Op 26 oktober 2023 verstuurden demissionair Minister De Jonge (BZK) en staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering) een Kamerbrief over de verheldering van het juridisch kader over online onderzoek door gemeenten in het kader van de openbare orde en veiligheid.
Gemeenten hebben geen expliciete wettelijke grondslag om persoonsgegevens te verwerken in het kader van online onderzoek, maar mogen wel onder bepaalde voorwaarden doen. Dit zijn volgens de Kamerbrief:
Een aanleiding, gelegen in een concrete ordeverstoring of de dreiging daarvan.
De noodzaak om die specifieke persoonsgegevens te verwerken en rechtvaardiging van de inbreuk op grondrechten (proportionaliteit & subsidiariteit).
Naleving andere AVG-beginselen zoals rechtmatigheid, behoorlijkheid en transparantie, doelbinding, dataminimalisatie, juistheid en actualiteit, integriteit en vertrouwelijkheid, opslagbeperking.
Als daarbij een geringe inbreuk wordt gemaakt op de persoonlijke levenssfeer dan zou dat altijd zijn toegestaan en bij een grote inbreuk is dat nooit toegestaan. Daartussen in moet de focus worden verlegd naar ‘situaties naar specifieke personen’ en een afweging worden gemaakt. Gemeenten moeten een protocol opstellen hoe daarmee moet worden omgegaan en daarvoor is dan weer een handreiking gemaakt.
De minister en staatssecretaris adviseren terughoudendheid ten aanzien en aanzien van het gebruik van zogenoemde internetmonitoringstools. Gezien de hoeveelheid persoonsgegevens die door de inzet van deze producten doorgaans wordt verwerkt, resulteert dit in de meeste gevallen waarin deze worden toegepast in het kunnen verkrijgen van een volledig beeld van bepaalde aspecten van het privéleven van personen. De verkrijgende organisatie, zoals een gemeente, draagt daarbij een eigen verwerkingsverantwoordelijkheid ten opzichte van de ontvangen persoonsgegevens.
Volgens de Landsadvocaat (.pdf) heeft de politie ruimere bevoegdheden onder het gezag van de minister online onderzoek te verrichten. De politie zal de politiegegevens, die zij middels een dergelijk online onderzoek heeft verkregen, op grond van de Wet politiegegevens (‘Wpg’) mogen verstrekken aan de burgemeester indien die gegevens relevant en noodzakelijk zijn voor de handhaving van de openbare orde. Dat is in de praktijk ook een veelgebruikte route. Daarnaast zien zij meer juridische ruimte voor het zelfstandig verrichten van online onderzoek door een gemeentelijk ambtenaar, voor zover het online onderzoek wordt verricht ten behoeve van de voorbereiding c.q. motivering van een besluit in de zin van de Algemene wet bestuursrecht (‘Awb’) dat strekt ter bescherming van de openbare orde.
Op 31 augustus 2023 heeft de Inspectie Justitie en Veiligheid haar nieuwe verslag (.pdf) gepubliceerd over haar toezicht op de hackbevoegdheid over het jaar 2022. In dit blogbericht volgt een korte samenvatting van resultaten die ik interessant vond. In het lijvige rapport (79 pagina’s) staan voor de liefhebbers mogelijk meer relevante details.
Aantallen en ‘black box’
In 2022 is in 31 zaken de hackbevoegdheid ingezet. Het algemeen beeld van de Inspectie is dat de hackbevoegdheid in 2022 voornamelijk is ingezet voor onderzoeken gericht op mobiele telefoons. Bij het overgrote deel hiervan heeft het team binnen de reikwijdte van het bevel gewerkt. Daarvan is in 25 zaken met commerciële software gewerkt. De politie heeft geen inzicht in de werking hiervan. Voor zowel de politie als de Inspectie is deze software een ‘black box’. Het kenmerk van een black box is dat de resultaten zichtbaar zijn, maar voor de gebruiker niet bekend is hoe de software precies werkt en of deze software gebruik maakt van onbekende kwetsbaarheden. Wel heeft team DIGIT in 2022 twee onbekende kwetsbaarheden gemeld bij het meldpunt van het Nationaal Cyber Security Center.
De politie heeft in een addendum bij het contract procedurele afspraken gemaakt met de commerciële leverancier, waaronder het beperken van toegang door de leverancier tot de verzamelde gegevens. Deze afspraken zijn echter niet technisch afdwingbaar en controleerbaar. De politie kan niet uitsluiten dat de geïnfecteerde geautomatiseerde werken in verbinding staan met een server van de leverancier. De Inspectie kan daardoor niet uitsluiten dat de leverancier toegang heeft tot verzamelde gegevens, terwijl volgens wettelijke regels alleen speciaal aangewezen politiemedewerkers toegang mogen hebben.
Geen herkenning geheimhouderscommunicatie
Ook zijn bij het ‘Digital Intrusion Team’ (DIGIT) van de Landelijke Eenheid van de Nationale Politie geen processen, werkinstructies en ondersteunende systemen ingericht om geheimhouderinformatie te herkennen. Het gaat dan bijvoorbeeld om gesprekken tussen de verdachte en een advocaat. Volgens de wettelijke regels moet in elk geval het systeem van nummerherkenning worden ingericht als de hackbevoegdheid wordt ingezet om gesprekken af te luisteren.
Conclusie
De Inspectie waarschuwt dat “het nu tijd is dat er verandering komt in de opvolging door de politie“. De politie moet volgens hen “op korte termijn aantoonbaar en zonder voorbehoud invulling geven aan alle vigerende regels en deze naleven“.
Tegelijkertijd vindt de Inspectie het van belang dat de minister een standpunt inneemt over een mogelijke aanpassing van het wettelijk kader ‘zodat duidelijk wordt in welke mate mogelijke knelpunten bij de praktische uitvoerbaarheid van de hackbevoegdheid zoals die nu door de politie worden ervaren, in het wettelijk kader worden weggenomen’.
WODC-rapport over de hackbevoegdheid in het buitenland
Op dezelfde dag publiceerde het WODC een interessant rapport over de inzet van de hackbevoegdheid in vergelijking met het buitenland. Daarbij is met name in gegaan op de keuring, de verplichtingen omtrent documentatie en logging en het toezicht op de vergaande bevoegdheid. Het is nuttig de rapporten in samenhang met elkaar te lezen.
Keuring
De onderzoekers concluderen dat in verschillende landen in Europa de kwaliteit van de gegevens op een andere manier controleert dan Nederland dat doet. Geen enkel land kent een keuring door een onafhankelijke keuringsdienst waarbij deze keuringsdienst voorafgaand aan een inzet, aan de hand van een uitgebreid keuringsprotocol, de technische hulpmiddelen dient te onderzoeken.
Logging
Ten aanzien van het documenteren en loggen van uitvoeringshandelingen geldt dat in vrijwel alle landen een vorm van documentatie vereist is. Dit betekent dat op zijn minst een proces-verbaal moet zijn opgesteld waarin alle handelingen staan gedocumenteerd. Sommige landen gaan een stap verder, omdat daar alle handelingen moeten worden gelogd.
Toezicht
Naast een keuring is ook toezicht belangrijk in het kader van de kwaliteit van de gegevens. Het toezicht op de uitvoering van de bevoegdheid door een onafhankelijke instantie is in het buitenland beperkt (de zittingsrechter buiten beschouwing gelaten).
Voor Australië, Denemarken, Noorwegen, het Verenigd Koninkrijk en Zweden geldt dat een vorm van toezicht plaatsvindt op de uitvoering van de bevoegdheid door een onafhankelijke instantie. Daarnaast bestaat in Duitsland een instantie die, vanwege haar technische expertise, adviseert over de inzet en ontwikkeling van technische hulpmiddelen. Frankrijk kent een specifieke instantie die verantwoordelijk is voor het ontwerp, de aansturing en de implementatie van technische hulpmiddelen die gebruikt worden voor de hackbevoegdheid.
In België en Frankrijk vindt gedurende de inzet van de bevoegdheid rechterlijk toezicht plaats. De rechter die toestemming verleent voor de inzet van de bevoegdheid houdt daarbij ook toezicht op de uitvoering van de bevoegdheid.
Mogelijkheden voor Nederland
De onderzoekers hebben ook enkele landen meer diepgaand bestudeerd en komen tot drie scenario’s die mogelijk een aanvulling kunnen bieden op de wijze waarop in Nederland met technische hulpmiddelen bij de hackbevoegdheid wordt omgegaan.
Beleidsreactie minister
Op 7 december 2023 heeft demissionair minister Yeşilgöz een Kamerbrief over de hackbevoegdheid verstuurd. De brief volgde op de evaluatie van het WODC, de rapportage van de procureur-generaal bij de Hoge Raad, en de verslagen van de Inspectie Justitie en Veiligheid.
Naar aanleiding van deze stukken benoemd de minister enkele aanstaande wets- en beleidsaanpassingen. De meeste daarvan moeten nog worden uitgewerkt. Zo wordt het voorstel gedaan om het uitgangspunt dat alleen goedgekeurde hulpmiddelen worden ingezet, te wijzigen door aanpassing van het Besluit onderzoek in geautomatiseerd werk. Als een middel niet is goedgekeurd, kan de officier van justitie bepalen of aanvullende verificatiemaatregelen moeten worden genomen om bijvoorbeeld de bewijswaarde van het middel te waarborgen. De achtergrond hiervan is ten dele dat keuring in de praktijk niet altijd mogelijk is, omdat leveranciers van commerciële software hun broncode niet delen. Verder wordt ‘toegewerkt naar systeemtoezicht op de naleving van de wet- en regelgeving die geldt voor de binnendringbevoegdheid’. Het ministerie zal ook enkele wetsaanpassingen voorbereiden om ‘op locatie’ de hackbevoegdheid in te zetten (na bijvoorbeeld het binnetreden van een woning) en de lijst met misdrijven waarvoor de hackbevoegdheid mag worden ingezet uit te breiden.
De minister zal – via de Inspectie Justitie en Veiligheid – blijven rapporteren over de hoeveelheid opsporingsonderzoeken waarin de binnendringbevoegdheid en commerciële software is ingezet. Overigens worden de activiteiten van de Inspectie worden in de Kamerbrief getypeerd als ‘zwaar’, ‘intensief’ en ‘hoogwaardig’, maar wordt niet ingegaan op kritiek uit de wetenschap met betrekking tot de onafhankelijkheid, de effectiviteit en het gefragmenteerde karakter van het toezicht in het strafrecht. Eén keer wordt gerefereerd naar een opmerking in een rapport van het WODC over het idee van een aparte externe toezichthouder. Daarover stelt de minister dat het beleggen van toezicht bij een alternatieve instantie niet past in het Nederlands wettelijk kader
Het ‘internet Organised Threat Assessment’ (iOCTA) rapport (.pdf) van Europol biedt elk jaar overzicht van gesignaleerde trends en actualiteiten omtrent georganiseerde cybercriminaliteit in de Europese Unie. Dit jaar geeft het rapport een inkijkje in de wereld van criminele internetdiensten, datahandelaren en witwaspraktijken in relatie tot cybercrime. Hier volgt een korte samenvatting.
Rusland-Oekraïne
Het rapport begint met het benoemen van de overloopeffecten van het Rusland-Oekraïne conflict. Vooral in de EU is een toename van Distributed Denial of Service (DDoS)-aanvallen zichtbaar die nationale en regionale overheidsinstellingen treffen. Deze aanvallen waren vaak politiek gemotiveerden gecoördineerd door pro-Russische hackersgroepen in de EU.
Criminele VPN’s
In het rapport staan ook schadelijke ‘virtual private networks’ (VPN’s) centraal. VPN’s zijn populair bij cybercriminelen om hun communicatie en websurfgedrag op internet af te schermen. VPN-aanbieders hosten doorgaans een aantal proxy’s waar gebruikers hun werkelijke locatie (IP-adres) en de inhoud van hun verkeer kunnen verbergen. Hoewel VPN-diensten niet illegaal zijn, zijn sommige ontworpen voor criminelen en worden deze ook geadverteerd aan criminelen. Het gebrek aan medewerking aan verzoeken of vorderingen van wetshandhavers is kenmerkend voor deze VPN-diensten. Ook wijst Europol op ‘bullet proof hostings providers’ die niet aan Know-Your-Customer (KYC)-procedures doen en soms geen klant- en metadata (zoals IP-adressen) opslaan, wat criminele activiteiten vergemakkelijkt. Bovendien is hosting een complexe internationale bedrijfstak waar servers vaak worden doorverkocht aan andere datacenters in verschillende regio’s.
Gestolen gegevens
Europol noemt gestolen gegevens de ‘centrale grondstof’ van de illegale economie op internet. Gegevensdiefstal is een belangrijke bedreiging, omdat gestolen gegevens gebruikt kunnen worden voor een breed scala aan van criminele activiteiten, zoals voor het verkrijgen van toegang tot computersystemen, spionage, afpersing en voor ‘social engineering’-doeleinden (waarbij mensen zich voordoen als een ander). Een berucht voorbeeld van een forum waarin werd gehandeld in gestolen gegevens was ‘RaidForums’. Dit forum werd in april 2022 offline gehaald tijdens ‘Operation Tourniquet’. RaidForums had meer dan een half miljoen gebruikers en richtte zich op het verzamelen en doorverkopen van ‘exclusieve’ persoonlijke gegevens en databases van gecompromitteerde servers. RaidForums maakte naam door rivaliserende forums te hacken en persoonlijke informatie vrij te geven over hun beheerder (doxing). De high-profile database lekken die werden verkocht op het forum behoorden meestal toe aan bedrijven in verschillende sectoren. Ze bevatten gegevens van miljoenen creditcards en bankrekeningnummers, gebruikersnamen en wachtwoorden die nodig zijn om toegang te krijgen tot accounts.
Witwassen
Cybercriminelen die betrokken zijn bij cyberaanvallen en verwante diensten, maar ook degenen die handelen in of het beheer hebben over dark web marktplaatsen, voeren hun financiële transacties bijna uitsluitend uit met cryptocurrencies. Daarbij maken ze veel gebruik van technieken om hun financiële activiteiten te anonimiseren voordat ze hun illegale winsten te gelde maken. Deze technieken omvatten het gebruik van mixers, ‘swappers’ (waarmee cryptocurrencies kunnen worden omgezet in andere betalingsmiddelen) en gedecentraliseerde beurzen. Dit vereist zeer bekwame onderzoekers die verschillende methoden te gebruiken om cryptocurrency te volgen (zoals ‘demixing’, het traceren van ‘cross-chain swaps’ en het analyseren van ‘liquiditeitspools’).
Criminele netwerken die betrokken zijn bij fraude behalen hun winsten in zowel fiat- als cryptocurrencies. Het witwassen van hun criminele fondsen gebeurt meestal zeer snel nadat de fraude heeft plaatsgevonden. Dit heeft tot gevolg dat tegen de tijd dat het slachtoffer de zwendel doorheeft, het geld al verdeeld is over rekeningen in meerdere landen en is witgewassen. Online fraudeurs maken ten slotte ook veel gebruik van gokplatforms om winsten wit te wassen, omdat ze gebruikt kunnen worden om de herkomst en stromen van illegaal verkregen geld te verdoezelen.
Het Cybersecuritybeeld Nederland (CBSN) geeft elk jaar een goed inzicht in de belangrijke gebeurtenissen en trends in cybersecurity. In het CBSN was dit jaar veel aandacht voor het conflict tussen Rusland en Oekraïne en de kwetsbaarheid industriële internet of things systemen. In dit blogbericht vermeld ik de dingen die mij het meest opvielen.
Ransomware-incidenten
Ransomware blijft een enorm probleem en heeft soms grote gevolgen. Verschillende energiebedrijven zijn bijvoorbeeld in Europa getroffen door ransomware en het kwam naar buiten dat statelijke actoren aanvallen uitvoerden op bedrijven in de olie- en gassector. Indirect is dit zelfs al voorgekomen toen door een ransomware-aanval op de Duitse windmolenfabrikant Nordex meerdere windmolens op Windpark Oude Maas niet konden proefdraaien. De aanval is opgeëist door criminelen die achter de Conti-ransomware schuilen. Het Nederlandse vaccinbedrijf Bilthoven Biologicals werd bijvoorbeeld ook getroffen door ransomware. De aanvallers wisten productiefaciliteiten, zoals machines voor het produceren van vaccins, te raken. De machines hebben tijdens de aanval grotendeels door kunnen draaien. Daarnaast zouden de aanvallers e-mails en documenten met wetenschappelijke data, zoals informatie over vaccins, hebben gestolen. Deze gestolen data is (deels) gepubliceerd op het darkweb.
Verder zijn bijvoorbeeld twee Gelderse gemeenten slachtoffer geworden van een datalek nadat aanvallers met SunCrypt-ransomware bestanden konden stelen. De aanvallers hebben 130GB aan data buitgemaakt en gepubliceerd op de leksite van SunCrypt. Onder andere identiteitsbewijzen behoorden tot de gelekte data. Volgens forensisch onderzoek zijn de aanvallers binnengedrongen door gestolen inloggegevens van een leverancier te misbruiken. Ten slotte kunnen we nog wijzen op de ransomware-aanval op ID-ware, een grote leverancier voor toepassingen rondom authenticatie en toegangspassen. De aanvallers hebben gegevens buitgemaakt van klanten van ID-ware en deze gepubliceerd op een leksite. In de dataset bevonden zich onder andere toegangspassen van leden en medewerkers van de Eerste en Tweede Kamer.
Het aantal ransomware-aanvallen (ook op Nederlandse organisaties) leek in 2022 eveneens tijdelijk te dalen, om aan het eind van het jaar weer toe te nemen. Vermoedelijk speelt hier de impact van de Russische oorlog tegen Oekraïne op het cybercriminele ecosysteem een rol. Beide landen zijn belangrijke bronlanden van zware, georganiseerde cybercriminaliteit. Criminelen kozen een kant in de oorlog, wat bestaande samenwerkingsverbanden onder druk zette. Toch moet deze – al dan niet tijdelijke – daling in het juiste perspectief worden gezien. De politiecijfers zijn nog steeds zorgwekkend hoog. Bedrijven, maar ook gemeenten en publieke instellingen lopen onverminderd het risico slachtoffer te worden van ransomware of andere vormen van cybercriminaliteit. Er wordt niet altijd aangifte gedaan, bijvoorbeeld om imagoschade te voorkomen. Uit politieonderzoek bleek dat criminelen buitgemaakte informatie verrijken met andere informatie én doorverkopen.
Conflict Rusland-Oekraïne
Het CSBN 2022 stelde dat cyberaanvallen door statelijke actoren het nieuwe normaal zijn en dat landen de digitale ruimte gebruiken om geopolitieke voordelen te behalen. Ook in deze rapportageperiode zijn cyberoperaties aan het licht gekomen die in verband worden gebracht met statelijke actoren, waaronder spionage, diefstal van intellectueel eigendom en het inzetten van destructieve malware. Volgens de AIVD en de MIVD is de Russische cybersabotagecampagne tegen Oekraïne ‘de meest grootschalige en intensieve uit de geschiedenis’. De Oekraïense digitale infrastructuur wordt vrijwel constant aangevallen. Russische hackers hebben vele verschillende types wiperware ingezet tegen Oekraïense doelwitten, ook binnen vitale sectoren. Opvallend is de betrokkenheid van criminele en hacktivistische actoren in de context van de oorlog. Een verder kenmerkend element in het verloop van de oorlog is dat private bedrijven steun aan Oekraïne verlenen. Dat gebeurt vaak in samenwerking met landen die steun bieden aan Oekraïne.
Verder houdt Rusland zich bezig met beïnvloeding van de publieke opinie in westerse landen door onder andere desinformatie te verspreiden. De Russische inlichtingendiensten zijn er bijvoorbeeld enkele malen in geslaagd om de controle over uitzendingen van Oekraïense media tijdelijk over te nemen en Russische boodschappen uit te zenden. Aansluitend werden de systemen van deze media digitaal gesaboteerd. Daarnaast hebben Russische staatsmedia consequent desinformatie naar buiten gebracht.
Vermenging statelijke actoren en criminele actoren
Met betrekking tot cybercriminaliteit is de vermenging tussen statelijke actoren en criminele actoren opvallend. Het rapport noemt hoe de criminele Conti-groep zijn steun betuigde aan Rusland, en gaf aan dat cyberaanvallen op Russische doelwitten zouden worden beantwoord met aanvallen op kritieke infrastructuur. Dat onderschrijft de notie dat criminelen bepaalde doelwitten bewust uitkiezen omdat die in lijn zijn met geopolitieke belangen van bepaalde staten, of dat er zelfs banden kunnen bestaan tussen overheden en cybercriminelen. Statelijke actoren kunnen namelijk cybercriminelen inhuren, gedogen of onder druk zetten om cyberaanvallen op gewenste doelwitten uit te voeren. Daarnaast kunnen andere partijen, zoals statelijke actoren, zich ook voordoen als criminele organisaties. Hierdoor wordt de scheidslijn tussen financieel gemotiveerde cybercriminelen en statelijke actoren vager en lastiger te onderscheiden. Dat compliceert attributie.
Kwetsbare industriële IoT-systemen
Operationele technologie (OT) binnen industriële netwerken, ook wel aangeduid als ‘Industrial Automation and Control Systems’ (IACS), speelt een centrale rol in het aansturen, monitoren en beheren van fysieke processen binnen organisaties. Daarmee fungeert het ook als motor van vitale sectoren. OT raakt steeds meer vervlochten met informatietechnologie (IT). Daarnaast speelt het ‘Industrial Internet of Things’ (IIoT) een steeds belangrijker rol in industriële omgevingen. Dit heeft voordelen voor het optimaliseren van processen, maar het brengt ook risico’s met zich mee. Zo vergroot deze ontwikkeling het aanvalsoppervlak en daarmee het risico dat OT-systemen gecompromitteerd raken. Dit brengt uitdagingen met zich mee voor het beveiligen van dergelijke systemen. Daarbij is onder andere een grotere rol weggelegd voor detectie en mitigatie van digitale aanvallen. Op deze en andere vlakken is er – wellicht eufemistisch gezegd – “ruimte voor verbetering”.
Het CSBN wijst ook op nieuwe malware-soorten die zijn ontdekt voor de sabotage van OT-systemen. De eerste, ‘Industroyer2’, is ingezet tegen een Oekraïense energieleverancier, maar kon tijdig worden geneutraliseerd. ESET en de Oekraïense CERT attribueren Industroyer2 aan de Russische statelijke actor ‘Sandworm’. Ransomware-actoren vormen eveneens een risico voor de continuïteit van operationele systemen en fysieke processen. In juli 2022 is bijvoorbeeld een nieuwe ransomware-variant ontdekt, genaamd Luna. Deze variant bevat een lijst met OT-processen die, indien aanwezig, beëindigd worden alvorens over wordt gegaan tot versleuteling. Een dergelijke lijst wordt ook wel een kill-list genoemd.
Buiten de oorlog zijn ook verschillende wipers waargenomen. Zo werd bekend dat een geavanceerde cyberactor een nieuwe wiper heeft gebruikt bij aanvallen op de toeleveringsketen van organisaties in onder andere Israël. Ook criminelen lijken wiperfunctionaliteiten toe te voegen aan hun operaties. Een voorbeeld hiervan is de LokiLocker-ransomware. Die heeft een ingebouwde wiperfunctionaliteit die kan worden ingezet om slachtoffers af te persen.
Op 16 juni 2023 gaf minister Yeşilgöz-Zegerius haar beleidsreactie (.pdf) op twee WODC-rapporten over de regulering van deepfakes (.pdf) (uitgevoerd door Tilburg University) en immersieve technologieën (.pdf) (van Considerati).
De eerste conclusie van het onderzoek luidt dat onwenselijk gebruik van deepfakes of deepfaketechnologieën via het huidige recht in algemene zin goed is te adresseren. Zo stelt artikel 139h Wetboek van Strafrecht (Sr) het zonder toestemming van de afgebeelde persoon openbaar maken van seksueel beeldmateriaal strafbaar. Daaronder vallen ook deepfakes. Ook ander strafwaardig gedrag, zoals oplichting met behulp van deepfakes, kan volgens het onderzoek middels het huidige strafrecht goed worden geadresseerd. Het Openbaar Ministerie (OM) beziet momenteel de mogelijkheden voor de inzet van artikel 139h Sr in concrete gevallen waarbij sprake is van deepnude materiaal. Over deze ontwikkelingen wordt de Kamer geïnformeerd in de voortgangsbrief over de aanpak van seksuele misdrijven die in december 2023 naar de Tweede Kamer wordt gestuurd. Het kabinet is geen voorstander van een algemeen verbod, omdat deze niet noodzakelijk is en een eventueel breed verbod in strijd kan komen met verschillende (fundamentele) rechten zoals de vrijheid van meningsuiting of de vrijheid van kunsten en wetenschappen. Ook als het gaat om een verbod op het vervaardigen, aanbieden en downloaden van deepfaketechnologie, zien het kabinet ernstige bezwaren. Wel steunt het kabinet een transparantieverplichting voor gebruikers van deepfaketechnologie, zoals ook op EU-niveau in de AI-verordening is voorgesteld.
De AVG verbiedt ook het maken en verspreiden – buiten de huiselijke sfeer – van deepfakes waarin persoonsgegevens zijn verwerkt zonder een verwerkingsgrondslag. In de praktijk is daardoor een deepfake die zonder toestemming is gemaakt strijdig met de AVG, zeker als daarin gevoelige (bijvoorbeeld seksuele) content is te zien. Het heroverwegen van de huishoudelijke exceptie, zou een onwenselijke juridisering van het privéleven van burgers betekenen die veel verder reikt dan de gevallen waarin deepfakes worden gemaakt, nog daargelaten de vraag wat voor effectieve handhaving van de AVG achter de voordeur nodig zou zijn. Daarnaast heeft het kabinet niet de mogelijkheid om de AVG te wijzigen. Het recht van initiatief ligt bij de Europese Commissie en zij voorziet in de komende tijd geen noodzaak tot het doen van wijzigingsvoorstellen van de AVG. Ook gelden de kaders van het civiele recht, bijvoorbeeld in het geval van een onrechtmatige daad (artikel 6:162 Burgerlijk Wetboek (BW)) of een schending van het portretrecht (zoals bedoeld in het auteursrecht). Het procesrecht is volgens het kabinet voldoende toegerust op de mogelijkheid dat deepfakes worden gebruikt als nepbewijs.
De tweede conclusie van het onderzoek luidt dat de handhaving van de bestaande rechtsregels “omvangrijk en complex is”. Het kabinet zet in op zelfregulering voor de snelle verwijdering en bestrijding van illegale content door de internetsector. Aanvullend faciliteert de overheid een aantal meldpunten om illegale content, met inbegrip van deepfakes en strafbare content, onder de aandacht te brengen van dienstverleners binnen de internetsector. Als het noodzakelijk is ter beëindiging van het strafbare feit kan de officier van justitie – ook voordat een verdachte voor het strafbare feit is veroordeeld – in geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, Wetboek van Strafvordering (Sv), met een machtiging van de rechter-commissaris aan een aanbieder van een communicatiedienst bevelen om gegevens ontoegankelijk te maken (artikel 125p Sv). Ook kan het slachtoffer via de civiele rechter een (kort geding) procedure starten waarin een vordering tot verwijdering van die content centraal staat. Dit wordt getoetst aan de voorwaarden van de onrechtmatige daad uit artikel 6:162 van het BW. Een voorbeeld hiervan is wanneer het gaat om (deepfake)content waarbij onrechtmatig persoonsgegevens zijn verwerkt.
Het tweede onderzoek gaat over de regulering van immersieve technologieën. Immersieve technologieën zijn technologieën die de realiteit aanpassen of een nieuwe realiteit creëren. Het onderzoek bespreekt de twee bekendste vormen van immersieve technologieën: Augmented Reality (AR) en Virtual Reality (VR). Bij AR wordt onze perceptie van de wereld uitgebreid doordat Virtuele elementen worden toegevoegd aan de realiteit, bijvoorbeeld door middel van apparaten zoals AR-brillen of toepassingen zoals Pokémon Go. Bij VR wordt de fysieke wereld zo veel mogelijk vervangen door een kunstmatige of virtuele werkelijkheid, bijvoorbeeld door een VR-bril.
Uit het onderzoek komt naar voren dat het huidige juridische kader in algemene zin goed is toegerust om de mogelijke negatieve effecten van immersieve technologie te adresseren. Het kabinet wil, in lijn met de aanbevelingen uit het onderzoek naar immersieve technologieën, beter anticiperen op nieuwe digitale technologieën. Er zal daarom een beleidsagenda ‘publieke waarden en nieuwe digitale technologie’ worden opgesteld.
Het kabinet vindt het (ook) zeer zorgwekkend dat nu in dit onderzoek wordt vastgesteld dat slachtoffers van virtuele aanranding een vergelijkbare emotie ervaren als bij een fysieke aanranding of verkrachting, en dat de onderzoekers verwachten dat naarmate de immersie en het gevoel van aanwezigheid in een virtuele omgeving groter wordt, de impact van virtueel grensoverschrijdend gedrag ook groter kan worden. Het kabinet wijst er op dat het Wetboek van Strafrecht mogelijkheden biedt om tegen strafwaardige gedragingen in VR op te treden. Dit kan bijvoorbeeld als er sprake is van bedreiging (artikel 285 Sr). De mogelijkheden om strafrechtelijk op te treden worden verder uitgebreid met het bij de Tweede Kamer aanhangige wetsvoorstel seksuele misdrijven, waarin seksuele intimidatie van een ander in het openbaar in het nieuwe artikel 429ter strafbaar wordt gesteld.
De onderzoekers concluderen dat er tegen virtuele mishandeling beperkt strafrechtelijk kan worden opgetreden. Om van mishandeling te kunnen spreken moet er volgens art. 300 van het Wetboek van Strafrecht sprake zijn geweest van fysieke pijn of letsel bij het slachtoffer. Daarvan zal in een virtuele wereld doorgaans geen sprake zijn. Artikel 300 Sr biedt echter ook aanknopingspunten voor vervolging van psychisch geweld. Met mishandeling wordt gelijkgesteld opzettelijke benadeling van de gezondheid. In de lagere rechtspraak zijn verschillende voorbeelden terug te vinden van gevallen waarin is geoordeeld dat het hierbij naast de fysieke gezondheid ook om de psychische gezondheid kan gaan (voornamelijk met betrekking tot mishandeling van kinderen). Het kabinet stelt psychische mishandeling niet apart strafbaar. Het Wetboek van Strafrecht biedt naast artikel 300 Sr ook andere mogelijkheden tot strafrechtelijke vervolging bij psychisch geweld: artikel 284 (dwang), 285 (bedreiging) en 285b (stalking). Indien virtuele mishandeling (ernstig) psychisch trauma tot gevolg heeft, of gepaard gaat met dwang, bedreiging of stalking, dan biedt het Wetboek van Strafrecht grond voor vervolging. Daarbij komt dat de schade die door virtuele mishandeling wordt veroorzaakt reeds op de dader kan worden verhaald als er daarbij sprake is van een onrechtmatige daad.
Verder zijn er volgens het kabinet voldoende mogelijkheden om op te treden tegen virtueel vandalisme op grond van de onrechtmatige daad (artikel 6:162 BW). Ook zijn er gevallen denkbaar waarin virtueel vandalisme de vorm aanneemt van beledigende of discriminerende uitlatingen. In die gevallen kan op grond van de artikelen 137c (belediging groep mensen) en 266, eerste lid, Sr (eenvoudige belediging) worden opgetreden tegen virtueel vandalisme. Het kabinet ziet geen aanleiding om virtueel vandalisme apart strafbaar te stellen.
Het strafbaar stellen van het gebruik van een “naaktfilter” (een deepfake-filter die een aangeklede persoon “virtueel” kan ontkleden) is volgens het kabinet ook niet noodzakelijk. Artikel 139h lid 1 sub a Sr zou voldoende mogelijkheden bieden. Ten slotte kan volgens het kabinet ook voldoende worden opgetreden tegen het aanbieden van “hyperpersoonlijke inhoud”. De AVG biedt volgens het kabinet kortgezegd voldoende mogelijkheden en daarnaast wijst het in de Kamerbrief op de Digital Services Act (DSA), die in 2024 in werking treedt. Deze verordening legt aan online platformen (die ook immersieve technologieën kunnen aanbieden) een verbod op voor het gebruik van gegevens van minderjarigen en van bijzondere persoonsgegevens (zoals biometrische data) van alle gebruikers om gepersonaliseerde advertenties te tonen. Dit is relevant omdat VR- en AR-toepassingen veel biometrische data kunnen verzamelen, zoals oog en lichaamsbewegingen. Ook bevat de DSA extra waarborgen tegen onbewuste beïnvloeding bij digitale diensten en voor meer keuze en transparantie in online omgevingen.
In deze blog geef ik een overzicht van de feiten met betrekking tot de EncroChat-operatie. Tijdens deze operatie Frans-Nederlandse operatie zijn 115 miljoen (!) berichten verzameld en later geanalyseerd ten behoeve van de opsporing. De Nederlandse politie sprak (in 2021) over zo’n 25 miljoen berichten (wellicht het aantal berichten van cryptotelefoons in Nederland). Geschat wordt dat er wereldwijd destijds tussen de 55.000-60.000 EncroChat telefoons werden gebruikt, waarvan circa 12.000 Nederlandse gebruikers waren en circa 3000 Franse gebruikers.
Deze blog is een aantal keer geüpdatet n.a.v. nieuwe feiten in jurisprudentie. De meeste feiten zijn gebaseerd op een uitspraak van 25 juni 2021 van de rechtbank Rotterdam (ECLI:NL:RBROT:2021:6113), een uitspraak van 12 april 2022 van de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2022:1389) en de onderstaande persconferentie (via YouTube) van Frankrijk, Nederland en Europol op 28 juni 2023 (zie daarover ook dit artikel van ComputerWeekly).
EncroChat was een communicatieaanbieder van telefoons, waarmee middels de Encrochat applicatie versleutelde chats, bestaande uit tekstberichten en afbeeldingen, konden worden verzonden en ontvangen en waarmee onderling gebeld kon worden.
Door middel van de EncroChat-applicatie konden de EncroChat gebruikers alleen onderling en één-op-één communicatie voeren. Er konden dus geen groepsgesprekken worden gevoerd. De onderlinge communicatie kon tot stand komen nadat een gebruiker zijn ‘username’ stuurde naar een andere gebruiker, met het verzoek om toegevoegd te worden aan diens contactenlijst. De ander moest dit verzoek eerst accepteren voordat onderlinge communicatie mogelijk was. Gebruikers konden elkaars username opslaan in hun contactenlijst onder een zelfgekozen omschrijving (‘nickname’). Er kon dus slechts gecommuniceerd worden met contacten in de contactenlijst; niet met overige EncroChat gebruikers ook al was daarvan de EncroChat-gebruikersnaam bekend.
Een chat kon bestaan uit tekstberichten en foto’s. De berichten verliepen in principe na een vooraf ingestelde tijd, ook wel burn-time of beveiligde verwijdertijd genoemd. Deze tijd was door de gebruiker aan te passen, standaard stond hij ingesteld op zeven dagen. Tevens kon er vanuit de chat een ‘VoIP’ spraakgesprek gevoerd worden.
Een EncroChat-telefoon kon door de gebruiker volledig worden gewist. Dit werd ook wel ‘panic-wipe’ genoemd. Gebruikers kochten een telefoontoestel waarop de EncroChat applicaties vooraf geïnstalleerd waren in combinatie met een abonnement om de service te kunnen gebruiken. De kosten voor de ‘Android BQ Aquaris X2 en X3’-cryptophones bedroegen ongeveer €1.000,- en €1.500,- voor een abonnement van zes maanden.
Start EncroChat-operatie
De Franse Gendarmerie begon haar onderzoek naar EncroChat in 2017 naar aanleiding van inbeslaggenomen cryptophones van verdachten die betrokken waren bij georganiseerde misdaad. Daarbij kwamen de Franse autoriteiten erachter dat de EncroChat servers gehost werden bij ‘OVH’ in Roubaix, Frankrijk. In Frankrijk werd het bedrijf EncroChat eind 2018 al onderzocht vanwege (o.a.) deelname aan een criminele organisatie met als doel het plegen van misdrijven of vergrijpen waarop tien jaar gevangenisstraf staat.
Op 10 februari 2020 werd in Nederland een opsporingsonderzoek gestart onder de naam ’26Lemont’, welk onderzoek voortkwam uit een langer lopend onderzoek genaamd Bismarck. 26Lemont richtte zich op de verdenking tegen het bedrijf Encrochat en op de NN-gebruikers (onbekende gebruikers) van Encrochat telefoons die zich bezighielden met diverse vormen van georganiseerde criminaliteit. Al in de eerste maanden van 2020 is overleg gevoerd door politie en justitie uit verschillende landen met als doel te komen tot een gecoördineerde aanpak bij de vervolging van het bedrijf Encrochat, de daaraan gelieerde personen, en de gebruikers van deze dienst. Op 1 april 2020 hebben de Franse en Nederlandse onderzoeksteams een JIT opgericht, welke JIT-overeenkomst op 10 april 2020 is ondertekend.
De hack en interceptie
Op 22 januari 2020 hebben de Franse autoriteiten in een “Schedule of Conduct” aan de Engelse autoriteiten meegedeeld dat zij in de eerste fase (‘stage 1’) een ‘implant’ (een hack tool) zouden inzetten op alle EncroChat toestellen wereldwijd via een update vanaf de server in Frankrijk. In het verslag van Computerweekly n.a.v. de persconferentie is te lezen dat de Franse inlichtingendienst buitenland ‘Direction générale de la Sécurité extérieure’ (DGSE) de software implant heeft ontworpen en geleverd. Het legde gegevens op de telefoons vast, waaronder IMEI-gegevens, gebruikersnamen, adresboeken, wachtwoorden, opgeslagen chatberichten, afbeeldingen, locatiegegevens (‘geodata’) en notities.
Vervolgens werd in fase 2 (‘stage 2’) de communicatie (verstuurde berichten) verzameld. Op 30 januari 2020 heeft een Franse onderzoeksrechter een machtiging verleend om een interceptietool in te zetten. Deze machtiging is telkens verlengd en de verdenking die ten grondslag lag aan de aanvraag om de interceptietool in te zetten betrof onder andere drugshandel/-smokkel, witwassen en wapenhandel/-bezit. Uit een Frans proces-verbaal blijkt dat deze interceptietool is ontworpen door de ‘Service Technique National de Captation Judiciaire’ (STNCJ), een dienst die gerechtigd is dergelijke middelen te ontwerpen en kon worden ingezet door de ‘Service Central de Renseignement Criminel’ (SCRCGN) van de Franse Gendarmerie.
Vervolgens heeft de Franse Gendarmerie de EncroChat data verzameld vanaf 1 april 2020 om 17:15 uur tot en met 26 juni 2020 omstreeks 17:00 uur. De Franse Gendarmerie heeft op basis van “geodata” oftewel locatiegegevens, de gegevens vervolgens gedeeld met het land van herkomst, die daar – onder bepaalde voorwaarden – verder geanalyseerd en verwerkt konden worden voor strafrechtelijke onderzoeken naar de gebruikers. Het Franse onderzoeksteam bewaarde deze data gedurende deze periode op computersystemen in Frankrijk en heeft vervolgens de Nederlandse politie toegang gegeven tot de data over een beveiligde verbinding met die computersystemen. Deze informatie-uitwisseling vond zijn basis in de overeenkomst die is gesloten in het kader van de samenwerking in een Joint Investigation Team (JIT).
Daarnaast heeft het Franse onderzoeksteam op 4 verschillende momenten, te weten januari 2019, oktober 2019, februari 2020 en juni 2020, een kopie gemaakt van de EncroChat infrastructuur en de informatie die op dat moment beschikbaar was op de verschillende servers. Deze informatie is ook gedeeld met Nederland, zowel in het onderzoek Bismarck dat al eerder liep, als in het kader van het JIT. Dit heeft eveneens veel informatie opgeleverd. Geen inhoudelijke berichten, maar wel veel metadata, zoals back-ups van de notitie-app, administratieve gegevens, IP adressen, overzicht van users en databases met wachtwoorden.
Europol heeft ook een ‘Operational Task Force’ (OTF) met de codenaam ‘Emma’ opgericht, om de 115 miljoen EncroChat-berichten te analyseren. Het betrof 1.3TB (terabytes) aan gegevens en zij hebben 700 ‘intelligence packages’ geleverd aan in totaal 123 landen.
Rol en gebruik data Nederlandse politie
Van 1 april 2020 omstreeks 18:00 uur tot 29 juni 2020 om 13:15 uur heeft de Nederlandse politie de EncroChat data gekopieerd over de beveiligde verbinding naar het onderzoeksnetwerk van de Nederlandse politie. Hierbij werd een wijze van kopiëren gebruikt waarbij met een zo klein mogelijke vertraging de nieuwe EncroChat data werden gekopieerd en waarbij met hashwaardes werd geverifieerd dat de data die werd weggeschreven na verzending over een computernetwerk, identiek is aan de data die werd gelezen in de bron.
De Nederlandse opsporingsdiensten beschikten daarmee ook over een enorme hoeveelheid data. Die data kan volgens de rechtbank Amsterdam (ECLI:NL:RBAMS:2022:1276) worden onderverdeeld in drie subcategorieën:
metadata (accountnamen, IMEI-nummers etc.), verkregen op verschillende momenten en verschillende periodes bestrijkend, waaronder de live periode van 1 april 2020 tot 20 juni 2020 (‘serverdata’);
‘live’ binnengekomen inhoudelijke communicatie uit de periode 1 april 2020 tot 20 juni 2020 (‘telefoondata’);
inhoudelijke communicatie van vóór 1 april 2020, meegekomen met het binnenhalen van de data (eveneens ‘telefoondata’).
De dataset is door de Nederlandse politie met behulp van algoritmes en zoektermen geanalyseerd en onderzocht. Deels in het kader van reeds bekende onderzoeken die op de hiervoor genoemde lijst stonden die de rechter-commissaris had goedgekeurd. Deels op basis van in categorieën ingedeelde zoektermen. In andere jurisprudentie – ECLI:NL:RBDHA:2022:4504 – wordt bijvoorbeeld genoemd dat via ‘IMSI-scans’ bleek dat sommige verdachten PGP-telefoons gebruikten. Doordat de IMEI-nummers van deze toestellen in het onderzoek ‘Echinops’ waren vastgelegd, konden deze worden gematcht met de lijst van IMEI-nummers in onderzoek 26Lemont.
Resultaten van de operatie
De resultaten van de operatie (ten tijde van april 2021) worden in een jaarrapport van 2020 in de volgende mooie ‘infographic’ getoond:
Tijdens de persconferentie in Lille op 28 juni 2023 vertelden de autoriteiten dat als gevolg van de operatie meer dan 6500 mensen zijn gearresteerd en meer dan 900 miljoen aan vermogen in beslag is genomen. Zie onderstaande infographic:
Steeds vraagt de verdediging in de jurisprudentie om meer informatie over de verzameling van de gegevens bij een Frans bedrijf in Frankrijk, terwijl rechters steevast verwijzen naar het internationaal vertrouwensbeginsel en het bewijs niet onder Nederlands recht op rechtmatigheid wordt getoetst (zie bijvoorbeeld Rb. Rotterdam 24 juni 2021, ECLI:NL:RBROT:2021:6050).
Op 13 juni 2023 heeft de Hoge Raad bevestigd (ECLI:NL:HR:2023:913) ervan moet worden uitgegaan dat het onderzoek door de buitenlandse autoriteiten rechtmatig – dat wil zeggen: in overeenstemming met het buitenlandse recht – is verricht. De Nederlandse rechter is alleen verplicht nader in te gaan op de betrouwbaarheid van de resultaten als – al dan niet naar aanleiding van wat de verdediging heeft aangevoerd – concrete aanwijzingen voor het tegendeel bestaan. Dit geldt ook als het onderzoek in JIT-verband is uitgevoerd.
De Hoge Raad oordeelt ook dat het uitgangspunt is dat het dat het door de buitenlandse autoriteiten verkregen materiaal betrouwbaar moet worden geacht. Als er echter concrete aanwijzingen voor het tegendeel bestaan, dan is de rechter gehouden de betrouwbaarheid van die resultaten te onderzoeken. Die aanwijzingen kunnen voortkomen uit een specifiek verweer.
Vanwege de voorzienbare inbreuk die de interceptie van de EncroChat-data op de persoonlijke levenssfeer van de Nederlandse gebruikers van deze dienst zou hebben, heeft het Openbaar Ministerie ervoor gekozen om, mogelijk ten overvloede, in Nederland een rechterlijke toetsing te vorderen die strikt genomen het Nederlandse Wetboek van Strafvordering niet als zodanig kent. Deze manier van werken keurt de Hoge Raad wel goed in (ECLI:NL:HR:2023:913).
Bij de rechter-commissaris is een vordering ingediend om een machtiging om op 13 maart 2020 een machtiging te verlenen voor de inzet van de hackbevoegdheid op personen die betrokken zijn bij georganiseerde misdaad (art. 126uba Sv) te geven teneinde de informatie betreffende de Nederlandse gebruikers te mogen analyseren en gebruiken. De rechter-commissaris heeft op 27 maart 2020 onder voorwaarden de gevorderde machtiging verleend voor een periode van maximaal vier weken en op grond van deze machtiging heeft de officier van justitie op 1 april 2020 een bevel 126uba Sv afgegeven. Deze machtiging (met instandhouding van de gestelde voorwaarden) en het bevel zijn beide meerdere malen verlengd.
In een uitspraak van de rechtbank Gelderland van 8 december 2021 (ECLI:NL:RBGEL:2021:6584) was (bij mijn weten voor het eerst) meer te lezen over de machtiging. Voor het gebruik van de berichten is een (Nederlandse) rechter-commissaris om een machtiging gevraagd voor de inzet van de hackbevoegdheid (artikel 126uab Sv) en het opnemen van telecommunicatie (artikel 126t Sv). In het ‘proces-verbaal aanvraag’ wordt gesteld dat het redelijk vermoeden bestaat dat de EncroChat-gebruikers zich in georganiseerd verband schuldig maken aan (het medeplegen van) één of meer van de volgende misdrijven:
witwassen;
deelnemen/leiding geven aan een criminele organisatie;
Opiumwet delicten;
wapenhandel;
(poging) tot moord/doodslag;
gijzeling en/of wederrechtelijke vrijheidsberoving; en
afpersing en/of diefstal met geweld.
Daarbij werden de volgende drie doelen nagestreefd:
het identificeren van de NN-gebruikers;
onderzoek doen naar de criminele samenwerkingsverbanden waarvan zij deel uitmaken;
bewijs verzamelen over door deze criminele samenwerkingsverbanden gepleegde en/of nog te plegen misdrijven.
De EncroChat-data mocht worden doorzocht met behulp van een lijst met trefwoorden die gerelateerd zijn aan te onderzoeken feiten of verdachten. De rechter-commissaris overwoog expliciet dat het onderzoek geen fishing expedition mocht worden. De rechter-commissaris heeft de vordering vervolgens toegewezen onder de volgende zeven voorwaarden (verkort weergegeven):
de wijze waarop is binnengedrongen in het geautomatiseerde werk wordt vastgelegd, als er geen gebruik wordt gemaakt van een reeds goedgekeurd middel;
een beschrijving van de gebruikte software die beschikbaar is voor onderzoek, als er geen gebruik wordt gemaakt van een reeds goedgekeurd middel;
de integriteit van de opgeslagen informatie wordt gegarandeerd;
het onderzoek moet reproduceerbaar zijn, en gebruik moet worden gemaakt van zoeksleutels (woordenlijsten);
voorkomen moet worden dat communicatie tussen cliënten en verschoningsgerechtigden wordt opgenomen;
de met zoeksleutels vergaarde informatie moet binnen twee weken ter toetsing aan de rechter-commissaris worden aangeboden en pas daarna aan het openbaar ministerie en de politie ter beschikking worden gesteld voor het opsporingsonderzoek;
de machtiging wordt voor een beperkte duur van vier weken verleend en kan enkel middels een vordering worden verlengd. De rechter-commissaris kan de machtiging vroegtijdig beëindigen, als de tussentijdse toets daartoe aanleiding zou geven.
Als de EncroChat-gegevens worden gedeeld met andere onderzoeken, moet daarvoor eerst toestemming moet worden gevraagd aan de rechter-commissaris waarna de officier(en) in de zaak 26Lemont op grond van artikel 126dd Sv de informatie mag delen met de zaaksofficier van dat betreffende onderzoek.
Overigens acht de rechtbank de inbreuk op de privacy van een EncroChat-gebruikers bij het doorzoeken van de EncroChats beperkt (!), omdat:
bij het doorzoeken van de EncroChat-data gebruik is gemaakt van vooraf door de rechter-commissaris goedgekeurde zoeksleutels gericht op de opsporing van ernstige criminele activiteiten en
gelet op de aard van de communicatie via PGP-telefoons als o.a. EncroChat, slechts een (beperkt) beeld wordt gekregen van iemands criminele activiteiten, er wordt geen min of meer volledig beeld gekregen van bepaalde aspecten van het privéleven van de gebruiker.
Ook opvallend, maar niet per se verassend, is de overweging van de rechtbank over vormverzuimen die mogelijk hebben plaatsgevonden bij overtreding van de Wet politiegegevens (Wpg):
“De rechtbank heeft op 28 april 2021 al besloten dat de Wpg geen belangrijk strafvorderlijk voorschrift is. De verdediging heeft dan ook geen belang bij een toetsing aan de voorschriften van de Wpg. Deze toetsing is immers niet van belang voor de vragen die de rechtbank in het kader van de artikelen 348 en 350 Sv dient te beantwoorden, noch een vraag die beantwoord moet worden bij de toetsing of sprake is van een eerlijk proces als bedoeld in artikel 6 EVRM.”
Het wetsvoorstel voor een nieuw Wetboek van Strafvordering (.pdf) is op 20 maart 2023 naar de Tweede Kamer gestuurd. Dit wetsvoorstel moderniseert het strafprocesrecht door middel van de vaststelling van een nieuw Wetboek van Strafvordering. Het Wetboek van Strafvordering bevat regels voor de opsporing, vervolging en berechting van strafbare feiten. Door veroudering van het huidige Wetboek en door verschillende ontwikkelingen in de samenleving is een modernisering van het Wetboek nodig. Het voorstel regelt een grondige herstructurering van het Wetboek waardoor wordt bijgedragen aan de rechtszekerheid en de bruikbaarheid van het Wetboek in de praktijk.
De memorie van toelichting telt welgeteld 1420 pagina’s en vergt nadere bestudering, dus in deze blogpost signaleer ik alleen enkele belangrijke bepalingen betrekking tot digitale opsporing. Enkele aanbevelingen, zoals het aanpassen van de netwerkzoeking, de kennisneming van binnengekomen berichten na inbeslagneming van een geautomatiseerd werk en de biometrische ontsleuteling, zijn reeds geïmplementeerd na de Innovatiewet Strafvordering (Stb. 2022, 276). De bepalingen worden vernummerd in het conceptwetsvoorstel (in respectievelijk artt. 2.7.40, 2.7.39 en 2.7.43).
Het wetsvoorstel bevat ten aanzien van digitale opsporing de volgende voorstellen:
De introductie van een titel voor ‘onderzoek van gegevens’ (Titel 7.3). Nieuw is onder andere de regeling voor onderzoek aan digitale-gegevensdragers en geautomatiseerde werken (artikel 2.7.38) (dit artikel betreft een codificatie van het Smartphone-arrest (ECLI:NL:HR:2017:584)).
Met betrekking tot het verstrekken van gegevens door derden wordt in Afdeling 7.3.3, net als in de huidige wet, onderscheid gemaakt naar de aard van de gegevens (identificerende gegevens, gevoelige gegevens en andere gegevens). Nieuw in deze afdeling zijn: de mogelijkheid tot het stellen van voorvragen (artikel 2.7.46, vijfde lid), het generiek bevel tot verstrekking van gegevens voor de periode van twee weken (artikel 2.7.46, zesde lid), het ‘bevel op naam’ (artikel 2.7.47, vijfde lid en 2.7.49, vijfde lid), de mogelijkheid te bevelen dat een derde een data-analyse uitvoert (artikel 2.7.50) en een bepaling over de vrijwillige verstrekking van gegevens (artikel 2.7.54).
In Hoofdstuk 8 van Boek 2 staan nieuwe bevoegdheden die betrekking hebben op gegevensvergaring door het stelselmatig overnemen van persoonsgegevens uit publiek toegankelijke bronnen (artikel 2.8.8) (met een bevel van de officier van justitie), een meer indringende vorm van stelselmatige inwinning van informatie (artikel 2.8.11, tweede lid) (met het een machtiging van een rechter-commissaris), infiltratie op een persoon (artikel 2.8.12) (met een machtiging van een rechter-commissaris) en stelselmatige locatiebepaling (artikel 2.8.18) (met een bevel van de officier van justitie). Voor het vastleggen van vertrouwelijke communicatie is in artikel 2.8.15 is een regeling opgenomen voor het betreden van een besloten plaats of woning ter voorbereiding van het daadwerkelijke vastleggen van de communicatie (leden 5 tot en met 7).
Hoofdstuk 9 van Boek 2 regelt het verkennend onderzoek. Nieuw is daarin de bevoegdheid om stelselmatig persoonsgegevens uit publiek toegankelijke bronnen over te nemen (artikel 2.9.1) (met een bevel van de officier van justitie).
Ten slotte is het van belang te noemen dat aanvankelijk het voornemen bestond om een nieuwe gegevensverwerkingswet op het terrein van politie en justitie tot stand te brengen ter vervanging van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. Inmiddels duidelijk geworden dat deze nieuwe gegevensverwerkingswet er niet komt, omdat voor de realisatie en implementatie daarvan geen financiële middelen beschikbaar zijn (Kamerstukken II 2021/22, 32761, nr. 218). Dat is pijnlijk, aangezien het ontbreken van een koppeling tussen de gegevensverwerkingsbepalingen en de bepalingen over de verzameling van gegevens juist als een breed gedragen probleem wordt gezien. Zie daarover bijvoorbeeld mijn recente artikel met Marianne Hirsch Ballin.
Op 27 maart 2023 heeft Europol het rapport ‘ChatGPT. The impact of Large Language Model on Law Enforcement’ gepubliceerd.
ChatGPT (versie GPT-3.5) kan tekst verwerken en genereren in antwoord op opdrachten (‘prompts’) van gebruikers. Het kan vragen beantwoorden over uiteenlopende onderwerpen, tekst vertalen, conversaties aangaan en tekst samenvatten om de belangrijkste punten aan te geven. Het kan daarnaast sentimentanalyse uitvoeren, tekst genereren op basis van een gegeven opdracht (bijvoorbeeld een verhaal of gedicht schrijven), en code uitleggen, produceren en verbeteren in enkele van de meest gangbare programmeertalen (Python, Java, C++, JavaScript, PHP, Ruby, HTML, CSS, SQL). In essentie is ChatGPT dus erg goed in het begrijpen van menselijke input, rekening houdend met de context, en het produceren van bruikbare antwoorden. In maart 2023 lanceerde het bedrijf OpenAI overigens voor abonnees van ChatGPT Plus zijn nieuwste model, GPT-4. Volgens OpenAI is GPT-4 in staat om meer geavanceerde problemen nauwkeuriger op te lossen en kan het beelden als input verwerken, classificeren en analyseren.
De beveiligingsmechanismen van ChatGPT om kwaadwillend gebruik van het model te beperken kunnen relatief eenvoudig worden omzeild. Volgens Europol kan ChatGPT worden gebruikt om verschillende soorten misdrijven beter uit te voeren. Als een potentiële crimineel niets weet over een bepaald misdaadgebied, kan ChatGPT het onderzoeksproces aanzienlijk versnellen door het aanbieden van belangrijke informatie die dan in volgende stappen verder kunnen worden onderzocht. Als zodanig kan ChatGPT worden gebruikt om te leren over een groot aantal potentiële misdaadgebieden zonder voorkennis. Het biedt nieuwe mogelijkheden, met name voor misdrijven door middel van ‘social engineering’, phishing en online fraude, maar ook voor het genereren van propaganda, desinformatie en nepnieuws.
Waarbij vroeger bijvoorbeeld een eenvoudige phishing-zwendel gemakkelijker was op te sporen vanwege duidelijke grammaticale en spelfouten, is het nu mogelijk om zich op een zeer realistische manier voor te doen als een organisatie of individu, zelfs met slechts een basiskennis van de Engelse taal. Ook kan de stijl van berichten worden aangepast. Het vermogen van ChatGPT om natuurlijke taal te transformeren in werkende code werd snel uitgebuit door kwaadwillenden door code voor malware te produceren. Dit maakt ChatGPT volgens Europol tot een instrument voor cybercriminelen.
In de toekomst kan de universele beschikbaarheid van grote taalmodellen nog meer uitdagingen met zich meebrengen. Europol wijst op de integratie van andere AI-diensten (zoals voor het genereren van synthetische media). Een voorbeeld zijn multimodale AI-systemen, die conversationele chatbots combineren met systemen die synthetische media kunnen produceren, zoals zeer overtuigende deepfakes, of systemen die zintuiglijke vermogens zoals zien en horen omvatten. De Europese politiedienst wijst ook op de opkomst van “dark LLM’s”, die op het dark web kunnen worden gehost om een chatbot te leveren zonder enige beveiliging, alsmede LLM’s die worden getraind op bepaalde – wellicht bijzonder schadelijke – gegevens. Opsporingsinstanties zullen zich hierop moeten voorbereiden, onder andere door bewustwording en het ontwikkelen van vaardigheden om zelf deze technologie voor de eigen taakuitvoering te gebruiken.
In opdracht van het WODC heeft de NHL Stenden Hogeschool in samenwerking met de Open Universiteit en de Politieacademie op 11 april 2023 een rapport gepubliceerd over de rol van encryptie in de opsporing. Dit blogbericht is gebaseerd op het persbericht en samenvatting van het rapport.
De onderzoekers stellen dat encryptie in opsporingsonderzoeken gemeengoed geworden. Dat is voor een belangrijk deel te wijten aan mobiele telefoons die in beslag worden genomen in opsporingsonderzoeken. Op die telefoons zit vrijwel altijd een vorm van encryptie. Andere vormen van encryptie waarmee de opsporing zich geconfronteerd ziet, zijn versleutelde chatdiensten, vergrendelde devices anders dan mobiele telefoons (bijvoorbeeld laptops), versleutelde e-maildiensten en cryptotelefoons. Bij sommige typen criminaliteit komt encryptie vaker voor dan bij andere. Encryptie komt het meest voor bij georganiseerde (drugs)criminaliteit, cybercrime en kinderporno.
Om toegang te krijgen tot versleutelde informatie, heeft de opsporing ruwweg twee mogelijkheden: 1. encryptie omzeilen en 2. encryptie kraken. Beide kunnen veel capaciteit vergen, maar dat is niet altijd het geval. Het stellig kwantificeren van ‘de benodigde tijd’ was binnen de grenzen van het onderzoek niet haalbaar. Omzeilen kan door het vinden van de sleutel, het raden van de sleutel, het afdwingen van de sleutel, het exploiteren van een lek in de encryptiesoftware, het verkrijgen van toegang tot leesbare tekst als het apparaat in gebruik is en door het lokaliseren van een kopie van de leesbare tekst. Voor het technisch kraken – ofwel toegang krijgen tot een computersysteem met behulp van forensische hulpmiddelen – is adequate soft- en hardware nodig. Het kraken wordt volgens respondenten veelal uitbesteed aan een andere partij of afdeling, zoals het NFI. In geval van een internationale samenwerking kan Europol een rol vervullen. In hoeverre het kraken lukt, hangt af van het toegepaste cryptografische algoritme en de sleutellengte. Daarbij geldt in algemene zin: hoe langer de sleutel hoe lastiger te kraken.
Omtrent het inzetten van opsporingsbevoegdheden bepaalt het OM bijvoorbeeld of capaciteit en tijd van de Nationale Politie of het NFI wordt ingezet om versleutelde data te kraken. De opsporing beschikt verder over het decryptiebevel (art. 126nh lid 1 Sv) en de hackbevoegdheid (artt. 126nba, 126uba en 126zpa Sv). Hiervan wordt weinig gebruik gemaakt, omdat deze bevoegdheden alleen onder strikte voorwaarden mogen worden ingezet. Daarnaast is de opsporing bij rechtshulpverzoeken afhankelijk van onder andere wet- en regelgeving of opgevraagde data (tijdig) geleverd worden en of ze bruikbaar zijn voor het opsporingsonderzoek. Toch betekent het niet kunnen omzeilen of kraken van encryptie niet het einde van een opsporingsonderzoek. Soms werken de verdachten mee door data te ontsleutelen en de politie kan voor het bewijs ook andere wegen bewandelen. Denk daarbij aan metadata, bijvoorbeeld via telefoons die op een bepaald tijdstip in de buurt van een bepaalde telefoonpaal zijn.
Wanneer het lukt om encryptie te kraken, kan dit het opsporingsonderzoek vaak juist versnellen. De waarde van ontsleutelde data wordt bovendien gezien als zuiverder dan bijvoorbeeld (getuigen)verklaringen. Tevens is het beeld over criminele samenwerkingsverbanden vollediger is geworden na decryptie van communicatie van cryptotelefoniediensten, in plaats van globaal en fragmentarisch in de situatie voor en/of zonder encryptie. Bovendien, op het moment dat achter de encryptie gekomen kan worden (de fase van decryptie), ligt er potentieel een schat aan data waarmee de opsporing haar voordeel kan doen.
Het is niet vast te stellen hoeveel zaken er niet worden opgelost of hoeveel tijd verloren gaat door encryptie. Ook kon niet worden vastgesteld hoeveel zaken er extra worden opgelost of hoeveel tijd er wordt gewonnen dankzij gekraakte encryptie. De opsporing is daarvoor een te complex geheel van feiten, toevalligheden en omstandigheden. De onderzoekers stellen wel de vraag wat encryptie écht anders maakt voor het opsporingswerk. Het beschermen en verkrijgen van informatie is altijd al onderdeel van het zogenoemde kat-en-muisspel tussen politie en criminelen. Uiteindelijk, zo stellen de onderzoekers, vraagt digitalisering van politie en haar partners meebewegen en aanpassen aan wat er op hen af komt.
Op 6 november 2018 maakte het Openbaar Ministerie bekend dat de politie Oost-Nederland en het Openbaar Ministerie (OM) er in 2017 waren geslaagd de versleutelde chatapplicatie ‘Ironchat’ te ontsleutelen. In het persbericht is de lezen:
“Dankzij deze operatie hebben politie en Openbaar Ministerie een goede informatiepositie gekregen. Er zijn ruim 258.000 chatberichten meegelezen en dat levert veel informatie op. Deze informatie kan leiden tot beslissende doorbraken in lopende onderzoeken. Ook kunnen de gegevens worden gebruikt om nieuwe strafrechtelijke onderzoeken op te starten. Op deze manier is er bewijs in lopende onderzoeken verkregen en kunnen nieuwe criminele activiteiten gestopt worden.”
Zie ook dit NOS-artikel voor meer informatie over IronChat.
Werking IronPhone en IronChat
In de uitspraak (ECLI:NL:RBGEL:2024:6732) van de rechtbank Gelderland van 12 september 2024 staan in r.o. 2.1.4-2.1.6 interessante details over de cryptotelefoons. Om gebruik te maken van de communicatiemethode diende men een abonnement af te sluiten. Op een prijslijst die beschikbaar is uit de kopie van de server van het bedrijf staan de volgende kosten voor een abonnement:
Telefoon (model Wileyfox Swift2) met als kosten voor een abonnement: per zes maanden € 800,- voor Europa en € 1000,- voor wereldwijd;
Telefoon (model Samsung S8) met als kosten voor een abonnement: per zes maanden € 1.500,- voor Europa en € 1.750,- voor wereldwijd;
Laptop (model HP Folio 9470m) met als kosten voor een abonnement: € 2.250,- per jaar.
Bij een aantal telefoons die zijn onderzocht in het kader van andere strafrechtelijke onderzoeken is opgevallen dat de telefoons technisch zo zijn ingericht dat er geen gebruik gemaakt kan worden van de camera, microfoon of wifi. Een getuige heeft verklaard dat de camera’s en microfoons werden verwijderd uit de telefoons wanneer verdachte dat wilde. Volgens de bewijsstukken gebeurde ongeveer in de helft van de gevallen.
Encryptiemethode
In de gebruiksaanwijzing van ‘communicatiemethode 2’ (uit 2015), staat omschreven dat gebruik wordt gemaakt van end-to-end encryptie door middel van het zogenaamde OTR (Off-The-Record) protocol. In de gebruikersaanwijzing worden de volgende voordelen opgesomd van het gebruik van OTR ten opzichte van andere “veilige communicatie”:
[communicatiemethode 2] laat geen digitale handtekeningen achter in berichten waardoor het achteraf niet valt te bewijzen dat er communicatie heeft plaatsgevonden;
communicatiemethode 2] werkt alleen als beide contacten online zijn, er wordt niets van berichten op servers opgeslagen. (…);
Gesprekken via [communicatiemethode 2] vallen achteraf niet meer te ontsleutelen, ook niet als de datalijnen getapt worden. (…);
[communicatiemethode 2] beschikt over een wis & sluit functie waarbij alle berichten direct worden gewist en encryptiesleutels direct komen te vervallen;
[communicatiemethode 2] heeft een PANIC modus waarbij u met één druk op de knop uw gehele [communicatiemethode 3] wist en ontoegankelijk maakt.
Overige functionaliteiten
Daarnaast is het mogelijk om de inhoud van een chat op beide telefoons helemaal te verwijderen door een codewoord in te voeren en te versturen naar degene waarvan men wil dat de inhoud van die chat verdwijnt. Men voert dan in: “CRASHME!34”.
Ook staat in een proces-verbaal dat de communicatie-app voor de buitenwereld er uitziet als een medische app. Sommige landen verplichten bij de douane het wachtwoord van telefoons te verstrekken, maar medische gegevens mogen dan niet worden ingezien.
Onderzoek naar een leverancier Ironchat
In het onderzoek ‘Orwell’ werd een in Nederland gevestigd bedrijf onderzocht in verband met de verdenking dat dit bedrijf encrypted communicatiemiddelen faciliteerde voor onder andere criminele organisaties. Dit Nederlandse bedrijf maakte gebruik van een telecomserver in het Verenigd Koninkrijk.
Middels een Europees Onderzoeksbevel kreeg het onderzoeksteam de beschikking over een kopie (een ‘image’) van de server van het Nederlandse bedrijf. Uit digitaal onderzoek bleek dat de server werd gebruikt voor het versturen van versleutelde berichten en belangrijke informatie bevatte, die zicht gaf op onder andere verschillende chataccounts, chatnamen en de NN (op dat moment anonieme)-gebruikers van de producten van het Nederlandse bedrijf.
In het Verenigd Koninkrijk werd zelfstandig onderzoek gedaan naar de versleutelde berichten die via deze server waren verzonden. Van 3 oktober 2018 tot 2 november 2018 werd overgegaan tot het ‘live intercepteren en decrypten van de server’. De Britse autoriteiten hebben toestemming gegeven voor het gebruik daarvan in opsporingsonderzoeken in Nederland.
Onderzoek naar de gebruikers van IronChat en opvolgende onderzoeken
De telecommunicatie werd vervolgens ter beschikking gesteld aan het onderzoek ‘Goliath’. Dit onderzoek, dat op 30 mei 2018 is ingesteld door de politie Oost-Nederland, richtte zich naar “criminele NN-gebruikers” van zogenaamde encrypted telefoons die de chatapp Ironchat gebruikten.
Over het opsporingsonderzoek met de naam ‘Goliath’ overweegt de rechtbank Gederland in (ECLI:NL:RBGEL:2024:6732) dat in de periode van 3 oktober 2018 tot en met 2 november 2018 de communicatieapplicatie is geïntercepteerd. Tijdens deze interceptiefase is 24/7 chatverkeer onderschept, gelezen, geduid, veredeld en geanalyseerd. Er is binnen onderzoek Goliath gewerkt met, onder andere, zoekwoorden (topics). Dit waren zoekwoorden die te relateren zijn aan diverse vormen van criminaliteit. Voorbeelden van dergelijke woorden zijn: ‘drugs’, ‘coke’, ‘slapen’, ‘pipa’s’, ‘AK’ of ‘wapens’. Deze topics waren beschikbaar in diverse talen. Als er in chatberichten woorden voorkwamen die op deze topiclijsten stonden, werden alle chatberichten van de conversatie zichtbaar in de chatmodule. Gedurende de interceptieperiode is niet vastgesteld dat anderen, waaronder politici, artiesten en de gewone man met bijvoorbeeld een geheime relatie, gebruik hebben gemaakt van de communicatiemethode, zoals de verdediging stelde.
Volgens ECLI:NL:RBOVE:2020:1558 werd door de officier van justitie overeenkomstig artikel 126dd Sv toestemming gegeven voor het gebruik van de overgedragen onderzoeksgegevens ten behoeve van het onderzoek ‘Metaal’, dat zich richtte op het achterhalen van de identiteit van de (NN-)gebruikers. In dit onderzoek kwam vervolgens een account naar voren dat kon worden gekoppeld aan de verdachte.
De rechtbank Overijssel overweegt in ECLI:NL:RBOVE:2020:1558 dat zij ‘naar eigen recht, op basis van eigen bevoegdheden en met medeweten van een ander bedrijf de chatberichten onderschept, ontsleuteld en vervolgens die chatberichten heeft doorgeleid naar de Nederlandse autoriteiten’.
Ontvankelijkheid OM
De rechtbank Overijssel en Limburg overwegen in hun uitspraken dat ‘voldoende duidelijk is op welke wijze de inhoud van de chatgesprekken is verkregen’. De rechtbank Overijssel overweegt simpelweg dat ‘niet gebleken van enig vormverzuim. Het verweer wordt verworpen. De officier van justitie is ontvankelijk in de vervolging’.
De rechtbank Limburg overweegt dat de onderzoekshandelingen waarvan de uitvoering plaatsvond onder verantwoordelijkheid van het Verenigd Koninkrijk. De taak van de Nederlandse strafrechter is volgens de rechtbank ertoe beperkt te waarborgen dat de wijze waarop van de resultaten van dat onderzoek in de strafzaak tegen de verdachte gebruik wordt gemaakt, geen inbreuk maakt op zijn recht op een eerlijk proces, zoals bedoeld in artikel 6, eerste lid, EVRM.
Het behoort volgens de rechtbank niet tot de taak van de Nederlandse strafrechter om te toetsen of de wijze waarop dit onderzoek in het buitenland is uitgevoerd, strookt met de dienaangaande in het desbetreffende buitenland geldende rechtsregels. Er dient, op grond van het vertrouwensbeginsel, dan ook van de rechtmatigheid van de verkrijging van deze gegevens te worden uitgegaan. De verdediging heeft in zijn geheel niet onderbouwd dat er bij de verkrijging van de gegevens sprake is van een onrechtmatigheid en op welke wijze deze zou zijn ontstaan en onder wiens verantwoordelijkheid. Niet is gebleken dan ook van enige schending van het recht op een eerlijk proces.
Voor wat betreft het gebruik van de verkregen resultaten in verschillende onderzoeken in Nederland, overweegt de rechtbank Limburg dat op grond van artikel 126dd Sv de officier van justitie bevoegd is om die gegevens te verstrekken aan een ander onderzoek. Een beschikking van de rechter-commissaris is niet vereist. Het verweer wordt dan ook verworpen. De officier van justitie is ontvankelijk in de vervolging.
Dit bericht is geüpdated op 4 november 2024 naar aanleiding van nieuwe jurisprudentie.
jjoerlemans.com 