Evaluatierapport: ‘De hackbevoegdheid in de praktijk’

Op 16 september 2022 is de WODC-evaluatie de ‘De hackbevoegdheid in de praktijk’ gepubliceerd (.pdf). Het omvangrijke rapport (215 blz.) staat vol met interessante informatie over de inzet van de hackbevoegdheid (art. 126nba Sv) door de Nederlandse politie. Het betreft vooral een beschrijvend evaluatierapport; de auteurs trekken wel conclusies n.a.v. bevindingen, maar waardeoordelen of oplossingen voor de geconstateerde problemen blijven grotendeels uit. En full disclosure natuurlijk: ik heb zitting gehad in de begeleidingscommissie van het rapport en eerdere versies van het rapport becommentarieerd.

De minister van Justitie geeft pas in het voorjaar van 2023 een inhoudelijke reactie op het rapport, omdat er ook nog een ander (langverwacht) onderzoek verschijnt van de Procureur-Generaal bij de Hoge Raad “in het kader van het hem toekomende toezicht op het Openbaar Ministerie”. Enkele opvallende conclusies uit het rapport zet ik hier onder op een rijtje.

Inzet

Uniek aan dit rapport zijn de cijfers over de inzet van de hackbevoegdheid, afgesplitst tegen het type geautomatiseerd werk (30 van de 38 geautomatiseerde werken waarop de bevoegdheid is ingezet betreft een telefoon (!)) en het type misdrijf waarvoor het wordt ingezet (zie p. 86 en p. 88).

De auteurs van het rapport zeggen over de inzet op het type delicten het volgende:

“De naam computercriminaliteit suggereert wellicht dat de hackbevoegdheid vooral wordt ingezet voor cybercriminaliteit in enge zin. Bovenstaand overzicht laat echter zien dat het overgrote deel van de inzetten betrekking had op opsporingsonderzoeken naar zware vormen van meer traditionele criminaliteit, zowel wat betreft de proportionaliteit (feiten waarvoor een substantiële gevangenisstraf kan worden opgelegd en die de rechtsorde schaden) als wat betreft de subsidiariteit (andere bijzondere opsporingsbevoegdheden hebben weinig opgeleverd).”

In het onderzoek naar cybercriminaliteit in enge zin ging het volgens het rapport om ‘het ontoegankelijk maken van een botnet’. Volgens mij is maar één zaak daarover afgelopen jaren in de publiciteit geweest en dat was de ontoegankelijkheidmaking van het Emotet-botnet dat volgens dit persbericht 1 miljoen slachtoffers wereldwijd maakte. Luister ook deze podcast van Europol over de zaak (vond ‘m zelf wat tegenvallen overigens).

Binnen een groot deel van de onderzoeken waarbinnen het speciale team ‘Digit’ een inzet heeft gedaan (8 van de 25) was sprake van een misdrijf binnen de Opiumwet, al dan niet in combinatie met andere delicten zoals witwassen, omkoping en misdrijven gerelateerd aan de Wet Wapens en Munitie. Ten slotte betrof moord of doodslag een aanzienlijk deel (8 van de 25) van de delicten waarnaar een tactisch team van de politie onderzoek deed.  

Ondanks dat de hackbevoegdheid in 26 opsporingsonderzoeken is ingezet tussen maart 2019 tot en met maart 2021, zijn er nog geen uitspraken gepubliceerd waar de inzet van de hackbevoegdheid ter sprake komt. Volgens de auteurs zal dat ‘bij een deel ook nooit gebeuren’. Overigens geeft team Digit aan behoefte te hebben aan een steunbevoegdheid, zodat ze bijvoorbeeld ook fysiek een woning mogen binnendringen om vervolgens de hackbevoegdheid in te zetten.

Commerciële middelen

Volgens team Digit is het noodzakelijk gebruik te maken van binnendringsoftware van commerciële leveranciers. De informatie over de leverancier is vertrouwelijk en is daarom niet gedeeld met de auteurs van het rapport. De ‘ontwikkeling van eigen hulpmiddelen (en ze vooraf goedgekeurd krijgen) is nauwelijks haalbaar gebleken in de praktijk in verband met de tijd die het kost om een volledig goedgekeurd middel te ontwikkelen’.

De auteurs identificeren drie redenen voor de inzet van commerciële middelen. Ten eerste is er volgens team Digit veel kennis en mankracht nodig om de beveiliging van computers die worden gehackt te doorbreken. In het Regeerakkoord is destijds 10 miljoen euro beschikbaar gesteld, onder andere om Digit zelf producten te laten ontwikkelen. Ook met dat extra bedrag is het volgens sommige geïnterviewden niet realistisch om de samenwerking met commerciële leveranciers volledig los te laten. Niet alleen omdat veel extra personeel moet worden aangenomen, maar ook omdat de kennisachterstand inmiddels zo groot zou zijn dat het kennisniveau van leveranciers niet geëvenaard kan worden.

Het tweede argument is dat leveranciers ook het onderhoud van hun product voor hun rekening nemen. Bij de aanschaf van een product sluit Digit een onderhoudscontract af, zodat de continue werking ervan zo veel mogelijk gewaarborgd kan blijven.

Het derde argument heeft te maken met de meldplicht. Hierover zeggen de auteurs: ‘mocht het mogelijk zijn voor Digit om een zelf gevonden onbekende kwetsbaarheid gebruiksklaar te maken, eerder is gebleken dat dit vooral vanwege de technische complexiteit een zo goed als hypothetische situatie is, dan vormt de meldplicht een belemmering. Het zelf vinden van een kwetsbaarheid betekent dat deze gemeld moet worden en dat de kwetsbaarheid, waarin veel energie gestoken is om die gebruiksklaar te maken, voor één of hooguit twee zaken kan worden gebruikt’.

Melding onbekende kwetsbaarheden

De melding van het gebruik van onbekende kwetsbaarheden verloopt niet bepaald soepel. De geïnterviewden wijzen er op dat artikel 126ffa Sv m.b.t. de meldplicht géén onderscheid maakt tussen de geautomatiseerde werken waarin de onbekende kwetsbaarheid gevonden wordt. Dat betekent “dat een kwetsbaarheid in een computersysteem dat geproduceerd is door en voor personen met criminele intenties hetzelfde behandeld moet worden als een kwetsbaarheid in een geautomatiseerd werk dat in gebruik is bij een groot deel van de Nederlandse burgers of in een geautomatiseerd werk binnen de ‘kritieke infrastructuur’.” Dat is een knelpunt voor de opsporingsprakrijk, omdat personen met criminele intenties uiteindelijk op de hoogte moeten worden gebracht dat in hun systeem zich een kwetsbaarheid bevindt. Het is volgens de respondenten ‘de vraag of dat werd bedoeld met het veiliger maken van computersystemen en het internet, een belangrijke reden waarom de meldplicht er is gekomen’.

Een tweede punt van kritiek is dat de meldplicht samenwerking met andere partijen bemoeilijkt, zowel internationaal als nationaal. Volgens enkele geïnterviewden bevindt Nederland zich in een uitzonderingspositie wat betreft de meldplicht.

Persoonlijk begrijp ik het goed dat de opsporingspraktijk geen melding wil doen aan een maker van hardware of software dat vooral door criminelen kan worden gebruikt. Maar de melding kan ook worden uitgesteld. In het rapport is te lezen dat (slechts) één keer een verzoek is gedaan een melding uit te stellen (en verder blijkbaar geen melding is gedaan). In het rapport wordt uitgelegd dat ze niet kunnen nagaan of de commerciële leverancier van onbekende kwetsbaarheden gebruik maakt en “omdat de onbekende kwetsbaarheden onbekend zijn bij Digit, geldt voor deze kwetsbaarheden niet de eerder besproken meldplicht”. Ik vond p. 95-107 over deze (controversiële) praktijk heel lezenswaardig.

Toezicht

Een groot deel van het rapport gaat over het toezicht (of eigenlijk met name over de problemen die praktijk ervaart met het toezicht) door de Inspectie Justitie & Veiligheid en de Keuringsdienst. Overigens lijkt de Inspectie zeer intensief toezicht te houden en de Keuringsdienst nogal ‘understaffed’ te zijn voor toezicht op de hackbevoegdheid en de technische middelen die daarvoor worden ingezet.

Hieronder volgen de (voor mij) belangrijkste conclusies over toezicht uit het rapport:

  • De reikwijdte van het toezicht van de Inspectie is op dit moment onderwerp van gesprek, vooral ten aanzien van het handelen van het Openbaar Ministerie. Uit het rapport blijkt ook dat er onenigheid bestaat over definitiekwesties.
  • Digit is met een deel van de door de Inspectie geconstateerde punten aan de slag gegaan, maar zegt ook met een deel ervan niets te zullen kunnen doen, omdat het Besluit op een aantal punten niet goed uitvoerbaar zou zijn.
  • De reactie van de minister op de Verslagen van de Inspectie werkt bij de Inspectie op sommige punten verbazing, omdat daaruit blijkt dat aan haar constateringen niet altijd gevolgtrekkingen worden verbonden.
  • Digit-OM heeft besloten dat de aard van een gebruikt commercieel middel zich verzet tegen een keuring. Het middel zal op basis van het Besluit en de geformuleerde keuringseisen (hoogstwaarschijnlijk) ook niet goedgekeurd kunnen worden. Wel neemt team Digit (en het tactisch team) maatregelen in het kader van aanvullende tactische en technische waarborgen bij middelen die niet (goed)gekeurd zijn.

In het rapport staat eufemistisch dat het toezicht ‘niet zonder discussie’ verloopt en ‘de verhouding lijkt enigszins stroever geworden te zijn’. Persoonlijk weet ik (nog) niet zo goed wat ik hier allemaal van moet denken. Blijkbaar is de discussie vastgelopen en komen de betrokken partijen niet voldoende tot elkaar. Uiteindelijk gaat het erom dat de waarborgen die wet stelt zo goed mogelijk worden nagekomen en de bevoegdheid daadwerkelijk kan worden uitgevoerd waar noodzakelijk, maar blijkbaar zijn sommige bepalingen voor de praktijk onuitvoerbaar.

De auteurs van het rapport merken – volgens mij terecht – op:

Daarom zou het goed zijn om met alle betrokken actoren gezamenlijk te kijken op welke manieren het beste een oordeel kan worden gegeven of gegevens op een betrouwbare, integere en herleidbare manier verzameld kunnen worden, ook wanneer gebruik wordt gemaakt van commerciële middelen. Het verzamelen van betrouwbare gegevens is per slot van rekening een belang dat alle actoren met elkaar delen.”

Maar suggesties voor concrete oplossingen ontbreken daarbij. Andere punten zoals het regelen van een steunbevoegdheid en eventueel m.b.t. de melding kan de wetgever oplossen. Kortom, er lijken genoeg belangrijke conclusies uit het rapport om op te pakken en waar de wetgever een rol in kan spelen. In dat opzicht vind ik het jammer dat zo laat een reactie van de minister volgt.

Meer duidelijkheid over de SkyECC-operatie

SkyECC is een chatapplicatie waarmee gebruikers op versleutelde wijze met elkaar kunnen communiceren. Met de app was het mogelijk berichten, foto’s en audioberichten uit te wisselen. Bellen is met een ‘Skytelefoon’ niet mogelijk. De app werd aangeboden door het bedrijf ‘Sky Global’ en deze installeerde de versleutelingssoftware op iPhones, Google Pixels, Blackberry’s en Nokia’s. In 2021 had het bedrijf wereldwijd 70.000 gebruikers. Een toestel geconfigureerd voor het gebruik van de Sky ECC-app kostte tenminste € 729,-. Een abonnement op de Sky ECC app kostte € 2.200,- per jaar of € 600,- per 3 maanden. Om van Sky ECC gebruik te kunnen maken krijgt iedere gebruiker een unieke combinatie van zes tekens welke bestaat uit cijfers en letters, de zogenoemde Sky-ID (User ldentifier). Dit unieke nummer is nodig om een gebruiker toe te voegen als contact.

De CEO en werknemers van Sky Global werden in de Verenigde Staten aangeklaagd wegens het opzettelijk faciliteren van criminele organisaties (zie bijvoorbeeld dit artikel ‘Arrest warrants issued for Canadians behind Sky ECC cryptophone network used by organised crime’). Sinds 19 maart 2021 is Sky Global niet meer actief.

Volgens het OM zijn tijdens operatie ‘Argus’ honderden miljoenen berichten (!) uitgelezen tijdens de operatie. In België alleen al zijn er naar verluidt meer dan 2.000 verdachten geïdentificeerd, waarvan er 360 aangehouden konden worden. Er lopen 268 strafonderzoeken waarin de gelekte berichten worden benut. Het gros daarvan, 192 zaken, zijn nieuwe dossiers dankzij de kraak (JDVS/RL, Al 2000 verdachten ontmaskerd na kraak misdaadtelefoons, HLN, 25 september 2021). In dit blogbericht zet ik de feiten uit de rechtspraak over de operatie en de Nederlandse rol daarbij op een rijtje.

Onderzoek ‘Werl’

Op 1 november 2019 is het strafrechtelijk onderzoek ‘Werl’ gestart, dat zich richt op de rechtspersoon Sky Global en de bestuurders en/of werknemers daarvan wegens verdenking van deelneming aan criminele organisatie en (gewoonte)witwassen. In die periode zijn ook in Frankrijk en België strafrechtelijke onderzoeken tegen de aanbieder gestart. De Franse autoriteiten hebben in hun onderzoek een ‘interceptietool’ ingezet, waarvoor een Franse onderzoeksrechter een machtiging heeft verleend. Met de inzet van deze ‘interceptietool’ zijn vanaf medio juni 2019 data van de toestellen van SkyECC verzameld. Vanaf de start van het onderzoek Werl hebben de Franse autoriteiten de onderzoeksbevindingen die zij hebben verkregen met de inzet van de interceptietool gedeeld met het Nederlandse onderzoeksteam.

Onderzoek ’26Argus’

Op 11 december 2019 startte in Nederland het onderzoek ‘26Argus’, dat zich richt op de criminele samenwerkingsverbanden van de NN-gebruikers van SkyECC. Het had onder meer tot doel ‘het aan de hand van de inhoudelijke data in beeld brengen en analyseren van de criminele samenwerkingsverbanden die gebruikmaken van cryptotelefoons van SkyECC’.

De SkyECC-operatie (operatie Argus)

Na de uitvoering van de EOB’s is Frankrijk een onderzoek gestart naar het bedrijf SkyECC. Op 17 december 2020 heeft een Franse rechter in het Franse onderzoek naar SkyECC, op aanvraag van het Franse Openbaar Ministerie, toestemming gegeven voor het gebruik van een interceptiemiddel op een server van SkyECC in Frankrijk. Vervolgens is, met toestemming van de Franse rechter, een interceptietool met de mogelijkheid tot het ontsleutelen van het berichtenverkeer geplaatst op de SkyECC-servers. Het Nederlandse Openbaar Ministerie noemt daarbij in een uitspraak dat daarbij een ‘man-in-the-middle’ MITM-techniek is gebruikt, waarbij een server (door de Fransen) is overgenomen.

De genoemde interceptietool is door Nederlandse rechercheurs en technici ontwikkeld”

(Rb. Amsterdam 7 juli 2022, ECLI:NL:RBAMS:2022:4257. Zie hierover eerder ook: OM spreekt ‘systematisch liegen’ over actieve rol bij hack van Sky ECC tegen, NU.nl).

De verkregen data zijn vervolgens door Frankrijk gedeeld met Nederland en België. Nederland, België en Frankrijk hebben een JIT-overeenkomst gesloten waarbinnen de verkregen data onderling konden worden gedeeld.

Over de inzet van het door Nederland ontwikkelde interceptietool zijn rechtbanken in de SkyECC tot nu toe eensgezind. Het wordt gezien als een Frans onderzoek, op Frans grondgebied, met toepassing van Franse rechterlijke machtigingen. De verantwoordelijkheid voor het opsporingsonderzoek ligt daarom bij de Franse autoriteiten (zie bijvoorbeeld de rechtbank Den Haag (ECLI:NL:RBDHA:2022:4585 en ECLI:NL:RBDHA:2022:6764 en de rechtbank Amsterdam (ECLI:NL:RBAMS:2022:4257).

Machtigingen van Nederlandse rechter-commissaris

Op 11 december 2020 is een nieuw Nederlands onderzoek gestart, gericht op de onbekende gebruikers van de diensten van SkyECC. Dit onderzoek was een voortzetting van eerder onderzoek. Net als bij EncroChat zijn er ook machtigingen door een Nederlandse rechter-commissaris afgegeven voor de SkyECC operatie. Op 15 december 2020 heeft een Nederlandse rechter-commissaris een machtiging afgegeven op grond van artikel 126t en 126t, zesde lid Sv voor het opnemen en ontsleutelen van de communicatie gevoerd door de Nederlandse NN-gebruikers van SkyECC. Daarbij zijn zeven voorwaarden geformuleerd, die onder meer zien op de zoeksleutels waarmee de ontsleutelde gegevens mogen worden doorzocht, die recht doen aan het verschoningsrecht van geheimhouders en die zien op de verifieerbaarheid en reproduceerbaarheid van de gegevens die voor het betreffende onderzoek beschikbaar zijn gesteld.

Verder heeft een Nederlandse rechter-commissaris ook op 7 februari 2021 een machtiging verleend op grond van artikel 126uba Sv tot binnendringen in het communicatienetwerk van SkyECC. De daaraan gekoppelde mobiele telefoons van NN-gebruikers maken volgens de machtiging ook deel uit van het netwerk. In deze machtiging is overwogen dat het binnendringen in het geautomatiseerde werk ondersteunend is aan de uitvoering van een machtiging op grond van artikel 126t Sv.

Cybercrime jurisprudentieoverzicht september 2022

Meer details bekend over SkyECC operatie

In de afgelopen maanden is er meer duidelijkheid gekomen over de SkyECC-operatie door jurisprudentie en gepubliceerde beslissingen van rechtbanken op onderzoekswensen van de verdediging.

SkyECC is een chatapplicatie waarmee gebruikers op versleutelde wijze met elkaar kunnen communiceren. Met de app was het mogelijk berichten, foto’s en audioberichten uit te wisselen. Bellen is met een ‘Skytelefoon’ niet mogelijk. De app werd aangeboden door het bedrijf ‘Sky Global’ en deze installeerde de versleutelingssoftware op iPhones, Google Pixels, Blackberry’s en Nokia’s.

Op 1 november 2019 is het strafrechtelijk onderzoek ‘Werl’ gestart, dat zich richt op de rechtspersoon Sky Global en de bestuurders en/of werknemers daarvan wegens verdenking van deelneming aan criminele organisatie en (gewoonte)witwassen. In die periode zijn ook in Frankrijk en België strafrechtelijke onderzoeken tegen de aanbieder gestart. De Franse autoriteiten hebben in hun onderzoek een ‘interceptietool’ ingezet, waarvoor een Franse onderzoeksrechter een machtiging heeft verleend. Met de inzet van deze ‘interceptietool’ zijn vanaf medio juni 2019 data van de toestellen van SkyECC verzameld. Vanaf de start van het onderzoek Werl hebben de Franse autoriteiten de onderzoeksbevindingen die zij hebben verkregen met de inzet van de interceptietool gedeeld met het Nederlandse onderzoeksteam.

Op 11 december 2019 startte in Nederland het onderzoek ‘26Argus’, dat zich richt op de criminele samenwerkingsverbanden van de NN-gebruikers van SkyECC. Het had onder meer tot doel ‘het aan de hand van de inhoudelijke data in beeld brengen en analyseren van de criminele samenwerkingsverbanden die gebruikmaken van cryptotelefoons van SkyECC’.

Na de uitvoering van de EOB’s is Frankrijk een onderzoek gestart naar het bedrijf SkyECC. Op 17 december 2020 heeft een Franse rechter in het Franse onderzoek naar SkyECC, op aanvraag van het Franse Openbaar Ministerie, toestemming gegeven voor het gebruik van een interceptiemiddel op een server van SkyECC in Frankrijk. Vervolgens is, met toestemming van de Franse rechter, een interceptietool met de mogelijkheid tot het ontsleutelen van het berichtenverkeer geplaatst op de SkyECC-servers. Het Nederlandse Openbaar Ministerie noemt daarbij in een uitspraak dat daarbij een ‘man-in-the-middle’ MITM-techniek is gebruikt, waarbij een server (door de Fransen) is overgenomen. “De genoemde interceptietool is door Nederlandse rechercheurs en technici ontwikkeld”, aldus de rechtbank Amsterdam. De verkregen data zijn vervolgens door Frankrijk gedeeld met Nederland en België. Nederland, België en Frankrijk hebben een JIT-overeenkomst gesloten waarbinnen de verkregen data onderling konden worden gedeeld.

Over de inzet van het door Nederland ontwikkelde interceptietool zijn rechtbanken in de SkyECC tot nu toe eensgezind. Het wordt gezien als een Frans onderzoek, op Frans grondgebied, met toepassing van Franse rechterlijke machtigingen. De verantwoordelijkheid voor het opsporingsonderzoek ligt daarom bij de Franse autoriteiten (zie bijvoorbeeld de rechtbank Den Haag (ECLI:NL:RBDHA:2022:4585 en ECLI:NL:RBDHA:2022:6764 en de rechtbank Amsterdam (ECLI:NL:RBAMS:2022:4257).

Op 11 december 2020 is een nieuw Nederlands onderzoek gestart, gericht op de onbekende gebruikers van de diensten van SkyECC. Dit onderzoek was een voortzetting van eerder onderzoek. Net als bij EncroChat zijn er ook machtigingen door een Nederlandse rechter-commissaris afgegeven voor de SkyECC operatie. Op 15 december 2020 heeft een Nederlandse rechter-commissaris een machtiging afgegeven op grond van artikel 126t en 126t, zesde lid Sv voor het opnemen en ontsleutelen van de communicatie gevoerd door de Nederlandse NN-gebruikers van SkyECC. Daarbij zijn zeven voorwaarden geformuleerd, die onder meer zien op de zoeksleutels waarmee de ontsleutelde gegevens mogen worden doorzocht, die recht doen aan het verschoningsrecht van geheimhouders en die zien op de verifieerbaarheid en reproduceerbaarheid van de gegevens die voor het betreffende onderzoek beschikbaar zijn gesteld.

Verder heeft een Nederlandse rechter-commissaris ook op 7 februari 2021 een machtiging verleend op grond van artikel 126uba Sv tot binnendringen in het communicatienetwerk van SkyECC. De daaraan gekoppelde mobiele telefoons van NN-gebruikers maken volgens de machtiging ook deel uit van het netwerk. In deze machtiging is overwogen dat het binnendringen in het geautomatiseerde werk ondersteunend is aan de uitvoering van een machtiging op grond van artikel 126t Sv.

Afwijkende benadering Rb. Noord-Holland inzake EncroChat operatie

De rechtbank Noord-Holland heeft op 4 mei 2022 een opvallende uitspraak (ECLI:NL:RBNHO:2022:3845) gedaan over de samenwerking met Frankrijk in de EncroChat operatie. In veel strafzaken waar cryptophones een rol spelen verwijst de rechtbank naar het interstatelijk vertrouwensbeginsel en toetst vervolgens niet het handelen van de Franse Gendarmerie in de operatie. De rechtbank Noord-Holland baseert haar oordeel echter op het (Europese) beginsel van wederzijds vertrouwen dat ten grondslag ligt aan deze samenwerking. Dat moet volgens de rechtbank het vertrekpunt vormen bij de beoordeling van de rechtmatigheid van het opsporingsonderzoek.

De rechtbank overweegt eerst dat onderzoek ‘26Lemont’ was mede gericht op de NN-gebruikers van telefoontoestellen voorzien van de applicatie EncroChat. Deze gebruikers, van wie de namen niet of nog niet bekend waren, werden door de officier van justitie in de fase van de aanvraag van de machtiging ex art. 126uba Sv als verdachten aangemerkt. En de officier van justitie beoogde van de rechter-commissaris een machtiging te verkrijgen om binnen te dringen (ook wel aangeduid als “hacken”) in de telefoontoestellen van die individuele gebruikers en om het berichtenverkeer dat plaatsvond via die toestellen te onderscheppen en vast te leggen (door vermelding van art. 126t Sv als grondslag). De rechtbank ziet onderzoek 26Lemont dan ook als voorbereidend onderzoek in de zin van artikel 359a Sv. Dit brengt volgens de rechtbank mee dat ‘het materiële interstatelijke vertrouwensbeginsel zoals dat de officier van justitie in deze zaak voor ogen staat in strikte zin niet van toepassing is’. De rechtbank overweegt daartoe allereerst dat er sprake is geweest van een sterke verwevenheid van de opsporingsactiviteiten in Frankrijk en Nederland. Er is binnengedrongen in de server van EncroChat die in Frankrijk was gestationeerd maar ook op telefoontoestellen van gebruikers in Nederland.

Volgens de rechtbank werkt Nederland samen met Frankrijk in een JIT, waar die verwevenheid van opsporingshandelingen ook wordt voorondersteld. In lijn met die verdragsregels is door de bevoegde autoriteiten aan de Franse rechter gevraagd om toestemming te verlenen voor opsporing op Frans grondgebied, te weten het binnendringen in de server van EncroChat. Deze heeft zijn beslissingen gegeven in de context van een rechtsstelsel dat als geheel het vertrouwen van de lidstaten geniet.

In aansluiting daarop heeft de rechter-commissaris een machtiging gegeven voor alle opsporingsactiviteiten die in het kader van het JIT op Nederlands grondgebied zijn uitgevoerd. Dat is in overeenstemming met de, aan de EU-rechtshulpovereenkomst ontleende, vereisten van art. 5.2.2 Sv. Volgens de rechtbank is gehandeld in overeenstemming met de EU-regeling voor samenwerking in JIT-verband en de daarop gebaseerde Nederlandse wetgeving. In samenspel met de beschikking van de rechter-commissaris in de Nederlandse rechtsorde is een rechtsbasis verschaft aan het binnendringen in de telefoons van NN-gebruikers. De daaraan voorafgaande hack op de server van EncroChat heeft zijn legitimatie in de beslissingen van de Franse rechter en de daarvoor gegeven motivering. Om die reden is er geen sprake van vormverzuimen en worden alle verweren strekkend tot toepassing van het sanctie-instrumentarium van artikel 359a Sv verworpen.

Zoals ik vaker heb gesignaleerd, stellen andere rechtbanken en gerechtshoven dat de machtiging van de rechter-commissaris moet worden gezien als een “extra machtiging” en de machtigingen die in Frankrijk zijn verstrekt feitelijk zien op de opsporingshandelingen in Frankrijk. Met een beroep op het interstatelijk vertrouwensbeginsel worden verweren die zien op de vormverzuimen met betrekking tot de operatie in Frankrijk doorgaans verworpen.

De verdachte wordt overigens veroordeeld voor 12 jaar gevangenisstraf voor de invoer van 400 kilo cocaïne, het medeplegen van het runnen van een methamfetamine-lab, de dumping van het afval, de groothandel in ketamine en deelneming aan een criminele organisatie.

Hof Den Haag: ‘website’ niet voldoende omschreven als ‘geautomatiseerd werk’

Op 23 augustus 2022 heeft het Hof Den Haag een verdachte vrijgesproken (ECLI:NL:GHDHA:2022:1551) van computervredebreuk. De verdachte werd door het Openbaar Ministerie het inbreken op een website en vervolgens overnemen van gegevens voor zichzelf verweten.

Op Twitter leidde het arrest tot enige consternatie onder ICT-ers, omdat het evident zou moeten zijn dat een ‘website’ een ‘geautomatiseerd is’. Het Hof overweegt dat ‘nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert, op grond van het voorgaande voldoende aanleiding bestaat om een website niet aan te merken als geautomatiseerd werk. Zulks is in overeenstemming met het (onherroepelijke) arrest van dit hof van 22 september 2020 (ECLI:NL:GHDHA:2020:2005) waarin het ging om een Facebook-account’.

Het Hof Den Haag herhaalt in het arrest in feite staande jurisprudentie dat in de tenlastelegging moet worden uitgelegd waarom een website als een geautomatiseerd werk kwalificeert in de zin van artikel 80sexies Sr betreft (‘onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken’). Nu deze uitleg ontbreekt wordt de verdachte vrijgesproken.

Inloggen in een WhatsApp en Google-account

Op 6 mei 2022 is een opmerkelijke beschikking van een rechter-commissaris gepubliceerd (ECLI:NL:RBDHA:2022:4288) over het inloggen op een WhatsApp- en Google-account van een overleden persoon (het slachtoffer van een misdrijf). Zoals vaker is voorgekomen geeft de rechter-commissaris dan het bevel af aan een opsporingsambtenaar om zich toegang te verschaffen tot de accounts op grond van art. 181 jo 177 Sv, met analoge toepassing van art. 126ng Sv.

In de beschikking overweegt de rechter-commissaris waarom er géén sprake is van binnendringen in een geautomatiseerd werk als bedoeld in art. 126nba Sv (de ‘hackbevoegdheid’). De officier van justitie heeft in de vordering betoogd dat art. 126nba Sv niet van toepassing is, omdat wordt ingelogd “op een normale wijze, zonder kunstgrepen, met toestemming van de nabestaande, welke doorgaans ook door een provider in staat wordt gesteld om een duplicaat simkaart aan te vragen als iemand overlijdt”.

De rechter-commissaris overweegt echter dat de handelingen van de opsporingsambtenaar vergelijkbaar zouden zijn met een rechtmatige gebruiker, zoals het terugzetten van een back-up, zoals bij WhatsApp of het invullen van een beveiligingsvraag of de procedure van ‘wachtwoord vergeten’. Blijkbaar is de rechter-commissaris niet goed op de hoogte dat ook niet rechtmatige gebruikers (hackers) deze technieken gebruiken om computervredebreuk (art. 138ab Sr) te plegen.

Innovatiewet Strafvordering

Op 22 juni 2022 is de ‘Innovatiewet Strafvordering’ gepubliceerd (Stb. 2022, 276). Met deze wet wordt een nieuwe (tijdelijke) titel ingevoegd in het huidige Wetboek van Strafvordering op grond waarvan pilotprojecten kunnen plaatsvinden. Voor een periode van twee jaar kan het openbaar ministerie en de politie experimenteren met nieuwe procedures. Deze mogelijkheid vervalt na twee jaar, maar de werking kan bij algemene maatregel van bestuur worden verlengd. In deze blog bespreek ik de artikelen met betrekking tot het ‘vastleggen en kennisnemen van gegevens na inbeslagneming’.

Kennisnemen van berichten na inbeslagname

Artikel 556 Sv ziet op het kennisnemen van nieuwe berichten die na inbeslagneming van bijvoorbeeld een smartphone op dat apparaat binnenkomen. Het eerste lid ziet op het kennisnemen van gegevens die gedurende de eerste drie dagen na de inbeslagneming van het geautomatiseerd werk worden opgeslagen. De officier van justitie kan een daartoe strekkend bevel geven tot uiterlijk drie dagen na de inbeslagneming. Het tweede lid maakt nu duidelijk dat de officier van justitie, óók in het geval hij in de eerste drie dagen na de inbeslagneming van het geautomatiseerd werk nog geen bevel heeft gegeven, ook daarna het bevel nog mag afgeven (voor drie maanden en met mogelijke verlening van drie maanden). Amendementen op het wetsvoorstel hebben ertoe geleid dat voor deze onderzoekshandelingen een machtiging van de rechter-commissaris nodig is.  

De netwerkzoeking na inbeslagname

Artikel 557 Sv omvat de bevoegdheid tot het verrichten van een netwerkzoeking na de inbeslagneming van een geautomatiseerd werk, zoals smartphone. Met deze bevoegdheid is het mogelijk toegang te verschaffen tot bestanden die niet op het inbeslaggenomen apparaat zijn opgeslagen, maar bijvoorbeeld op cloudopslagdiensten, zoals Dropbox, iCloud, Picasa en Google Drive. Dat is mogelijk voor zover dat redelijkerwijs nodig is ‘om de waarheid aan de dag te brengen’. Worden dergelijke gegevens aangetroffen, dan kunnen zij worden vastgelegd. Deze netwerkzoeking reikt zo ver als de netwerken waar de rechtmatige gebruiker van het apparaat toegang toe heeft. De regeling werd door de wetgever noodzakelijk geacht, omdat de huidige netwerkzoeking in artikel 125j Sv is beperkt tot de plaats en het apparaat waar een doorzoeking plaatsvindt en daarom niet mag plaatsvinden vanaf een andere plaats en apparaat, zoals op het politiebureau. De officier van justitie kan het bevel aan een opsporingsambtenaar afgeven, na een machtiging van een rechter-commissaris.

Ongedaan maken van biometrische beveiliging

Artikel 558 Sv bevat de bevoegdheid van de officier van justitie om aan een opsporingsambtenaar te bevelen dat hij biometrische beveiliging of versleuteling ongedaan maakt, in de gevallen dat een inbeslaggenomen geautomatiseerd werk biometrisch is beveiligd of de gegevens die daarop staan biometrisch zijn versleuteld. Het gaat om biometrische beveiliging in de vorm van een vingerafdruk of een opname van de iris of het gezicht. Op 9 februari 2021 (ECLI:NL:HR:2021:202) heeft de Hoge Raad zich al uitgesproken over het ontgrendelen van een smartphone met de vingerafdruk van een verdachte. In zijn arrest overweegt de Hoge Raad dat uitoefening van het dwangmiddel van inbeslagneming kan inhouden dat desnoods met toepassing van proportioneel geweld handelingen worden verricht die strekken tot het onder zich nemen of gaan houden van voorwerpen ten behoeve van de strafvordering. Daarmee vormt de onderhavige bevoegdheid een codificatie van deze recente jurisprudentie van de Hoge Raad en wordt zo een expliciete wettelijke grondslag geboden voor deze vormen van onderzoek, aldus de toelichting.

Cyber Security Beeld Nederland 2021

Deze blogpost is een samenvatting van het Cyber Security Beeld Nederland (CSBN) 2021. Het betreft de dingen die ik opvallend vond en belangrijk genoeg vond om te noemen, vanuit mijn interesse in cybercrime, cybersecurity & nationale veiligheid en het snijvlak daartussen. Aan het einde plaats ik wat observaties bij het rapport.

Cybercrime

“Cybercrime heeft een industriële omvang aangenomen. Zo domineerde de groep achter het Emotet-botnet meerdere jaren de markt van het verkrijgen en daarna doorverkopen van toegang tot slachtoffernetwerken aan onder meer ransomware-groepen. Tijdens een internationale opsporingsoperatie in 2021 om dit botnet uit de lucht te halen, onderkende de politie wereldwijd 1,75 miljoen geïnfecteerde IP-adressen, 36 miljoen gestolen inloggegevens en ruim 4 miljoen gecompromitteerde (bedrijfs)mailaccounts. Dergelijke slachtofferaantallen zijn geen uitzondering meer. Ransomware is daarbij uitgegroeid tot een cybercriminele goudmijn.

Met recht is ransomware dan ook een gamechanger te noemen voor het cybercriminele ecosysteem. Het heeft geleid tot cybercriminele groeperingen die enorm vermogend zijn geworden. Nadat het TrickBot-botnet eind 2020 goeddeels was neergehaald, zou de groep volgens gelekte interne communicatie in het jaar daarop 20 miljoen Amerikaanse dollar hebben geïnvesteerd in het herstellen en verbeteren van de aanvalsinfrastructuur en de bedrijfsvoering.

Vrijwel elke stap voor zowel het plegen als het beschermen van cybercriminaliteit wordt als dienst aangeboden. Het cybercriminele ecosysteem laat zich dan ook steeds meer kenschetsen als een volwassen, wereldwijde economische sector waar vraag en aanbod samenkomen op onder meer cybercriminele fora en waar rationele economische afwegingen worden gemaakt tussen investering, risico en rendement. Door deze dienstverlening is cybercriminaliteit toegankelijk voor een grote diversiteit aan daders

Vooral op ondergrondse, online platformen zoals gesloten cybercriminele fora, maar ook op zogeheten booter- en stressersites of Telegram-kanalen bieden zij hun producten en diensten aan.

Het merendeel van de ransomware-aanvallen kenmerkt zich als ‘Ransomware-as-a-Service’ (RaaS). Ransomware-ontwikkelaars vonden hierin een middel om hun malware op grote schaal te verspreiden, zonder zelf direct risico te lopen. RaaS biedt de afnemers van dit product de kans om ook zonder noemenswaardige programmeervaardigheden ransomware toe te passen op netwerken of systemen. Deze afnemers, ook wel affiliates genoemd, vallen onder de categorie van afhankelijke plegers. Voor elke geslaagde ransomware-aanval betalen zij de ransomware-ontwikkelaar een vast overeengekomen percentage van het betaalde losgeld.”

JJO: over ‘Operation Ladybird’ (persbericht NL Politie en van Europol) richting het Emotet botnet wordt nog het volgende interessante opgemerkt:

“Het in 2021 door de politie en het OM offline gehaalde Emotet-botnet bijvoorbeeld, besmette wereldwijd meer dan een miljoen systemen met aanvalsmethoden die niet heel geavanceerd waren. Veelal werden computers ongericht met spam besmet De volgende stappen in het aanvalsproces waren vaak wél gericht en geavanceerd.

De groep achter Emotet manifesteerde zich als dienstverlener door de toegang tot netwerken door te verkopen binnen een selecte klantenkring. Ergens in dit proces vond ook een vorm van triage plaats, waarbij de meest kapitaalkrachtige netwerken hoger werden ingeschaald.

De afnemers, in de zin van andere autonome groepen, konden vervolgens hun additionele malware (laten) plaatsen. Bijvoorbeeld TrickBot, die werd ingezet om de positie te consolideren en informatie te stelen. Uiteindelijk waren actoren met behulp van Ryuk-ransomware in staat om op deze netwerken gericht ransomware in te zetten op strategische plekken, waarbij men in staat was om op reële wijze in te schatten wat de maximale losgeldeis kon zijn. Het (dreigen met) het publiceren van de eerder gestolen data kon hierbij fungeren als extra drukmiddel.”

JJO: Ook de volgende bevinding vond ik opvallend:

“Ransomware-aanvallen hebben in zowel de Verenigde Staten als in de Europese Unie tijdens de coronapandemie ziekenhuizen, COVID-19-onderzoeksinstellingen en een distributiecentrum voor vaccins ernstig gehinderd”

Offensieve cyberoperaties van staten

JJO: Het CSBN 2021 windt er geen doekjes om:

“Cyberaanvallen door statelijke actoren zijn niet meer zeldzaam te noemen: ze zijn eerder het nieuwe normaal. Het gebruik van de digitale ruimte door statelijke actoren lijkt eerder toe dan af te nemen. Een voor de hand liggende verklaring daarvoor is dat de digitale ruimte nog steeds aan omvang en betekenis toeneemt en daarmee ook de mogelijkheden voor misbruik.

De digitale ruimte wordt door staten gebruikt om geopolitiek voordeel te behalen. Dit kan financieel-economisch voordeel zijn, het behartigen van binnenlandse politieke en veiligheidsbelangen, of het beïnvloeden van buitenlandse verhoudingen. Statelijke actoren kunnen hiervoor onder meer de volgende digitale middelen inzetten:

1. Beïnvloeding en inmenging (inclusief het verspreiden van desinformatie);

2. Spionage, waaronder economische of politieke spionage;

3. Voorbereidingshandelingen voor en daadwerkelijke verstoring en sabotage.

Nederland is doelwit van een offensief cyberprogramma van landen als Rusland en China. Zij kunnen de genoemde digitale middelen inzetten tegen een breed scala aan mogelijke doelwitten, van lokale verenigingen tot internationale veiligheidsorganisaties en van één individu tot diasporagemeenschappen. Volgens de AIVD blijft de dreiging van offensieve cyberprogramma’s tegen Nederland en de Nederlandse belangen onverminderd hoog en zal deze in de toekomst alleen maar toenemen.

Russische statelijke actoren hebben meermaals (succesvolle) digitale aanvallen uitgevoerd op een EU-lidstaat. Dit valt binnen het normbeeld van Russische statelijke actoren en de aanhoudende digitale (spionage)dreiging die daarvan uitgaat. Deze actoren voeren veelvuldig digitale aanvallen uit op onder andere EU- en NAVO-lidstaten

De Chinese digitale spionage actor APT31 heeft op grote schaal en langdurig politieke doelwitten in Europa en Noord-Amerika aangevallen. Ook in Nederland waren er doelwitten van aanvallen en verkenningsactiviteiten door deze actor. De interesse vanuit statelijke actoren voor dergelijke doelwitten illustreert het belang van goede beveiligingsmaatregelen en netwerkdetectie mogelijkheden voor Nederlandse overheidsnetwerken om aanvallen te detecteren, af te slaan en nader onderzoek mogelijk te maken.”

JJO: en elders staat nog over China:

“China is ongeëvenaard in de schaal waarop en de breedte waarin inlichtingen worden ingewonnen.”

“Groot is ook het aandeel van economische spionage, waarmee statelijke actoren bijvoorbeeld beogen de eigen concurrentiepositie te verbeteren of hoogwaardige kennis en technologie te bemachtigen zonder zelf de kosten voor research en development te maken. Exemplarisch hiervoor is de Chinese economische spionage, die zich vooral richt op technologiediefstal en voorkennis inzake voorgenomen investeringen.

Uit onderzoeken blijkt dat staten als China, Rusland en Iran offensieve cyberprogramma’s hebben, gericht tegen Nederland.176 Daaruit spreekt zowel de capaciteit als de intentie om in Nederlandse organisaties binnen te dringen. De cybercapaciteiten, kennis en expertise van China en Rusland zijn zelfs zo omvangrijk, dat de kans groot is dat zij slagen wanneer ze ergens digitaal binnen willen dringen.

Volgens gelekte documenten deed een Iraanse cyberorganisatie in 2020 onderzoek naar het hacken van industriële controlesystemen. De Iraanse onderzoekers schrijven dat ze nog niet genoeg inzicht hebben in de systemen om fysieke sabotage mogelijk te maken. Uit de documenten blijkt dat de cyberactoren specifiek zochten naar gebouwbeheersystemen, onder andere in Nederland. Dit zou passen binnen het beeld van de toenemende aandacht voor cybersabotage binnen Iran.”

Cybercrime & nationale veiligheid

JJO: Vorig jaar was één van de in het oog springende uitspraken van het CSBN dat ransomware de nationale veiligheid van Nederland bedreigde. Dit jaar zeggen ze hierover:

“Organisaties die digitaal worden aangevallen zijn veelvuldig het slachtoffer van ransomware. De inzet hiervan vormt een risico voor de nationale veiligheid als het gaat om de continuïteit van vitale processen, het weglekken en/of publiceren van vertrouwelijke of gevoelige informatie en de aantasting van de integriteit van de digitale ruimte. Vitale processen kunnen niet alleen zelf getroffen worden door ransomware, met alle gevolgen van dien, maar ook via leveranciersketens.

Dat is zeker het geval nu die aanvallen gepaard gaan met dubbele of zelfs drievoudige afpersing. Bij dubbele afpersing kunnen hackers na het versleutelen van bestanden dreigen met het publiceren van data als slachtoffers niet betalen. Bij drievoudige afpersing kunnen hackers via buitgemaakte gegevens ook klanten, partners en leveranciers van een getroffen organisatie een losgeldeis opleggen, in de hoop dat ook zij uit angst voor publicatie overgaan tot betaling.

Cybercriminelen zijn onverminderd in staat om omvangrijke schade toe te brengen aan digitale processen. Zij handelen vanuit financieel motief en hebben niet de intentie om de maatschappij te ontwrichten. Desondanks kunnen hun aanvallen zoveel impact veroorzaken dat ze nationale veiligheidsbelangen raken. De capaciteit van meerdere cybercriminele groepen is van gelijkwaardig hoog niveau als die van sommige statelijke actoren.

Statelijke actoren kunnen cybercriminelen inhuren, gedogen of onder druk zetten om cyberaanvallen op gewenste doelwitten uit te voeren. De relaties tussen staten en cybercriminelen kunnen ertoe leiden dat cybercriminelen een kant kiezen in geopolitieke conflicten. Recent illustreerde de oorlog in Oekraïne dit, toen cybercriminele groepen gelieerd aan Rusland waarschuwden tegenstanders van Rusland in het conflict digitaal aan te zullen vallen.

Hackerscollectieven kunnen ook een rol spelen in hybride conflictvoering, zoals in de oorlog in Oekraïne in 2022 het geval is. Het gevaar is dat de activiteiten van hacktivisten verkeerd geïnterpreteerd worden door landen die het slachtoffer worden van hun aanvallen, wat tot tegenreacties kan leiden. Ook kunnen statelijke actoren onder de vlag van hacktivisten opereren. Door verhoogde activiteit van hackersgroepen is de kans aanwezig dat Nederland (neven)schade ondervindt van digitale aanvallen. Indien hackers cyberaanvallen vanuit of via Nederland uitvoeren op buitenlandse doelwitten, kan Nederland ook getroffen worden door een tegenreactie. Ook Nederlandse ingezetenen kunnen deelnemen aan acties van hacktivisten en zo betrokken raken bij conflicten. Betrokkenheid bij een conflict elders door het plegen van digitale aanvallen kan onvoorziene consequenties hebben en is bovendien strafbaar.”

Food for Thought    

Het CSBN zit bomvol waardevolle informatie. Een groot deel meen ik inmiddels ook wel te herkennen uit de praktijk, input van de politie en OM en ik zie informatie terug uit jaarverslagen en publieke rapporten van de AIVD en de MIVD.

De ‘beleidshoofdstukken’, de lay-out (ongeveer de helft van rapport bestaat uit lege pagina’s en plaatjes), vaagtaalgebruik (“De dreiging die van statelijke actoren uitgaat, is niet van vandaag of gisteren, maar ontwikkelt zich al langer. Soms wordt ze diffuser, soms juist meer manifest” (??!) en veel herhaling spreekt mij minder aan.

Maar wat mij echt stoort als is dat hier en daar een voorbeeld uit een internationale context erbij wordt gehaald voor het Cyber Security Beeld Nederland en met cijfers wordt gegooid waarvan ik de betrouwbaarheid betwijfel. Denk bijvoorbeeld aan de volgende tekst:

“In april 2020 schatte Help Net Security naar aanleiding van een enquête onder meer dan 500 leidinggevenden binnen het internationale MKB in dat 46 procent van het MKB ooit slachtoffer was geweest van ransomware.”

En over de omvang van de schade van ransomware voor Nederland kunnen blijkbaar geen zinnige dingen worden gezegd. Lees bijvoorbeeld:

“De Conti-ransomwaregroep zou zelfs recent de beschikking hebben gehad over 2 miljard dollar aan virtuele valuta”. Vorige week verscheen nog een artikel in het FD waarin gesproken werd over honderden miljoenen dollars. Wat is het nu?

Verder wordt over de omvang van schade door ransomware gezegd:

“De totale economische schade van ransomware, in de zin van betaald losgeld, verlies aan bedrijfscontinuïteit, gevolgschade en herstelkosten van alle aanvallen bij elkaar opgeteld is moeilijk vast te stellen. (…) Het is niet bekend hoeveel de schade voor Nederland betreft. Deze blinde vlek heeft meerdere oorzaken.”

Maar het inschatten van de omvang lijkt mij juist wel een taak van een Nationaal Cyber Security Centrum. Of je laat daar als wiedeweerga onderzoek naar doen. Toch?

Ook vroeg ik mij af of hoe lang met het CSBN wordt doorgegaan. En hoe verhoudt het zich eigenlijk tot al die criminaliteitsmonitoren van het WODC en CBS? Zouden daar nog opties liggen of aanvullingen in liggen?

Of ben ik een te kritische lezer? Ach ja, wie weet zijn ze er volgend jaar wat voorzichtiger met welke (internationale cijfers) ze aanhalen.

Verslag hackbevoegdheid & Antwoord op Kamervragen over hacksoftware

Op 31 mei 2022 heeft de inspectie Veiligheid & Justitie haar jaarlijkse rapportage uitgebracht over het naleven van de regels omtrent de inzet van de hackbevoegdheid door de politie. De belangrijkste resultaten van het verslag worden hier weergegeven.

In totaal is de hackoperatie in 28 zaken ingezet. In 24 van de 28 is een niet vooraf goedgekeurd technisch hulpmiddel ingezet. De SkyECC-operatie valt overigens buiten het onderzoek, omdat zowel de politie als het Openbaar Ministerie hebben aangegeven dat in dit onderzoek geen sprake is geweest van de inzet van de hackbevoegdheid door Nederlandse opsporingsambtenaren (cursivering red.). De Inspectie voert geen rechtmatigheidstoezicht uit ten aanzien van de proportionaliteit van de inzet. Wel is te lezen dat in één zaak een technisch hulpmiddel is ingezet dat mogelijk standaard locatiegegevens vastlegt bij bepaalde handelingen door de gebruiker van het onderzochte geautomatiseerd werk. De Inspectie signaleert dat deze vastlegging van locatiegegevens mogelijk kenmerken heeft van stelselmatige observatie. In de zaak waarin dit hulpmiddel is ingezet, is echter geen bevel afgegeven voor het middels de hackbevoegdheid stelselmatig observeren van de betreffende verdachte.

De logging was dit jaar accurater en completer door verbeteringen in de techniek. Door diverse soorten logging te combineren met het journaal, heeft de Inspectie de uitgevoerde handelingen in voldoende mate kunnen reconstrueren om een goed beeld te krijgen van de manier waarop de politie de hackbevoegdheid heeft toegepast. In de verdiepende bijlage wordt het loggingsproces overigens nog veel uitgebreider beschreven. De politie heeft op onderdelen de kwaliteit verbeterd door eigen controles in te richten. Wat nog ontbreekt, is een overkoepelende analyse waarbij de politie per activiteit van de inzet van de bevoegdheid nagaat welke kwaliteitsborging nodig is om risico’s in het gehele proces van uitvoering voldoende te beperken. Niet is bepaald wie precies welke taken en verantwoordelijkheden heeft en aan wie verantwoordelijk wordt afgelegd. De Inspectie zegt in het voorwoord dat dit beter moet worden ingeregeld. Zolang dit niet goed is geregeld wordt het toezicht in 2022 met dezelfde diepgang uitgevoerd als de afgelopen twee keer.

In 23 van de 28 zaken is commerciële binnendringingssoftware ingezet. De inspectie rapporteert dat voor zowel de politie als de Inspectie deze software een ‘black box’ is. Het kenmerk van een ‘black-box’ is dat de resultaten zichtbaar zijn maar voor de gebruiker niet bekend is hoe de software precies werkt. Hoewel in een addendum bij het contract procedurele afspraken zijn gemaakt met de leverancier, is technisch niet afdwingbaar en controleerbaar wat de leverancier van deze software precies op welk moment doet. De leverancier kan daarbij mogelijk ook toegang verkrijgen tot de tijdens een inzet met deze software verkregen gegevens. De Inspectie heeft er begrip voor dat deze software in het belang van de opsporing wordt ingezet, maar signaleert hierdoor een ‘spanning met het rechtskader’, omdat eigenlijk alleen door de korpschef aangewezen ambtenaren toegang mogen hebben tot de verkregen gegevens.

Als procedureregel noemt de inspectie ook een toezegging uit het regeerakkoord 2017-2021 dat een screening van de leverancier plaatsvindt door de AIVD. In parlementaire stukken is niet uitgewerkt op welke aspecten de leverancier door de AIVD wordt gescreend. Deze screening is anders van inhoud dan de veiligheidsonderzoeken die de AIVD uitvoert voor personen die een vertrouwensfunctie (gaan) vervullen. In antwoord op Kamervragen over het gebruik van hacksoftware Pegasus is te lezen dat de screening door de AIVD uitgevoerd als een ‘naslagverzoek’ conform de F-taak van de Wiv 2017 in artikel 8 lid 2 sub f. Daarnaast mag de leverancier niet leveren aan de ‘dubieuze regimes’. Dit zijn landen die zich schuldig maken aan ernstige schendingen van mensenrechten of internationaal humanitair recht. In deze toets wordt de leverancier gevraagd niet te hebben geleverd aan landen waartegen vanuit de EU of de VN restrictieve sancties bestaan en wordt gecontroleerd of in het land waar de leverancier is gevestigd een exportcontroleregime bestaat waar mensenrechten een onderdeel is in de beoordeling voor het verstrekken van een exportvergunning. Over het niet leveren bij dubieuze regimes heeft de politie in 2019 een verklaring opgevraagd bij de leverancier.

Over onbekende kwetsbaarheden is ten slotte nog het volgende te lezen: ‘in 2021 heeft DIGIT in twee opsporingsonderzoeken kwetsbaarheden aangetroffen die kunnen worden gebruikt om een geautomatiseerd werk binnen te dringen. De Inspectie heeft vastgesteld dat DIGIT deze kwetsbaarheden ter beoordeling, conform de werkproces afspraken, voorgelegd heeft aan de DIGIT officier van justitie. In één van deze gevallen heeft de DIGIT officier van justitie besloten dat het daadwerkelijk een of meerdere onbekende kwetsbaarheden betreft. In dit geval heeft de officier van justitie bevolen dat het bekend maken hiervan aan de producent wordt uitgesteld. Overigens heeft DIGIT deze kwetsbaarheden in 2021 niet daadwerkelijk gebruikt om een geautomatiseerd werk binnen te dringen’.

Antwoorden Kamervragen over het gebruik van hacksoftware zoals Pegasus

Op 23 juni 2022 hebben minister Bruis Slot van Binnenlandse Zaken en Koninkrijksrelaties en Yeşilgöz-Zegerius van Justitie & Veiligheid antwoord gegeven op Kamervragen over hacksoftware. Voor de beantwoording van de vragen verscheen nog het artikel ‘AIVD gebruikt omstreden Israëlische hacksoftware‘ in de Volkskrant en in april 2022 nog het artikel: ‘Politie wil niets loslaten over haar selectie van hacksoftware‘.

De minister van Veiligheid & Justitie geeft aan dat geen informatie over leveranciers wordt gegeven, omdat het voor de afscherming van middelen en methodieken niet mogelijk is om openbaar inzicht te geven in welke software de politie gebruikt bij de uitvoering van deze bevoegdheid.

Opsporingsdiensten mogen ten behoeve van het uitvoeren van de bijzondere opsporingsbevoegdheid de hackbevoegdheid inzetten, zoals vastgelegd in artikelen 126nba, 126uba en 126zpa Sv. De uitvoering van deze bevoegdheid is centraal belegd bij een technisch team dat is ondergebracht bij de Landelijke Eenheid van de politie.

De BOB-bevoegdheid is ingezet in opsporingsonderzoeken naar een combinatie van de volgende artikelen: art. 96 lid 2 (handelingen met het oogmerk tot voorbereiding/bevorderen van misdrijven tegen de veiligheid van de staat), 140 (deelneming aan een criminele organisatie), 140a (deelneming aan een terroristische organisatie), 157 (brandstichting/teweegbrengen ontploffing), 170 (vernieling van gebouwen), 177 (omkoping van ambtenaren), 225 (valsheid in geschriften), 227a (niet naar waarheid gegevens verstrekken), 287 (doodslag), 289 (moord), 310/311 (gekwalificeerde diefstal), 317 (afpersing), 326 (oplichting), 328ter (omkoping van anderen dan ambtenaren), 416/417 (gewoonte heling) en 420bis/420ter Sr (gewoonte witwassen). Daarnaast voor overtreding van (een combinatie van) bepaalde artikelen uit de Opiumwet, Wet Wapens en munitie, de wet op het financieel toezicht en de Wet op de economische delicten.

De minister van BZK geeft aan dat art. 45 Wiv 2017 de bijzondere bevoegdheid bevat van het binnendringen van een geautomatiseerd werk. Over de wijze waarop de inlichtingen- en veiligheidsdiensten gebruikmaken van hun wettelijke bevoegdheden kan in het openbaar geen mededeling worden gedaan. Er wordt ook geen antwoord gegeven op de vraag of de AIVD en de MIVD commerciële software hebben ingezet voor de uitvoering van de hackbevoegdheid.

Evaluatie Wet computercriminaliteit III

De Wet computercriminaliteit III wordt door het WODC geëvalueerd. Bij de eerste evaluatie wordt gekeken naar één onderdeel van de wet, namelijk de bevoegdheid tot het heimelijk en op afstand binnendringen en onderzoek doen in een geautomatiseerd werk. Het tweede deel van de evaluatie zal zich richten op de gehele wet, inclusief de bevoegdheid tot binnendringen. Naar verwachting zal het eerste deel van de evaluatie in de zomer 2022 worden afgerond en vlak na de zomer 2022 gepubliceerd.

Cybercrime jurisprudentieoverzicht juli 2022

Hoge Raad acht gegevensverzameling Ennetcom rechtmatig

Op 28 juni 2022 heeft de Hoge Raad een arrest (ECLI:NL:HR:2022:900) gewezen over de rechtmatigheid van de verkrijging van Ennetcom-data en de omgang met deze data in Nederland.

Ennetcom was een Nederlandse dienstverlener voor “pgp” communicatie. Zie in dat kader ook: Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (veroordeling oprichter Ennetcom). Deze dienst maakte het mogelijk om berichten te versturen en te ontvangen op een versleutelde wijze. Voor dit ontvangen en verzenden werd typisch – en ook in de onderhavige zaak – gebruik gemaakt van Blackberry-telefoons die ongeschikt waren gemaakt voor ‘gewoon’ gebruik, in die zin dat er niet mee gebeld, ge-sms’t of gewhatsappt kon worden en er geen foto’s mee konden worden gemaakt (zie HR 8 maart 2022, ECLI:NL:PHR:2022:219, concl. AG Hartveld, r.o. 2.3).

In deze uitgebreide samenvatting (let op: het is geen commentaar of annotatie), ga ik nader op de feitelijkheden, het oordeel van de Hoge Rad over de gegevensverzameling, de uitgebreide overwegingen van het gevolgde advies van AG Harteveld over de verstrekking van Ennetcom-data en het daarop volgende oordeel van de Hoge Raad.

Gegevensverzameling en voorwaarden Canadese rechter

De feiten over de gegevensverzameling worden kort en goed opgesomd in de conclusie van de AG (r.o. 2.5-2.8).

Op 8 april 2016 is aan Canada een rechtshulpverzoek gedaan. Hierbij is een beroep gedaan op het Rechtshulpverdrag dat Nederland en Canada hebben gesloten. Dit verzoek strekte ertoe dat de data op de BES-servers in Toronto zouden worden veiliggesteld door het maken van forensische kopieën van de data op deze servers, en dat alle beschikbare gegevens van deze servers zouden worden overgedragen aan Nederland ten behoeve van nader onderzoek in Nederland. De bevoegdheid die hier naar Nederlands recht aan ten grondslag lag, betrof, althans volgens een zich tussen de stukken bevindende vordering, de doorzoeking ter vastlegging van gegevens als bedoeld in art. 125i Sv.

Op 18 april 2016 – dus één dag na de in deze zaak bewezenverklaarde moord – is het rechtshulpverzoek door de Canadese rechter toegewezen, waarna de volgende dag een doorzoeking heeft plaatsgevonden. Hier zijn, althans opnieuw volgens een zich tussen de stukken van het geding bevindende vordering, zonder tussenkomst van derden door de Canadese politie forensische kopieën van de gevraagde data gemaakt. Tussen deze data bevonden zich niet (alleen) de zogenaamde “keys” om inbeslaggenomen telefoons mee te ontsleutelen, maar ook communicatiegegevens: de inhoud van verstuurde berichten van een grote hoeveelheid gebruikers was opgeslagen op deze servers.

Op 13 september 2016 is door het Ontario Superior Court of Justice een “sending order” uitgevaardigd waarin hij het verzoek tot toezending van de data aan Nederland heeft toegewezen. Uit deze uitspraak blijkt dat in de aanloop naar deze beslissing namens Ennetcom nog bezwaar is aangetekend tegen het verzenden van deze data aan Nederland. Dit bezwaar is door de Canadese rechter gepasseerd. Uit de uitspraak wordt duidelijk dat de Canadese rechter zich realiseert dat de te verzenden data mogelijk een grote hoeveelheid privégegevens van nog onbekend gebleven personen bevatten. Dit leidt ertoe dat hij aan de verzending een aantal voorwaarden verbindt. De gestelde voorwaarden houden onder meer in dat de data in beginsel slechts gebruikt zouden mogen worden bij de berechting van enkele nader genoemde misdrijven en slechts in de vier op dat moment bij de Canadese rechter bekende strafrechtelijke onderzoeken (zie hiervoor onder 2.4).

De Canadese rechter voorzag echter dat het waarschijnlijk zou zijn dat de Ennetcom-data ook in andere Nederlandse strafrechtelijke onderzoeken relevant zou blijken. Voor dergelijke gevallen gelastte hij dat voorafgaand aan gebruik in deze onderzoeken, ter bescherming van de privégegevens van de gebruikers van Ennetcom, steeds voorafgaande toestemming van een Nederlandse rechter (“court”) nodig zou zijn.

Ten behoeve van de onderhavige moordzaak is tweemaal om toestemming gevraagd aan een rechter-commissaris – en deze is ook verkregen, om gebruik te maken van de Ennetcom-data uit Canada (2.9-2.16). Voor het samenstellen van dataset werden andere BlackBerry telefoons gebruikt. De verdachte werd kort na de liquidatie in de nabijheid van de plaats delict aangehouden. Kort na zijn aanhouding werd in een tas twee doorgebroken BlackBerry aangetroffen. Daarnaast werd een telefoon van het slachtoffer in het onderzoek betrokken.

Oordeel gegevensverzameling Hoge Raad

De Hoge Raad acht kortgezegd het verzamelen van de gegevens op basis van een rechtshulpverzoek en met toestemming van een Canadese rechter rechtmatig. Volgens de Hoge Raad mag de officier van justitie ook een machtiging mag vorderen van de rechter-commissaris voor het gebruik van dergelijke gegevens in andere strafrechtelijk onderzoeken. De Hoge Raad verwijst daarbij naar (weliswaar in een enigszins andere context HR 5 april 2022, ECLI:NL:HR:2022:475, r.o. 6.11.3). In de onderhavige zaak betrof het door het OM aanvullen van processtukken, waarbij i.v.m. een voorwaarde zoals gesteld in uitspraak van Canadese rechter, een rechterlijke machtiging diende te worden verkregen voor gebruik van gegevens in een ander onderzoek dan de vier onderzoeken ten behoeve waarvan rechtshulpverzoek aan Canadese rechter.

De Hoge Raad overweegt dat aan Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie; hierna: Richtlijn 2002/58/EG) alleen van toepassing is op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken. In hoger beroep is niet is aangevoerd en ook uit de vaststellingen van het hof niet volgt dat in deze zaak bij het gebruikmaken van de toestellen van Ennetcom en het vastleggen van gegevens op servers in Canada sprake was van zodanige verwerking van persoonsgegevens.

De voeging van “alle Ennetcom-data” als processtuk of het bieden van gelegenheid voor inzage is kortgezegd volgende Hoge Raad ook niet nodig. De Hoge Raad herhaalt in dat kader de overwegingen uit HR:2021:218, met daarin de maatstaf bij de beoordeling van verzoek tot voeging van stukken bij processtukken. De verdediging kan gemotiveerd verzoek doen tot verkrijgen van inzage in specifiek omschreven stukken. Tijdens vooronderzoek kan dergelijk verzoek worden gedaan o.g.v. de in art. 34.2-34.4 Sv geregelde procedure. Na aanvang van onderzoek ter terechtzitting beslist de zittingsrechter of en zo ja, in welke mate en op welke wijze, die inzage kan worden toegestaan.

Overwegingen AG Harteveld over voeging van Ennetcom-data

AG Harteveld overwoog hierover dat “naar Nederlands recht bestaat er zoals bekend geen als zodanig benoemd recht op inzage in of afschrift van ruwe onderzoeksdata. De verdachte kan op de voet van art. 34 Sv de officier van justitie verzoeken om specifiek omschreven stukken bij de processtukken te voegen (lid 1) en daartoe toestemming verzoeken om kennisname van bepaalde stukken (lid 2). De officier van justitie kan dit echter weigeren op de grond dat het geen processtukken zijn, waarvoor getoetst moet worden aan het relevantiecriterium (art. 149a Sv)” (6.3-6.4)

Met betrekking tot relevante EHRM-rechtspraak (met name in de zaken Rook t. Duitsland, Sigurður Einarsson e.a. t. Duitsland), overweegt de AG:

6.12 Uit het voorgaande kunnen naar het mij voorkomt de volgende gezichtspunten worden afgeleid die van belang zijn voor de vraag of de omgang met grote datasets de toets van art. 6 EVRM kan doorstaan. Daarbij is steeds van belang om welk niveau van analyse het gaat.

6.13 Op het eerste niveau gaat het om het onderzoek naar de ruwe, ongefilterde data (de pimaire dataset). Het Europees Hof lijkt de verdediging in beginsel een recht toe te kennen om mee te denken over de wijze waarop die data (de “full collection of data”) wordt onderzocht. In de praktijk kan dit betekenen dat de verdediging zelf trefwoorden kan aandragen waarop zij de data wil laten onderzoeken. In dit stadium mag wat het EHRM betreft echter wel het nodige van de verdediging verwacht worden om te specificeren wat en te motiveren waarom daarnaar gezocht moet worden. Aan verzoeken die neer zouden komen op “fishing expeditions” van de zijde van de verdediging hoeft niet tegemoet te worden gekomen. Ook schrijft het EHRM niet voor dat de verdediging dit onderzoek zelf zou moeten kunnen uitvoeren. De mogelijkheid om aan te geven hoe de data onderzocht moeten worden is in deze fase voldoende. Overigens lijkt mij dat, indien de primaire dataset door bijvoorbeeld het OM reeds is onderzocht op een moment dat de verdediging hier nog bij betrokken kon worden, niets eraan in de weg staat dat dit later wordt ingehaald, in die zin dat de verdediging dan op een later moment alsnog de gelegenheid wordt geboden om dit onderzoek te (laten) doen.

6.14. Op het tweede niveau gaat het om nader onderzoek naar de resultaten van het hierboven bedoelde initiële onderzoek. Dus om de “hits” die het resultaat zijn van het doorzoeken van de data aan de hand van zoektermen (de secundaire dataset). De aldus verworven dataset zal in de regel resultaten bevatten die lang niet allemaal relevant zijn voor de zaak en kan alsnog een grote, moeilijk overzienbare hoeveelheid data bevatten. Het EHRM constateert nochtans dat de verdediging op enige wijze de mogelijkheid moet worden geboden tot het nader (laten) onderzoeken van deze data en dat “any refusal to allow the defence to have further searches of the “tagged” documents carried out would in principle raise an issue under Article 6 § 3(b) with regard to the provision of adequate facilities for the preparation of the defence.” Hoe ernstig dit “issue” zou zijn en in hoeverre dit vatbaar is voor compensatie specificeert het hof niet. Uit de rest van de uitspraak leidt ik in elk geval wel af dat ook in deze fase nog de nodige inspanningen van de verdediging verwacht mogen worden om duidelijk te maken wat zij wil onderzoeken en waarom zij dit wil. Ook valt uit het feit dat het hof redeneert dat er in de zaak Sigurður Einarsson tegen IJsland niet genoeg redenen waren om de verdediging geen toegang te verlenen tot de secundaire dataset (“tagged documents”) op te maken dat die redenen er in andere situaties wel kunnen zijn. Het recht op toegang tot de “tagged” data is dus niet absoluut. Beperkingen aan de toegang, bijvoorbeeld op grond van privacy van andere betrokkenen, blijven in deze fase dus toelaatbaar, maar zullen wel beter uitgelegd moeten worden.

6.15. In de uitspraken van het EHRM klinkt voorts door dat het in deze fase eerder in de rede ligt dat de verdediging in staat wordt gesteld om zelf onderzoek naar de data te (laten) doen. De eis wordt echter niet gesteld dat de verdediging fysiek de beschikking krijgt over de “tagged” datasets, bijvoorbeeld in de vorm van afschrift of digitale kopieën. Wanneer de verdediging de mogelijkheid krijgt tot het doen van onderzoek op bijvoorbeeld het politiebureau of – zoals in Nederland de praktijk lijkt te zijn – bij het NFI, is dat in beginsel voldoende, mits de verdediging maar voldoende tijd krijgt dit onderzoek adequaat te verrichten. Wat precies voldoende tijd is lijkt me af te hangen van de omstandigheden van het geval en dus niet in algemene zin te zeggen, al geeft de beoordeling in de zaak Rook tegen Duitsland wel enig houvast. Wel lijkt uit de rechtspraak van het EHRM te kunnen worden afgeleid dat de verdediging een effectieve mogelijkheid tot het onderzoeken moet worden geboden, waaruit dan weer volgt dat – zoals ook in Nederland gebruik lijkt te zijn – de verdediging gebruik moet kunnen maken van software die geschikt is om de data te onderzoeken. Naar Nederlands recht zou een verzoek tot inzage in en de mogelijkheid tot het doen van onderzoek aan de secundaire dataset kunnen worden ingekleed als een verzoek als bedoeld in art. 34 lid 2 Sv.

6.16. Op het derde niveau gaat het om de dataset die het gevolg is van onderzoek op het tweede niveau. Het betreft dus de data die, na een tweede (al dan niet handmatige) selectie als relevant zijn aangemerkt: de tertiaire dataset. Het gaat hier dus in wezen om de selectie van de data die gevoegd zullen worden bij de processtukken. Deze selectie zal in Nederland in de regel onder verantwoordelijkheid van het officier van justitie geschieden – hij draagt in elk geval de verantwoordelijkheid voor de samenstelling van de processtukken (art. 149a lid 1 Sv) – al heeft de verdediging op de voet van art. 34 lid 1 Sv de mogelijkheid om te verzoeken om voeging van stukken, bijvoorbeeld indien de relevantie hiervan uit het hiervoor bedoelde eigen onderzoek is gebleken. De kennisneming van de data die tot de processtukken gaan behoren kan – behoudens de mogelijkheid van art. 149b of onder uitzonderlijke omstandigheden art. 8 EVRM – niet anders dan tijdelijk (vgl. art. 30 Sv) aan de verdachte en de zittingsrechter worden onthouden. De verdachte kan van deze stukken in beginsel tevens afschrift ontvangen (art. 32 Sv).

6.17. Wanneer ik het voorgaande toepas op de onderhavige zaak leidt dit tot de volgende conclusies. Voor zover het middel rust op de opvatting dat de verdediging het recht zou hebben op kennisneming of zelfs verstrekking van alle Ennetcom-data (de primaire dataset) kan het gelet op het onder 6.13 overwogene niet slagen. Uit hetgeen ter zitting is aangevoerd (zie hiervoor onder 2.16) blijkt voorts niet dat de verdediging op enige wijze heeft gespecificeerd en gemotiveerd wat het in de primaire dataset onderzocht wilde hebben. Het hof hoefde hier dus ook niet nader op te reageren.

Oordeel Hoge Raad

De Hoge Raad overweegt dat het Hof Arnhem-Leeuwarden (ECLI:NL:GHARL:2021:1917) in deze zaak het verzoek afgewezen omdat noodzaak daarvan niet is gebleken. Daarin ligt het oordeel besloten dat deze stukken redelijkerwijs niet van belang kunnen zijn voor de door zittingsrechter te nemen beslissingen. Het Hof heeft hieraan ten grondslag gelegd dat:

  • door verdediging niet is aangevoerd dat de door OM verstrekte stukken onjuist zijn of zodanig onvolledig zijn dat hof niet in staat is vragen genoemd in art. 348 en 350 Sv goed te beantwoorden;
  • door verdediging niet is gemotiveerd dat en, zo ja, waarom sprake zou zijn van onjuistheden of onvolledigheden die betrouwbaarheid van waarheidsvinding in twijfel trekken; en
  • door verdediging geen aanwijzingen zijn genoemd of anderszins zijn gebleken dat enige informatie onrechtmatig is verkregen.

Op grond van dit een en ander heeft het hof kennelijk ook geen aanleiding gezien de verdediging inzage te geven in de verzochte stukken en daarom dat verzoek afgewezen. Voor de afwijzing van dit laatste verzoek is bovendien van belang dat het hof, naar aanleiding van het verweer dat de PGP-gesprekken (die deel uitmaken van de in deze strafzaak wel gevoegde Ennetcom-data) van het bewijs moeten worden uitgesloten, heeft overwogen dat de inhoud van de PGP-gesprekken op een groot aantal onderdelen overeenkomt met en dus bevestiging vindt in de inhoud van andere bewijsmiddelen, dat die gesprekken “de nog ontbrekende puzzelstukjes” opleveren in die zin dat de nieuwe informatie uit die gesprekken past en aansluit bij de al bekende informatie en dat uit de stukken van de zaak blijkt op welke wijze de politie de identiteit van de personen die deelnemen aan de PGP-gesprekken heeft vastgesteld (r.o. 4.5).

Het oordeel van het Hof berust niet op onjuiste rechtsopvatting en is niet onbegrijpelijk (met andere woorden: is juist). Het beroep wordt verworpen.

Hoge Raad: Instagram-account is geen zaak of vermogensrecht

In een arrest (ECLI:NL:HR:2022:687) van 24 mei 2022 oordeelt de Hoge Raad dat een Instagram-account geen ‘voorwerp’ is dat vatbaar is voor verbeurdverklaring.

Uit de wetsgeschiedenis volgt dat slechts zaken en vermogensrechten als voor verbeurdverklaring vatbare ‘voorwerpen’ kunnen worden aangemerkt (r.o. 2.5). Het oordeel van de rechtbank dat een Instagram-account niet als een zaak of vermogensrecht kan worden aangemerkt vindt de Hoge Raad juridisch juist. Dat virtuele objecten die – kort gezegd – waarde vertegenwoordigen en overdraagbaar zijn onder omstandigheden wel als zo’n voorwerp zouden kunnen worden aangemerkt, maakt dat niet anders. De met het aanmaken van een persoonsgebonden Instagram-account geopende mogelijkheid voor de gebruiker om via een site of app beelden of andere gegevens uit te wisselen, is niet met dergelijke objecten gelijk te stellen (r.o. 2.6).

In deze samenvatting ga ik nog iets uitgebreider in op de feitelijkheden en de conclusie van AG Harteveld.

Feitelijkheden en ‘accountovername’ door de Belastingdienst

De klaagster wordt ervan verdacht dat zij via deze Instagram-accounts (valse) merkkleding zou verkopen, dan wel deze accounts zou gebruiken om mensen naar Whatsapp-groepen en andere accounts te leiden waar deze goederen werden aangeboden. In de conclusie van AG Hartveld (ECLI:NL:PHR:2022:218) is overigens te lezen dat namens de Belastingdienst werd bevestigd dat de accounts waren “overgenomen”. In deze zaak is de telefoon van de klaagster doorzocht, waarbij onder meer is gezocht naar de aanwezigheid van foto’s en lijsten van vervalste merkkleding en Whatsapp-gesprekken met potentiële afnemers. Vervolgens was het eveneens mogelijk om – via deze telefoon – toegang tot het beheer van haar Instagram-accounts te verkrijgen. Ruim twee weken later is de inbeslagneming door het OM aan Facebook (thans: Meta) per e-mail toegelicht. In deze e-mail wordt als juridische basis gewezen op onder meer art. 94 Sv in verbinding met art. 125j Sv. Daarin wordt benadrukt dat geen sprake is geweest van ‘hacking’ maar van vrijwillige toestemming (‘voluntary consent’) van de rechthebbende. Na de inbeslagname wilde het OM de accounts verbeurdverklaren, omdat sprake is geweest van strafbare feiten die zijn gepleegd met behulp van deze accounts.

Een zaak?

In de conclusie beargumenteerd AG Harteveld waarom geen sprake is van een zaak of vermogensrecht. Zaken zijn volgens art. 3:2 BW voor menselijke beheersing vatbare stoffelijke objecten. Volgens de AG is het ‘evident’ dat een gebruiksrecht op een Instagram-account geen voor menselijke beheersing vatbaar stoffelijk object is en dus geen zaak in de zin van art. 3:2 BW (r.o. 3.29).

Een vermogensrecht?

De AG gaat er ook uitgebreid op in waarom een Instagram-account geen vermogensrecht is (r.o. 3.28-3.41). Volgens art. 3:6 BW zijn vermogensrechten rechten die, hetzij afzonderlijk hetzij tezamen met een ander recht, overdraagbaar zijn, of ertoe strekken rechthebbende stoffelijk voordeel te verschaffen, ofwel verkregen zijn in ruil voor verstrekt of in het vooruitzicht gesteld stoffelijk voordeel (vgl. HR:2019:1909). De AG overweegt dat ‘aangezien een gebruiksrecht op een Instagram-account geen vorderingsrecht is (noch een beperkt recht), terwijl de wet evenmin iets bepaalt over de overdraagbaarheid van Instagram-accounts, zou zo’n recht slechts overdraagbaar zijn indien deze accounts vatbaar zijn voor eigendom. Omdat een Instagram-account geen zaak is, is eigendom evenwel niet mogelijk (zie art. 5:1 BW).

Het kan ook niet worden gekwalificeerd als een recht dat ertoe strekt de rechthebbende voordeel te verstrekken. Hoewel het op tal van manieren mogelijk is om geld te verdienen met behulp een Instagram-account vloeit dit voordeel niet, althans niet rechtstreeks, voort uit het gebruiksrecht. Hiervoor is het immers nodig dat de gebruiker aanvullende actie onderneemt die los staat van de verbintenis met Instagram, bijvoorbeeld door overeenkomsten met derden te sluiten. Voor zover dus gesproken kan worden van “voordeel” aan de zijde van de gebruiker, is volgens de AG doorgaans het gevolg van de nevenwerking van het gebruiksrecht. Dit is in het algemeen onvoldoende om van een vermogensrecht te kunnen spreken.

Het zijn volgens de AG ook geen ‘rechten die verkregen zijn in ruil voor verstrekt of in het vooruitzicht gesteld voordeel’. Hij overweegt dat gebruikers Instagram niet betalen Instagram in ruil voor een Instagram account, maar zij verstrekken (in plaats daarvan) informatie over zichzelf. Zo krijgt Instagram de mogelijkheid om gericht te (laten) adverteren. Ten slotte over de vraag of het gebruiksrecht op een account ‘op geld waardeerbaar is’, overweegt de AG in r.o. 3.39 het volgende:

“Vóór de gedachte dat gebruiksrechten op Instagram-accounts op geld waardeerbaar zijn spreekt het argument dat de (aanzienlijke) hoeveelheid “volgers” dat aan een account kleeft een zekere waarde vertegenwoordigt omdat het van betekenis is voor de commerciële potentie van het account. Daar staat echter tegenover dat die volgers moeilijk los gezien kunnen worden van de rechthebbende op het account, degene die wordt “gevolgd”. Zonder die persoon (of in het geval van een professioneel account: de professionele entiteit) verliest een gebruiksrecht op een account naar het mij voorkomt in elk geval een groot deel van zijn waarde.

Voor zover het loutere verzamelen van (een aanzienlijke hoeveelheid) volgers al een zekere waarde zou vertegenwoordigen, die zou uitstijgen boven de waarde die samenhangt met de gebruiker van het account, vertoont die waarde een sterke gelijkenis met goodwill. Over goodwill bestaat in de literatuur consensus dat dit niet als vermogensrecht kan worden aangemerkt”

Virtuele objecten kunnen wel zaken zijn

De Hoge Raad sluit hierbij in het arrest op aan. Dat virtuele objecten die waarde vertegenwoordigen en overdraagbaar zijn onder omstandigheden wel als zo’n voorwerp zouden kunnen worden aangemerkt (zie o.a. het Runescape-arrest (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251)), maakt dat niet anders (r.o. 2.6).

Alternatieven naast verbeurdverklaring

Ten slotte wijst de AG er in conclusie nog op de wet andere mogelijkheden biedt om accounts op sociale media – of daarop gedeelde informatie – ontoegankelijk te maken dan wel te laten vernietigen. Daarbij kan gedacht worden aan een beroep op de ‘Gedragscode notice-and-take-down’ en artikel 126o en 126p Sv. Voor deze laatste bevoegdheid tot een ontoegankelijkheidsmaking is ook een machtiging van een rechter-commissaris is vereist.

Wijzigen van saldo cadeaukaart is geen computervredebreuk

De rechtbank Noord-Holland heeft op 28 juni 2022 een verdachte vrijgesproken (ECLI:NL:RBNHO:2022:5561) van computervredebreuk, maar veroordeeld voor diefstal en oplichting. De verdachte krijgt een gevangenisstraf opgelegd van 30 dagen, waarvan 27 dagen voorwaardelijk en een proeftijd van 1 jaar. De overwegingen omtrent computervredebreuk en diefstal met de vraag of de voucher een ‘goed’ is, zijn lezenwaardig.  

De verdachte heeft op 27 december 2018 samen met de medeverdachte ontdekt dat de cadeaukaartcodes die zij van Albert Heijn kregen te dupliceren waren. Dat was mogelijk door tegelijk dezelfde code op meerdere apparaten of meerdere openstaande tabbladen naar de website te sturen en zo tegelijk meerdere vouchers te verkrijgen. Op sommige momenten lukte het om zo met één code tien vouchers te krijgen. De medeverdachte heeft van twee collega’s cadeaukaarten overgekocht om dit te kunnen doen.

Kort daarna ontdekten zij dat met een ‘brute force attack’ op het tekstveld van de website, waarbij door een programma willekeurige cijfercombinaties worden geprobeerd, cadeaukaartcodes gevonden konden worden, waarmee de website kon worden benaderd. Deze brute force attack hebben zij aanvankelijk uitgevoerd met het programma ‘Burp Suite’. Na ontdekking is de medeverdachte ontslagen bij Albert Heijn.

Als reactie op de brute force attacks is de website verder beveiligd met onder meer een blokkade van IP-adressen die meerdere keren werden gebruikt en een tweestapsverificatie. Daarbij moest een telefoonnummer worden ingevoerd waar een code naartoe werd gestuurd die weer op de website moest worden ingevoerd. De verdachte en de medeverdachte zijn in de loop van februari en maart 2019 op zoek gegaan naar manieren om deze beveiligingen te omzeilen. De verdachte heeft een PHP-script geschreven om brute force attacks uit te kunnen blijven voeren. Hierbij hadden zij de beschikking over 10.000 verschillende IP-adressen. Daarnaast hebben ze gebruik gemaakt van een grote hoeveelheid verschillende simkaarten. In totaal zijn 700 vouchers verzilverd ter waarde van ongeveer € 17.500,-.

De rechtbank overweegt of sprake is van computervredebreuk. Zij gaat er daarbij vanuit dat de ‘activiteiten op een actieve website’ activiteiten op de achterliggende server impliceren. Bij de overweging of sprake is van (wederrechtelijk) binnendringen, stelt de rechtbank allereerst vast dat geen sprake is geweest van de in de tenlastelegging omschreven feitelijke gedraging “inloggen dan wel toegang verkrijgen tot de website door middel van codes”. Uit het dossier blijkt dat de website van Albert Heijn vrij toegankelijk was; er hoefde niet ingelogd te worden. Nadat men op de website een voucher had uitgezocht, hoefde pas een code ingevoerd te worden. Er zijn onvoldoende aanknopingspunten in het dossier die houvast bieden voor de vaststelling dat zij toegang hebben verkregen tot het geautomatiseerde werk met de daarop opgeslagen afgeschermde gegevens. Er is weliswaar sprake geweest van het gebruik van een valse sleutel, als bedoeld in art. 138ab lid 1 Sr, maar de strafbepaling kan volgens de rechtbank niet zo worden gelezen dat deze handelwijze als zodanig reeds het zich verschaffen van toegang oplevert.

Ten aanzien van het betoog van de verdediging dat een voucher geen goed is als bedoeld in art. 310 Sr, overweegt de rechtbank als volgt. Onder het begrip ‘goed’ valt elk goed dat vatbaar is om voor de bezitter (economische of anderszins) waarde te hebben. Dit kunnen ook niet-stoffelijke objecten zijn, als het gaat om een object dat naar zijn aard geschikt is om aan de beschikkingsmacht van een ander te worden onttrokken. Het begrip ‘beschikkingsmacht’ wordt in de jurisprudentie onder meer geduid als het hebben van ‘feitelijke en exclusieve heerschappij’ over het goed (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251 (Runescape)).

De digitale aard van de voucher, bestaande uit een reeks cijfers, staat er op zichzelf niet aan in de weg om het aan te merken als goed. Een voucher vertegenwoordigt een concreet vastgestelde economische waarde en is daarnaast overdraagbaar. Ook behoorden de vouchers toe aan Ahold Delhaize of al aan diens werknemers. De rechtbank overweegt dat om van diefstal te kunnen spreken, is niet noodzakelijk dat vaststaat aan wie een goed toebehoorde, maar dát het aan iemand toebehoorde. De rechtbank concludeert dat sprake is van diefstal, omdat de verdachte en/of één van zijn medeverdachten actief een aantal handelingen heeft verricht, die ‘de grondtrekken hebben van winkelen in een virtuele winkel’. De feitelijke en exclusieve heerschappij van de voucher is hiermee overgegaan naar de verdachte en/of zijn medeverdachten. De rechtbank is dan ook van oordeel dat de verdachte, tezamen en in vereniging met zijn medeverdachte(n), de vouchers heeft weggenomen.

Over het strafbaar stellen van spionage

Vorige week is een interview met mij (‘Q&A met hoogleraar Jan-Jaap Oerlemans‘) verschenen over de plannen van het kabinet om ‘spionage strafbaar te stellen’.

In het interview geef ik aan dat veel delicten al van toepassing kunnen zijn op de situatie dat een persoon gegevens verstrekt aan een ander persoon (mogelijk een inlichtingenofficier van een andere staat).

Daarbij kan je denken computerdelicten die van toepassing kunnen zijn bij het verzamelen van die gegevens, zoals computervredebreuk (art. 138ab Sr) en – met name ook – het verspreiden van niet-openbare gegevens (artikel 138c Sr). Dat laatste artikel is nog tamelijk recent ingevoerd met de inwerkingtreding van de Wet computercriminaliteit III op 1 maart 2019.

Ook kan je denken aan de huidige bepalingen met betrekking tot het openbaren van staatsgeheimen (artikel 98 Sr e.v.), ambtelijke omkoping (artikel 272 Sr) of het openbaren van bedrijfsgeheimen (artikel 273 Sr).

Gezien deze bepalingen is het belangrijk dat de minister van Justitie & Veiligheid goed uitlegt waarom de wetswijzigingen noodzakelijk zijn. Op het eerste gezicht zie ik de noodzaak niet zo, behalve dat gedacht kan worden aan hogere maximale gevangenisstraffen, omdat het dan eenvoudiger wordt bepaalde bijzondere opsporingsbevoegdheden in te zetten.

In het interview gaf ik aan dat het belangrijk is dat het openbaar ministerie in de beslissing om te vervolgen in oogmerking moet nemen of er sprake is van een klokkenluidersituatie en of het in het belang van Nederland is om vervolging in te stellen, of dat het bijvoorbeeld beter is een buitenlandse spion het land uit te zetten.

== UPDATE ==

Op 28 februari 2022 is het wetsvoorstel en de memorie van toelichting op internetconsultatie.nl verschenen (tot en met 25 april 2022 kan men reageren).

Mijn eerste indruk: in het wetsvoorstel komen enkele nieuwe strafbaarstellingen die strafbaar stellen: ‘het verrichten van handelingen voor een buitenlandse mogendheid of inlichtingen of een voorwerp te verstrekken’, als de verdachte weet dat

daarvan gevaar is te duchten voor de veiligheid van de staat, van zijn bondgenoten of van een volkenrechtelijke organisatie, voor de vitale infrastructuur, voor de integriteit en exclusiviteit van hoogwaardige technologieën, of voor de veiligheid van een of meer personen.

De ratio van het conceptwetsvoorstel is dat ‘het strafrecht op dit moment nog onvoldoende mogelijkheden biedt om op te treden tegen spionageactiviteiten waarbij geen sprake is van een schending van (staats-, ambts- of bedrijfs-) geheimen, maar die wel de Nederlandse belangen ernstig schaden, of waarbij andere schadelijke handelingen worden verricht dan het verstrekken van informatie’. De voorgenomen wetswijzigingen zijn ook van belang om de Nederlandse strafwetgeving op een gelijkwaardig niveau te houden met de wetgeving in andere Europese landen.

Ook wordt een strafverzwaring geïntroduceerd als computerdelicten worden gepleegd met – eenvoudig gezegd – het oogmerk van spionage. Het gaat daarbij in het bijzonder om aanpassingen van het delict over het overnemen van niet-openbare gegevens (artikel 138b Sr) en het overnemen van gegevens na computervredebreuk (artikel 138ab Sr).

Ik ga het conceptwetsvoorstel uiteraard verder bestuderen, maar ik ben benieuwd wat anderen ervan vinden. Dus een mail of een comment is altijd welkom!

Overzicht cryptophone-operaties

Zo’n drie jaar geleden, in november 2018, verscheen het eerste persbericht op OM.nl over het veiligstellen van berichten die zijn verstuurd met ‘cryptotelefoons’ (ook wel ‘PGP-telefoons’ genoemd).

De beschikbare informatie over de operaties die zich richten op het veiligstellen van de berichten die via de apps zijn verstuurd heb ik in de afgelopen maanden de volgende blogberichten hieronder op een rijtje gezet.

  1. Ennetcom (2016)
  2. PGP Safe (2017)
  3. Ironchat (2017)
  4. EncroChat (2020)
  5. Sky ECC (2020)

Waarom een overzicht?

Anno 2021 zijn er al meer dan 200 uitspraken beschikbaar op rechtspraak.nl met veroordelingen van criminelen, waarbij bewijs uit de cryptotelefoons een belangrijke rol speelt. In de media worden de berichten ook wel een ‘goudmijn aan bewijs’ genoemd en de gegevens vormen een game changer voor de politie. Strafrechtadvocaten trekken vaak de rechtmatigheid van de operaties in twijfel, maar vooralsnog lijkt de verdediging bot te vangen.

De operaties zijn blijkbaar bijzonder belangrijk voor de strafrechtpraktijk en toch is er relatief weinig bekend over de operaties. Ook geniet het nog vrij weinig aandacht van strafrechtwetenschappers.

De grote hoeveelheid jurisprudentie en onduidelijkheid over de ‘wat’, ‘wanneer’ en ‘hoe’-vragen vormde voor mij aanleiding een overzicht te maken (ook voor mijzelf voor toekomstige publicaties). Daarbij heb ik mij gebaseerd op persberichten van het OM, de politie en rechtspraak.

Wat en wanneer

  1. Ennetcom (2016)

Leverancier van cryptotelefoons met apps op een Blackberry telefoon. Oprichters van het bedrijf zijn uiteindelijk veroordeeld voor deelname aan een criminele organisatie, gewoontewitwassen en medeplegen van valsheid in geschrifte. Tijdens de operatie zijn 3,6 miljoen berichten veiliggesteld.

Leverancier van cryptotelefoons met apps op Android en Blackberry toestellen. Oprichters bedrijf worden verdacht van onder meer witwassen, overtreding van de Telecommunicatiewet en valsheid in geschrifte. Tijdens de operatie zijn 700.000 berichten veiliggesteld.

Leverancier van Wileyfox-telefoons met Ironchat-app er op. Onderzoek gericht op de oprichters van het bedrijf (verdenkingen nog onduidelijk). Tijdens de operatie zijn 258.000 berichten veiliggesteld.

Leverancier van cryptotelefoons met EncroChat (en andere Encro) apps. Redelijk vermoeden dat Encro en de gebruikers zich in georganiseerd verband schuldig maakten aan witwassen, deelname aan criminele organisaties, etc. Tijdens de operatie zijn 25 miljoen berichten veiliggesteld.  

Leverancier van cryptotelefoons met Sky ECC app. Sky ECC en de daaraan gelieerde (natuurlijke) personen verdacht van deelname aan een criminele organisatie en (gewoonte)witwassen.  Tijdens de operatie zijn honderden miljoenen berichten veiliggesteld.  

Hoe

1.      Ennetcom (2016)
Via een rechtshulpverzoek aan Canada, met machtiging van een Canadese rechter. NL grondslag: 125i Sv. Canadese rechter verbond voorwaarden aan verstrekking en gebruik van gegevens aan Nederlandse opsporingsinstanties.  
 
2.      PGP Safe (2017)
Via een rechtshulpverzoek aan Costa Rica, met assistentie van Nederlandse politie. Machtiging voor bevel tot binnentreden, de doorzoeking en de beslaglegging afgegeven door het Gerecht in Strafzaken van het Eerste District San Jose. Aan de verstrekking van de veilig gestelde gegevens zijn geen beperkingen aan Nederland opgelegd.
 
3.      Ironchat (2017)
Via Europees Opsporingsbevel aan het Verenigd Koninkrijk en verstrekking van een kopie van de server (een image). Parallel onderzoek voor VK-autoriteiten. Zij hebben gegevens verstrekt aan Nederland, zonder beperkingen. Grondslag strafvordering voor operatie onduidelijk.
 
4.      EncroChat (2020)
Via JIT. Franse autoriteiten verzamelden gegevens met inzet “interceptietool”.  Extra machtiging voor inzet hackbevoegdheid (126uba Sv) op verdachten met verdenking van betrokkenheid/beramen van het plegen van misdrijven in georganiseerd verband. Beperkingen en vereisten aan onderzoek opgelegd door Nederlandse rechter-commissaris in een machtiging voor het onderzoeken van gegevens van Nederlandse ingezetenen.
 
5.      Sky ECC (2020)
Via JIT. Franse autoriteiten vergaren gegevens met inzet “interceptietool”. Door Nederlandse opsporingsambtenaren is technische expertise en/of bijstand geleverd met betrekking tot de ontwikkeling en plaatsing van de tool. De in Frankrijk vergaarde informatie is aanvankelijk vrijwillig op basis van artikel 26 van het Cybercrimeverdrag gedeeld met het Nederlandse Openbaar Ministerie. Later zijn ook machtigingen Nederlandse rechter-commissaris verleend. De vorderingen en machtigingen zagen op de toepassing van de artikelen 126t lid 1 en 126t lid 6 Sv (onderzoek communicatie door middel van een geautomatiseerd werk bij georganiseerde criminaliteit) en later ook op aanvullende, ondersteunende vorderingen op de voet van artikel 126uba Sv (hackbevoegdheid bij verdenking betrokkenheid beramen/plegen misdrijven in georganiseerd verband).

Meer duidelijkheid over Ironchat-operatie

Op 6 november 2018 maakte het Openbaar Ministerie bekend dat de politie Oost-Nederland en het Openbaar Ministerie (OM) er in 2017 waren geslaagd de versleutelde chatapplicatie ‘Ironchat’ te ontsleutelen. In het persbericht is de lezen:

“Dankzij deze operatie hebben politie en Openbaar Ministerie een goede informatiepositie gekregen. Er zijn ruim 258.000 chatberichten meegelezen en dat levert veel informatie op. Deze informatie kan leiden tot beslissende doorbraken in lopende onderzoeken. Ook kunnen de gegevens worden gebruikt om nieuwe strafrechtelijke onderzoeken op te starten. Op deze manier is er bewijs in lopende onderzoeken verkregen en kunnen nieuwe criminele activiteiten gestopt worden.”

Ironchat betrof een applicatie die stond op zogenoemde ‘cryptotelefoons’ of ‘PGP-telefoons’, waarbij PGP staat voor de versleutelingstechniek ‘Pretty Good Privacy’.

Rechtspraak

In 2020 is er enige rechtspraak op rechtspraak.nl gepubliceerd waar het verloop van de Ironchat-operatie wordt toegelicht (zie ECLI:NL:RBOVE:2020:1563, ECLI:NL:RBOVE:2020:1587, ECLI:NL:RBOVE:2020:1558, ECLI:NL:RBOVE:2020:1592). De rechtbank Overijssel heeft op 23 april 2020 in die uitspraken zes verdachten veroordeeld voor ernstige misdrijven, waarbij gebruik is gemaakt van de chatberichten. Na onderzoek van de gegevens die zijn veilig gesteld in de Ironchat-operatie kwamen er een aantal mensen naar voren kwam die ‘via bepaalde Ironchataccounts met elkaar chatte over – kort gezegd – de bereiding en het voorhanden hebben van, de handel in en de export van harddrugs. Daarnaast werd gechat over het voorbereiden van een aanslag op personen en panden (mogelijk) gelieerd aan een voormalige motorclub. Vervolgens is in het TGO (Team Grootschalige Opsporing) onderzoek naar deze strafbare feiten verricht’.

Voor de bewijsvoering komt het in belangrijke mate aan op de inhoud van de ter beschikking gekomen chatberichten. Er werd gebruik gemaakt van telefoons van met name het merk ‘Wileyfox’ en laptops waarop de applicatie Ironchat was geïnstalleerd.

Onderzoek richting leverancier en applicatie Ironchat

In de uitspraken is te lezen dat het opsporingsonderzoek ‘Orwell’ zich concentreerde zich op de verdenking tegen het bedrijf dat leverancier van de cryptotelefoons genoemd en een chatapplicatie met de naam Ironchat. De server waarvan gebruik werd gemaakt stond in het Verenigd Koninkrijk, bij een (geanonimiseerd) bedrijf. In het onderzoek Orwell verkreeg het OM met een Europees Opsporingsbevel (EOB) van de Britse autoriteiten een kopie van de inhoud van die server, een zogenoemde ‘image’. De Nederlandse politie onderzocht de inhoud daarvan.

De Engelse autoriteiten besloten daarnaast een eigen onderzoek te starten naar de communicatie die werd gevoerd over de zich in hun land bevindende server. De rechtbank overweegt dat zij ‘naar eigen recht, op basis van eigen bevoegdheden en met medeweten van een ander bedrijf’ (JJO: de hosting provider neem ik aan?), ‘de chatberichten onderschept, ontsleuteld en vervolgens die chatberichten heeft doorgeleid naar de Nederlandse autoriteiten’. De Britse autoriteiten hebben toestemming gegeven voor het gebruik daarvan in opsporingsonderzoeken in Nederland. Die chatberichten maken deel uit van het dossier in een ander opsporingsonderzoek (‘Metaal’ genoemd).

De rechtbank overweegt dat ‘voldoende duidelijk is op welke wijze de inhoud van de chatgesprekken is verkregen. Er is niet gebleken van enig vormverzuim. Het verweer wordt verworpen. De officier van justitie is ontvankelijk in de vervolging’.

Nederlands onderzoek naar crimineel verband dat gebruik maakte van de telefoons

De verdachten in de genoemde zaken worden veroordeeld, mede op basis van het bewijs dat is verzameld binnen het opsporingsonderzoek ‘Goliath’. In dat onderzoek richtte de politie en het Openbaar Ministerie zich ‘op het georganiseerde verband dat gebruik maakte van de diensten van het Nederlandse bedrijf dat PGP-telefoons leverde, waarbij allereerst het identificeren van onbekende (NN) personen die Ironchat gebruikten van belang werd geacht’.