Cybersecuritybeeld Nederland 2021 en rapport hackbevoegdheid Inspectie J&V

Cyber Security Beeld Nederland 2021

Op 29 juni 2021 is het nieuwe Cybersecuritybeeld Nederland 2021 (.pdf) verschenen. Dit bericht vat de belangrijkste informatie uit het rapport samen met betrekking digitale spionage en ransomware.  

In verband met de COVID-pandemie is er sprake is van een wereldwijd toegenomen digitale spionagedreiging richting de farmaceutische en medische industrie en onderzoekscentra die geneesmiddelen, antistoffen of vaccins ontwikkelen in relatie tot COVID-19. Nederlandse bedrijven en onderzoeksinstellingen die betrokken zijn bij de preventie en bestrijding van COVID-19 zijn een waarschijnlijk doelwit van deze digitale spionage. Voorzichtiger staat in het rapport geformuleerd ‘dat het mogelijk is’ dat Nederlandse overheidsinstanties die de preventie en bestrijding van COVID-19 coördineren slachtoffer worden van digitale spionage. En dat het mogelijk is dat digitale aanvallen uitgevoerd worden op (centrale) databases waarin, in het kader van COVID-19, persoonsgegevens van Nederlanders worden opgeslagen. Met betrekking tot de motieven van statelijke actoren, gaat het voor een belangrijk deel om het behartigen van binnenlandse politieke en veiligheidsbelangen, zoals het bestrijden van dissidenten die in het buitenland wonen en het streven naar het behoud van de status quo in het herkomstland: inclusief de bestaande statelijke structuur, rol en positie van het staatshoofd en rol en positie van de onderdanen (in zowel binnen- als buitenland). Ook spelen financieel-economische motieven een rol, zoals het behoud van inkomsten vanuit de diaspora (bevolkingsgroepen die buiten het land van herkomst wonen), die investeringen doet (zoals de aankoop van onroerend goed) en financiële ondersteuning biedt aan achtergebleven familie. Volgens het rapport is ook het aandeel ‘groot’ met betrekking tot economische spionage, waarmee statelijke actoren bijvoorbeeld beogen de eigen concurrentiepositie te verbeteren of hoogwaardige kennis en technologie te bemachtigen zonder zelf de kosten voor research en development te maken. “Exemplarisch” is volgens het rapport is de Chinese economische spionage, die zich vooral richt op technologiediefstal en voorkennis inzake voorgenomen investeringen. Ten slotte gaat het ook om het versterken van de strategisch-militaire positie ten opzichte van andere staten en het verkrijgen van politieke informatie over regeringsstandpunten en besluitvorming van andere staten en het beïnvloeden van politiek-bestuurlijke processen in andere staten. Door impliciet of expliciet te dreigen met verstoring of sabotage kan een actor economische, politieke, diplomatieke of militaire invloed uitoefenen op zijn doelwit.

Zie ook het onderstaande schema uit het rapport:

Over de SolarWinds hack rapporteert het NCSC wel dat in december 2020 bekend werd dat aanvallers een kwetsbaarheid hadden aangebracht in een update van Orion-software van SolarWinds. Dit bedrijf maakt softwareprogramma’s voor overheidsinstanties en grote bedrijven om ICT-omgevingen te monitoren en beheren. Volgens SolarWinds heeft de opzettelijk gecreëerde kwetsbaarheid als achterliggend doel de systemen van de afnemers van de betreffende versie van SolarWinds Orion te compromitteren. Bij verschillende Amerikaanse overheidsinstanties is de kwetsbaarheid ook daadwerkelijk misbruikt. Meerdere cybersecuritybedrijven en techbedrijven die wereldwijd klanten hebben, zoals FireEye, Mimecast en Microsoft, hebben aangegeven gecompromitteerd te zijn via de kwetsbare versie van Orion. Microsoft stelde dat het de aanvallers waarschijnlijk uiteindelijk te doen was om toegang tot clouddiensten van de organisaties die doelwit waren. Experts gaan uit van spionage als motief. Ook in Nederland is de kwetsbare versie van SolarWinds aangetroffen, onder andere binnen de overheid en de vitale processen. Er is door het NCSC vooralsnog geen misbruik geconstateerd. In april 2021 werd de SolarWinds campagne door de VS geattribueerd aan de Russische inlichtingendienst SVR (APT29). Deze attributie werd ondersteund door de EU en de Nederlandse regering.

Over ransomware zegt het NCTV dat er is een ontwikkeling geweest naar ‘Big Game Hunting’, d.w.z. het compromitteren van zorgvuldig geselecteerde organisaties. Meestal betreft het kapitaalkrachtige organisaties, verantwoordelijk voor continuïteit van processen of in bezit van unieke data. In februari 2021 zijn verschillende kennisinstellingen in Nederland aangevallen door criminele actoren, waaronder de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), Universiteit van Amsterdam (UvA) en Hogeschool van Amsterdam (HvA), waarbij de aanval op de UvA en HvA succesvol is afgeslagen. Door ook back-ups van systemen onbruikbaar te maken, vergroten criminelen de impact van de aanval verder. In het uiterste geval is de schade aan systemen zo ernstig, dat herstel niet mogelijk is en systemen opnieuw moeten worden opgebouwd. Ransomware-aanvallen kunnen ook langdurig impact hebben op processen wanneer er sprake is van de inzet van verschillende drukmiddelen, zoals de diefstal van informatie, waarna wordt gedreigd deze informatie te publiceren. Volgens de FBI komt ook het telefonisch dreigen met fysiek huisbezoek bij medewerkers van de bedreigde instelling. Aanvallers kunnen nog een stap verder gaan en klanten van hun doelwit proberen af te persen. Dat kan snel plaatsvinden, of pas na verloop van tijd, waardoor slachtoffers van een ransomware-aanval mogelijk langdurig worden geconfronteerd met de gevolgen van de oorspronkelijke aanval.

Een aantal cybercriminele groepen beschikt inmiddels over capaciteiten die niet onder doen voor het niveau van statelijke actoren. Zij hebben echter geen doel van maatschappelijke ontwrichting of sabotage voor ogen, maar een financieel motief. De cybercriminele groepen worden door staten gedoogd en staan onder druk om in opdracht van de staat soms activiteiten te verrichten. Soms wordt daarbij een beroep gedaan op hun ‘patriottisme’.

Rapport Inspectie J&V over de hackbevoegdheid

Op 29 juni 2021 heeft de Inspectie Justitie & Veiligheid het rapport ‘Verslag toezicht wettelijke hackbevoegdheid politie 2020’ (.pdf) gepubliceerd. Enkele interessante passages worden in bericht belicht.

De belangrijkste boodschap van de inspectie is dat het uitblijven van verbetering in de uitvoering van de hackbevoegdheid, volgens de regels in art. 126nba Sv en dan met name die in het Besluit onderzoek in een geautomatiseerd werk (Stb. 2018, 340), als een risico beschouwd. Zij hopen dat dit volgend jaar beter gaat. De bevindingen van de inspectie kunnen als input dienen voor de evaluatie van de Wet computercriminaliteit III die momenteel wordt uitgevoerd door het Wetenschappelijk Onderzoeks- en Documentatie Centrum (WODC) van het ministerie van Justitie & Veiligheid.

Het is belangrijk te realiseren dat de inspectie niet de toetsing en oordeelsvorming door de officier van justitie en de rechter-commissaris onderzoekt. Er vindt dus geen controle door de inspectie plaats op bijvoorbeeld de proportionaliteit van de inzet van de bijzondere opsporingsbevoegdheid. De zittingsrechter gaat hier over de procureur-generaal bij de Hoge Raad op grond van artikel 122 Wet op de rechterlijke organisatie. In het rapport staat dat de hackbevoegdheid niet is ingezet in de EncroChat-onderzoeken en deze zaken niet zijn onderzocht (ondanks dat een machtiging voor de hackbevoegdheid bij opsporingsonderzoeken naar georganiseerde misdaad is ingezet (art. 126uba Sv). De inspectie doet klaarblijkelijk ook geen onderzoek naar situaties waarbij op grond van art. 126ng lid 2 Sv in accounts van verdachten vanuit inbeslaggenomen apparaten wordt ingelogd.

De hackbevoegdheid is in 2020 in 14 zaken ingezet. Daarbij is er geen sprake geweest van nevenschade of veiligheidsrisico’s door het in stand houden van kwetsbaarheden. In 11 zaken is een bevel gegeven voor de inzet van een niet vooraf gekeurd technisch hulpmiddel. De Inspectie moet de commerciële software zelfs een ‘black box’ voor de politie. In bijna alle zaken (10 van de 14) is gebruik gemaakt van commerciële software, waarbij de leverancier volgens de inspectie toegang heeft tot bewijslogging met het middel is verkregen, zonder dat de politie dit kan beperken en controleren. Dit wordt overigens tegengesproken in een reactie van de minister in een Kamerbrief van 29 juni 2021. De politie en de Inspectie hebben geen kennis over de kwetsbaarheden waarvan de commerciële binnendringsoftware gebruik maakt.

Opvallend is verder dat twee keer is binnengedrongen op een ander geautomatiseerd dan in het afgegeven bevel stond. Wel was het een computer die in gebruik was bij desbetreffende verdachte. De inspectie plaats daarbij de opmerking dat de verkregen gegevens mogelijk niet gebruikt kunnen worden in de betreffende strafzaak. De inspectie kon ook niet altijd vaststellen op welke locatie en in welk lang een computer werd binnengedrongen. Dat is wel belangrijk, omdat voor de mogelijke inzet ervan in het buitenland apart toestemming moet worden gevraagd (zie de Aanwijzing voor de internationale aspecten van de inzet van de bevoegdheid ex art. 126nba Sv, Strct. 2019, 10277).

Tenslotte was de logging op diverse punten niet in orde, waaronder de voorziening voor het maken van schermopnames. De Inspectie stelt vast dat in 2020 de verantwoording in processen-verbaal ‘onvolledig is en soms ontbreekt’. Voor de wel aanwezige processen-verbaal geldt dat ‘hieruit niet kan worden opgemaakt welke onderzoekshandelingen door wie op welk moment zijn uitgevoerd. In enkele gevallen kan dit ook niet worden vastgesteld op basis van het journaal en de aanwezige logging’.

De Inspectie doet over de problemen met commerciële software en gebreken in logging (zie onder) de stevige uitspraak dat ‘hierdoor risico’s niet kunnen worden uitgesloten voor wat betreft de betrouwbaarheid van met de hackbevoegdheid verkregen bewijs en de privacy van de betrokkenen’. In de begeleidende Kamerbrief wordt opgemerkt dat de zittingsrechter gaat over de betrouwbaarheid van het verkregen bewijs uit de inzet van de hackbevoegdheid. 

Van zorgen over privacy naar zorgen over administratieve rompslomp

Dit stuk is eerder verschenen in Computerrecht 2021/57

Op 20 januari 2021 heeft de Commissie Jones-Bos haar evaluatierapport over Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) uitgebracht. Slechts twee jaar na de inwerkingtreding van de nieuwe wet op 1 mei 2018 werd het door het kabinet al noodzakelijk geacht deze wet te evalueren. In eerste instantie werd deze vervroegde evaluatie ingegeven vanuit privacyzorgen. De nieuwe wet was omstreden, met name vanwege de uitbreiding van de bevoegdheid tot bulkinterceptie op de kabel om meer internetverkeer te intercepteren (het ‘sleepnet’ genoemd). In het raadgevend referendum over de Wiv 2017 in april 2018 stemden in Nederland 49,44% van de mensen tegen en slechts 46,53% van de mensen voor de wet.

Net voor de start van de evaluatiecommissie vond er echter een kentering in het debat plaats. Tijdens het Kamerdebat over een tussentijdse wijzigingswet van de Wiv 2017 vroegen plotseling een aantal Kamerleden de minister of de nieuwe de Wiv 2017 door alle nieuwe administratieve verplichtingen nog wel voldoende ‘werkbaar’ was. Deze zorgen zijn o.a. ingegeven door de voormalige AIVD-baas Dick Schoof die in april 2019 in het programma Nieuwsuur nog waarschuwde dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. De evaluatiecommissie kreeg vervolgens expliciet de opdracht mee te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen’.

Het gevolg is dat er nu een rapport van 180 pagina’s ligt waar een groot deel van de aanbevelingen een ‘werkbaarder wet’ nastreven, soms ten koste van reeds bestaande privacywaarborgen. Het gaat dan bijvoorbeeld om het voorstel tot het schrappen van onafhankelijke voorafgaande toestemming door de Toetsingscommissie Inzet Bevoegdheden (TIB) bij de kennisname van de inhoud van de communicatie en de geautomatiseerde analyse van metadata na bulkinterceptie. Ook zou het volgens de evaluatiecommissie eenvoudiger moeten worden bulkdata relevant te verklaren, waardoor grote hoeveelheden gegevens zonder maximale bewaartermijn bewaard mogen worden.

Het demissionaire kabinet heeft op 5 maart 2021 in een Kamerbrief laten weten de opdracht te geven de aanbevelingen van de evaluatiecommissie te vertalen in een wetsvoorstel. Mijn hoop is dat wetenschappers en Kamerleden de gevolgen van de voorstellen voldoende doorgronden en het wetsvoorstel kritisch beoordelen.

Jan-Jaap Oerlemans is bijzonder hoogleraar Inlichtingen en Recht bij de Universiteit Utrecht en redacteur van dit blad.

— UPDATE —

Op 21 april 2021 heeft Algemene Rekenkamer rapport ‘Operationele Slagkracht van de AIVD en MIVD: De Wet Dwingt, de Tijd Dringt, de Praktijk Wringt’ gepubliceerd. De belangrijkste conclusies zijn: (1) dat de nieuwe waarborgen uit de Wiv 2017 de inzet van bepaalde bijzondere bevoegdheden beperken het verzamelen van inlichtingen en de snelheid in internationale samenwerking, en (2) de constatering van een toename van de administratieve lasten voor de AIVD en de MIVD, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid.

De Algemene Rekenkamer geeft als verklaring van deze problemen mee: de suboptimale voorbereiding en inbreng van de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) op technisch en operationeel vlak op het wetstraject van de Wiv 2017, het ontbreken van een uitvoeringstoets, een onderschatting aard en omvang implementatie Wiv 2017, onvoldoende budget voor implementatie, achterstanden bij interne processen van de diensten, een tekort aan IT-capaciteit en achterstanden op IT-gebied.

Jurisprudentieoverzicht cybercrime maart-april-mei 2021

Ook in hoger beroep veroordeling in TorRAT-zaak

Op 30 maart 2021 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2021:587) voor gewoontewitwassen en deelnemen aan een criminele organisatie waarvan de verdachte de leider was. Het hof heeft een gevangenisstraf opgelegd van 19 maanden en de vorderingen van de benadeelde partijen (banken) zijn gedeeltelijk toegewezen.

De verdachte heeft samen met de medeverdachten rekeninghouders van twee banken benadeeld. Via “spamruns” werden duizenden mails verstuurd naar mkb-rekeninghouders in de zakelijke sector. In de mails zat een link naar een (ogenschijnlijk) openstaande factuur of ander (PDF-)bestand. Dat was in werkelijkheid een programma dat in het geval van aanklikken ongemerkt kwaadaardige software, in casu “TorRAT-malware”, op de computers van de gebruikers achterliet. Bij het gebruik van internetbankieren paste de malware het bankrekeningnummer, de naam van de begunstigde en de omschrijving van de betaling aan, zonder dat dit voor de gebruiker van die computer (direct) zichtbaar was. Op deze wijze werden betalingen door de TorRAT-malware omgeleid naar de bankrekeningen naar money mules (personen die hun rekening, bankpas en pincode, al dan niet vrijwillig, ter beschikking hadden gesteld voor gebruik door anderen). Het zeer uitgebreide arrest is met name lezenswaardig vanwege de nog niet eerder vertoonde gedetailleerde technische overwegingen over de werking van TorRAT (compleet met screenshots van de softwarecode, zoals:

(voor het eerst volgens mij!)

Ook de wijze waarmee met de malware geld kon worden verdiend, wordt uitgebreid beschreven. Zie ook mijn annotatie in Computerrecht 2016/175 over deze zaak in eerdere instantie.

Het Hof Den Haag licht toe dat TorRAT bestond uit twee elementen, de software zelf en configuratiebestanden. Voor de toerekeningsvraag was het onderzoek aan deze configuratiebestanden door een deskundige van het NFI in het bijzonder van belang. Het hof was van oordeel dat de genoemde transacties konden worden toegerekend aan TorRAT.

Na installatie van de software op een computer als gevolg van het klikken op een link in een spammail zocht de aldus geïnfecteerde computer contact met een C&C-server. Uniek aan TorRAT was dat deze C&C-server zich veelal bevond in een Tor-netwerk (ook bekend als het darkweb of darknet). De C&C-server voorzag TorRAT regelmatig van nieuwe configuratiebestanden.

Het hof is van oordeel dat de dadergroep van de verdachte en zijn medeverdachten met toepassing van de TorRAT-malware een groot aantal transacties heeft beïnvloed. Het hof heeft per (cluster van) transacties aangegeven welke feiten en omstandigheden hebben geleid tot de vaststelling of deze wel of niet aan de TorRAT-malware kunnen worden toegerekend. Voor deze vorm is gekozen nadat de verdediging volgens het hof terecht aanvoerde dat niet duidelijk is geworden aan de hand van welke criteria de transacties zijn aangemerkt als frauduleuze transacties die via TorRAT zijn veroorzaakt. Daarvoor is de hulp van een deskundige van het NFI ingeroepen.

De betalingen die door de TorRAT-malware werden omgeleid naar de bankrekeningen van daartoe geworven zogeheten money mules. De geldbedragen werden vervolgens zo snel mogelijk aan het zicht van de banken en politie en justitie onttrokken door deze — al dan niet met tussenkomst van een tweedelijns-money mule waar het geld naar werd doorgeboekt — zo snel mogelijk contant te maken middels een contante geldopname of om te zetten in bitcoins. De omgezette bedragen werden op deze wijze witgewassen.

Met betrekking tot de verdenking van deelname aan een criminele organisatie is het hof tot het oordeel gekomen dat de verdachte en zijn medeverdachten behoorden tot een samenwerkingsverband (waarbinnen zij aliassen gebruikten en communiceerden via TorMail) en zich schuldig hebben gemaakt aan gedragingen die strekten tot of rechtstreeks verband hadden met een crimineel oogmerk. De inhoud van de Tormails speelde een belangrijk bewijsrol in deze zaak. Het hof is van oordeel dat de verdachte binnen dat samenwerkingsverband een leidinggevende rol vervulde, dat door de duurzaamheid en gestructureerde vorm daarvan als criminele organisatie wordt gekwalificeerd.

Vrijspraak vanwege verklaring maken van screenshot via Shodan

Op 2 april 2021 heeft de rechtbank Midden-Nederland een verdachte vrijgesproken (ECLI:NL:RBMNE:2021:1330) van computervredebreuk. De verdachte werd computervredebreuk (art. 138ab Sr) en het opnemen van gegevens (art. 139c Sr) ten laste gelegd. De verdachte zou namelijk de beveiliging van een NAS (Network Attached Storage) door middel van de ‘remote desktop protocol’ hebben doorbroken en gegevens hebben opgenomen door een screenshot te maken van de inbox van een mailprogramma.

De verdachte verklaarde dat hij via Shodan, een zoekmachine dat kwetsbaarheden in aan het internet gekoppelde geautomatiseerde werken blootlegt, het screenshot van de mailbox van de aangever was tegengekomen. De verdachte heeft de aangever vervolgens gewaarschuwd voor een beveiligingslek in zijn computer door hem een e-mailbericht te sturen met het gevonden screenshot als bijlage. De rechtbank kan de door verdachte geschetste gang van zaken niet uitsluiten. Uit de stukken in het dossier en het verhandelde ter terechtzitting blijkt niet dat het verhaal van verdachte onaannemelijk is. Nu redelijke twijfel bestaat of verdachte de feiten zoals tenlastegelegd heeft begaan, spreekt de rechtbank de verdachte van de ten laste gelegde feiten vrij.

Veroordeling in hoger beroep basis van bewijs uit Ennetcom-gegevens

Het Hof Arnhem-Leeuwarden veroordeelde op 3 maart 2021 (ECLI:NL:GHARL:2021:1918) een verdachte tot een gevangenisstraf van 22 jaar voor moord en verboden vuurwapenbezit. De advocaat van de verdachte voerde aan dat de PGP-berichten die waren verkregen via Ennetcom uitgesloten moesten worden van bewijs, omdat deze niet rechtmatig waren verkregen.

Het Hof verwerpt het verweer en overweegt als volgt. Het Superior Court of Justice in Toronto heeft op 13 september 2016 het door de Nederlandse autoriteiten ingediende rechtshulpverzoek behandeld, dat strekte tot het ten behoeve van nader onderzoek in Nederland veiligstellen en overdragen van communicatie dat zich bevond op de Ennetcom-servers (hierna: Ennetcom-gegevens). De Canadese rechter heeft de beslissing of deze gegevens gebruikt mogen worden in andere onderzoeken neergelegd bij de Nederlandse autoriteiten, maar wel bepaald dat daartoe een rechterlijke machtiging is vereist en het gebruik van de Ennetcom-gegevens beperkt tot onderzoek en vervolging van bepaalde strafbare feiten (waaronder moord).

De officier van justitie heeft de rechter-commissaris ex art. 181 jo art. 126ng lid 2 Sv, verzocht te bepalen dat het onderzoek 09Seter dringend vordert dat onderzoek wordt verricht aan de Ennetcom-gegevens en te bepalen dat relevante gegevens toegevoegd zouden worden aan het procesdossier 09Ster. De rechter-commissaris heeft dit verzoek toegewezen en de uitvoering van het onderzoek op grond van art. 177 Sv door tussenkomst van de officier van justitie verwezen aan het onderzoeksteam 09Ster. Vervolgens heeft de officier van justitie op grond van gegevens die zijn voortgekomen uit Ennetcom-gegevens in het onderzoek 26Marengo de rechter-commissaris verzocht om toestemming te geven deze gegevens over te dragen aan de advocaat-generaal in het onderhavige onderzoek 09Ster, omdat deze gegevens betrekking zouden hebben op de moord op het slachtoffer. De rechter-commissaris heeft hiervoor toestemming gegeven, en overwogen dat de berichten rechtmatig zijn verkregen uit het onderzoek 026Marengo waarvoor de rechter-commissaris eerder toestemming heeft gegeven. Gelet op het voorgaande concludeert het hof dat het verkrijgen van de data op rechtmatige wijze is geschied.

Over de betrouwbaarheid van het bewijs overweegt het hof dat het recht van de verdachte om in gelegenheid te worden gesteld om methoden en resultaten van onderzoek te betwisten, naar deze niet samen valt met een ongeclausuleerd recht om deze te controleren, en dat de verdediging niet gemotiveerd heeft aangegeven waarom de betrouwbaarheid van de waarheidsvinding in twijfel zou moeten worden getrokken. Verder merkt het hof nog op dat de vaststelling van de identiteit van de verdachte niet louter berust op de conclusie van de politie, maar dat die vaststelling berust op de weergave van de PGP-gesprekken in verband met andere bewijsmiddelen.

Veroordelingen op basis van bewijs uit EncroChat-gegevens

Vorig jaar kwam in het nieuws dat de Nederlandse en Franse politie tientallen miljoenen berichten van de versleutelde chatdienst EncroChat wisten te kraken en over te nemen. Afgelopen maanden verschenen uitspraken waar deze ‘EncroChats’ een belangrijke bewijsrol spelen. De interessantste uitspraken staat hieronder op een rijtje.

De rechtbank Oost-Brabant veroordeelde (ECLI:NL:RBOBR:2021:1272) op 25 maart 2021 een verdachte voor het voorhanden van een verboden vuurwarpen ter voorbereiding van de moord op een of meer personen. Over de rechtmatigheid van het gebruik van EncroChats als bewijs overweegt de rechtbank dat de rechter-commissaris van de rechtbank Rotterdam in het onderzoek 26Lemont in het proces-verbaal van bevindingen van 20 september 2020 voor het gebruik van de EncroChats in toekomstige, andere onderzoeken voorwaarden heeft gesteld en criteria gegeven. Een van die voorwaarden is dat het gebruik van die chats slechts mogelijk is na een schriftelijk verzoek daartoe en na verkregen schriftelijke toestemming van een rechter-commissaris. De toestemming wordt alleen verleend als sprake is van “ernstige, het maatschappelijk verkeer ontwrichtende strafbare feiten, gepleegd in georganiseerd verband”. In een enkel geval is op het vereiste van een voorafgaande schriftelijke toestemming een uitzondering toegelaten. In die gevallen was sprake van zeer spoedeisende situaties en/of “threat to life”-zaken waarin acuut ingrijpen noodzakelijk was. In die gevallen is telefonisch toestemming gevraagd en verkregen van de rechter-commissaris, waarna schriftelijke bevestiging dan wel toevoeging aan de lijst van bekende onderzoeken volgde.

De rechtbank overweegt dat de onderzoeken waarin gegevens uit 26Lemont zijn verwerkt, in twee categorieën zijn op te delen. Kort gezegd komt het erop neer dat bij de eerste machtiging door de rechter-commissaris al een lijst is aangeleverd met onderzoeken waarin mogelijk sprake zou zijn van gebruik van EncroChat. Die lijst is door getoetst de rechter-commissaris getoetst op de zwaarte van de strafbare feiten waar die onderzoeken zich op richten en akkoord bevonden. Voor andere onderzoeken, en daartoe behoort het onderhavige onderzoek tegen de verdachte, heeft de rechter-commissaris voorwaarden benoemd waaronder gegevens kunnen worden gedeeld. Dat moet worden voorgelegd de rechter-commissaris en dan moet toestemming worden verkregen voor het delen van de informatie met die andere ‘vervolgonderzoeken’. Het moet, buiten onderzoek naar misdrijven met een terroristisch oogmerk, gaan om onderzoek naar strafbare feiten die in hun aard, in georganiseerd verband gepleegd of beraamd, een ernstige inbreuk maken op de rechtsorde, of zaken waarin acuut ingrijpen noodzakelijk was gelet op de gerede vrees voor het leven en/of voor ernstige gezondheidsschade voor personen. Hieraan kan worden getoetst en bij eventuele tekortkomingen is het reguliere kader van artikel 359a Sv van toepassing.

De raadsman stelt dat de EncroChat-data in het onderzoek Ellemeet onrechtmatig zijn verkregen, omdat aan de rechter-commissaris geen toestemming is gevraagd om in dit onderzoek de EncroChats te mogen gebruiken. Zou die toestemming wel gevraagd zijn, dan is met het oog op de hiervoor genoemde criteria niet voorstelbaar dat die toestemming zou zijn verleend. De verdediging voert aan dat het ontbreken van toestemming met zich meebrengt dat sprake is van een onherstelbaar vormverzuim in de zin van artikel 359a Sv.

De rechtbank overweegt dat de betreffende gegevensbestanden met informatie uit het (recente) verleden waren vastgelegd op de servers van EncroChat. Zowel in Frankrijk als in Nederland is deze telecomaanbieder aangemerkt als verdachte. Om bestanden van dat bedrijf te verkrijgen heeft het Nederlandse Openbaar Ministerie aan de rechter-commissaris een vordering ex artikel 126uba lid 1 sub a, b, c en d Sv (de hackbevoegdheid) voorgelegd en daartoe toestemming verkregen. Daarmee heeft het verkrijgen van de gegevens een wettelijke grondslag. Na het ter beschikking komen van de gegevens vallen de gegevens onder de bewaar- en vernietigingsregimes van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens, zodat ook voor het bewaren en verwerken van de gegevens een afdoende wettelijke grondslag bestaat.

De rechtbank deelt niet de opvatting dat de ePrivacyrichtlijn (2002/58) van toepassing zou zijn, omdat die kortgezegd ziet op het opvragen van gegevens door autoriteiten. De opsporingshandelingen zouden ook onder de uitzondering in artikel 15 van de richtlijn vallen. De rechtbank overweegt ook dat ‘de verdere achtergrond van EncroChat, de verkrijging van data in Frankrijk en het delen van de informatie met het onderzoeksteam 26Lemont, niet valt binnen het vooronderzoek in de zaak tegen verdachte en er evenmin reden is te veronderstellen dat het gebruik van de resultaten van de onderzoeken naar EncroChat in de strafzaak tegen de verdachte niet in overeenstemming is met het recht op een eerlijk proces als bedoeld in artikel 6 lid 1 EVRM. De verweren zijn daarmee verworpen.

De rechtbank Overijssel maakt op 29 maart 2021 veel minder woorden vuil aan de rechtmatigheid van het verkregen bewijs uit de EncroChats. In deze zaak (ECLI:NL:RBOVE:2021:1307) werd een verdachte veroordeeld voor zijn betrokkenheid bij een groot drugslab in Heiloo.

De rechtbank overweegt simpelweg dat ‘gelet op het interstatelijke vertrouwensbeginsel de rechtbank geen reden ziet om te twijfelen aan de rechtmatigheid en de inzet van de gehanteerde opsporingsmiddelen in het Franse opsporingsonderzoek. Bovendien zijn de Franse rechterlijke machtigingen getoetst door de rechter-commissaris in Nederland, waarbij geen onrechtmatigheden zijn vastgesteld. Derhalve is de rechtbank van oordeel dat artikel 8 EVRM in onderhavig geval niet is geschonden.’

In een laatste, zeer uitgebreid, vonnis (ECLI:NL:RBZWB:2021:1556) op 31 maart 2021 biedt de Rechtbank Zeeland-West-Brabant interessante bewijsoverwegingen t.a.v. het uitlezen van telefoons en de rechtmatigheid van het gebruik van de EncroChats.

Interessant zijn nog de standpunten van de officier van justitie in deze zaak over het maken van een proces-verbaal bij het uitlezen van telefoons: ‘de officier van justitie heeft zich op het standpunt gesteld dat de betreffende gegevensdragers met toestemming van de officier van justitie zijn doorzocht. Dat hoeft niet op schrift te staan. Het verstrekken van alles wat in de telefoons wordt aangetroffen gebeurt zelden, alleen wat relevant is wordt in het dossier opgenomen. Door de verdediging is onvoldoende onderbouwd dat er bewust ontlastende informatie is achtergehouden.’

De rechtbank overweegt dat een medeverdachte tijdens een verhoor de toegangscode van zijn mobiele telefoon gegeven en – wederom zonder aanwezigheid van zijn raadsman – het wachtwoord van Wickr en toestemming heeft gegeven aan de politie om in zijn telefoon te kijken gegeven. Bij zijn aanhouding op 13 november 2019 gebeurde hetzelfde. Vervolgens is volgens de verdediging de telefoon van met toestemming van de officier van justitie gekopieerd en werden de gegevens ervan inzichtelijk en doorzoekbaar gemaakt. Hierdoor is volgens de verdediging sprake van een schending van artikel 6 EVRM (Salduz), waarbij de rechtbank begrijpt dat dit het recht van medeverdachte betreft.

De rechtbank overweegt dat de Schutznorm ten aanzien van de medeverdachte niet van toepassing is ingevolge de uitspraak Günner van het EHRM. De rechtbank meent dat bij de eerste zoekslag in de telefoon van de medeverdachte sprake was van een beperkte inbreuk op de persoonlijke levenssfeer, omdat ‘enkel (een deel van) de fotogalerij (ten aanzien van een bepaalde datum en gebeurtenis) en de Whatsapp (wederom specifiek ten aanzien van het al dan niet sturen van een bepaalde foto) is bekeken’.

Over een tweede onderzoek aan de telefoon overweegt de rechtbank dat een ‘meer dan beperkte inbreuk op de persoonlijke levenssfeer is gemaakt’, omdat de telefoons met het programma Cellebrite zijn gekopieerd, veiliggesteld en inzichtelijk gemaakt, en doorzocht op Whatsapp, Wickr, Snapchat, Instagram en notities. Het onderzoek aan de mobiele telefoons was de directe aanleiding voor de doorzoeking van de woning van (de ouders van) verdachte. Het onderzoek was gericht op het achterhalen van navigatie-gegevens, communicatie op social media, contactpersonen, foto’s op telefoon danwel foto’s in een cloud, voor zover de informatie gerelateerd kon zijn aan de handel in verdovende middelen. De rechtbank is van oordeel dat daarom ook ten aanzien van de onderzoeken aan deze telefoons niet gezegd kan worden dat daarmee sprake is van een schending van de artikelen 6 en 8 EVRM.

De rechtbank overweegt de inhoud van een brief van het Landelijk Parket over de juridische grondslag van het gebruik van bewijsmateriaal van de PGP-telefoons van klanten van EncroChat. Daarin is te lezen dat ‘op grond van een Frans strafrechtelijk onderzoek zijn het bedrijf EncroChat en de natuurlijke personen die daaraan gelieerd zijn onderzocht. Tijdens dit onderzoek in Frankrijk zijn strafvorderlijke bevoegdheden ingezet. Er is door middel van een interceptiemiddel inzicht en informatie verkregen over de communicatie die is gedeeld op het EncroChat-forum. De Franse politie heeft onder gezag van de Franse officier van justitie, na machtiging van een Franse rechter, het interceptiemiddel ingezet. Omdat in Nederland een soortgelijk strafrechtelijk onderzoek is opgestart, is een Joint Investigation Team (hierna: JIT) opgericht door Nederland en Frankrijk. Het JIT richt zich op onderzoek van de verdenking rondom EncroChat en de personen die hiervan gebruik maken. In de JIT-overeenkomst is, zoals gebruikelijk, overeengekomen dat alle informatie en bewijsmiddelen die ten behoeve van het JIT worden vergaard worden gevoegd in een gezamenlijk onderzoeksdossier.’

Ik vind de brief toch opmerkelijk gezien de tegenstrijdige berichtgeving in NRC over de inzet van een technisch hulpmiddel dat mede is ontwikkeld door Nederland en het feit dat de een aanvraag is gedaan voor de inzet van de hackbevoegdheid in Nederland (waartoe onder voorwaarden een machtiging is verstrekt, zoals in de uitspraak hierboven is te lezen). De rechtbank overweegt hier indirect over dat ‘in tegenstelling tot hetgeen de verdediging betoogt, is de grondslag voor het verwerken en opslaan van de data uit 26Lemont in onderhavige zaak niet gelegen in de artikelen 126uba juncto 126 Sv, maar in artikel 126dd Sv. Deze bepaling ziet op het delen van informatie van het ene strafrechtelijke onderzoek met het andere’.

Ook overweegt de rechtbank simpelweg dat ‘ten aanzien van onderzoekshandelingen waarvan de uitvoering plaatsvindt onder verantwoordelijkheid van de buitenlandse autoriteiten van een andere EVRM lidstaat, het de taak is van de Nederlandse strafrechter ertoe beperkt te waarborgen dat de wijze waarop van de resultaten van dit onderzoek in de strafzaak tegen de verdachte gebruik wordt gemaakt, geen inbreuk maakt op zijn recht op een eerlijk proces, zoals bedoeld in artikel 6, eerste lid, EVRM. Het behoort niet tot de taak van de Nederlandse strafrechter om te toetsen of de wijze waarop dit onderzoek is uitgevoerd, strookt met de dienaangaande in het desbetreffende buitenland geldende rechtsregels.’ De rechtbank acht de privacy-inmenging ‘niet-ingrijpend’ voor de verdachte, omdat ‘door middel van de encrochats van verdachte alleen chatgesprekken van een relatief korte periode onderzocht zijn’.

Internetoplichting

De rechtbank Noord-Holland heeft op 16 maart 2021 een verdachte veroordeeld (ECLI:NL:RBNNE:2021:888) voor (internet)oplichting en witwassen. De verdachte heeft zich samen met een ander schuldig gemaakt aan het witwassen van twee geldbedragen. Deze geldbedragen waren afkomstig uit een geldbedrag van ruim 1 miljoen euro, dat in één nacht is buitgemaakt door phishing. De verdachte heeft slechts een deel van de buit ontvangen, te weten bedragen van € 6.780,22 en € 3.300,22.

De verdachte heeft met zijn mededader katvangers benaderd, die vervolgens hun bankpassen en pincodes aan verdachte en zijn mededader hebben afgegeven. Door middel van deze bankpassen en pincode zijn nog in diezelfde nacht delen van dat bedrag overgemaakt op bankrekeningen van katvangers en is een groot deel daarvan contant opgenomen bij geldautomaten.

Daarnaast heeft verdachte zich gedurende vijf maanden schuldig gemaakt aan Marktplaatsoplichting en computervredebreuk, gekwalificeerde diefstal, een poging tot oplichting, het beheren van tikkie-panels en phishing-sites en het voorhanden hebben van gehackte emailadressen met wachtwoorden, die grotendeels waren gekoppeld aan Marktplaatsaccounts.

Na het contact op Markplaats vroeg hij het contact voor te zetten via WhatsApp vroeg hij zijn slachtoffers om via een malafide betaallink 1 eurocent over te maken. Via die betaallink kwamen zij op een phishingwebsite die nauwelijks te onderscheiden was van de website van hun bank. Bij doorzoeking van de woning werd op de laptop van verdachte nog een actieve phishingsite aangetroffen. Slachtoffers die op zo’n phishing-site hun gegevens invulden, gaven daarmee verdachte toegang tot hun digitale bankomgeving. Daarna maakte hij geldbedragen van hun bankrekeningen over naar rekeningen van ‘geldezels’. Ook schreef hij via de gehackte bankrekening bedragen over van de spaarrekening naar de lopende rekening. De buitgemaakte bedragen kreeg verdachte vervolgens weer in handen via zijn geldezels. De verdachte had de beschikking over vele bankpassen en pincodes van die geldezels.

Bij het vervalste sms-bericht van de Belastingdienst met de tekst:

Belastingdienst} Uw openstaande schuld EUR 1471,00 is na meerdere herinneringen niet voldaan. Op 29 april 2020 zal de gerechtsdeurwaarder overgaan tot conservatoir beslag. U kunt de beslagprocedure voorkomen door direct het gehele bedrag te voldoen via iDeal: http://frama.link/.uHrKGHtJ

Daarmee werden de ontvangers bewogen om met spoed een ‘achterstallig bedrag’ te betalen via een bijgevoegde betaallink. Als zij dat deden, dan waren zij het betaalde bedrag kwijt.

Bij de impersonatiefraude (‘vriend-in-nood-fraude’) deed verdachte zich via WhatsApp voor als een familielid of vriend in betalingsnood. Verdachte zond zijn slachtoffers een Tikkie-link, waarmee zij konden betalen. Slachtoffers verloren zo aanzienlijke bedragen.

Daarnaast heeft verdachte via zijn iPhone een ‘sms-bom’ verzonden, waarbij sms-berichten werden gestuurd naar 555 telefoonnummers. In die sms-berichten werd voorgewend dat Menzis verzocht om een openstaande rekening te betalen, omdat anders de deurwaarder beslag zou komen leggen. Daarna volgde een nep-betaallink, waarmee verdachte toegang kon krijgen tot de digitale bankomgeving van de ontvangers.

De betaallinks en chatgesprekken met slachtoffers zijn terug te leiden tot telefoons die verdachte in gebruik had. Dit geldt ook voor het verzenden van de sms-bom die onder feit 2 ten laste is gelegd. Tijdens de tapperiode is gebleken dat verdachte als administrator ingelogd was op het beheerpanel van de actieve phishingsite. Ook heeft de vriendin van verdachte verklaard dat hij de fraudes alleen pleegde en daarbij gebruik maakte van meerdere telefoons, waaronder de hare. In het dossier en noch ter zitting zijn voldoende verifieerbare aanwijzingen gevonden voor een nauwe en bewuste samenwerking of gezamenlijke uitvoering met mededaders. De rechtbank spreekt de verdachte daarom van enkele andere ten laste gelegde feiten vrij.

De rechtbank acht de houding van verdachte zorgelijk en zij rekent hem de feiten ernstig aan. Ook heeft hij een strafblad voor eerder gepleegde vermogensdelicten. De reclassering heeft gerapporteerd dat verdachte de status van veelpleger heeft. Hij heeft geen werk, geen inkomen, hoge schulden, hij gebruikte drugs en had een negatief sociaal netwerk. Ook is hij licht verstandelijk beperkt. Verdachte is in het verleden onvoldoende ontvankelijk gebleken voor behandeling. Het recidiverisico wordt hoog geacht. Gelet op de ernst van de feiten en de straffen die rechtbanken in soortgelijke zaken opleggen, legt de rechtbank een gevangenisstraf op van  42 maanden met aftrek van het reeds ondergane voorarrest.

Vrijspraak bezit van kinderpornografie en teruggave van gegevens

Op 25 maart 2021 heeft de rechtbank Zeeland-West-Brabant een verdachte vrijgesproken (ECLI:NL:RBZWB:2021:1421) van het in bezit hebben van kinderpornografisch materiaal. In 2016 is verdachte veroordeeld wegens het bezit van kinderpornografische bestanden op zijn computer. Deze computer is destijds in beslag genomen. Van de foto’s op die computer, waaronder ook privé-foto’s, is door verdachte een back-up gemaakt en verdachte heeft verklaard dat die back-up door zijn stiefvader op de nieuwe computer van verdachte is gezet. De verdachte heeft verklaard dat de kinderpornografische bestanden op de Toshiba computer voor hem niet zichtbaar waren.

In dit soort zaken moet opzet op het bezit van kinderpornografisch materiaal bewezen worden. Het dossier bevat geen nadere logistieke data over de aangetroffen bestanden, zoals wanneer de bestanden op de computer zijn gezet, wanneer ze zijn verwijderd of in de prullenbak geplaatst en wanneer de bestanden voor het laatst zijn geopend. Ook zijn er zijn geen zoektermen aangetroffen die verband zouden kunnen houden met kinderporno. Gelet op deze stand van zaken kan niet worden uitgesloten dat de verklaring van verdachte dat de bestanden afkomstig moeten zijn van de back-up van zijn vorige computer klopt en niet kan worden bewezen dat de verdachte welbewust kinderpornografische afbeeldingen in zijn bezit heeft gehad.

In deze zaak is de computer in beslaggenomen en zijn alle gegevens op de harde schijf aan het verkeer onttrokken. Maar onttrekking aan het verkeer van de in beslag genomen computer zonder beperking, zou betekenen dat de andere (niet strafbare) bestanden verloren gaan, terwijl niet kan worden vastgesteld dat het ongecontroleerd bezit daarvan in strijd is met de wet of het algemeen belang. Daarbij is van doorslaggevend belang dat dit onder andere onvervangbare foto’s van de overleden vader van verdachte betreft, die van grote waarde voor verdachte zijn.

De conclusie is dan ook dat de andere gegevens ter beschikking van de verdachte moet worden gesteld en in zoverre zal een last worden gegeven tot teruggave aan de verdachte. Het is aan het openbaar ministerie om te besluiten op welke feitelijke wijze dit plaatsvindt. De rechtbank geeft daarvoor een paar handvatten. De eerste is de 80 kinderpornografische bestanden wissen zodat dat het terughalen van deze bestanden niet meer mogelijk is. Na het wissen van de 80 bestanden kan de computer dan worden teruggegeven. de tweede optie is dat de verdachte een (lege) gegevensdrager aanlevert, waarop de politie de gegevens van de computer minus de 80 kinderpornografische bestanden kopieert.

Over de bijzondere voorwaarde van controle in kinderpornozaken

Het Hof Amsterdam veroordeelde (ECLI:NL:GHAMS:2021:626) op 4 maart 2021 een verdachte tot een gevangenisstraf van 21 maanden, waarvan 18 maanden voorwaardelijk, met een proeftijd van 3 jaar, voor het gewoonte maken van onder meer verspreiden en in bezit hebben van kinderpornografisch materiaal.

In het arrest formuleert het Hof Amsterdam een gedragsvoorwaarde die strekt tot controle van gegevensdragers. Het is daarbij van belang dat de controle beperkt is door het toezicht te beperken tot

“het toezicht op de naleving van de hiervoor genoemde bijzondere voorwaarde en niet mag strekken of toe leiden een min of meer compleet beeld te krijgen van verdachtes persoonlijke leven. Bij de uitvoering van het onderzoek kan gebruik worden gemaakt van een computerprogramma dan wel een ander technisch hulpmiddel dat is gericht op de onderkenning van seksueel getint of kinderpornografisch materiaal.”

Het Hof Den Haag heeft in het arrest van 9 februari 2021 (ECLI:NL:GHDHA:2021:193) nadere (rand)voorwaarden geformuleerd waaraan de controle van de gegevensdragers van de verdachte dient te voldoen.

Overzicht Inlichtingen en Recht april 2021

01-04-2021 Nadere memorie van antwoord Wijzigingswet Wiv 2017

De Minister van Binnenlandse Zaken en Koninkrijksrelaties Ollongren heeft op 1 april 2021 de ‘nadere memorie van antwoord’ van de wetsbehandeling van de Wijzigingswet Wiv 2017 gepubliceerd. In de nadere memorie wordt ingegaan op de vragen van de leden van de Eerste Kamer. Op 9 juni 2020 stemde de Tweede Kamer vóór de Wijzigingswet Wiv 2017 en het wetsvoorstel is nu al bijna een jaar in behandeling bij de Eerste Kamer.

De Wijzigingswet Wiv 2017 moet worden gezien als een reactie op de uitslag van het raadgevend referendum op de Wiv 2017 (waarbij 49,44% van de kiezers tegen de wet heeft gestemd, 46,55% voor en 4,03% blanco) (zie eerder ook dit blogbericht over het wetsvoorstel). De regering beoogt met de wet ‘de waarborgen van de wet op onderdelen te verduidelijken en de ruimte die de wet in de uitvoeringspraktijk biedt zo nodig in te perken’.

De belangrijkste bepalingen vormen de codificatie (en toelichting op) het gerichtheidsvereiste voor de toepassing van alle bevoegdheden. Het gerichtheidscriterium is ‘het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus’. De te vergaren gegevens moeten daarbij dus van te voren worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object.

Net als in de discussie in de Tweede Kamer stellen senatoren vragen over de evaluatie van de Wiv 2017. Het demissionaire kabinet heeft namelijk op 5 maart 2021 in een Kamerbrief aangeven dat zij de analyse, conclusies en aanbevelingen van de Commissie-Jones Bos omarmt. Het plan is echter de aanbevelingen in het rapport in een (ander) ontwerpvoorstel uit te werken. Het kabinet verwerkt dus geen elementen van het rapport van de Commissie-Jones Bos in de Wijzigingswet Wiv 2017.

Oratie

Enkele vragen van de senatoren gingen over mijn oratie ‘Grenzen stellen aan datahonger’. De minister gaat tot mijn vreugde uitgebreid in op de vragen. Kortgezegd (want er waren nogal veel woorden voor nodig), stelt de minister dat er geen sprake is van ‘function creep’ bij passagiersgegevens, omarmt het kabinet de aanbeveling van de evaluatiecommissie een beter voorzienbare regeling te creëren voor het verzamelen van bulkdatasets en zijn er geen plannen een maximale bewaartermijn in de wet op te nemen (omdat gegevens verwijderd moeten worden als ze niet meer van betekenis zijn). Ook herkent de minister niet dat de informantenbevoegdheid in artikel 39 Wiv 2017 een ‘gedrocht van een artikel’ is. ‘Integendeel’ zelfs, omdat de tekst van de wet een expliciete wettelijke basis vormt voor de vrijwillige verstrekking van gegevens door overheidsinstanties (waaronder dus ook bulkdatasets).

Stelselmatig verzamelen van gegevens door het Land Information Manoeuvre Centre (LIMC)

Opvallend is verder dat de minister aangeeft dat art. 6 lid onder e AVG een grondslag biedt voor het verwerken van gegevens uit open bronnen door overheidsinstanties zoals het LIMC. Verder moet worden voldaan aan de vereisten van de AVG en het EVRM. Naar aanleiding van het NRC-artikel wordt onderzoek verricht door de Functionaris voor Gegevensbescherming Defensie naar de naleving van de AVG door het LIMC. Het rapport van de FG, met daarin diens conclusie van het onderzoek en aanbevelingen, bevindt zich in een afrondende fase volgens de minister. Zodra gereed wordt het rapport van de FG en de appreciatie van de minister van Defensie hierop naar de Tweede Kamer en Eerste Kamer verstuurd.

06-04-2021: Advies Cyber Security Raad: investeer 833 miljoen euro aan ‘cyberweerbaarheid’

De Cyber Security Raad adviseert een landelijke regie op het hoogste politieke en ambtelijke niveau om digitale veiligheid en de digitale autonomie van Nederland te beschermen. Dat moet gepaard gaan met een investering van 833 miljoen, bovenop de huidige uitgaven en budgetten voor cyberweerbaarheid.

In het advies staan vijf speerpunten centraal, te weten regie op samenwerking en informatiedeling, weerbare vitale processen, versterking onderzoek en onderwijs, realiseren van cybercrime-handhavingsketen en zorgplicht van leveranciers voor veilige producten en diensten voor burgers, bedrijfsleven en overheid.

De raad adviseert het nieuwe kabinet om in plaats van een Minister Digitale Zaken direct een ministeriële onderraad digitale zaken in te richten, waar cyberweerbaarheid en digitale autonomie integraal aan de orde wordt gesteld. Deze onderraad moet steunen op een interdepartementale strategische overlegkoepel, met daarin alle ministeries die raakvlakken hebben met cyberweerbaarheid. Er moet één cyberweerbaarheidsstrategie komen, inclusief een meerjarenprogramma.

Luister ook naar aflevering 15 van de podcast Cyberhelden over het rapport en de toelichting daarop van Lokke Moerel. Ik vind het met name interessant dat de hoogleraar aangeeft dat de regie mogelijk gevoerd moet worden door AZ en het NCSC misschien onder gebracht moet worden onder BZK (ook verantwoordelijk voor de AIVD), net als dat het Nationaal Cyber Security Centrum in het Verenigd Koninkrijk onderdeel is van de communicatie-inlichtingendienst GCHQ. Zie ook dit uitstekende verslag in Computable: ‘Grapperhaus haalt woede Cyber Security Raad op de hals‘. Vergaand is ook het voorstel voor een ‘een volwassen landelijk dekkend stelsel van informatieknooppunten (LDS)’. Het moet zorgen voor een goede informatiedeling over cyberdreigingen en -kwetsbaarheden.

Over knelpunten in de wetgeving is de CSR in het rapport nogal kort:

“Huidige juridische beperkingen op het delen van herleidbare vertrouwelijke informatie en persoonsgegevens (zoals de AVG en huidige wet politiegegevens) staan het structureel delen van dreigingsinformatie met publieke en private partijen in de weg.”

Verder moet volgens de CSR de capaciteit van reeds betrokken partijen, zoals de Nationale Politie, Openbaar Ministerie Koninklijke Marechaussee, snel worden uitgebreid en publiek-private samenwerking moet structureel worden ingericht en gesteund. De CSR signaleert dat  de defensieve, offensieve en inlichtingen cybercapaciteiten binnen Defensie (incl. MIVD en KMar), de AIVD, het NCSC de politie en het OM een essentiële bijdrage leveren aan ‘cyberweerbaarheid’, bijvoorbeeld door middel van het inzichtelijk maken en delen van dreigingen en concrete informatie daaromtrent en de afschrikwekkende werking (deterrence) voortkomend uit de offensieve capaciteiten. ‘Investeren in de inlichtingendiensten is vrijwel gelijk aan investeren in zowel zicht op de dreiging als in deterrence’. Toch valt het budget van deze diensten valt buiten de scope van het advies.

Ten slotte stelt de CSR voor gerichte investeringen te doen in onderzoek, start-ups en een cybercurriculum in relevante opleidingen. Daarmee zou de ‘huidige academische braindrain’ een halt worden toegeroepen en kunnen we beschikken over voldoende gekwalificeerd personeel. Ook adviseert de raad om in het curriculum van het primair en voortgezet onderwijs met spoed digitale geletterdheid in te voeren en dit onderwerp los te koppelen van een algehele herziening van het curriculum.

12-04-2021: Kamerbrief Verbetering juridische grondslag verwerking persoonsgegevens NCTV

De Minister van Justitie en Veiligheid reageert in deze brief op de berichtgeving in NRC over de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). De NCTV volgt volgens NRC individuen op sociale media en verzamelt en verspreidt privacygevoelige informatie over burgers, zonder dat daar een wettelijke grondslag voor is.

Naar aanleiding van de casus Cornelius Haga Lyceum is de NCTV in februari 2020 gestart met het project ‘taken en grondslagen NCTV’, ter juridische versterking en verankering van zijn taken en grondslagen. Hieruit kwam naar voren dat het identificeren en analyseren van dreigingen en risico’s op het gebied van terrorisme en nationale veiligheid juridisch kwetsbaar is en versterking behoeft indien daarbij (bijzondere) persoonsgegevens worden verwerkt op basis van eigen openbare bronnenonderzoek.

Binnen de Rijksoverheid is de NCTV verantwoordelijk voor de coördinatie van crisisbeheersing, terrorismebestrijding, cybersecurity, statelijke dreigingen en andere terreinen van nationale veiligheid. Specifieke verantwoordelijkheden worden door de NCTV uitgevoerd op basis van specifieke wetgeving: de Politiewet, de Luchtvaartwet, de Paspoortwet en de Tijdelijke Wet Bestuurlijke Maatregelen Terrrorismebestrijding.

De minister benadrukt dat de NCTV geen inlichtingendienst is, en dat de NCTV als coördinator besluiten moet nemen op basis van informatie van andere partijen. De NCTV analyseert deze informatie wel zelf, en valideert vervolgens de analyses. In het geval van de conceptnota Ontwikkeling van het salafisme onder Turken – de invloed in Nederland, zoals genoemd in de NRC, werd de notitie niet gevalideerd en daarom niet gepubliceerd.

Sinds 2006 maakt de NCTV gebruik van internetmonitoring, teneinde een continu beeld van de voorstelbare dreiging te houden. Sinds 2009 werden hiervoor op sociale media gefingeerde accounts ingezet. Inmiddels maakt de Kerneenheid Analyse gebruik van een apart ICT-systeem waardoor meekijken op sociale media ook zonder gefingeerde accounts mogelijk is. Deze praktijk is naar aanleiding van de publicatie in de NRC gestaakt.

De minister stelt dat van werken onder dekmantel in strafvorderlijke zin geen sprake is geweest, omdat de accounts nooit hebben deelgenomen aan conversaties met andere gebruikers. Wel was er sprake van het verwerken van persoonsgegevens, omdat uitingen ‘door personen worden gedaan’. De NCTV doet dit volgens de minister in het algemeen belang, op grond van artikel 50 Organisatiebesluit Justitie en Veiligheid. Het Organisatiebesluit is dan weer gebaseerd op artikel 3, lid 2 van het Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst, dat zijn grondslag vindt in artikel 44 van de Grondwet.

De minister stelt dat de taak voor de NCTV ook is terug te voeren op artikel 5 EVRM. De NCTV heeft internetmonitoring onder het destijds geldende regiem van de Wet bescherming persoonsgegevens aangemeld voor het openbare verwerkingenregister. Het project “Implementatie AVG” is een doorlopend privacy-project binnen de NCTV.

De NCTV erkent en herkent de spanningen op de werkvloer zoals beschreven in de NRC, en heeft inmiddels maatregelen genomen.

Sophie Harleman

04-02-2021 – Algemene beraadslaging Initiatiefwetsvoorstel-Verhoeven Wet Zerodays Afwegingsproces

Ex-Kamerlid Verhoeven geeft aan dat uit het eerste gedeelte van de behandeling van het wetsvoorstel Zerodays duidelijk naar voren is gekomen dat het gedeelte waarin een beoordelingsorgaan is voorgesteld tot veel bezwaren leidt. In de nota van wijziging is het beoordelingsorgaan dan ook uit het voorstel gehaald. GroenLinks diende een motie in, waarin gevraagd wordt om één kader voor politie, Defensie en inlichtingendiensten. Daarop is door de heer Verhoeven het voorstel zodanig aangepast dat het inhoudelijk overeenkomt met datgene wat de motie zegt, alleen dan in een wet.

De demissionair minister van Binnenlandse Zaken gaat vervolgens in op de vraag of het wetsvoorstel werkbaar is voor de diensten. De minister geeft aan dat met dit voorstel nog steeds zeer gevoelige operationele informatie gedeeld moet worden met derden. Volgens artikel 3, lid 2 hóeft niet tot bekendmaking over te worden gegaan. In lid 3 van datzelfde artikel staat dat het bestuursorgaan wél moet overleggen met vertegenwoordigers van betrokkenen die de vitale infrastructuur beheren, alvorens te besluiten over de bekendmaking. Dit kan problematisch zijn wanneer het gaat over gevoelige operationele informatie, gezien potentiële veiligheidsrisico’s. De organisaties waar het om gaat hebben reeds een afwegingskader, aldus de minister. Dat roept bij de minister de vraag op wat het voorstel daar op dit specifieke punt nog aan toevoegt. Belangrijke bezwaren zijn dus weggenomen, maar op dit specifieke onderdeel rest voor de diensten nog wel een bezwaar.

Minister Grapperhaus onderschrijft in het debat dat het demissionaire kabinet nog steeds belangrijke bezwaren tegen het wetsvoorstel heeft op het punt van het dubbele kader van het proces voor de opsporing, daar politie en OM reeds een afwegingskader hebben voor het melden van onbekende kwetsbaarheden. Onbekende kwetsbaarheden worden bovendien alleen ingezet in het uiterste geval. In het regeerakkoord zijn volgens de minister reeds afspraken opgenomen over de aanschaf van binnendringsoftware door de politie.

De heer Verhoeven reageert dat hij vooral beoogt de zaken uniform te regelen. Hoewel er al een leidraad en een afwegingskader is, wil hij dat het in één wet geregeld wordt. Hij geeft aan nog één keer te kijken naar de mogelijkheden die er zijn om tegemoet te komen aan datgene wat gezegd is, maar te blijven bij zijn standpunt dat een meer uniforme en stevige regeling gewenst is.

Het gehele standpunt van het kabinet omtrent het verzoek van de vaste commissie van Binnenlandse Zaken om in te gaan op het gewijzigde initiatiefwetsvoorstel van de heer Verhoeven is hier te vinden (Kamerstukken II 2020/21, 35257, nr. 14).

Sophie Harleman

Veroordeling poging tot deelneming aan een terroristische organisatie

Het Hof Den Bosch heeft op 14 januari 2021 een verdachte in hoger beroep veroordeeld (ECLI:NL:GHSHE:2021:60) tot poging tot deelneming aan een organisatie die tot oogmerk heeft het plegen van terroristische misdrijven (IS). Uit bestendige rechtspraak van de Hoge Raad over deelneming aan een organisatie als bedoeld in artikel 140 en 140a Sr volgt dat daarvan slechts sprake kan zijn, indien de betrokkene behoort tot het samenwerkingsverband en de betrokkene een aandeel heeft in gedragingen, of deze ondersteunt, die strekken tot of rechtstreeks verband houden met de verwezenlijking van het in die artikelen bedoelde oogmerk.

De verdachte heeft op verschillende momenten en in verschillende geschriften beschreven hoe ze zich heeft verdiept in de Islam. Ze erkent vanuit Nederland naar het grensgebied van Turkije en Syrië te zijn gereisd, wat wordt ondersteund door (locatie)gegevens van gedane geldopnames en mastgegevens van haar mobiele telefoon. De verdachte heeft driemaal geprobeerd de oversteek te maken naar Syrië, maar is hierin niet geslaagd. De verdachte heeft een dagboek bijgehouden over haar pogingen, maar voerde ter terechtzitting aan dat het een boek betrof waarin de hoofdpersoon een IS-strijder was. Het hof hecht geen waarde aan deze alternatieve verklaring.

Voor een bewezenverklaring tot een poging tot deelneming aan een terroristische organisatie is nodig dat het voornemen van de verdachte zich door een begin van uitvoering heeft geopenbaard. Nu verdachte actief heeft geprobeerd de grens naar Syrië over te steken en diverse voorbereidingen heeft getroffen (het opnemen van geld, het afscheid nemen van haar familie in brieven, het bestuderen van de Arabische taal en andere voorbereidingen), acht het hof bewezen dat het voornemen van verdachte om deel te nemen aan IS zich door een begin van uitvoering heeft geopenbaard.

Verdachte is volgens het Hof strafbaar en wordt veroordeeld tot een gevangenisstraf van 413 dagen, waarvan 180 voorwaardelijk en met een proeftijd van twee jaar.

Sophie Harleman

Intrekking Nederlanderschap

De rechtbank Den Haag heeft op 8 maart 2021 geoordeeld (ECLI:NL:RBDHA:2021:2112) dat de staatssecretaris van Justitie en Veiligheid bevoegd was tot intrekking van het Nederlanderschap van eiser en bevoegd was tot diens ongewenstverklaring over te gaan.

De staatssecretaris heeft bij afzonderlijke besluiten van 27 januari 2020 het Nederlanderschap van eiser ingetrokken op grond van artikel 14, vierde lid, van de Rijkswet op het Nederlanderschap (hierna: RWN). Eiser heeft als minderjarige gedeeld in de verkrijging van het Nederlanderschap van de moeder en bezit zowel de Marokkaanse als de Nederlandse nationaliteit. Eiser is op 14 mei 2012 geëmigreerd naar Egypte en uitgeschreven uit de Basisregistratie Personen van de gemeente Rotterdam. Het Nederlanderschap van eiser is ingetrokken naar aanleiding van een individueel ambtsbericht van de AIVD van 3 januari 2020, waaruit bleek dat eiser zich heeft aangesloten bij een organisatie die deelneemt aan een internationaal gewapend conflict en een bedreiging vormt voor de Nederlandse nationale veiligheid. Verweerder geeft aan dat de inhoud van het ambtsbericht hier geen twijfel over laat. Eiser is ook tot ongewenst vreemdeling verklaard.

In het ambtsbericht van 3 januari 2020 is het volgende vermeld.

‘ [eiser] is uitgereisd naar Syrië en hij heeft zich, vanaf tenminste 2014, aangesloten bij de aan Al-Qa’ida (AQ) gerelateerde jihadistische strijdgroep Jabhat al-Nusra (JaN). In de periode na 11 maart 2017 is hij, in elk geval tot eind mei 2019, aangesloten bij Tanzim Hurras Al Din (THD), een eveneens aan AQ gelieerde organisatie. Hij wordt vanaf 2014 tot medio 2019 gelokaliseerd in Syrische plaatsen die liggen binnen het territorium van aan AQ gerelateerde jihadistische strijdgroepen. [eiser] is, in ieder geval sinds zijn verblijf in Syrië, een uitgesproken sympathisant van de gewelddadige, extremistische, islamitische ideologie. Hij is, in ieder geval sinds februari 2018, actief in mediazaken door AQ-propagandamateriaal te (laten) vervaardigen en te verspreiden. [eiser] heeft op sociale media vele jihadistische nieuwsgroepen opgezet en onderhouden en verricht hiermee, in ieder geval tot april 2019, ondersteunende activiteiten voor de gewelddadige jihad. [eiser] heeft, in ieder geval sedert juli 2018, voor THD taken uitgevoerd, zoals het verrichten van gewapende gevechtstaken (ribaat).’

Niet betwist is dat eiser zich heeft aangesloten bij THD. Hoewel THD niet als afzonderlijke organisatie op de lijst, kan deze organisatie wel als terroristische organisatie worden aangemerkt, omdat deze is gelieerd aan al Qa’ida. De rechtbank dient uit te gaan van de juistheid van het ambtsbericht. Conclusies van de AIVD als gevolg van het ontbreken van toestemming kunnen niet worden getoetst aan de hand van geheime stukken die daaraan ten grondslag liggen. Het ambtsbericht bevat voldoende feitelijke informatie over eiser.

De gemachtigde van eiser voert aan dat de staatssecretaris zich niet op de door de AIVD verstrekte informatie mag baseren, omdat de AIVD alleen deskundig is over nationale veiligheid in het algemeen, en niet wanneer het aankomt op concrete gevallen. De rechtbank oordeelt dat informatievergaring in het kader van de nationale veiligheid bij uitstek een taak en een deskundigheid is van de AIVD, en dat uit de wetsgeschiedenis (Kamerstukken I 2015-2016, 34 356, nr. C, onderdeel 3) van artikel 14, vierde lid, RWN blijkt dat een ambtsbericht van de AIVD kan dienen als grondslag voor de intrekking van het Nederlanderschap.

De rechtbank oordeelt dat de intrekking van het Nederlanderschap niet in strijd is met het verbod op discriminatie en dat er geen feiten of omstandigheden over eiser bekend zijn die duiden op een te prevaleren belang van een ongestoord familie- en gezinsleven in Nederland op grond van artikel 8 EVRM. De rechtbank komt tot het oordeel dat verweerder op grond van het ambtsbericht het Nederlanderschap van eiser kon intrekken en dat van onevenredigheid van de maatregel ten opzichte van de individuele belangen van eiser geen sprake is.

Sophie Harleman

Veroordeling deelname aan een terroristische organisatie

De rechtbank Rotterdam heeft op 12 april 2021 een verdachte veroordeeld (ECLI:NL:RBROT:2021:3131) voor het deelnemen aan een organisatie die tot oogmerk heeft het plegen van terroristische misdrijven (IS). Ook heeft de rechtbank de verdachte veroordeeld voor het faciliteren van haar partner om als jihadstrijder deel te nemen aan de gewapende strijd, het voorhanden hebben van vuurwapens, het trachten te bewegen van een andere persoon af te reizen naar Syrië, het aanhangen van radicaal extremistisch gedachtegoed en het maken van propaganda voor IS. Vast staat dat de verdachte op 11 juli 2013 naar Syrië is gereisd, waar zij is getrouwd met een Belgische jihadist. Na zijn overlijden heeft zij in vluchtelingenkampen verbleven en zich op 30 oktober 2019 aangemeld bij de Nederlandse ambassade in Ankara. Op 19 november 2019 is zij op Schiphol aangehouden.

De verdachte verklaart te weten dat er oorlog was in het gebied waarnaar zij vertrok en dat haar man werkte voor IS. Hij is in 2015 in België tot vijf jaar gevangenisstraf veroordeeld. Uit berichten van de verdachte op Facebook leidt de rechtbank af dat de verdachte wist dat haar man lid was van IS. Daarnaast bleek uit de berichten dat zij de jihadstrijd verheerlijkte en voor IS propaganda voerde. Uit chatgesprekken blijkt dat de verdachte een vuurwapen en granaten en munitie voor handen heeft gehad. Ook heeft zij uitvraag gedaan naar vuurwapens en getracht een persoon te bewegen af te reizen naar Syrië.

De rechtbank oordeelt dat de verdachte kan worden beschouwd als lid van en deelnemer aan IS, waarbinnen zij ook een maatschappelijke functie heeft bekleed.

Van psychische overmacht is geen sprake en de verdachte is dus strafbaar. De rechtbank is van oordeel dat, gelet op de aard van het delict en de omstandigheden waaronder dit is begaan, er ernstig rekening mee moet worden gehouden dat de verdachte wederom een misdrijf zal begaan dat gevaar veroorzaakt voor de onaantastbaarheid van het lichaam van één of meer personen. De verdachte wordt veroordeeld tot een gevangenisstraf voor de duur van 48 maanden, waarvan 16 voorwaardelijk en met een proeftijd van 3 jaar.

Sophie Harlema

Rapport evaluatiecommissie Jones-Bos: the good, the bad and the ugly

Op 20 januari 2021 heeft de Commissie-Jones-Bos haar rapport ‘Evaluatie 2020. Wet op de inlichtingen- en veiligheidsdiensten 2017’ (.pdf) uitgebracht. De Wiv 2017 schrijft in artikel 167 voor dat de wet (telkens) na vijf jaar wordt geëvalueerd. Toch is besloten het evaluatieproces al twee jaar na de inwerkingtreding van de wet op 1 mei 2018 te starten.

De evaluatiecommissie verklaart dat de vervroegde evaluatie tegen de achtergrond van de ‘stevige maatschappelijke discussie over de Wiv 2017’, maar verwijst daarbij niet expliciet naar de uitslag van het raadgevend referendum waarbij meer mensen tégen de Wiv 2017 hebben gestemd, dan vóór (49,44% tegen en 46,53% voor de Wiv 2017). Hoewel de vervroegde evaluatie dus in eerste instantie was ingegeven door privacyzorgen, heeft de evaluatiecommissie klaarblijkelijk nadrukkelijk ook tot doel gehad de Wiv 2017 werkbaarder te maken. Het onderzoeken van de werkbaarheid van de Wiv 2017 was ook één van de opdrachten die de commissie van het kabinet heeft meegekregen.

In deze blogpost geef ik al mijn eigen korte reactie op belangrijke punten uit het rapport. Wie weet is het een begin van een volledige beschouwing van het rapport dat ik later in een artikel publiceer. Het kan zijn dat mijn standpunten later wijzigen (gelukkig mag dat in de wetenschap). Maar ik denk niet dat iedereen doorziet wat de mogelijke effecten zijn van de aanbevelingen en het leek mij goed in dit stadium hier al op te wijzen.

The good 

  • Het rapport is helder geschreven en bevat een heldere omschrijving van lastige onderwerp zoals: (1) het gebruik van bulkdata, (2) het proces van de verwerking van gegevens in de praktijk, (3) internationale samenwerking en de invloed van internationaal recht op het werk van de diensten, (4) het stelsel van toezicht.
  • De wettelijke regeling voor het verwerven van ‘register bulkdata’, zoals gegevens van de Kamer van Koophandel en de Rijksdienst Wegverkeer (RDW) voor kentekengegevens, is onvoldoende voorzienbaar en verdiend een aparte wettelijke basis (zie ook mijn oratie). Ook de waarborg van toestemming van de minister vind ik passend.
  • Een speciaal regime voor de (verdere) verwerking van bulkgegevens, incl. autorisatievereisten.
  • Voorstel tot aanpassing van de bijzondere bevoegdheid voor geautomatiseerde data-analyse aan (zie ook mijn recente preadvies en artikel hierover).
  • De aanbevelingen m.b.t. OOG-interceptie en de hackbevoegdheid.
  • De meeste aanbevelingen over internationale samenwerking (steviger waarborgen en bescherming van Nederlanders bij gegevensverstrekking aan buitenlande diensten).
  • De aanbevelingen over de reikwijdte van de TIB-toets en procedurele aanbevelingen over benoeming van de leden van de TIB en CTIVD.

The bad 

  • De aanbeveling voor één grondslag voor het verkrijgen van gegevens (incl. bulkdata) van Nederlandse medeoverheden. Deze aanbeveling is onvoldoende uitgewerkt. Vraagstukken zijn bijvoorbeeld: moet altijd verplicht worden verstrekt naar de diensten? En met welke waarborgen op het gebied van gegevensverwerking? Welke bewaartermijn geldt voor deze gegevens? In het strafrecht werd voor deze regeling een hele commissie aangesteld (de Commissie-Mevis met het rapport ‘Strafvorderlijke gegevensvergaring in de informatiemaatschappij‘).
  • Een nieuwe categorie voor geautomatiseerde data-analyse (‘GDA+’) met als argument (als ik het goed begrijp) dat alleen data-analyse waarbij wordt gewerkt met ‘statistische methoden’ (bijvoorbeeld bij profiling) privacy-intrusief zijn. Zogenoemde ‘naslagen’ waarbij allerlei soorten gegevens uit verschillende bronnen gekoppeld en gevisualiseerd kunnen worden zouden slechts een ‘beperkte privacy-inbreuk’ opleveren. Net zoals bijna twee jaar geleden (!) in een brief in reactie op een rechtseenheidbrief over geautomatiseerde data-analyse door de ministers uiteen is gezet. Het is een fundamenteel andere kijk op de privacy-effecten van data-analyse dan van veel juristen en dat verdient meer aandacht.  
  • Het schrappen van de bijzondere bevoegdheid van ‘selectie’ bij onderzoeksopdrachtgerichte-interceptie. Nu moet apart toestemming worden gegeven voor het kennisnemen van de inhoud na interceptie (zoals het uitluisteren van een telefoongesprek). Het voorstel is dit te schrappen (geen voorafgaande toestemming meer van de TIB). Maar welk probleem wordt hier opgelost en waarom is deze privacy-waarborg niet passend?
  • Het niet-samenvoegen van de TIB en CTIVD. Het stelsel werkt klaarblijkelijk niet zoals gehoopt (zoals eerder voorspeld door onder andere de Raad van State), mede door een verdergaande toetsing van de TIB dan gedacht. Volgens de aanbevelingen wordt de rol van TIB beduidend teruggeduwd, krijgt de afdeling toezicht van de CTIVD geen bindende toetsinstrumenten en worden verantwoordelijkheden meer belegd bij de verantwoordelijke ministers. Zie voor een andere kijk ook de bijdrage van de CTIVD aan de evaluatiecommissie.

The ugly 

  • De aanbeveling de relevantietoets aan te passen door een toets op ‘operationele waarde’. Het gevolg is dat bulkdatasets na de termijn van drie jaar bijna in hun geheel ‘van betekenis’ worden verklaard. De gevolgen voor het gegevenbeschermingsrecht zijn hier onvoldoende doordacht. Er geldt niet eens een maximale bewaartermijn van de gegevens. Het beginsel van ‘datareductie’ met een verplichte vernietiging van gegevens wordt hierdoor uitgehold.
  • De aanbeveling het mogelijk te maken begrippen voor te leggen aan de bestuursrechter. In een rechtsstaat kan een rechter beslissen over besluiten van een toezichtsorgaan, maar de toezichthouder interpreteert in eerste instantie de wet bij de taakuitvoering.

Conclusie

In de kern kan ik mij in veel gevallen vinden in de aanbevelingen van de evaluatiecommissie. Aandacht voor de werkbaarheid van wetgeving is belangrijk, ook in het kader van een effectieve bescherming van de nationale veiligheid.

Maar ‘the devil is in the details’ en ik heb veel vraagtekens bij de uitwerking van bepaalde voorstellen. Het rapport is ook niet altijd gebalanceerd, in de zin dat het soms super technisch-juridisch en over details gaat (zoals bij OOG-interceptie en de hackbevoegdheid) en andere keer weer heel hoog over is, zonder uitgebreid te toetsen aan de juridische basis of juridische consequenties (incl. grondrechten), met name m.b.t. bulkdatasets en geautomatiseerde data-analyse.

Het onvermijdelijke wetsvoorstel (ik verwacht dat een nieuw kabinet aan de hand van de aanbevelingen de opdracht geeft een wetsvoorstel voor te bereiden) en daaropvolgende de wetsbehandeling ga ik uiteraard met interesse volgen!  

Rubriek inlichtingen en recht december 2020

Jaarplan AIVD 2021

De minister van BZK heeft op 15 december 2020 de Tweede Kamer geïnformeerd over de hoofdlijnen van het jaarplan van de AIVD (Kamerstukken II 2020/21, 30977, nr. 158). Het volledige jaarplan is vanwege zijn inhoud staatsgeheim gerubriceerd. Een aantal punten wordt ter informatie door de minister uitgelicht.

De AIVD wil de samenwerkingen met de MIVD en andere ketenpartners versterken.  Door de COVID-19 pandemie is de spionagedreiging richting de farmaceutische en medische sector toegenomen. De dreiging van buitenlandse inlichtingenactiviteiten richting de Nederlandse samenleving is daarnaast onverminderd aanwezig. Het gaat hierbij zowel om spionage en ongewenste inmenging als heimelijke politieke beïnvloeding. Een aantal landen richt zijn inlichtingen- en beïnvloedingsactiviteiten met name op hun diaspora in Nederland. Deze ontwikkeling benadrukt volgens de AIVD het belang van de strafbaarstelling van spionage. Om Nederland in staat te stellen zich op effectieve wijze te kunnen weren tegen de dreiging vanuit Rusland en China zetten de MIVD en AIVD in op een gecombineerde inzet.

De AIVD benoemt verder de grote afhankelijkheid van digitale systemen die leidt tot grotere kwetsbaarheid van de Nederlands samenleving. De cyber gerelateerde inlichtingenposities van de AIVD vormen de basis voor het tijdig onderkennen van hoogwaardige (statelijke) dreigingen, en het adequaat voorkomen of tot een minimum beperken van schade die uit cyberaanvallen voortkomt. Wereldwijd vindt een bredere proliferatie van offensieve cyberprogramma’s plaats. In reactie hierop is de Cyber Intel/Info Cel (CIIC) opgericht, een samenwerkingsverband tussen de AIVD, MIVD, het Nationaal Cyber Security Centrum, de politie en het OM (zie ook Stcrt. 2020, 30702). De AIVD levert dreigingsinformatie, en combineert dat met advies over informatiebeveiliging in het digitale domein.

De AIVD wil zijn werkwijze verbeteren en streeft naar een gezamenlijke datahuishouding met de MIVD. Met dat systeem kan inzicht worden gegeven in de juridische status van gegevens, waarmee recht wordt gedaan aan de opmerkingen daarover in de voortgangsrapportages van de CTIVD. De AIVD benoemt in de jaarplanbrief ook het rapport van de onafhankelijke Wiv evaluatiecommissie Jones-Bos dat in 2021 zal verschijnen, alsmede een rapport van de Algemene Rekenkamer over de impact van de implementatie Wiv 2017 op de operationele slagkracht van de diensten. De AIVD heeft zich tot doel gesteld om mede naar aanleiding van deze rapporten en in navolging van het openbare beleid bulkdatasets dat in november 2020 is gepubliceerd, in 2021 over een aantal maatschappelijk relevante onderwerpen te voorzien in openbaar beleid om de maatschappij te laten zien hoe de AIVD de wet in de praktijk invult.  

Eén van de initiatieven waar de AIVD in 2021 mee aan de slag gaat is de noodzaak om, op basis van inlichtingen over de (digitale) dreiging vanuit statelijke actoren, concreet handelingsperspectief te geven om de digitale weerbaarheid te vergroten.

Sophie Harleman

Defensienota, lijst van vragen en antwoorden

De vaste commissie voor Defensie heeft een aantal vragen voorgelegd aan de minister van Defensie over de Defensievisie 2035 (Kamerstuk 34919, nr. 71). Een paar vragen en antwoorden (Kamerstukken II 2020/21, 34919, nr. 73) zal ik hieronder uitlichten.

Zo vraagt de commissie zich af (vraag 42) of de minister het risico ziet dat de drempel voor het aangaan van een conflict lager komt te liggen door de optie om hybride oorlogsinstrumenten in te zetten, zoals “cyber”. De minister geeft aan dat de drempel voor hybride conflictvoering door tegenstanders onder het niveau van een gewapend conflict lager ligt dan voor openlijk militair conflict. Hybride conflict wordt gekenmerkt door meer heimelijke activiteit, zoals economische spionage, cyberaanvallen, militaire intimidatie, aanvallen met chemische wapens en/of ondermijnende desinformatie. Door deze handelswijze onttrekken statelijke tegenstanders zich doelbewust aan het geldende internationaal (oorlogs)recht.

Vervolgens stelt de commissie de vraag (43) hoe Nederland met de uitvoering van de Defensievisie 2035 bijdraagt aan een effectief weerwoord op conventionele militaire dreigingen alsmede zeer moderne militaire technologieën, en geeft daarbij het voorbeeld van Russische hypersone wapens en Chinese Robots. De minister antwoordt dat de drie eigenschappen en tien inrichtingsprincipes van Defensie ertoe dienen te leiden dat in de toekomst de Nederlandse belangen kunnen worden beschermd tegen de in de Defensievisie onderkende dreigingen. Hieronder vallen ook nieuwe dreigingen zoals hybride conflictvoering en dreigingen in het cyberdomein. Defensie wil inzetten op een technologisch hoogwaardige en informatiegestuurde organisatie om te voorkomen dat Defensie achterop komt bij potentiele tegenstanders die hierin investeren.

In vraag 44 legt de commissie aan de minister voor wat de afgelopen kabinetsperiode had moeten gebeuren om ervoor te zorgen dat Defensie wél toegerust zou zijn op het verdedigen tegen hybride dreigingen en optreden in de informatieomgeving. De minister geeft aan dat dit kabinet fors heeft geïnvesteerd in Defensie, te weten €1,7 miljard euro structureel en €1,7 miljard euro incidenteel over de periode tot en met 2024. In de Defensienota 2018 zijn verder de maatregelen uiteengezet die worden genomen om stappen te zetten richting een informatiegestuurde krijgsmacht die is opgewassen tegen technologisch hoogwaardige tegenstanders en hybride dreigingen. Defensie investeerde onder andere in cyber, inlichtingen, IT, informatievergaring en het gehele informatiedomein.

Vraag 49 luidt: “Wat bedoelt u precies met “we specialiseren ons in het opbouwen en behouden van een gezaghebbende informatiepositie”? Welke extra capaciteiten wilt u creëren/aanschaffen om deze ambitie te realiseren?” De minister geeft aan dat de visie niet ingaat op welke capaciteiten aangeschaft (moeten) gaan worden, omdat dat afhangt van het toekomstige budget en toekomstige keuzes.

Vraag 54 ziet specifiek op data die Defensie vergaart en gebruikt. De vraag luidt als volgt: “Wat voor specifieke data heeft de toekomstige krijgsmacht vooral nodig? Naast het gebruiken van deze data moet het ook vergaard worden; hoe doet de krijgsmacht dit en aan welke privacy-kwesties raakt dit?”

De minister geeft als antwoord dat de toekomstige krijgsmacht onder andere data zal gebruiken uit open bronnen, haar eigen (wapen)systemen, sensoren, satellieten en inlichtingen van de MIVD. Defensie moet dit soort informatie kunnen ontsluiten, filteren, verwerken, analyseren, erop kunnen sturen en naar kunnen handelen om hun kerntaken uit te voeren. Eigenlijk, stelt de minister, is informatie voor Defensie net zo belangrijk als brandstof voor een auto. Zij geeft aan dat Defensie nu en in de toekomst binnen wettelijke kaders werkt. Omdat de inzet van nieuwe technologische fundamentele ethische en maatschappelijke vragen kan oproepen, participeert Defensie in interdepartementale en internationale trajecten om deze publieke waarden te blijven beschermen. De minister geeft aan dat de Wiv 2017 de inlichtingendienst bevoegdheden en taken geeft ten behoeve van de nationale veiligheid. De minister stelt dat hierbij altijd in ogenschouw wordt genomen dat het middel niet erger is dan de kwaal.

Vraag 56 ziet op samenwerking en interoperabiliteit tussen de partners in het Nederlandse cyberbeveiligingsnetwerk. Defensie is volgens de minister een cruciale partner in het Nederlandse cybersecuritylandschap, en probeert samen met strategische partners zoals het Nationaal Cyber Security Centrum (NCSC), de Algemene Inlichtingen en Veiligheidsdienst (AIVD), de Politie en het OM Nederland digitaal veilig te houden. Een voorbeeld van dit soort samenwerkingsverbanden is de Cyber Intel/Info Cell, waar sinds deze zomer medewerkers van de bovengenoemde organisaties fysiek bij elkaar zitten om relevante informatie zo snel mogelijk te kunnen delen.

De minister noemt verder het Nationaal Respons Netwerk waar Defensie bij is aangehaakt. Dit betreft een samenwerkingsverband tussen o.a. Defensie, NCSC en Rijkswaterstaat waar kennis, informatie en personeel (in het geval van crises) wordt gedeeld. De minister stelt dat Defensie als bron van informatie en inlichtingen en door het beschikbaar hebben van cruciale personele capaciteit een belangrijke speler in het nationale cybersecuritylandschap is.  

Als antwoord op vraag 58 stelt de minister ten slotte dat bredere bewustwording van de dreiging van desinformatie van groot belang is. Openheid over desinformatiecampagnes kan daaraan bijdragen.

Sophie Harleman

Brief van de Minister van Buitenlandse Zaken over het bericht dat de Russische militaire inlichtingendienst via ‘Bonanza Media’ desinformatie verspreidt rond het MH17 strafproces

In deze Kamerbrief (Kamerstukken II 2020/21, 33997, nr. 155) wordt door de minister van Buitenlandse Zaken gereageerd op het rapport van onderzoekscollectief Bellingcat, waarin werd gesteld dat de Russische militaire inlichtingendienst GROe via ‘Bonanza Media’ desinformatie verspreidt rondom het MH17 strafproces.

Uit de jaarverslagen van de AIVD en de MIVD is reeds gebleken dat het kabinet zorgen heeft over de Russische beïnvloedingsactiviteiten, waaronder ook met betrekking tot de beeldvorming over het MH17 strafproces.

De minister geeft aan dat de strategie van het kabinet om verspreiding van desinformatie tegen te gaan drie actielijnen kent: preventie, de informatiepositie verstevigen en, zo nodig, reactie. Het kabinet hecht grote waarde aan het onafhankelijke en pluriforme medialandschap in Nederland. De minister geeft aan dat het kabinet Rusland herhaaldelijk heeft aangesproken op het verspreiden van desinformatie rondom het neerhalen van vlucht MH17 en dat het kabinet dit waar nodig ook zal blijven doen.

Sophie Harleman

Brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties over nationale veiligheid en het tegengaan van digitale inmenging Tweede Kamer verkiezingen 2021

De minister geeft in deze Kamerbrief (Kamerstukken II 2020-21, 30821, nr. 118) aan dat het beschermen van onze verkiezingen tegen ongewenste (digitale) inmenging van groot belang is voor onze democratie. Hoewel zich bij het stemmen geen digitale dreigingen voordoen, kan de dreiging van digitale inmenging bij verkiezingen in diverse vormen voorkomen. In de brief gaat de minister in op de uitdagingen rond digitale inmenging omtrent de verkiezingen, zowel bij het verkiezingsproces zelf als in aanloop naar de verkiezingen. Ook noemt zij de maatregelen die de overheid neemt digitale inmenging bij de Tweede Kamerverkiezing van 2021 te voorkomen, en biedt ze de Kamer het rapport ‘Digitale dreigingen voor onze democratie’ van het Rathenau Instituut aan. Hieronder ga ik kort in op de voor deze rubriek relevante punten.

Kwetsbaarheid politieke partijen voor digitale incidenten verminderen
Het vertrouwen in de betrouwbaarheid van de verkiezingen is in Nederland hoog. Personen en instituties die een rol spelen in het democratisch proces zijn een potentieel doelwit voor kwaadwillenden om desinformatie te verspreiden of informatie te ontvreemden. Het moet bij betrokken partijen bekend zijn wat te dreiging van cybercrime, cyberspionage en cybersabotage inhouden teneinde de dreigingen effectief te bestrijden. De rijksoverheid geeft hierbij ondersteuning waar nodig. Politieke partijen kunnen tevens altijd een vrijwillige melding doen bij het Nationaal Cyber Security Centrum in het geval van ernstige incidenten.

Voorkomen dat mis- en desinformatie het democratisch proces ondermijnt
Mis- en desinformatie kunnen ervoor zorgen dat burgers de stembusgang wordt belemmerd. Waar bij misinformatie onbedoeld onjuiste of misleidende informatie wordt verspreid, is desinformatie gericht op het toebrengen van schade aan het publieke debat, democratische processen, de open economie of nationale veiligheid. Er zijn geen aanwijzingen dat er bij eerder verkiezingen in Nederland door statelijke actoren grootschalige desinformatiecampagnes hebben plaatsgevonden maar uit het jaarverslag van de AIVD blijkt dat online Russische beïnvloeding op West-Europese sociale media aan de orde van de dag is.

Zoals ook blijkt uit de brief van de minister van Buitenlandse Zaken over het bericht dat de Russische militaire inlichtingendienst via ‘Bonanza Media’ desinformatie verspreidt rond het MH17 strafproces (Kamerstukken II 2020/21, 33997, nr. 155), kent de strategie tegen desinformatie drie actielijnen: preventie, informatiepositie verstevigen en (indien nodig) reactie. De overheid kan in het licht van de verkiezingen misleidende informatie actief tegenspreken, zoals ook gebeurd is tijdens de COVID-19 crisis. Ook kan de overheid juridische middelen inzetten, zoals artikel 127 Wetboek van Strafrecht, dat betrekking heeft op het plegen van een bedriegelijke handeling. Verder kan de overheid juridische handvatten ontlenen aan het civielrecht, of als er sprake is van een strafbaar feit als smaad of laster.

Gebrek aan transparantie omtrent digitale campagnes verminderen
In aanloop naar de verkiezingen moet het voor burgers duidelijk zijn wie de afzender is van een politieke advertentie en waarom zij deze te zien krijgen. Vanwege de Europese gedragscode tegen desinformatie hebben internetdiensten maatregelen genomen om de transparantie van politieke advertenties te vergroten, en staan sommige internetdiensten geen politieke advertenties meer toe op hun platforms. Volgens de minister moet de Europese gedragscode tegen desinformatie worden verbeterd, onder meer door het toevoegen van minimale transparantie- en rapportagestandaarden en gemeenschappelijke definities van sleutelconcepten. Op nationaal niveau werkt de minister aan een Wet op de politieke partijen (Wpp), waarin transparantieregels ook een plek krijgen.

Informatiepositie over mis- en desinformatie verder ontwikkelen
Overheden dienen een goede informatiepositie te hebben over de aanwezigheid van mis- en desinformatie zodat zij weten of er sprake is van een dreiging die een reactie van de overheid vereist. Hiervoor dient  informatie in nationaal en internationaal verband gedeeld te worden. In Nederland staan de betrokken ministeries en diensten doorlopend in nauw contact om informatie over en signalen van mogelijke desinformatieactiviteiten te delen, te duiden en daarop zo nodig te acteren. Internationale samenwerkingsverbanden dragen bij aan het versterken van de informatiepositie. De Europese Commissie heeft recent het European Digital Media Observatory gelanceerd, waarbinnen fact-checkers, wetenschappers en andere stakeholders worden gefaciliteerd.

Rekening houden met nieuwe technieken om mis- en desinformatie te verspreiden
De technologie waarmee mis- en desinformatie kan worden verspreid is voortdurend in ontwikkeling. Het rapport ‘Digitale dreigingen voor de democratie’ van het Rathenau Instituut geeft een overzicht van de technologische ontwikkelingen die de komende jaren een rol kunnen gaan spelen bij de productie en verspreiding van desinformatie. De mogelijkheden bestaan onder andere uit tekstsynthese, voice cloning, deepfakes, microtargeting en chatbots. Met name deepfakes en psychographing, een geavanceerde vorm van microtargeting, kunnen in de toekomst ingezet worden door kwaadwillende actoren om het publieke debat en het democratische proces heimelijk te beïnvloeden. De minister geeft aan niet te verwachten dat deze technologieën bij de komende Tweede Kamerverkiezingen al een grote rol zullen spelen. De minister deelt de conclusie van het Rathenau Instituut dat met name internetdiensten een verantwoordelijkheid hebben om het verspreiden van desinformatie tegen te gaan. De overheid kan daarbij bedrijven wel aansporen om maatregelen te nemen. De beschreven nieuwe technologieën zouden een plek kunnen krijgen in een verbeterde gedragscode.

De minister wil teneinde bovenstaande uitdagingen het hoofd te bieden thematafels organiseren waarbij relevante ministeries, toezichthouders, het maatschappelijk middenveld, politieke partijen en internetdiensten worden uitgenodigd.

Sophie Harleman

Tijdelijke regeling verdere verwerking bulkdatasets 

Op 5 november 2020 is de ‘Tijdelijke regeling verdere verwerking bulkdatasets Wiv 2017’ gepubliceerd (Stcrt. 2020, 56482). Een bulkdataset wordt gedefinieerd als ‘een omvangrijke gegevensverzameling waarbij het merendeel van de gegevens betrekking heeft op personen en/of organisaties die geen onderwerp van onderzoek zijn van een dienst en dat ook niet worden’. Bulkdatasets zijn volgens de toelichting op de regeling van grote operationele waarde.  

De toelichting op de regeling noemt dat  de verwerving van bulkdatasets de diensten in staat stelt zicht te krijgen op bepaalde regio’s en uitreizigers of andere targets te (blijven) volgen. Bulkdatasets hebben een langdurige waarde voor de uitoefening van de taken van de diensten. Het stelt de AIVD en de MIVD in staat om ook over een langere periode netwerken in kaart te brengen, de intensiteit van contacten vast te stellen en reisbewegingen te herleiden. In de praktijk wordt de opbrengst uit een bulkdataset vaak gecombineerd met andere inlichtingeninformatie, bijvoorbeeld afkomstig uit de inzet van bijzondere bevoegdheden. Door deze gegevens te combineren worden verbanden zichtbaar of wordt de kennis over reeds gekende dreigingen vergroot. 

De regeling moet worden gezien als regelgeving die de minister van BZK of Defensie kan nemen ten aanzien van de organisatie, de werkwijze en het beheer van de diensten (art. 16 Wiv 2017). Daarnaast is het natuurlijk geen toeval dat de regeling is gepubliceerd na de publicatie toezichtsrapporten nr. 70 en nr. 71 van de CTIVD over bulkdatasets.  

In mijn meest recente artikel ‘Metadata-analyse in de Wiv 2017’ in het tijdschrift Privacy & Informatie merk ik het volgende over de regeling op. De toegang van AIVD- en MIVD-medewerkers tot gegevens in bulkdatasets wordt beperkt afhankelijk van de ernst van inmenging op de persoonlijke levenssfeer van personen die plaatsvindt bij de verwerking van de gegevens in de bulkdataset.De ernst van de inmenging wordt bepaald op basis van de volgende vier elementen: (1) identificerende gegevens, (2) locaties, (3) netwerk van de contacten van een persoon en (4) vertrouwelijke inhoud. Hierbij valt op dat de verwerkingsvormen van de gegevens uit de bulkdatasets niet worden meegenomen om de privacy-inbreuk te bepalen, terwijl dit volgens jurisprudentie van het EHRM en HvJ EU wel een belangrijke factor is om de ernst van de privacy-inmenging te meten. 

De toegang tot gegevens in bulkdatsets is met de regeling ingedeeld in een (a) standaard toegangsregime, (b) beperkt toegangsregime of (c) strikt beperkt toegangsregime. Onder het standaard toestemmingsregime behoren medewerkers die toegang vanuit hun functie nodig hebben, zoals medewerkers die het inlichtingenonderzoek uitvoeren, maar ook data-analisten en data-scientists. Onder het beperkt toegangsregime behoren functiegroepen die vanwege hun specifieke kennis en expertise met bulkdata de verbanden tussen verschillende gegevensbestanden inzichtelijk kunnen maken door middel van data-analyses. Dat kunnen medewerkers uit een inlichtingenteam zijn of een team dat belast is met de uitvoering van veiligheidsonderzoeken of het opstellen van dreigingsanalyses. Onder het strikte toegangsregime hebben alleen specifieke medewerkers met een bepaalde functie toegang of toegang waarbij de functionaliteit beperkt is tot het bevragen van gegevens. Een speciaal verzoek tot toestemming moet worden ingediend om toegang te krijgen tot gegevens in de bulkdataset als blijkt dat zich daarin een kenmerk bevindt, zoals een telefoonnummer. 

De tijdelijke regeling bevat geen maximale bewaartermijn van de gegevens, omdat de gegevens in de bulkdatasets allemaal relevant worden geacht. In plaats daarvan vindt een periodieke beoordeling vindt plaats om de 3 jaar, 2 jaar, of 1 jaar; afhankelijk van het type bulkdataset. Over het geheel gezien biedt deze regeling meer bescherming dan (de huidige uitvoering) van de Wiv 2017 en kan het worden gezien als een invulling van de algemene bepalingen omtrent gegevensverwerking en de zorgplicht uit de Wiv.  

Jan-Jaap Oerlemans

Nieuwe autoriteit voor de bestrijding kinderpornografisch en terroristisch materiaal?

Minister Grapperhaus van Justitie en Veiligheid heeft in het najaar van 2020 nieuwe plannen uit de doeken gedaan voor de oprichting van een nieuwe overheidsinstantie (zie de Kamerbrief van 20 november 2020 en de Kamerbrief van 8 oktober 2020). De nieuwe autoriteit zou er gericht op zijn kinderpornografisch en terroristisch materiaal door middel van het bestuursrecht te bestrijden met bestuursrechtelijke handhavingsinstrumenten, zoals de last onder bestuursdwang en boetes. Het idee is dat deze autoriteit de status van zelfstandig bestuursorgaan krijgt om de onafhankelijkheid te waarborgen. Dit zou bovendien aansluiten bij een voorstel voor een Europese verordening over het ontoegankelijk maken van online terroristisch materiaal. Op 10 december 2020 is een voorlopig akkoord bereikt over de verordening door de Raad van Ministers.

Minister Grapperhaus beziet nog of de nieuwe autoriteit bijvoorbeeld de bevoegdheid krijgt te automatisch zoeken (crawlen) naar online kinderpornografisch materiaal. Met een dergelijke bevoegdheid wordt Nederland minder afhankelijk van meldingen uit het buitenland over kinderpornografisch materiaal op servers in Nederland. Volgens de minister ontstaan ‘kwalitatieve en kwantitatieve synergievoordelen’ wanneer de bestrijding van online kinderpornografisch materiaal en online terroristisch materiaal bij één autoriteit worden ondergebracht. De minister verwacht dat het wetsvoorstel voor de autoriteit die online kinderpornografisch materiaal bestrijdt in januari 2021 in (internet)consultatie kan worden gegeven.

Problematiek

In een andere Kamerbrief van 8 oktober 2020 over de bestrijding kinderpornografisch materiaal op internet, heeft de minister de problematiek verder toegelicht. Zo vertelt de minister uitgebreid over een het rapport, de “CSAM Hosting Monitor”, die in opdracht is geschreven door de TU Delft. De minister streeft ernaar dat de monitor een structureel karakter krijgt en de rapportage periodiek wordt gepubliceerd, waarbij de op te richten toezichthouder het instrument op termijn overneemt.

In de Kamerbrief wordt bijvoorbeeld het hostingbedrijf NForce uitgelicht, klaarblijkelijk in het kader van ‘naming en shaming’. Het hostingbedrijf hostte een extreem grote hoeveelheid kinderpornografisch beeldmateriaal: van januari-augustus 2020 kreeg het bedrijf maar liefst 179.610 meldingen van het Meldpunt Kinderporno over URL’s met dergelijk materiaal. Het aandeel van NForce in alle Nederlandse meldingen van kinderpornografisch beeldmateriaal was 93.57% (!). Kortom, NForce heeft als hoster van middelbare grote volgens de minister een enorme rol in de verspreiding van kinderpornografisch beeldmateriaal.

HashCheckService

De ‘HashCheckService’ is een dienst die de politie beschikbaar stelt aan hosting providers om kinderpornografisch materiaal te detecteren, zodat het kan worden verwijderd. Na het versturen van brieven aan 17 hosters in juni 2020 die veel kinderpornografie via hun diensten distribueerden, hebben een aantal hostingbedrijven klanten afgestoten. Ook steeg het aantal domeinen dat aangesloten werd op de HashCheckService flink en één hostingbedrijf verplichtte zijn klanten om zich hierop aan te sluiten. Het resulteerde in een enorme toename van het aantal checks van deze HashCheckService. In een Kamerbrief van 7 juli 2020 werd genoemd dat 67 miljoen afbeeldingen waren gecheckt met 10.000 hits, inmiddels is dit gestegen naar 18.2 miljard afbeeldingen die zijn gecheckt met bijna 7.4 miljoen hits. Deze aantallen dragen volgens de minister fors bij aan het tegengaan van herhaald slachtofferschap.

Good hostingschap

De minister noemt allerlei maatregelen ter bestrijding van kinderpornografie die hosting bedrijven kunnen nemen in het kader van “good hostingschap”. Dat doet hij overigens zonder te verwijzen naar onderliggende wet- en regelgeving. Een ‘good hoster’ zal bijvoorbeeld een “Know-Your-Customer” beleid kunnen voeren, bijvoorbeeld door het uitvoeren van identiteitscontroles en een risico-inschatting maken ten aanzien van kinderpornografische uploads (mogelijk via de HashCheckService). Reactief acteert een good hoster volgens de minister uiteraard direct bij een melding, uiterlijk binnen door de sector zelf gestelde norm van 24 uur.

Eerste beschouwing van de plannen

De Kamerbrieven verassen mij. Het idee is interessant en vernieuwend. Maar ik mis wel een onderbouwing van de noodzaak voor de oprichting van zo’n nieuwe autoriteit, inclusief informatie over bijvoorbeeld de kosten, organisatie, etc.. Enkele vragen die alvast opkomen zijn bijvoorbeeld:

  1. Waarom wordt dit niet belegd bij een strafrechtelijke instantie of gespecialiseerde tak van het OM? Voldoet dat niet en waarom niet?
  2. Werkt het nieuwe Take Down-bevel uit artikel 125p Sv (n.a.v. de Wet computercriminaliteit III) onvoldoende? Is die bevoegdheid geëvalueerd? Zie overigens ook dit interessante rapport van de UvA in opdracht van het WODC over het verwijderen van onrechtmatige online content.
  3. Welke andere bevoegdheden zou de autoriteit moeten krijgen? Kunnen we een mooie naam voor de autoriteit verzinnen?
  4. In hoeverre wordt samengewerkt en gegevens gedeeld met andere, vergelijkbare autoriteiten?

Het is een dossier die ik zeker in de gaten blijf houden. Voor nieuwsartikelen of wetenschappelijk artikelen hierover houd ik mij aanbevolen.

== update ==

Het blijkt dat er al eerder onderzoek is gedaan naar de mogelijkheden tot het aanpakken van kinderporno op basis van bestuurlijke handhaving (.pdf). Het rapport komt op mij over als een praktisch en meer technisch georiënteerd rapport (niet super juridisch in ieder geval (hier is een juridisch advies van AKD te vinden)). Volgens het rapport kent bestuursdwang vele voordelen, zoals een mogelijk snellere rechtsgang en meer handelingsmogelijkheden. In de praktijk wordt bestuursdwang gezien als een middel om de resterende kleine groep ‘bad hosters’ aan te pakken. Dienstverleners die nu meewerken in de zelfregulering geven aan dat invoering van bestuursdwang voor deze groep weinig verandert, maar wel aanvullend ‘juridisch risico’ met zich meebrengt.

Maar “toch plaatsten veel respondenten vraagtekens bij de keuze voor bestuursdwang”. Zo zou het nemen van de eerste stap: het identificeren van de Nederlandse partij die onderwerp van bestuursdwang wordt, lastig zijn. Bestuursdwang is niet toe te passen op buitenlandse partijen en medeplichtigheid/medeverantwoordelijkheid is lastig aan te tonen, want partijen beroepen zich op het argument dat ze niet (kunnen/willen) weten wat er op hun infrastructuur gebeurt.

Ten slotte wordt in het rapport ook wel gewaarschuwd over een mogelijke precedentwerking als bestuursrechtelijk wordt gehandhaafd. Mogelijk wordt het instrument dan toegepast bij zaken als online kansspelen en online haatzaaiien (waar de verwijdering van terroristische content natuurlijk dicht bij staat). De weg via strafvordering zou volgens de auteurs op het rapport niet werken vanwege organisatorische problemen bij justitie/rechtbanken in verband met capaciteit voor het toestemming geven van het verwijderen van informatie.

Grenzen stellen aan datahonger

Gisteren (16 november 2020) mocht ik mijn oratie houden getiteld: ‘Grenzen stellen aan datahonger. De bescherming van de nationale veiligheid in een democratische rechtsstaat’ (.pdf). Die ochtend kreeg mijn oratie ook de aandacht in een mooi bericht van de Volkskrant, waarin mijn pleidooi wordt beschreven voor een aanpassing van de informantenbevoegdheid. Daarbij stel ik dat de huidige regeling voor de informantenbevoegdheid onvoorzienbaar is en met onvoldoende waarborgen is omkleed, voor zover het gaat om het verzamelen van bulkdatasets.

Verder leg ik mijn oratie uit hoe de Wet op de inlichtingen- en veiligheidsdiensten in de loop der jaren is ontwikkeld en steeds complexer is geworden. Ik vind het goed dat de Commissie-Jones-Bos in hun evaluatie van Wiv 2017 ook aandacht hebben voor de vraag of de wet voldoende werkbaar is en wat er mogelijk gewijzigd moet worden om het werkbaar te houden. Tegelijkertijd blijf ik de komende vijf jaar dat ik mijn leerstoel mag bekleden scherp op eventuele uitbreidingen van bevoegdheden van de AIVD en de MIVD.

Ten slotte maak ik duidelijk dat mijn onderzoek zich ook richt op het verwerken van inlichtingen door andere instanties, zoals de politie, de NCTV, de FIOD en particulieren. Daar heb ik uiteraard ook de hulp van andere onderzoekers en auteurs bij nodig. Ik kijk er naar uit de komende jaren mijn bijdrage te leveren op het gebied van ‘Inlichtingen en Recht’.

Overzicht Inlichtingen en Recht – oktober 2020

In dit nieuwe overzicht over ‘Inlichtingen en recht’ wordt periodiek een overzicht gegeven van relevante rapporten, Kamerstukken en jurisprudentie over inlichtingen, nationale veiligheid en recht. Het doel is de kern van de stukken te vatten en op deze wijze de nodige kennis te verschaffen aan geïnteresseerden.

Deze klus doe ik samen Sophie Harleman. Zij is vanaf 1 september 2020 als promovenda door de Universiteit Utrecht aangesteld in het kader van mijn leerstoel ‘Inlichtingen en Recht’. Mr. S.A.M. Harleman is verbonden aan het Montaigne Centrum voor Rechtsstaat en Rechtspleging en het Willem Pompe Instituut voor Strafrechtwetenschappen van de Universiteit Utrecht.

Voortgangsrapportage IV over de implementatie Wiv 2017

In onderstaande blogpost ga ik (Sophie) in op de belangrijkste constateringen van de CTIVD in de laatste en vierde voortgangsrapportage over de Wiv 2017. De CTIVD concludeert dat de implementatie van de Wiv 2017 nog niet volledig is afgerond.

Een kernpunt van de rapportage is dat de CTIVD de achterstand in het implementatieproces van de Wiv 2017 te wijten acht aan onvoldoende aandacht voor de implementatie van de wet bij de totstandkoming. In hun beleidsreactie geven de ministers van BZK en Defensie aan het hiermee eens te zijn. Desalniettemin vinden zowel de ministers als de CTIVD dat de diensten een goede koers hebben ingezet. Een belangrijke rol speelt daarbij de verdere verankering van de zorgplicht op de kwaliteit van de gegevensverwerking. De AIVD heeft het zorgplichtstelsel volgens de CTIVD nu op orde, waardoor het risico voor die dienst wordt bijgesteld van beperkt naar geen. Voor de MIVD wordt het risico bijgesteld van gemiddeld naar beperkt. De diensten hebben volgens het rapport echter nog onvoldoende bereikt als het gaat om de vertaalslag van wet naar praktijk. Voor de speciale bevoegdheid van onderzoeksopdrachtgerichte interceptie (“OOG-I”) is de vertaalslag overigens niet te beoordelen, nu die bevoegdheid nog niet is ingezet.

Voor wat betreft de relevantiebeoordeling oordeelt de CTIVD dat een risico op onrechtmatigheden blijft bestaan door een grote vrijheid voor ontwikkelaars om op decentraal niveau oplossingen te zoeken en systemen in te richten. De kritiek van de CTIVD is niet onopgemerkt gebleven. Huib Modderkolk spreekt bijvoorbeeld van ‘zorgen bij de toezichthouder’.

Meer specifiek onderscheidt de CTIVD in de vierde en laatste voortgangsrapportage de volgende (knel)punten die nadere aandacht behoeven in het kader van de wetsevaluatie:

  • Datareductie

De CTIVD acht het in zijn geheel of grotendeels relevant beoordelen van bulkdatasets door de diensten onrechtmatig. De Wiv 2017 biedt hiervoor geen ruimte. De CTIVD is van mening dat de aard van de gegevensset doorslaggevend behoort te zijn. Bulkdatasets, ongeacht of deze zijn verkregen door OOG-I, vereisen in het licht daarvan bijzondere wettelijke waarborgen. In Toezichtsrapport 70 en 71 gaat de CTIVD verder in op het verzamelen van bulkdatasets met de hackbevoegdheid. Volgens de CTIVD is er sprake van een onrechtmatigheid bij het zo spoedig mogelijk beoordelen op relevantie van bulkdatasets. Er blijft een gemiddeld risico bestaan op onrechtmatig handelen voor de AIVD als het gaat om relevantiebeoordeling. De verdere risico’s blijven volgens de toezichthouder beperkt. Voor de MIVD geldt een hoog risico voor de wijze waarop onomkeerbare vernietiging plaatsvindt. Het risico m.b.t. de relevantiebeoordeling wordt verlaagd van hoog naar gemiddeld. Wat betreft het relevantiebegrip en de termijn stelt de CTIVD het risico voor de MIVD vast op beperkt.  Opvallend is dat de ministers van BZK en Defensie het oordeel van de CTIVD dat de relevantiebeoordeling van bulkdatasets onrechtmatig is uitgevoerd, niet delen. Het is daarom goed, aldus de beleidsreactie van de ministers, dat de evaluatiecommissie dit onderwerp betrekt bij de evaluatie van de Wiv 2017.

  • Geautomatiseerde data-analyse (GDA)

Ook bij geautomatiseerde data-analyse verloopt het implementatieproces volgens de CTIVD moeizaam. De algemene bevoegdheid van GDA (neergelegd in artikel 60 Wiv 2017) kan zonder waarborgen toegepast worden op het verzamelen of verkrijgen van bulkdatasets met toepassing van andere bevoegdheden dan OOG-I. De toezichthouder vindt dat een onderscheid naar eenvoudige of complexe vormen van GDA niet leidend mag zijn. Ook acht de CTIVD van belang dat de geautomatiseerde analyse van metadata (m.u.v. OOG-I) in de Wiv 2017 niet met aanvullende waarborgen is omgeven, terwijl uit jurisprudentie van het EHRM en van het HvJ EU blijkt dat metadata-analyse een zwaarwegende inmenging op het recht op privacy inhoudt (respectievelijk uit Big Brother Watch e.a. en Tele2 Sverige AB/Watson). Voldoende waarborgen zijn daarbij dus wel degelijk nodig. Desalniettemin verlaagt de CTIVD het risico voor GDA-60 van hoog naar gemiddeld. Het risico voor GDA-50 blijft op gemiddeld staan.

  • Internationale samenwerking

De toezichthouder vindt de niet-afgeronde inhoudelijke aanpassing van wegingsnotities (een schriftelijke verantwoording van een beslissing tot samenwerking met buitenlandse diensten) in combinatie met onverminderde samenwerking met buitenlandse diensten risicovol. Daarnaast onderscheidt de CTIVD een belangrijk zorgpunt bij het delen van bulkdatasets met buitenlandse diensten, gezien het gebruik van een ruimere toepassing van de reeds genoemde relevantiebeoordeling. In dit licht behoeft de definiëring van de begrippen ‘geëvalueerde’ en ‘ongeëvalueerde’ nadere aandacht bij de wetsevaluatie.

De CTIVD sluit af met de opmerking dat zij met deze rapportage een bijdrage wil leveren aan de wetsevaluatie, en dat zij onderwerpen die relevant zijn voor de evaluatie ook buiten deze rapportage zal aandragen bij de evaluatiecommissie.

Sophie Harleman

CTIVD-rapport over de hackbevoegdheid

De CTIVD heeft op 22 september 2020 twee toezichtsrapporten gepubliceerd. Rapport nr. 70 gaat over het verzamelen van bulkdatasets met de hackbevoegdheid door de AIVD en de MIVD. Rapport nr. 71 gaat over het verzamelen en verder verwerken van passagiersgegevens van luchtvaartmaatschappijen door de AIVD en MIVD. Bulkdatasets zijn gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De belangrijkste conclusies van het rapport ver de hackbevoegdheid zijn dat van de zestien onderzochte operaties, in drie van de door de AIVD aangevraagde operaties gegevens zijn verzameld nadat een toestemmingsverzoek door de Toetsingscommissie Inzet Bevoegdheden (TIB) is afgewezen. Dit is onrechtmatig. Snel na deze constatering zijn de datasets door de AIVD vernietigd. Veel dingen gingen goed, zoals het opruimen van de ‘technische hulpmiddelen’ in de systemen en het (voor zover mogelijk) aantekening houden door de gezamenlijke uitvoerende afdeling ‘Computer Network Exploitation’ (CNE).

De CTIVD constateert ook dat de toets in art. 27 Wiv 2017 – dat gegevens zo spoedig mogelijk op relevantie moeten worden beoordeeld – in de praktijk niet goed uitvoerbaar is. De diensten hebben in de onderzoeksperiode in een aantal gevallen bulkdatasets gedeeltelijk of integraal relevant verklaard, ondanks dat het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden. De CTIVD geeft aan dat door deze handeling de gegevens nu ‘in het betekenisregime zitten’ zonder definitieve vernietigingstermijn. De CTIVD beschouwt deze wijze van relevantiebeoordeling als een ‘kunstgreep om de bewaartermijn van de datasets in kwestie te verlengen, het is immers onrechtmatig om datasets met voor het merendeel niet-relevante gegevens relevant te verklaren’.

In de beleidsreactie onderstrepen de beide ministers de noodzaak van het gebruik van bulkdatasets door de diensten. Hoewel hoogst ongebruikelijk, geven de ministers aan waarvoor de gegevens in de bulkdatasets gebruikt zijn: voor het onderkennen van locaties van Nederlandse uitreizigers in (voormalig) ISIS-gebied (onder andere van wie het Nederlanderschap is ingetrokken), voor onderzoek naar de inzet van ‘Improvised Explosive Devices’ (IED’s) tegen Nederlandse militairen, voor onderzoek van de vermoedelijke betrokkenheid van de Iraanse dienst bij liquidaties in Nederland en voor het vaststellen van de identiteit van de personen betrokken bij zenuwgasaanvallen in Syrië in 2016/2017.

Het is ook ongebruikelijk dat de ministers het oneens zijn met twee conclusies en aanbevelingen in het rapport. Het onrechtmatigheidsoordeel over de relevantieverklaring en het advies tot vernietiging over te gaan van bepaalde bulkdatasets wordt ‘niet opgevolgd’. Zij achten de vernietiging ‘onverantwoord’. In de tussentijd passen de AIVD en de MIVD interne aanvullende waarborgen toe, zoals een strikt autorisatieregime en herbeoordeling voor het bewaren van de gegevens.

Jan-Jaap Oerlemans

CTIVD-rapport over passagiersgegevens

Op 22 september 2020 heeft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) ook rapport nr. 71 over de verzameling en verdere verwerking van passagiersgegevens van luchtvaartmaatschappijen gepubliceerd. In de onderzoeksperiode van 1 januari 2019 tot 1 september 2019 stonden in de database van de AIVD de gegevens van miljoenen personen. Het betreft daarmee ook een bulkdataset; gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De ‘Advanced Passenger Information’-database wordt door de Koninklijke Marechaussee (Kmar) aangelegd na verstrekking van API-gegevens door luchtvaartmaatschappijen op grond van de EU-richtlijn 2004/82/EG (API-richtlijn). API-gegevens zijn bijvoorbeeld gegevens over nationaliteit, volledige naam, geboortedatum, geslacht, vluchtnummer en het eerste instappunt (zie ook Stb. 2012, 688). De KMar verwerkt de gegevens ten behoeve van haar eigen taaktuitvoering; de uitvoering van de grenscontrole. De AIVD verzamelt de API-gegevens van de KMar op ‘structurele en geautomatiseerde wijze’ op grond van een algemene bevoegdheid, in dit geval de informantenbevoegdheid (artikel 39 Wiv 2017). De gegevens worden bijvoorbeeld verwerkt in het kader van onderzoeken naar organisaties en personen die een bedreiging voor de nationale veiligheid vormen. Daarnaast worden de gegevens gebruikt in veiligheidsonderzoeken.

De CTIVD concludeert in het rapport dat de Wiv 2017 de ruimte geeft de bulkdataset aan passagiersgegevens structureel en geautomatiseerd te verzamelen met de informantenbevoegdheid. Ook mogen de gegevens verder worden verwerkt, onder andere door middel van ‘geautomatiseerde data-analyse’. Daarnaast zijn andere dingen onrechtmatig, zoals het niet-uitvoeren van een schriftelijke toets op noodzakelijkheid, proportionaliteit en subsidiariteit voor de verzameling van de gegevens en niet toepassen van het eigen beleid ‘Werken met grote datasets’ door de AIVD en de MIVD. Ook merkt de toezichthouder op dat de diensten toegang kunnen krijgen tot PNR-gegevens op basis van de PNR-richtlijn 2016/681/EU. Dat betreft een grotere set aan gegevens, omdat het vluchten binnen de EU betreft en – naast API-gegevens – gaat over gegevens over de reservering, contactgegevens, betaalgegevens en bagage-informatie.

Vanwege de grootte van de dataset vraagt de CTIVD in het rapport zich af of een dergelijke invulling van de informantenbevoegdheid voldoende voorzienbaar is voor de burger. De toezichthouder geeft mee in de Wet op de inlichtingen- en veiligheidsdiensten een specifieke regeling op te nemen voor het verzamelen en verder verwerken van bulkdatasets.

Jan-Jaap Oerlemans

Wetsvoorstel Zerodays

Het initiatiefvoorstel Zerodays van het lid Verhoeven is in behandeling bij de Tweede Kamer. Zerodays zijn fouten in software die nog onbekend zijn bij de maker van de software (de maker heeft nul dagen gehad om het gat te dichten). Deze zerodays kunnen gebruikt worden om de werking van de betreffende software te manipuleren, oftewel te hacken. De initiatiefnemer van het voorstel is van mening dat de huidige regeling rondom zerodays niet werkt. De Raad van State staat in haar advies overigens duidelijk negatief tegenover het wetsvoorstel.

Het wetsvoorstel is in juni 2020 gewijzigd. Er is met de wijziging een behandeltermijn van vier weken voor onbekende kwetsbaarheden ingevoegd. Ook moet het orgaan ter beoordeling van kwetsbaarheden informatie verzamelen over de potentiële gevolgen van het openhouden van een kwetsbaarheid voor de samenleving, alvorens een onbekende kwetsbaarheid te beoordelen. Op 23 september 2020 is het gewijzigde voorstel plenair behandeld. Door de leden Buitenweg en Middendorp zijn verscheidene moties ingediend. Op 13 oktober 2020 is de stemming over het wetsvoorstel voor de derde keer uitgesteld.

Op 12 oktober 2020 is een tweede nota van wijziging ingediend het lid Verhoeven, de initiatiefnemer. Hij is van mening dat het initiële voorstel om te voorzien in beoordelingsorgaan voor kwetsbaarheden, bestaande uit verschillende ministeries en organisaties, teveel weerstand oproept. De wijzigingsnota ziet dan ook op het weglaten van een dergelijk orgaan. Wel moet er voor alle overheidsorganen een goed afwegingskader komen voor de inzet van onbekende kwetsbaarheden. Ook mogen bedrijven waarvan de Nederlandse overheid hacksoftware koopt, volgens het initiatiefvoorstel geen zaken doen met landen die op de EU of VN sanctielijsten staan. Voor inlichtingendiensten geldt dat zij dit moeten meenemen in hun weging bij aankoop van dergelijke software.

Privacyorganisatie Bits of Freedom heeft zich overigens op Twitter al afgevraagd of de wijziging inhoudt dat de politie nu zelf de afweging kan maken omtrent zerodays, in plaats van dat een (semi-) onafhankelijk commissie dit doet. Ook het gewijzigde voorstel roept dus vast op verschillende fronten weerstand op. Het blijft voorlopig afwachten.

Sophie Harleman

Wijzigingswet Wiv 2017

Het wetsvoorstel ‘Wijzigingswet Wiv 2017’ is op 9 juni 2020 aangenomen in de Tweede Kamer. De wet betreft onder meer een wijziging ten aanzien van het gerichtheidsvereiste. Het gerichtheidsvereiste houdt volgens de memorie van toelichting op het wetsvoorstel in: ‘in hoeverre bij de verwerving sprake is van het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus’ (Kamerstukken II 2018/19, 35242, 3, p. 4-5). De te vergaren gegevens moeten daarbij worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object.

De gewijzigde Wiv 2017 biedt deze extra waarborg voor bescherming van fundamentele rechten, omdat het vereiste, door het toe te voegen aan artikel 26 Wiv 2017, gaat gelden voor alle bevoegdheden , in plaats van slechts voor de bijzondere bevoegdheden in de Wiv 2017. Ook ziet een wijziging op het delen van ongeëvalueerde gegevens met buitenlandse diensten. De meldplicht aan de CTIVD wordt uitgebreid tot elke verstrekking van ongeëvalueerde gegevens aan een buitenlandse dienst, ongeacht de bevoegdheid waarmee deze zijn verworven. Op 15 juli 2020 is het voorlopig verslag (.pdf) over het wetsvoorstel verschenen. De leden van de fractie van GroenLinks, PvdA, PV en PvdD hebben vragen gesteld over het wetsvoorstel. Hieronder bespreek ik (Sophie) kort enkele door de fractieleden opgeworpen vragen.

GroenLinks en de PvdA vragen zich af in hoeverre de regering meent dat zij met het wetsvoorstel tegemoetkomt aan de zorgen die blijken uit de uitslag van het referendum. Daarnaast vragen leden van de GroenLinks-fractie zich af op welke wijze de positie van journalisten, advocaten en medici in het wetsvoorstel is verbeterd n.a.v. de consultatiereacties en het advies van de Raad van State. De leden van de PVV-fractie is benieuwd of de regering kan duiden hoe er met dit voorstel precies tegemoet wordt gekomen aan de zorgen in de samenleving, onder andere over de bescherming van advocaten en journalisten.

Als het gaat over samenwerkingsverbanden met andere diensten, willen de leden van de GroenLinks-fractie graag weten of de wegingsnotitie en het afwegingskader dat daarbij hoort, gedeeld kan worden met de Eerste Kamer. Daarnaast hebben zij verdere vragen over de samenwerkingsverbanden en over de mogelijkheid van het verstrekken van ongeëvalueerde gegevens aan diensten van landen waarmee geen samenwerkingsrelatie bestaat (zoals is neergelegd in artikel 64 van de Wiv 2017). Een specifieke vraag van de fractie is bijvoorbeeld: Is het mogelijk dat data wordt gedeeld met diensten die gebruik maken van gezichtsherkenningstechnologie of technologie van Clearview AI? Ook stellen zij vragen over het vergaren van informatie buiten onderzoeksopdrachtgerichte intercepties en de toetsing daarvan. De leden van de PvdA-fractie en de PvdD-fractie zitten met soortgelijke vragen over de uitwisseling van geëvalueerde gegevens. Door de PvdD fractieleden wordt de vraag gesteld waarom in deze context de bescherming ten aanzien van verschoningsgerechtigden (journalisten en advocaten) niet explicieter is gemaakt.

De leden van de PVV-fractie stellen in deze context de opvallende vraag of de regering nader kan onderbouwen waarom het mogelijk niet kunnen verstrekken van ongeëvalueerde gegevens aan andere diensten überhaupt een onaanvaardbaar risico voor de nationale veiligheid zou zijn.

Wat betreft het gerichtheidscriterium stellen de leden van de PvdA-fractie de vraag of de regering voorziet dat het criterium ‘zo gericht mogelijk’ in de toekomst nog nader wordt gespecificeerd. Verder zijn de leden benieuwd welke juridische voorzieningen de regering treft om de ‘zo gericht mogelijke’ behandeling van door informanten verkregen bulkdata af te dwingen. De leden van de PvdD-fractie vragen zich af waarom het gerichtheidscriterium, niet in de wet is opgenomen. Tot slot hebben ook de leden van de PVV-fractie verscheidene vragen over de eisen die aan het gerichtheidscriterium worden gesteld.

Het is interessant te bezien hoe de regering in de memorie van antwoord op deze vragen in zal gaan. Na verschijning van de memorie van antwoord zal dit bericht geupdate worden.

Sophie Harleman

Uitspraken HvJ EU over dataretentie

Op 6 oktober 2020 heeft het Hof van Justitie van de Europese Unie (HvJ EU) verscheidene arresten gewezen over het in bulk verstrekken van communicatiegegevens aan inlichtingen- en veiligheidsdiensten. Het betreft de zaken Privacy International (C-623/17) en samengevoegde zaken La Quadrature du Net and Others (C-511/18), French Data Network and Others (C-512/18) en Ordre des barreaux francophones et germanophone and Others (C-520/18).

De afgelopen jaren heeft het Hof van Justitie van de Europese Unie zich in verscheidene zaken uitgesproken over het opslaan van en toegang tot persoonsgegevens op het gebied van elektronische communicatie. Een opvallende uitspraak van het Hof is de Tele2 Sverige (C-203/15) uitspraak, waarin het Hof besliste dat lidstaten niet van aanbieders van elektronische communicatienetwerken en – diensten (hierna: providers) konden verlangen op een ongerichte en algemene wijze verkeers- en locatiegegevens te bewaren (zogenoemde metadata). In de uitspraken van het Hof van 6 oktober 2020 speelt, net als in Tele2 Sverige, de Europese richtlijn betreffende privacy en elektronische communicatie (Richtlijn 2002/58/EG) een centrale rol. Deze richtlijn ziet specifiek op de verwerking van persoonsgegevens door elektronische communicatiediensten.

Het Hof beslist in Privacy International allereerst dat zowel nationale wetgeving die providers verplicht verkeers- en locatiegegevens vast te houden, als wetgeving die ze verplicht de gegevens te overhandigen aan de inlichtingen- en veiligheidsdiensten, onder de reikwijdte van de richtlijn valt (par. 49).

Vervolgens buigt het Hof zich over de vraag of de richtlijn nationale wetgeving uitsluit die een overheidsinstantie de mogelijkheid verschaft van providers te eisen dat zij algemene en ongerichte verkeers- en locatiegegevens overdragen aan de inlichtingen- en veiligheidsdiensten, als deze overdracht als doel heeft de nationale veiligheid te waarborgen. Deze vraag is van belang gelet op artikel 4, lid 2 van het Verdrag betreffende de Europese Unie, dat o.a. luidt: “Met name de nationale veiligheid blijft de uitsluitende verantwoordelijkheid van elke lidstaat.”

Verkeers- en locatiegegevens mogen volgens artikel 5 van de privacy en elektronische communicatierichtlijn niet zonder toestemming worden opgeslagen of verstrekt aan derden, ook niet aan inlichtingen- of veiligheidsdiensten. De uitzondering op deze regel is neergelegd in artikel 15, lid 1 van de richtlijn: het mag wel wanneer er sprake is van een noodzakelijke, subsidiaire en proportionele maatregel in een democratische samenleving, die als doel heeft de nationale veiligheid en openbare veiligheid te waarborgen, criminaliteit te voorkomen en te bestrijden, of misbruik van het elektronische communicatienetwerk tegen te gaan.

Het Hof benadrukt dat het waarborgen van nationale veiligheid als doel zwaarder weegt dan de andere doelen die in artikel 15 van de richtlijn geformuleerd zijn (par. 75). Het gaat bij nationale veiligheid met name om het beschermen van essentiële functies en fundamentele belangen van de staat en de maatschappij. Daarbij moet ook worden gedacht aan het voorkomen en bestraffen van ontwrichtende activiteiten, zoals terrorisme (het Hof verwijst hierbij naar par. 135 van La Quadrature du Net and Others en de gevoegde uitspraken).

Het Hof stelt vast dat er in onderhavige zaak sprake is van wetgeving die ongerichte en algemene toegang tot verkeers- en locatiegegevens mogelijk maakt. Ook als er geen bewijs bestaat dat personen iets te maken hebben met het gestelde doel de nationale veiligheid te waarborgen, kunnen hun verkeers- en locatiegegevens overgedragen worden (par. 80).  Dergelijke wetgeving gaat volgens het Hof de grenzen van wat strikt noodzakelijk is te buiten, en kan niet worden geacht noodzakelijk te zijn in een democratische samenleving (par. 81).

Het Hof is dan ook van oordeel dat artikel 15, lid 1 van de Richtlijn, gelezen in het licht van artikel 4, lid 2 VEU en artikel 7, 8, 11 en 52, lid 2 van het Handvest van de Grondrechten van de Europese Unie, nationale wetgeving uitsluit die het mogelijk maakt dat overheidsinstanties van een provider algemene en ongerichte overdracht van verkeers- en locatiegegevens aan de inlichtingen en veiligheidsdiensten verlangt, ook als dit als doel heeft de nationale veiligheid te waarborgen (par. 82).

Het Hof benadrukt in de gevoegde zaken C-511/18, C-512/18 en C-520/18 echter, dat wetgeving die providers verplicht tot het vasthouden van gegevens voor een bepaalde tijd, en indien dit strikt noodzakelijk is, niet in strijd is met de richtlijn. Er moet dan wel sprake zijn van een serieuze dreiging voor de nationale veiligheid, die oprecht, aanwezig en voorzienbaar is (par. 137). Ook moet een dergelijke maatregel onderhevig zijn aan toetsing door een rechtbank of door een onafhankelijk bestuursorgaan dat bindende besluiten kan nemen (par. 139).

Het in real-time verzamelen van verkeers- en locatiegegevens dient volgens het Hof beperkt te zijn tot personen van wie het vermoeden bestaat dat zij betrokken zijn bij terroristische activiteiten. Ook hier geldt dat een voorafgaande controle door een rechter of onafhankelijk bestuursorgaan vereist is en dat de maatregel enkel is toegestaan voor zover dit strikt noodzakelijk is (par. 183-192).

Tot slot trekt het hof nog de conclusie dat het Unierecht niet de ongerichte en algemene retentie van IP-adressen uitsluit, mits dit als doel heeft de nationale veiligheid te waarborgen, serieuze criminaliteit tegen te gaan of de openbare veiligheid te beschermen. Ook hier geldt dat dit slechts voor een beperkte periode is toegestaan en dat de maatregel strikt noodzakelijk dient te zijn (par. 168).

Volgens deze recente uitspraken van het Hof is het ongericht verzamelen van telefoon- en internetgegevens dus strijdig met Europese privacyregels, ook wanneer dit gebeurt in het kader van het waarborgen van nationale veiligheid. Het is opvallend dat het Hof tot deze beslissing komt, gezien de tekst van artikel 4, lid 2 VEU. 

Sophie Harleman

Veroordeling tot 17-jaar gevangenisstraf voor voorbereiden van aanslag

Op 8 oktober 2020 heeft de rechtbank Rotterdam zes mannen veroordeeld (ECLI:NL:RBROT:2020:8905) voor het voorbereiden van een grote terroristische aanslag in Nederland. Daartoe heeft de verdachte deelgenomen aan een terroristische organisatie en heeft hij training gevolgd. De zaak heeft veel media-aandacht gekregen (zie ook dit NOS-bericht en de video).

In de uitspraak is de lezen hoe de verdachten met z’n vijven zijn een aanslag wilden plegen op een festival en dat zij ook een grote auto met behulp van een afstandsbediening tot ontploffing willen brengen in een andere stad, mogelijk vanuit Amsterdam.

De zaak kwam aan het rollen door een ambtsbericht van 26 april 2018 van de AIVD. In dit ambtsbericht werd melding gemaakt van het feit dat de verdachte (met de hoogst opgelegde gevangenisstraf) voorbereidingen trof om met een groep personen veel slachtoffers te maken door een terroristische aanslag te plegen op een groot evenement in Nederland. Hij was op zoek naar aanslagmiddelen voor meerdere personen en iemand die hierin kon faciliteren. Direct na ontvangst van dit ambtsbericht werd een groot opsporingsonderzoek, genaamd ‘26Orem’, gestart.

De verdediging voert aan dat sprake is van uitlokking van de verdachten en overtreding van het beginsel van ‘détournement de pouvoir’ door de AIVD. Volgens de verdediging is sprake van misbruik van bevoegdheden door de AIVD. De inlichtingendienst heeft haar bevoegdheden ingezet ten behoeve van strafvorderlijke doeleinden, waarbij belangrijke strafvorderlijke waarborgen opzij werden gezet. De verdediging kan volgens de rechtbank niet onderbouwen waarom sprake zou zijn van uitlokking.

Over de mate van controle door de strafrechter op AIVD onderzoek en de toetsing van de bruikbaarheid in het strafproces, verwijst de rechtbank naar het arrest (ECLI:NL:HR:2006:AV4122) van de Hoge Raad in de zaak ‘Eik’ uit 2006 met de volgende overweging:

“Een onderzoek door een inlichtingen- en veiligheidsdienst vindt plaats buiten de verantwoordelijkheid van de politie en het openbaar ministerie. De wetgever heeft de toetsing van de rechtmatigheid van het handelen van de AIVD toebedeeld aan de CTIVD. Dat daarmee de rechtmatigheidstoets aan de strafrechter onttrokken is en art. 359a Sv niet van toepassing is, neemt niet weg dat in een strafprocedure waarin van een inlichtingen- en veiligheidsdienst afkomstig materiaal voor het bewijs wordt gebruikt, moet zijn voldaan aan de eisen van een eerlijk proces. De strafrechter moet toetsen of dat het geval is. Onder omstandigheden mogen de resultaten van het door een inlichtingen- en veiligheidsdienst ingesteld onderzoek niet tot het bewijs worden gebezigd, bijvoorbeeld indien het optreden van de betrokken dienst een schending van de aan een verdachte toekomende fundamentele rechten heeft opgeleverd die van dien aard is dat daardoor geen sprake meer is van fair trial als bedoeld in art. 6 EVRM.”

De rechtbank overweegt dat er sterke aanwijzingen zijn dat er een verband is tussen de inzet van (niet politiële) infiltranten en de AIVD. Bij gebreke aan nadere transparantie gaat de rechtbank ervan uit dat de desbetreffende persoon of personen die met de verdachte contact heeft/hebben gehad gerelateerd zijn aan de AIVD. Deze infiltranten zijn contact met de verdachte blijven onderhouden. Ondanks dat de infiltranten in hun e-mails de verdachte lijken te steunen bij de uitvoering van zijn plannen, religieuze opvattingen met hem uitwisselen, bij hem erop aandringen nieuwe e-mailadressen aan te maken en contact op te nemen en te onderhouden met ‘hun broeder (de politie-infiltrant)’, is er volgens de rechtbank geen sprake van (het verbod op) uitlokking. De verdachte is door de politie-infiltrant niet tot handelingen gebracht waarop zijn opzet niet al tevoren was gericht

De handelingen onder verantwoordelijkheid van de AIVD hebben echter wel aan bijgedragen dat de verdachte met de politie-infiltrant in contact is gekomen en gebleven en zij lijken hem te hebben beïnvloed bij het vasthouden aan een bepaald doelwit voor een aanslag, ook op momenten dat de verdachte leek af te dwalen of meer tijd nodig leek te hebben. Dit handelen van de AIVD tijdens het opsporingsonderzoek is een vorm van niet-toegestane beïnvloeding. Een dergelijke vorm van niet controleerbare en niet transparante bemoeienis brengt naar het oordeel van de rechtbank het waarborgen van een eerlijk proces in gevaar. De rechtbank verbindt hier een sanctie aan, namelijk drie jaar strafvermindering voor de verdachte.

De rechtbank acht de verdachte schuldig aan de voorbereiding van een grote terroristische aanslag op willekeurige burgers en politie in Nederland. Zij hebben gezamenlijk deelgenomen aan een terroristische organisatie en een training gevolgd met het oog op het plegen van een terroristisch misdrijf. De verdachte en de medeverdachten waren voornemens eind 2018 met een voertuig een (zware) bomaanslag te plegen en elders een festival binnen te dringen ‘schietend als een gek op mensen’ met Kalasjnikovs. De verdachte en de medeverdachten zouden daarbij ook handgranaten en bomvesten hebben willen gebruiken. De bomvesten zouden gebruikt moeten worden als de politie zou arriveren, zodat ook zij daarmee slachtoffer zouden worden. De verdachte en de medeverdachten hadden namelijk duidelijk kenbaar gemaakt dat zij zelf niet levend in handen van de politie zouden willen vallen. De verdachte heeft grote hoeveelheden (beeld)materiaal aangaande het radicale en extremistische gedachtengoed van de gewapende jihadstrijd voorhanden gehad, zoals dat onder meer door terroristische organisaties als Islamitische Staat (verder: IS) wordt gepubliceerd en verkondigd.

De rechtbank overweegt ook dat deze aanslagen worden gepleegd vanuit een intolerante religieuze ideologie, waarbij wordt geprobeerd het eigen gelijk op gewelddadige wijze aan anderen op te leggen en waarbij de bevolking veelal slachtoffer is en ernstige vrees wordt aangejaagd. Daarbij worden geen middelen en methoden geschuwd. De verdachte en de medeverdachten hebben zowel de burgerbevolking als de politie in Nederland op zware wijze beoogd te treffen met een bloedige aanslag waarbij grote aantallen onschuldige personen het slachtoffer zouden moeten worden. Dankzij tijdig ingrijpen van de Nederlandse overheidsdiensten hebben de verdachte en de medeverdachten hun plannen niet kunnen uitvoeren.

De verdachte wordt veroordeeld voor de hoge gevangenisstraf van 17 jaar. De rechtbank legt tevens een maatregel voor gedragsbeïnvloeding of vrijheidsbeperking op, zoals bedoeld in artikel 38z Sr. Op die manier wordt het mogelijk om de verdachte in aansluiting op de gevangenisstraf onder toezicht te stellen indien dit op dat moment nog noodzakelijk wordt geacht.

Jan-Jaap Oerlemans

Intrekking Nederlanderschap en ongewenstverklaring

Op 11 augustus 2020 heeft de afdeling bestuursrecht van de rechtbank Den Haag een zeer uitvoering vonnis gewezen over de intrekking van Nederlanderschap en ongewenstverklaring van een Syriëganger. Normaal bespreek ik geen uitspraken uit andere rechtsgebieden, maar voor deze rubriek en in dit geval maak ik een uitzondering.

De eiser krijg geen toestemming op grond van art. 8:29 Algemene wet bestuursrecht (hierna: Awb) om de onderliggende stukken te zien voor de intrekking van het Nederlanderschap, waaronder een ambtsbericht van de AIVD. De rechtbank heeft met toepassing van artikel 8:45 lid 1 van de Awb de minister van Binnenlandse Zaken en Koninkrijksrelaties (hierna: de minister), die geen partij is, bij brief van 13 mei 2020 verzocht inzage te geven in de stukken die ten grondslag liggen aan het ambtsbericht. Bij brief van 22 mei 2020 heeft de minister de rechtbank onder verwijzing naar het bepaalde in artikel 8:29, eerste lid, van de Awb medegedeeld dat alleen de rechtbank kennis mag nemen van de onderliggende stukken van het ambtsbericht.

Eiser is in 1982 geboren in Amsterdam, uit ouders met de Marokkaanse nationaliteit. Later is hij Nederlander geworden. Op 25 oktober 2010 is eiser wegens vertrek uit Nederland uitgeschreven uit de brp van de gemeente Amsterdam naar het Register Niet-Ingezetenen. Op 18 oktober 2019 heeft de Algemene Inlichtingen- en Veiligheidsdienst (hierna: AIVD) een individueel ambtsbericht uitgebracht over eiser. Dit ambtsbericht luidt als volgt:

“In het kader van zijn wettelijke taakuitvoering beschikt de Algemene Inlichtingen en Veiligheidsdienst (AIVD) over de volgende betrouwbare informatie met betrekking tot [eiser] , geboren op [geboortedag] 1982 te Amsterdam, BSN [BSN-nummer], die volgens de BRP per 25-10-2010 is uitgeschreven met onbekende bestemming. Betrokkene bevindt zich sinds de zomer van 2012 in Syrië, alwaar hij zich aansloot bij de Islamitische Staat in Irak en al-Sham (ISIS). Vanaf medio 2014 tot maart 2019 wordt hij uitsluitend gelokaliseerd in Syrië in plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS. Na 11 maart 2017 bleef betrokkene in het strijdgebied en verrichtte hij (administratieve) medische werkzaamheden voor ISIS in Syrië. Uit een eerdere relatie heeft betrokkene een minderjarige zoon genaamd [C]. [C] is begin 2014 in Syrië geboren. Een afschrift van dit ambtsbericht wordt verstrekt aan de LOvJ.”

Bij afzonderlijke besluiten van 3 december 2019 heeft het ministerie van Justitie en Veiligheid het Nederlanderschap van eiser ingetrokken op grond van artikel 14, vierde lid, van de Rijkswet op het Nederlanderschap (hierna: RWN) en hem tot ongewenst vreemdeling verklaard in de zin van artikel 67 van de Vreemdelingenwet 2000 (Vw 2000) wegens gevaar voor de nationale veiligheid en in het belang van de internationale betrekkingen van Nederland.

De rechtbank overweegt dat uit de Memorie van Antwoord blijkt dat de aansluiting bij een organisatie zal moeten blijken uit de gedragingen van betrokkene, waarvoor doorgaans een ambtsbericht van de AIVD voorhanden is. Dit ambtsbericht kan gebaseerd zijn op een veelheid van bronnen en van geval tot geval zal moeten worden bepaald wanneer er sprake is van voldoende zekerheid over de feiten (Kamerstukken I 2015-2016, 34 356 (R2064), nr. C, onderdeel 4).

De rechtbank overweegt over het ambtsbericht dat uit het ambtsbericht onder meer blijkt dat eiser zich sinds de zomer van 2012 in Syrië bevindt, alwaar hij zich heeft aangesloten bij de Islamitische Staat in Irak en al-Sham (ISIS), dat hij vanaf medio 2014 tot maart 2019 uitsluitend gelokaliseerd wordt in Syrië op plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS, en dat hij na 11 maart 2017 in het strijdgebied verbleef en (administratieve) medische werkzaamheden verrichtte voor ISIS in Syrië.

De verweerder stelt dat de opgelegde maatregel disproportioneel is. De rechtbank overweegt dat de intrekking van de nationaliteit is weliswaar een zwaar middel is, maar dat het doel van de maatregel -het belang van bescherming van de nationale veiligheid- rechtvaardigt dat hiervan gebruik gemaakt wordt indien aan de eisen voor toepassing van artikel 14, vierde lid, van de RWN is voldaan. Naar het oordeel van de rechtbank is daaraan in het geval van eiseres voldaan. Door de intrekking van het Nederlanderschap en de ongewenstverklaring wordt de legale terugkeer van eiseres naar Nederland en het Schengengebied onmogelijk gemaakt en wordt de feitelijke terugkeer bemoeilijkt doordat eiseres zal worden gesignaleerd als ongewenst vreemdeling in verschillende systemen die kunnen worden geraadpleegd bij grenscontroles en uitgifte van visa. De rechtbank beoordeelt de maatregel als geschikt en passend om het doel te bereiken. De verweerder (het ministerie van justitie en veiligheid) heeft terecht gesteld dat er geen alternatieven zijn die hetzelfde effect hebben als de onderhavige maatregel. De intrekking of vervallenverklaring van een paspoort is geen redelijk alternatief omdat dit, kort gezegd, het recht op terugkeer naar Nederland onverlet laat.

De gemachtigde van eiser vraagt zich verder af hoe het ministerie weet dat het ambtsbericht op voldoende grondslag is gebaseerd. De gemachtigde vraagt zich ook af of wordt voldaan aan de eis van objectiviteit en wijst er op dat de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten, die op 16 juni 2020 een rapport heeft uitgebracht over deze materie, niet geëquipeerd zou zijn een oordeel te geven over individuele ambtsberichten en dat de onderliggende motivering van het standpunt van de landsadvocaat ontbreekt. De verweerder stelt dat uit het ambtsbericht blijkt dat eiser concrete taken ten behoeve van ISIS heeft verricht. Wat de conclusies van de CTIVD betreft, merkt verweerder op dat de CTIVD heeft geoordeeld dat dat de AIVD bij het uitbrengen van de ambtsberichten in het kader van artikel 14, vierde lid, van de RWN in alle gevallen rechtmatig heeft gehandeld, maar dat het bestuursorgaan degene is die de beslissingen neemt op basis van de ambtsberichten. De mogelijkheid om inzage te vragen in de onderliggende stukken als de ambtsberichten onvoldoende duidelijk zijn, is aanwezig. Aangezien het ambtsbericht helder is en voldoende essentiële informatie bevat, is van deze mogelijkheid geen gebruik gemaakt.

De rechtbank overweegt dat het ambtsbericht zoals het er ligt voldoende feitelijke en kenbare informatie bevat. Eiser was ten tijde van belang aangesloten bij een terroristische organisatie die voorkomt op de lijst (ISIS) en heeft concrete werkzaamheden voor de organisatie verricht. Verweerder heeft aan zijn motiveringsplicht voldaan. Er is geen tegenbewijs geleverd. In hetgeen de gemachtigde naar voren heeft gebracht ziet de rechtbank geen aanknopingspunten voor twijfel aan de juistheid van het gestelde in het ambtsbericht. Verweerder heeft terecht geconcludeerd dat eiser een gevaar vormde voor de nationale veiligheid. De rechtbank overweegt voorts dat het rapport van de CTIVD (Toezichtsrapport over het handelen van de AIVD in het kader van de intrekking van het Nederlanderschap in het belang van de nationale veiligheid, nr. 68, vastgesteld op 29 april 2020) geen aanknopingspunten bevat voor het oordeel dat op grond daarvan geen betekenis aan de uitgebrachte ambtsberichten kan worden gehecht. De rechtbank moet beoordelen of in het individuele geval van eiser voldaan is aan de vereisten voor intrekking en of het ambtsbericht daar voldoende grondslag voor biedt. Zoals in het voorgaande is geconcludeerd, is de rechtbank van oordeel dat in het geval van eiser, gelet op de inhoud van het uitgebrachte ambtsbericht, voldaan is aan de vereisten voor intrekking van het Nederlanderschap. Zoals de rechtbank in eerdere vergelijkbare zaken heeft geoordeeld (zie bijvoorbeeld de uitspraak van 14 april 2020, ECLI:NL:RBDHA:2020:5784) acht zij de maatregel noodzakelijk en proportioneel.

Verweerder heeft, onder verwijzing naar verschillende edities van het Dreigingsbeeld Terrorisme Nederland, het rapport ‘Terugkeerders in beeld’ (.pdf) van de AIVD van februari 2017 en eerder gepleegde aanslagen door zogeheten terugkeerders, er op gewezen dat het risico bestaat dat terugkeerders aanslagen plegen en de binnenlandse jihadistische beweging versterken. Ook bestaat het gevaar dat zij anderen rekruteren voor de gewapende strijd. De rechtbank is van oordeel dat, zoals ook de Afdeling in de eerdergenoemde uitspraken van 17 april 2019 heeft overwogen, daarmee de noodzaak van de maatregel in het belang van de bescherming van de nationale veiligheid is aangetoond. Daarnaast heeft de rechtbank geoordeeld dat de intrekking van de nationaliteit weliswaar een zwaar middel is, maar dat naast bestaande maatregelen aan deze -preventieve- maatregel behoefte bestaat gezien het doel ervan, te weten het belang van de bescherming van de nationale veiligheid. De maatregel moet daarom proportioneel worden geacht. De rechtbank overweegt verder dat uit vaste jurisprudentie volgt (zie bijvoorbeeld de uitspraken van 22 april 2015, ECLI:NL:RVS:2015:1278 en 15 mei 2019, ECLI:NL:RVS:2019:1582) dat, indien uit een ambtsbericht van de AIVD op objectieve, onpartijdige en inzichtelijke wijze blijkt welke feiten en omstandigheden aan de conclusie vervat in dit ambtsbericht ten grondslag zijn gelegd en deze conclusie niet onbegrijpelijk is zonder nadere toelichting, voor het bestuursorgaan dat beslist over de verkrijging van het Nederlanderschap geen aanleiding bestaat om de aan dit ambtsbericht ten grondslag liggende stukken in te zien, tenzij de betrokkene concrete aanknopingspunten voor twijfel aan de juistheid of volledigheid van dit ambtsbericht naar voren heeft gebracht. Verder volgt hieruit dat er in beginsel van mag worden uitgegaan dat door de AIVD verricht onderzoek op zorgvuldige wijze heeft plaatsgevonden en dat vermelding van de aan een ambtsbericht van de AIVD ten grondslag liggende bron, dan wel bronnen, achterwege mag blijven wegens de vertrouwelijkheid ervan.

De rechtbank is van oordeel dat het Ministerie van Justitie en Veiligheid op grond van de informatie uit het ambtsbericht bevoegd was tot intrekking van het Nederlanderschap van eiseres over te gaan.

Jan-Jaap Oerlemans

Internet Organised Crime Threat Assessment (iOCTA) rapport 2020

Eersgisteren (5 oktober 2020) heeft Europol het nieuwe ‘internet Organised Crime Threat Assessment’ (iOCTA) rapport (.pdf) gepubliceerd. Het lezenswaardige rapport gaat over trends en ontwikkelingen op het gebied van cybercriminaliteit. Het rapport komt tot stand op basis van input en interviews bij opsporingsinstanties en de private beveiligingsindustrie. In deze blog benoem ik enkele opvallende zaken uit het rapport.

Ransomware

Ransomware wordt opnieuw genoemd als de grootste dreiging op het gebied van de ‘cyber dependent crimes’ (cybercriminaliteit in enge zin). De aanvallen worden steeds gerichter uitgevoerd. Ransomware criminelen vallen steeds vaker publieke en private organisaties aan, in plaats van de PC’s van individuen. Op die manier kunnen ze meer losgeld eisen en is de kans groter dat het (crypto)geld ook daadwerkelijk wordt overgemaakt. In de periode 2019-2020 zijn in de Europese Unie gemeenten, ministeries, ziekenhuizen, universiteiten, middelbare scholen, fabrieken, banken, energiebedrijven en bedrijven in de transportsector slachtoffer geweest van ransomware.

Europol beschrijft de volgende modus operandus bij ransomware. Bij aanvallen verschaft een cybercriminele groep eerst toegang tot computers in het netwerk van het slachtoffer (na verkenning ‘reconnaissance’). Vervolgens wordt de toegang verkocht aan een andere groep cybercriminelen die de IT-infrastructuur in kaart brengen, toegang verschaffen tot meer computers, gegevens exfiltreren, etc. Vervolgens worden de computers geïnfecteerd met ransomware en zo de ransomware uitgerold op gehele netwerk (incl. back-ups). Steeds vaker wordt niet alleen losgeld geëist, maar wordt ook gedreigd met het publiceren van gestolen gegevens van gevoelige aard van de slachtoffers. Als het losgeld niet wordt betaald, dan worden de gevoelige gegevens gepubliceerd of verkocht aan de hoogste bieder. Er bestaan zelfs ransomware-onderhandelaars bij cybersecuritybedrijven die een bekende zijn van ransomwarebendes en korting bedingen bij het te betalen losgeld. Ransomwarefamilies zoals ‘Sodinokobi’, ‘Maze’, ‘Doppelpaymer’, ‘Nemty’ en ‘Snatch’ staan er om bekend gegevens te publiceren over hun slachtoffers. Europol verwacht dat andere cybercriminelen deze modus operandi overnemen.

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Darknet markets en cryptogeld

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf verder onder druk te zetten. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Op dit moment is er geen ‘darknet market’ die alle andere markten domineert. Wel vermeld Europol dat ‘Dread Market’ al drie jaar actief is, wat tegenwoordig uitzonderlijk is. In het rapport wordt opgemerkt dat de reputatie van de e-maildienst met sterke versleuteling ‘Protonmail’ minder populair is dan voorheen bij darkweb gebruikers, omdat ze ervan worden verdacht samen te werken met opsporingsinstanties. Zij maken nu vaker gebruik van nieuwe versleutelde e-maildiensten als ‘Sonar’ en ‘Elude’ en communicatiediensten als ‘Discord’, ‘Wickr’ en ‘Telegram’.

Bij Bitcoin waren in 2016 naar schatting 20% van de transacties gerelateerd aan criminele activiteiten. In 2019 is dat nog naar schatting nog maar 1,1% (volgens ChainAlysis). Toch is de hoeveelheid geld dat kan worden gerelateerd aan criminele activiteiten gestegen, volgens Europol. Het gaat dan vooral om transacties vanuit darknet markets, diefstal en ransomware. Monero is inmiddels the most established privacy coin op darknet markets, gevolgd door Zcash en Dash. Met betrekking tot diefstal is het opvallend dat in 2019 tien publieke hacks plaatsvonden bij crypto-uitwisselingskantoren, waarbij in totaal 240 miljoen euro aan cryptogeld werd gestolen. Toch is dat minder dan in 2018, waarbij onder andere bij de Japanse exchange ‘Coincheck’ 500 miljoen euro aan cryptogeld werd gestolen. Europol beschrijft ook dat opsporingsonderzoeken naar witwassen met cryptocurrencies steeds uitdagender worden, vanwege ‘mixing services’, ‘privacy coins’ en uitwisselingskantoren die onvoldoende anti-witwasmaatregelen nemen.

Kinderpornografie

Ten slotte rapporteert Europol al vele jaren achter dat de hoeveelheid kinderpornografie stijgt (‘child sexual abuse materials’ genoemd). Kinderpornografie via ‘live streaming’ stijgt ook. Europol verwijst voor een verklaring ook naar de COVID-19 crisis, waardoor er minder capaciteit is bij de politie. Europol geeft aan dat kinderpornografiegebruikers steeds vaker maatregelen nemen om zo anoniem mogelijk te blijven en beveiligingsmaatregelen nemen om detectie door opsporingsinstanties te voorkomen. Steeds vaker kinderpornografisch materiaal verkocht, waarbij het materiaal wordt geüpload bij een hosting dienst en geld wordt verdiend aan ‘credits’ op basis van het aantal downloads. Vermoedelijk kunnen de credits worden ingewisseld voor ‘echt geld’.

Europol noemt ook een internationale politie operatie (de Nederlandse politie wordt prominent genoemd) waarbij de website ‘DarkScandals’ offline is gehaald. Daarop stonden seksvideo’s die zonder toestemming waren gemaakt en geplaatst en daarnaast gewelddadige seksvideo’s met verkrachting, marteling, mensenhandel en kinderpornografie. Het betreft een zogenoemde ‘pay to view’ website, waarbij de bezoeker de mogelijkheid geboden wordt om tegen betaling video’s of foto’s te verkrijgen van (jonge) vrouwen die seksuele handelingen verrichten of seksueel worden misbruikt. Betaling kon achterwege blijven als de gebruiker (user) zelf videomateriaal uploadt. Video’s moesten wel aan de voorwaarde voldoen dat ze echte verkrachting, afpersing, pesterijen van seksuele aard met naakte vrouwen, extreme betasting of seksuele slavinnen laten zien (zie ook persbericht OM).

De ‘administrator’ is een Nederlander die vermoedelijk 2 miljoen doller heeft verdient aan de verkoop van het materiaal op de website. De verdachte wordt onder andere vervolgd voor de verspreiding van kinderpornografie en witwassen.