldplicht een belemmering. Het zelf vinden van een kwetsbaarheid betekent dat deze gemeld moet worden en dat de kwetsbaarheid, waarin veel energie gestoken is om die gebruiksklaar te maken, voor één of hooguit twee zaken kan worden gebruikt’.

Melding onbekende kwetsbaarheden

De melding van het gebruik van onbekende kwetsbaarheden verloopt niet bepaald soepel. De geïnterviewden wijzen er op dat artikel 126ffa Sv m.b.t. de meldplicht géén onderscheid maakt tussen de geautomatiseerde werken waarin de onbekende kwetsbaarheid gevonden wordt. Dat betekent “dat een kwetsbaarheid in een computersysteem dat geproduceerd is door en voor personen met criminele intenties hetzelfde behandeld moet worden als een kwetsbaarheid in een geautomatiseerd werk dat in gebruik is bij een groot deel van de Nederlandse burgers of in een geautomatiseerd werk binnen de ‘kritieke infrastructuur’.” Dat is een knelpunt voor de opsporingsprakrijk, omdat personen met criminele intenties uiteindelijk op de hoogte moeten worden gebracht dat in hun systeem zich een kwetsbaarheid bevindt. Het is volgens de respondenten ‘de vraag of dat werd bedoeld met het veiliger maken van computersystemen en het internet, een belangrijke reden waarom de meldplicht er is gekomen’.

Een tweede punt van kritiek is dat de meldplicht samenwerking met andere partijen bemoeilijkt, zowel internationaal als nationaal. Volgens enkele geïnterviewden bevindt Nederland zich in een uitzonderingspositie wat betreft de meldplicht.

Persoonlijk begrijp ik het goed dat de opsporingspraktijk geen melding wil doen aan een maker van hardware of software dat vooral door criminelen kan worden gebruikt. Maar de melding kan ook worden uitgesteld. In het rapport is te lezen dat (slechts) één keer een verzoek is gedaan een melding uit te stellen (en verder blijkbaar geen melding is gedaan). In het rapport wordt uitgelegd dat ze niet kunnen nagaan of de commerciële leverancier van onbekende kwetsbaarheden gebruik maakt en “omdat de onbekende kwetsbaarheden onbekend zijn bij Digit, geldt voor deze kwetsbaarheden niet de eerder besproken meldplicht”. Ik vond p. 95-107 over deze (controversiële) praktijk heel lezenswaardig.

Toezicht

Een groot deel van het rapport gaat over het toezicht (of eigenlijk met name over de problemen die praktijk ervaart met het toezicht) door de Inspectie Justitie & Veiligheid en de Keuringsdienst. Overigens lijkt de Inspectie zeer intensief toezicht te houden en de Keuringsdienst nogal ‘understaffed’ te zijn voor toezicht op de hackbevoegdheid en de technische middelen die daarvoor worden ingezet.

Hieronder volgen de (voor mij) belangrijkste conclusies over toezicht uit het rapport:

  • De reikwijdte van het toezicht van de Inspectie is op dit moment onderwerp van gesprek, vooral ten aanzien van het handelen van het Openbaar Ministerie. Uit het rapport blijkt ook dat er onenigheid bestaat over definitiekwesties.
  • Digit is met een deel van de door de Inspectie geconstateerde punten aan de slag gegaan, maar zegt ook met een deel ervan niets te zullen kunnen doen, omdat het Besluit op een aantal punten niet goed uitvoerbaar zou zijn.
  • De reactie van de minister op de Verslagen van de Inspectie werkt bij de Inspectie op sommige punten verbazing, omdat daaruit blijkt dat aan haar constateringen niet altijd gevolgtrekkingen worden verbonden.
  • Digit-OM heeft besloten dat de aard van een gebruikt commercieel middel zich verzet tegen een keuring. Het middel zal op basis van het Besluit en de geformuleerde keuringseisen (hoogstwaarschijnlijk) ook niet goedgekeurd kunnen worden. Wel neemt team Digit (en het tactisch team) maatregelen in het kader van aanvullende tactische en technische waarborgen bij middelen die niet (goed)gekeurd zijn.

In het rapport staat eufemistisch dat het toezicht ‘niet zonder discussie’ verloopt en ‘de verhouding lijkt enigszins stroever geworden te zijn’. Persoonlijk weet ik (nog) niet zo goed wat ik hier allemaal van moet denken. Blijkbaar is de discussie vastgelopen en komen de betrokken partijen niet voldoende tot elkaar. Uiteindelijk gaat het erom dat de waarborgen die wet stelt zo goed mogelijk worden nagekomen en de bevoegdheid daadwerkelijk kan worden uitgevoerd waar noodzakelijk, maar blijkbaar zijn sommige bepalingen voor de praktijk onuitvoerbaar.

De auteurs van het rapport merken – volgens mij terecht – op:

Daarom zou het goed zijn om met alle betrokken actoren gezamenlijk te kijken op welke manieren het beste een oordeel kan worden gegeven of gegevens op een betrouwbare, integere en herleidbare manier verzameld kunnen worden, ook wanneer gebruik wordt gemaakt van commerciële middelen. Het verzamelen van betrouwbare gegevens is per slot van rekening een belang dat alle actoren met elkaar delen.”

Maar suggesties voor concrete oplossingen ontbreken daarbij. Andere punten zoals het regelen van een steunbevoegdheid en eventueel m.b.t. de melding kan de wetgever oplossen. Kortom, er lijken genoeg belangrijke conclusies uit het rapport om op te pakken en waar de wetgever een rol in kan spelen. In dat opzicht vind ik het jammer dat zo laat een reactie van de minister volgt.

Cybercrime jurisprudentieoverzicht september 2022

Meer details bekend over SkyECC operatie

In de afgelopen maanden is er meer duidelijkheid gekomen over de SkyECC-operatie door jurisprudentie en gepubliceerde beslissingen van rechtbanken op onderzoekswensen van de verdediging.

SkyECC is een chatapplicatie waarmee gebruikers op versleutelde wijze met elkaar kunnen communiceren. Met de app was het mogelijk berichten, foto’s en audioberichten uit te wisselen. Bellen is met een ‘Skytelefoon’ niet mogelijk. De app werd aangeboden door het bedrijf ‘Sky Global’ en deze installeerde de versleutelingssoftware op iPhones, Google Pixels, Blackberry’s en Nokia’s.

Op 1 november 2019 is het strafrechtelijk onderzoek ‘Werl’ gestart, dat zich richt op de rechtspersoon Sky Global en de bestuurders en/of werknemers daarvan wegens verdenking van deelneming aan criminele organisatie en (gewoonte)witwassen. In die periode zijn ook in Frankrijk en België strafrechtelijke onderzoeken tegen de aanbieder gestart. De Franse autoriteiten hebben in hun onderzoek een ‘interceptietool’ ingezet, waarvoor een Franse onderzoeksrechter een machtiging heeft verleend. Met de inzet van deze ‘interceptietool’ zijn vanaf medio juni 2019 data van de toestellen van SkyECC verzameld. Vanaf de start van het onderzoek Werl hebben de Franse autoriteiten de onderzoeksbevindingen die zij hebben verkregen met de inzet van de interceptietool gedeeld met het Nederlandse onderzoeksteam.

Op 11 december 2019 startte in Nederland het onderzoek ‘26Argus’, dat zich richt op de criminele samenwerkingsverbanden van de NN-gebruikers van SkyECC. Het had onder meer tot doel ‘het aan de hand van de inhoudelijke data in beeld brengen en analyseren van de criminele samenwerkingsverbanden die gebruikmaken van cryptotelefoons van SkyECC’.

Na de uitvoering van de EOB’s is Frankrijk een onderzoek gestart naar het bedrijf SkyECC. Op 17 december 2020 heeft een Franse rechter in het Franse onderzoek naar SkyECC, op aanvraag van het Franse Openbaar Ministerie, toestemming gegeven voor het gebruik van een interceptiemiddel op een server van SkyECC in Frankrijk. Vervolgens is, met toestemming van de Franse rechter, een interceptietool met de mogelijkheid tot het ontsleutelen van het berichtenverkeer geplaatst op de SkyECC-servers. Het Nederlandse Openbaar Ministerie noemt daarbij in een uitspraak dat daarbij een ‘man-in-the-middle’ MITM-techniek is gebruikt, waarbij een server (door de Fransen) is overgenomen. “De genoemde interceptietool is door Nederlandse rechercheurs en technici ontwikkeld”, aldus de rechtbank Amsterdam. De verkregen data zijn vervolgens door Frankrijk gedeeld met Nederland en België. Nederland, België en Frankrijk hebben een JIT-overeenkomst gesloten waarbinnen de verkregen data onderling konden worden gedeeld.

Over de inzet van het door Nederland ontwikkelde interceptietool zijn rechtbanken in de SkyECC tot nu toe eensgezind. Het wordt gezien als een Frans onderzoek, op Frans grondgebied, met toepassing van Franse rechterlijke machtigingen. De verantwoordelijkheid voor het opsporingsonderzoek ligt daarom bij de Franse autoriteiten (zie bijvoorbeeld de rechtbank Den Haag (ECLI:NL:RBDHA:2022:4585 en ECLI:NL:RBDHA:2022:6764 en de rechtbank Amsterdam (ECLI:NL:RBAMS:2022:4257).

Op 11 december 2020 is een nieuw Nederlands onderzoek gestart, gericht op de onbekende gebruikers van de diensten van SkyECC. Dit onderzoek was een voortzetting van eerder onderzoek. Net als bij EncroChat zijn er ook machtigingen door een Nederlandse rechter-commissaris afgegeven voor de SkyECC operatie. Op 15 december 2020 heeft een Nederlandse rechter-commissaris een machtiging afgegeven op grond van artikel 126t en 126t, zesde lid Sv voor het opnemen en ontsleutelen van de communicatie gevoerd door de Nederlandse NN-gebruikers van SkyECC. Daarbij zijn zeven voorwaarden geformuleerd, die onder meer zien op de zoeksleutels waarmee de ontsleutelde gegevens mogen worden doorzocht, die recht doen aan het verschoningsrecht van geheimhouders en die zien op de verifieerbaarheid en reproduceerbaarheid van de gegevens die voor het betreffende onderzoek beschikbaar zijn gesteld.

Verder heeft een Nederlandse rechter-commissaris ook op 7 februari 2021 een machtiging verleend op grond van artikel 126uba Sv tot binnendringen in het communicatienetwerk van SkyECC. De daaraan gekoppelde mobiele telefoons van NN-gebruikers maken volgens de machtiging ook deel uit van het netwerk. In deze machtiging is overwogen dat het binnendringen in het geautomatiseerde werk ondersteunend is aan de uitvoering van een machtiging op grond van artikel 126t Sv.

Afwijkende benadering Rb. Noord-Holland inzake EncroChat operatie

De rechtbank Noord-Holland heeft op 4 mei 2022 een opvallende uitspraak (ECLI:NL:RBNHO:2022:3845) gedaan over de samenwerking met Frankrijk in de EncroChat operatie. In veel strafzaken waar cryptophones een rol spelen verwijst de rechtbank naar het interstatelijk vertrouwensbeginsel en toetst vervolgens niet het handelen van de Franse Gendarmerie in de operatie. De rechtbank Noord-Holland baseert haar oordeel echter op het (Europese) beginsel van wederzijds vertrouwen dat ten grondslag ligt aan deze samenwerking. Dat moet volgens de rechtbank het vertrekpunt vormen bij de beoordeling van de rechtmatigheid van het opsporingsonderzoek.

De rechtbank overweegt eerst dat onderzoek ‘26Lemont’ was mede gericht op de NN-gebruikers van telefoontoestellen voorzien van de applicatie EncroChat. Deze gebruikers, van wie de namen niet of nog niet bekend waren, werden door de officier van justitie in de fase van de aanvraag van de machtiging ex art. 126uba Sv als verdachten aangemerkt. En de officier van justitie beoogde van de rechter-commissaris een machtiging te verkrijgen om binnen te dringen (ook wel aangeduid als “hacken”) in de telefoontoestellen van die individuele gebruikers en om het berichtenverkeer dat plaatsvond via die toestellen te onderscheppen en vast te leggen (door vermelding van art. 126t Sv als grondslag). De rechtbank ziet onderzoek 26Lemont dan ook als voorbereidend onderzoek in de zin van artikel 359a Sv. Dit brengt volgens de rechtbank mee dat ‘het materiële interstatelijke vertrouwensbeginsel zoals dat de officier van justitie in deze zaak voor ogen staat in strikte zin niet van toepassing is’. De rechtbank overweegt daartoe allereerst dat er sprake is geweest van een sterke verwevenheid van de opsporingsactiviteiten in Frankrijk en Nederland. Er is binnengedrongen in de server van EncroChat die in Frankrijk was gestationeerd maar ook op telefoontoestellen van gebruikers in Nederland.

Volgens de rechtbank werkt Nederland samen met Frankrijk in een JIT, waar die verwevenheid van opsporingshandelingen ook wordt voorondersteld. In lijn met die verdragsregels is door de bevoegde autoriteiten aan de Franse rechter gevraagd om toestemming te verlenen voor opsporing op Frans grondgebied, te weten het binnendringen in de server van EncroChat. Deze heeft zijn beslissingen gegeven in de context van een rechtsstelsel dat als geheel het vertrouwen van de lidstaten geniet.

In aansluiting daarop heeft de rechter-commissaris een machtiging gegeven voor alle opsporingsactiviteiten die in het kader van het JIT op Nederlands grondgebied zijn uitgevoerd. Dat is in overeenstemming met de, aan de EU-rechtshulpovereenkomst ontleende, vereisten van art. 5.2.2 Sv. Volgens de rechtbank is gehandeld in overeenstemming met de EU-regeling voor samenwerking in JIT-verband en de daarop gebaseerde Nederlandse wetgeving. In samenspel met de beschikking van de rechter-commissaris in de Nederlandse rechtsorde is een rechtsbasis verschaft aan het binnendringen in de telefoons van NN-gebruikers. De daaraan voorafgaande hack op de server van EncroChat heeft zijn legitimatie in de beslissingen van de Franse rechter en de daarvoor gegeven motivering. Om die reden is er geen sprake van vormverzuimen en worden alle verweren strekkend tot toepassing van het sanctie-instrumentarium van artikel 359a Sv verworpen.

Zoals ik vaker heb gesignaleerd, stellen andere rechtbanken en gerechtshoven dat de machtiging van de rechter-commissaris moet worden gezien als een “extra machtiging” en de machtigingen die in Frankrijk zijn verstrekt feitelijk zien op de opsporingshandelingen in Frankrijk. Met een beroep op het interstatelijk vertrouwensbeginsel worden verweren die zien op de vormverzuimen met betrekking tot de operatie in Frankrijk doorgaans verworpen.

De verdachte wordt overigens veroordeeld voor 12 jaar gevangenisstraf voor de invoer van 400 kilo cocaïne, het medeplegen van het runnen van een methamfetamine-lab, de dumping van het afval, de groothandel in ketamine en deelneming aan een criminele organisatie.

Hof Den Haag: ‘website’ niet voldoende omschreven als ‘geautomatiseerd werk’

Op 23 augustus 2022 heeft het Hof Den Haag een verdachte vrijgesproken (ECLI:NL:GHDHA:2022:1551) van computervredebreuk. De verdachte werd door het Openbaar Ministerie het inbreken op een website en vervolgens overnemen van gegevens voor zichzelf verweten.

Op Twitter leidde het arrest tot enige consternatie onder ICT-ers, omdat het evident zou moeten zijn dat een ‘website’ een ‘geautomatiseerd is’. Het Hof overweegt dat ‘nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert, op grond van het voorgaande voldoende aanleiding bestaat om een website niet aan te merken als geautomatiseerd werk. Zulks is in overeenstemming met het (onherroepelijke) arrest van dit hof van 22 september 2020 (ECLI:NL:GHDHA:2020:2005) waarin het ging om een Facebook-account’.

Het Hof Den Haag herhaalt in het arrest in feite staande jurisprudentie dat in de tenlastelegging moet worden uitgelegd waarom een website als een geautomatiseerd werk kwalificeert in de zin van artikel 80sexies Sr betreft (‘onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken’). Nu deze uitleg ontbreekt wordt de verdachte vrijgesproken.

Inloggen in een WhatsApp en Google-account

Op 6 mei 2022 is een opmerkelijke beschikking van een rechter-commissaris gepubliceerd (ECLI:NL:RBDHA:2022:4288) over het inloggen op een WhatsApp- en Google-account van een overleden persoon (het slachtoffer van een misdrijf). Zoals vaker is voorgekomen geeft de rechter-commissaris dan het bevel af aan een opsporingsambtenaar om zich toegang te verschaffen tot de accounts op grond van art. 181 jo 177 Sv, met analoge toepassing van art. 126ng Sv.

In de beschikking overweegt de rechter-commissaris waarom er géén sprake is van binnendringen in een geautomatiseerd werk als bedoeld in art. 126nba Sv (de ‘hackbevoegdheid’). De officier van justitie heeft in de vordering betoogd dat art. 126nba Sv niet van toepassing is, omdat wordt ingelogd “op een normale wijze, zonder kunstgrepen, met toestemming van de nabestaande, welke doorgaans ook door een provider in staat wordt gesteld om een duplicaat simkaart aan te vragen als iemand overlijdt”.

De rechter-commissaris overweegt echter dat de handelingen van de opsporingsambtenaar vergelijkbaar zouden zijn met een rechtmatige gebruiker, zoals het terugzetten van een back-up, zoals bij WhatsApp of het invullen van een beveiligingsvraag of de procedure van ‘wachtwoord vergeten’. Blijkbaar is de rechter-commissaris niet goed op de hoogte dat ook niet rechtmatige gebruikers (hackers) deze technieken gebruiken om computervredebreuk (art. 138ab Sr) te plegen.