National security and the processing of personal data

On 10 October 2018, ‘Convention 108’ of the Council of Europe regarding the ‘automatic processing of personal data’ (1985) was updated. Convention 108+ now explicitly incorporates the processing of personal data in a national securitycontext. The Netherlands signed Convention 108+ on 10 October 2018 and is now in the ratification process.

Surprisingly, Convention 108+ did not gain much attention yet. For the Netherlands, the treaty may bring changes to current legislation, because it provides more stringent regulations for the processing of data in a national security context and possibly provides for broader powers for oversight authorities.

Processing data in a national security context within the EU
Convention 108+ contains basic principles and provisions for processing personal data, as well as standards regarding oversight mechanisms and the international transfer of data. Many provisions are similar to the General Data Protection Regulation (GDPR).

However, the GDPR does not apply to national security and intelligence agencies. The European Union (EU) has no competence to regulate national security law for EU Member States. As a result, regulations for processing data in a national security context differ across the EU.

Convention 108+ may bring more harmonisation of the regulations for processing personal data and oversight mechanisms. The treaty enters into force on 11 October 2023 if there are 38 Parties to the Protocol amending Convention 108. So far, 36 States have signed the new Convention but only six have ratified.

Stricter regulations for processing data
Convention 108+ encompasses many basic principles of data processing, such as the principle of processing data (a) for specified and legitimate purposes; (b) adequate, relevant and not excessive in relation to the purposes for which they are stored; (c) accurate and, where necessary, kept up to date; and (d) no longer stored than necessary (see article 5 of Convention 108+). In addition, categories of sensitive data are identified (and updated in the new protocol) and data subjects gain certain rights (such as the right to be informed and the right to request rectification when informed).

In a national security context (similar to a law enforcement context) some principles do not apply or apply differently, such as the right to be informed of data processing and limitations to the notification principle. It is understandable, that some limitations to the notification principle apply. For instance, when so-called ‘targets’ (in a national security context) or ‘suspects’ (in a law enforcement context) are informed about the processing of their data, they know they are of interest to these national authorities and may then change their behaviour to continue their harmful activities without being detected.

The updated Convention 108+ strengthens the data processing regulations in a national security context. For example, the new Convention does not differentiate levels of protection afforded to a State’s own citizens or foreigners with regard to transborder flows of personal data (adjusted in article 14 of Convention 108+). Some States do apply this differentiation in their national security legislation. In addition, compared to Dutch legislation for national security and intelligence services, the Convention entails a broader definition of ‘sensitive data’, for which stricter regulations apply to process this type of data.

Oversight powers
Convention 108+ may bolster supervision of data processing activities in a national security context. Some oversight bodies for national security and intelligence agencies have access to data located at these agencies and some can even halt unlawful data processing activities. Convention 108+ demands that oversight bodies for data processing activities are independent (similar to the judiciary or a judicial body) and effective. Based on article 15 and 16 of the Convention, to be effective an oversight body must have the power to intervene, such as the possibility to halt data processing activities or even order that unlawfully processed data be deleted.

The new Convention allows for limitations to these far reaching powers in the field of national security and defense, provided that it is done ‘by law and only to the extent that it constitutes a necessary and proportionate measure in a democratic society to fulfill such an aim’. Granting oversight bodies such far reaching powers is a big step, because the fear of States may be that their security and intelligence services will no longer have pieces of information that may be relevant in the future to secure national security (for example to prevent a terrorist attack). However, from the perspective of protecting human rights, it can be argued that this step is part of the requirement of effective review and supervision of intelligence and security services, as interpreted in the jurisprudence of the European Court of Human Rights (ECHR) and pursued by the new Convention 108+.

Now what?
What does this mean for processing personal data for the purpose of national security? For the Netherlands, it means the provisions of Convention 108+ must be implemented in national law. This requires some changes, for example with regard to the aforementioned category of ‘sensitive data’. In addition, the Dutch oversight body for intelligence and security services does not have the binding power to intervene in unlawful data processing activities. The Dutch government must address this issue and decide which changes to law are desirable.

We welcome Convention 108+ because it brings more harmonisation to the regulations for processing data in a national security context and may strengthen oversight bodies for national security and intelligence agencies for States that ratify Convention 108+. It protects the individuals involved in the processing of personal data and provides more legal certainty with regard to the applicable rights and regulations. We look forward to contributing and monitoring the implementation of the treaty throughout the world.

Jan-Jaap Oerlemans & Mireille Hagens

This is cross post from the Montaigne Centre Blog.

Annotatie bij Macro-malware zaak

Hieronder volgt mijn annotatie (.pdf) bij de Macro-malware zaak.

Citeertitel: Rb. Rotterdam 19 maart 2020, ECLI:NL:RBROT:2020:2395, Computerrecht 2020/88, m.nt. J.J. Oerlemans

Inleiding

De verdachte is in deze zaak veroordeeld (ECLI:NL:RBROT:2020:2395) voor het vervaardigen, verkopen, verspreiden en voorhanden hebben van malware met het oogmerk computervredebreuk te plegen. De verdachte ontwikkelde het programma ‘Rubella Macro Builder’. Het is zogenoemde ‘macro-malware’, omdat het aan Officedocumenten zoals Word en Excel een stuk verborgen code toevoegt die iets uitvoert. De verdachte had het programma zo geprogrammeerd dat het heimelijk verbinding legde met een externe server waardoor cybercriminelen hun eigen malware konden plaatsen op de computers van de slachtoffers. De zaak is interessant, omdat het een van de weinige veroordelingen is voor de vervaardiging van malware door een Nederlander en het misbruik maken van de macro-functionaliteit in Office-documenten een veelgebruikte aanvalstechniek is van cybercriminelen.

Bron: McAfee.

Onderzoek vangt aan door particulier onderzoek

De zaak begon niet met een opsporingsonderzoek door de politie, maar met een onderzoek van cybersecuritybedrijf McAfee. De onderzoekers bij McAfee viel een advertentie op het oog van het programma op een hackersforum. Het screenshot van een geprepareerd Word-document had Nederlandse taalinstellingen. Dat is ongebruikelijk in de hackerswereld, waar de voertaal volgens McAfee doorgaans Engels is. Ook was een chataccount (van Jabber) van een ene ‘Rubella’ te vinden. De onderzoekers namen contact op via Jabber met de aanbieder en toonde interesse in de software.

Nader onderzoek van de malware – ‘Dryad’ genaamd – toonde verschillende functionaliteiten aan, zoals (1) de mogelijkheid een uitvoeringsbestand te downloaden van een aangegeven URL, (2) de mogelijkheid (o.a.) een .exe-bestand op een computer te starten, (3) de bestandsnaam van de download te wijzigen, (4) verschillende functionaliteiten om antivirusprogramma’s te omzeilen, en (5) de functionaliteit een Word- of Excel-document te generen.

Strafbare karakter van feiten

De verdachte wordt het vervaardigen van malware, te weten ‘Rubella’, ‘Dryad’ en ‘Cetan’, ten laste gelegd. Deze typen malware zijn hoofdzakelijk geschikt voor het voorbereiden van het plaatsen van afluister- en/of hackapparatuur (strafbaar gesteld in art. 139d lid 2 sub a Sr jo 138ab Sr). De verdachte heeft deze malware vervolgens verkocht, verspreid, anderszins ter beschikking gesteld en voorhanden gehad. Het fungeert als ‘tool’ voor cybercriminelen (zie r.o. 4.2.1). In 2017 berichtte Europol dat misbruik van de macro-functionaliteit in Office-documenten een veel gebruikte aanvalstechniek is van cybercriminelen.

Zie bijvoorbeeld Europol, ‘Internet organised threat assessment report 2017’, p. 57:

“A common approach is to attach a malicious attachment to an email, often a Microsoft Office document containing malicious macro code – a tactic that Dridex is notorious for resurrecting. Alternatively the message may include a link to a malicious URL which will then attempt to infect the target computer when they visit the site.”

De verdediging voert aan dat de verdachte geen oogmerk had dat met de software computervredebreuk wordt gepleegd. Het benodigde oogmerk voor de strafbaarstelling zou dus ontbreken, waardoor de verdachte moet worden vrijgesproken. De rechtbank gaat daar niet in mee. Er is veel bewijs voorhanden dat tot bewezenverklaring van het benodigde oogmerk leidt. De verdachte zegt in zijn verklaring bijvoorbeeld dat de software is ontwikkeld om antivirusprogramma’s te omzeilen en toegang te krijgen tot andermans computer. Ook verklaart hij ter zitting dat hij op een bepaald moment de Rubella software is gaan verkopen (r.o. 4.2.3). Dat is mijns inziens in feite een bekentenis.

De rechtbank overweegt dat verdachte de producten op hackersfora verkocht en daarop zijn producten aanprees. Zo is te lezen in een digitale advertentie van Rubella dat het mogelijk is om aan deze malware een ‘powershell payload’ toe te voegen. Met ‘payload’ wordt malware bedoeld die een kwaadwillende kan uitvoeren bij zijn slachtoffer. In de advertentietekst wordt verder benadrukt dat het mogelijk is om met deze malware anti-virusdetectie te omzeilen. Tevens wordt benadrukt in de advertentietekst dat de malware al vier weken FUD zou zijn. Wanneer een bestand FUD is, wordt bedoeld dat het niet door antivirussoftware wordt herkend als zijnde een virus, aldus de rechtbank in zijn uitleg van deze zaak met een hoog technisch karakter (r.o. 4.2.3).

De rechtbank leidt het oogmerk onder andere af uit het geanalyseerde berichtenverkeer op telefoon van de verdachte. Hieruit blijkt dat de verdachte zelf het verband al heeft gelegd tussen het maken en verkopen van deze software en de strafbaarstelling op grond van artikel 139d lid 2 sub a Sr (r.o. 4.2.3). De verdachte wordt ook veroordeeld voor het voorhanden hebben van creditcardgegevens van 42 personen, terwijl hij wist dat het mogelijk was om met deze gegevens creditcardfraude te plegen.

De rechtbank acht het ontoegankelijk maken van gegevens met de programma’s niet bewezen, omdat uit de beschikbare dossierinformatie onvoldoende is gebleken dat de door de verdachte vervaardigde en verkochte malware hoofdzakelijk geschikt of ontworpen was om gegevens te wissen of onbruikbaar te maken, dan wel vernieling van een geautomatiseerd werk te plegen (zoals bij ransomware, zie ook Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153, Computerrecht 2018/210, m.nt. J.J. Oerlemans en mijn blogbericht over de strafbaarstelling van het vervaardigen en voorhanden hebben van ransomware).

Veroordeling

De verdachte wordt veroordeeld tot 12 dagen gevangenisstraf (de tijd dat hij in voorarrest heeft gezeten) en een taakstraf van 240 uur, met daarbij een voorwaardelijke gevangenisstraf van 180 dagen met een proeftijd van 3 jaren.

Opvallend is dat reclassering adviseerde de verdachte aan te melden bij het programma ‘Hack_Right’ om een positieve draai te geven aan de vaardigheden van de verdachte. Binnen het programma lopen jonge hackers bijvoorbeeld stage bij een cybersecuritybedrijf. De rechtbank vindt het niet nodig dat de verdachte het programma Hack_Right volgt, vanwege ‘de voorwaardelijke gevangenisstraf gedurende een proeftijd van drie jaren en vanwege het leereffect dat van deze strafzaak zal uitgaan voor de verdachte’. De destijds 6,76 Bitcoin (met een waarde van 22.711,97 euro) wordt verbeurd verklaard, omdat deze vermoedelijk met de strafbare feiten zijn verkregen.

De strafoplegging valt tegelijkertijd lager uit dan de officier van justitie heeft geëist. Dat is volgens de rechtbank te verklaren vanwege de overwegingen van de persoon van de verdachte en deels omdat minder wordt bewezen dan de officier van justitie ten laste had gelegd.

Conclusie

Juridisch gezien is er weinig op te merken aan de uitspraak. De rechtbank voert de juiste overwegingen in deze technische zaak en het oordeel van de rechtbank is begrijpelijk. De straf kan als laag worden gezien, omdat de software het mogelijk maakt voor cybercriminelen om op grote schaal computervredebreuk te plegen. De veroorzaakte schade door de software is mogelijk aanzienlijk. Echter, op het delict staat slechts maximaal twee jaar gevangenisstraf en de rechtbank legt een flinke voorwaardelijke gevangenisstraf met proeftijd op. Met deze straf kan de verdachte verder gaan met zijn studie en verder werken aan zijn toekomst.

Het was wel interessant geweest meer te lezen over de bewijsgaring  van de politie onder leiding van het Openbaar Ministerie. Vermoedelijk is een netwerkzoeking ex 125j Sv toegepast toen de politie in de collegezaal de verdachte arresteerde en de laptop van de verdachte doorzocht. In de media is te lezen dat de laptop nog aanstond en de politie bewijs direct heeft verzameld. Het zou goed zijn daar mee over te lezen, omdat er nauwelijks jurisprudentie is over de bevoegdheid van de netwerkzoeking. De advocaat heeft hier echter geen verweer op gevoerd, waardoor de rechtbank Rotterdam er ook geen overwegingen aan hoeft te wijden.

Met name de technische details van de zaak en het geringe aantal veroordelingen voor het vervaardigen van software die als ‘tool’ door cybercriminelen wordt gebruikt, maakt de zaak lezenswaardig.

AI, strafrecht en het recht op een eerlijk proces

Voor het themanummer ‘AI en Recht’ van het tijdschrift Computerrecht, hebben Bart Schermer en ik een artikel geschreven over AI, strafrecht en het recht op een eerlijk proces (.pdf).

Het artikel bespreekt eerst de zogenoemde ‘Ennetcom-casus’ en gaat daarna in op de inzet van kunstmatige intelligentie voor het (geautomatiseerd) nemen van strafvorderlijke beslissingen.

Ennetcom

In 2016 heeft het Nederlandse Team High Tech Crime een grote hoeveelheid gegevens (7 Terabyte) in beslag genomen van ‘Ennetcom’, een bedrijf dat werd verdacht van witwassen. Het Nederlandse bedrijf Ennetcom leverde diensten op het gebied van versleutelde communicatie. Tijdens een doorzoeking bij het bedrijf zijn 3,6 miljoen versleutelde berichten in beslag genomen die zijn verstuurd via zo’n 40.000 smartphones van naar schatting 19.000 klanten.

Klanten konden met speciale BlackBerry-telefoons, voorzien van specifieke software, versleutelde tekstberichten en notities versturen. De encryptiesleutels waren opgeslagen op de ‘Blackberry Enterprise Servers’ van Ennetcom. Deze servers bevonden zich in Toronto, Canada. Na een rechtshulpverzoek van Nederland en een machtiging van een rechter-commissaris aan de Canadese autoriteiten zijn op 19 april 2016 de encryptiesleutels op de servers veilig gesteld zodat daarmee de berichten konden worden ontsleuteld door de Nederlandse opsporingsautoriteiten.

Het Nederlands Forensisch Instituut (NFI) heeft software ontwikkeld waarmee zeer grote hoeveelheden gegevens snel en diepgaand geanalyseerd kunnen worden. Datasets zijn snel te doorzoeken om zo verbanden te leggen tussen verschillende attributen, zoals gebruikersnamen, bijnamen, telefoonnummers en e-mailadressen. Hierdoor kunnen rechercheurs en analisten vele malen sneller en effectiever werken in een opsporingsonderzoek. De software, genaamd ‘Hansken’, is ook ingezet voor de analyse van de Ennetcom-data.

Verdachten worden in strafzaken geconfronteerd met belastend bewijs dat afkomstig is uit een grootschalige data-analyse met het Hansken systeem. In het artikel leggen wij uit dat het recht op een eerlijk proces in artikel 6 EVRM het deelrecht kan worden afgeleid dat de verdachte toegang moet hebben tot gegevens die tegen hem worden gebruikt in belastende en ontlastende zin. De verdediging moet daarbij de mogelijkheid hebben de gegevens met betrekking tot de verdachte te bestuderen en te betwisten. Het openbaar ministerie heeft volgens ons ook tot op zekere hoogte ook zelf een verantwoordelijkheid de technische mogelijkheden aan de verdediging te bieden om de gegevens in een strafproces te bestuderen en te betwisten.

De inrichting van een ‘data room’, waarbij de gegevens die betrekking hebben op de verdachte veilig en relatief eenvoudig kunnen worden geraadpleegd, betreft een voorstel die wij doen om aan het recht invulling te geven. In de toekomst zullen nog veel zaken volgen waarbij verdachten geconfronteerd worden met het resultaat van een grootschalige data-analyse die zijn veilig gesteld in andere strafzaken.

AI en geautomatiseerde besluitvorming

Naast geavanceerde data-analyse of data mining kan ook kunstmatige intelligentie worden toegepast in het kader van de opsporing en vervolging. Zo zijn er onder de noemer predictive policing tal van experimenten binnen de politie die er op gericht zijn om met behulp van kunstmatige intelligentie crimineel gedrag te voorspellen. Daarnaast kan kunstmatige intelligentie worden ingezet voor het nemen of ondersteunen van strafvorderlijke beslissingen door de officier van justitie, rechter-commissaris en rechter.

In het tweede deel gaan wij na in hoeverre de inzet van kunstmatige intelligentie raakt aan de beginselen van een eerlijk proces bij het geautomatiseerd nemen van strafvorderlijke beslissingen.

In het artikel leggen wij uit dat het in het bijzonder bij geautomatiseerde besluitvorming van belang is dat de motivering van de besluitvorming deugdelijk is. Dit betekent dat de gekozen toepassingen transparant, uitlegbaar en controleerbaar zijn.

Hoe deugdelijk de motivering van algoritmische besluitvorming in de praktijk moet zijn, is echter nog onduidelijk. Grofweg zijn er in de context van het strafrecht twee problemen met betrekking tot een voor deugdelijke motivering noodzakelijke transparantie van algoritmes, te weten 1) complexiteit, en 2) de angst voor manipulatie/misbruik. In het artikel gaan we verder in op deze problemen en leggen wij uit hoe met deze problemen kan worden omgegaan.

Gaming the system?

Met betrekking tot het tweede probleem is de angst dat kwaadwillenden het systeem gaan manipuleren of beïnvloeden om tot voor hen gunstige uitkomsten te komen (gaming the system). Inzicht in algoritmische besluitvorming kan daarmee de effectiviteit van de opsporing ondermijnen.

Het kabinet lijkt in haar bijlage bij een Kamerbrief uit oktober 2019 over algoritmes in de opsporing het transparantiebeginsel uit te zonderen door hen in een aparte categorie te plaatsen. In een meer recente beantwoording van Kamervragen over het gebruik van AI bij de politie wordt in punt 76 herhaald dat:

het voor de politie in voorkomende gevallen noodzakelijk is om (delen van) de gegevensverwerking niet inzichtelijk te maken. Dit kan nodig zijn om te voorkomen dat personen zich kunnen onttrekken aan een effectieve taakuitoefening door de politie. Inzicht in de gebruikte analysemethode kan immers aanleiding zijn om het gedrag bewust zodanig aan te passen dat men in de gegevensanalyse buiten zicht blijft. Daarnaast kan geheimhouding nodig zijn omdat inzicht in de gegevensverwerking raakt aan de nationale veiligheid

(deze antwoorden op Kamervragen zijn na het artikel gepubliceerd en daarom niet meegenomen in het artikel zelf).  

Conclusie

Wij waarschuwen dat het voornemen van het kabinet om algoritmische besluitvorming in de opsporing niet te onderwerpen aan de eisen van transparantie en uitlegbaarheid zorgelijk zijn, omdat zij een bedreiging vormen voor de equality of arms en het recht op een eerlijk proces.

Ook in de opsporing moet een concrete invulling worden gegeven aan het recht op een eerlijk proces bij grootschalige data-analyes en het gebruik van algoritmes voor algoritmische besluitvorming. De komende jaren zullen we zien wat van deze invulling terecht komt. 

Bart Schermer & Jan-Jaap Oerlemans

Annotatie over Playpen-zaak

Deze blogpost bevat mijn annotatie (.pdf) in Computerrecht over de veroordeling (Rb. Midden-Nederland 15 oktober 2019, ECLI:NL:RBMNE:2019:4766) van een Nederlandse verdachte die actief was op het kinderpornoforum ‘Playpen’ op het dark web.

Inleiding

Playpen is door de media ook wel bestempeld als “the most ‘notorious darknet child pornography site. De zaak is interessant, omdat het een veroordeling van een Nederlandse verdachte betreft voor het bezit en toegang verschaffen tot kinderpornografisch materiaal en de verspreiding van kinderporno via het forum.

De Nederlandse kinderpornogebruiker is door een Amerikaanse operatie geïdentificeerd, waarbij vermoedelijk computers zijn gehackt en software is gebruikt om bezoekers van het Tor-forum Playpen te de-anomiseren. Dit roept vragen op die in de uitspraak onbeantwoord blijven, zoals:

‘is een dergelijke operatie met de nieuwe hackbevoegdheid ook onder Nederlands recht toegestaan?’

In deze annotatie wordt kort de Amerikaanse operatie uitgelicht. Daarna wordt ingegaan op het oordeel in de uitspraak zelf met betrekking tot het bezit en toegang verschaffen tot kinderpornografisch materiaal en de verspreiding van kinderporno via Playpen. Ter afsluiting wordt ingegaan op de nieuwe mogelijkheden van de hackbevoegdheid, dat per 1 maart 2019 door de implementatie van de Wet computercriminaliteit III in het Wetboek van Strafvordering (Sv) is te vinden.

Achtergrond Operation Pacifier

Playpen betrof een zogenoemde ‘hidden service’, in dit geval een forum dat alleen via Tor bereikbaar was en in de periode van 2014-2015 online was. Op het forum werd (ook prepuberale) kinderpornografie uitgewisseld tussen forumleden. Met gebruik van het Tor systeem kunnen internetgebruikers anoniem internetten, wordt het netwerkverkeer versleuteld en kunnen internetdiensten worden geraadpleegd die niet via het reguliere internet bereikbaar zijn.

Het forum Playpen kreeg veel media-aandacht, omdat de FBI in 2015 in ‘Operation Pacifier’ de bezoekers van het forum de-anonimiseerde. Volgens onderzoeksjournalisten zoals Joseph Cox is dit mogelijk gemaakt, omdat de FBI de website tijdelijk heeft overgenomen en met behulp van een ‘technisch hulpmiddel’ (software) identificerende informatie over de bezoekers van de website heeft vastgelegd, zoals IP-adressen, Mac-adressen en andere technische informatie van de computers van de bezoekers.

Door de operatie waren in mei 2017 al 870 personen opgepakt of veroordeeld, waarvan 368 in de Europese Unie. Bovendien zijn 259 misbruikte kinderen geïdentificeerd of uit hun slachtoffersituatie ontzet. De operatie heeft ook tot kritiek geleid, omdat Amerikaanse autoriteiten ook privé-gegevens van niet-Amerikanen heeft verzameld en daarmee buiten haar jurisdictie zou treden. De FBI zou ook niet transparant genoeg zijn over het gebruik van het technische hulpmiddel in deze strafzaken, hetgeen mogelijk in spanning staat met het recht op het eerlijk proces (zie ook Kate Tummarello, ‘The Fight Against General Warrants to Hack Rages On’, Electronic Frontier Foundation, 9 mei 2017).   

Verstrekking van gegevens aan Europol en buitenlandse opsporingsdiensten

Na de operatie heeft de FBI naar verluidt de identificerende informatie van niet-Amerikaanse bezoekers aan Europol overgedragen. Europol heeft vervolgens vanwege haar coördinerende taak die gegevens doorgegeven aan de verschillende nationale opsporingsautoriteiten binnen de Europese Unie (zie Mark Hendrikman, ‘FBI-onderzoek naar kinderporno op Tor levert meer dan 3000 zaken in Europa op’, Tweakers.net, 24 januari 2016 en het persbericht van Europol, ‘Major online child sexual abuse operation leads to 368 arrests in Europe’ van 5 mei 2017). De Nederlandse autoriteiten vielen hier klaarblijkelijk ook onder. Hoewel de naam van het forum in de uitspraak is geanonimiseerd, blijkt uit Nederlandse berichtgeving dat de verdachte is veroordeeld vanwege zijn activiteiten op het kinderpornoforum Playpen (zie bijvoorbeeld Riks Ozinga, ‘Verdachte in kinderpornozaak krijgt taakstraf en voorwaardelijke celstraf’, RTV Utrecht, 16 oktober 2019).

Vertrouwensbeginsel

Zoals ik eerder in een annotatie bij een andere kinderpornozaak heb opgemerkt, worden vaker dit soort gegevens over kinderpornogebruikers uitgewisseld. Op grond van het vertrouwensbeginsel uit het internationale recht, mag het Openbaar Ministerie er op vertrouwen dat het bewijs op rechtmatige wijze door buitenlandse autoriteiten is vergaard (zie o.a. zie HR 31 januari 2006, ECLI:NL:HR:2006:AU3426). Het bewijs mag daarom in principe worden gebruikt in de Nederlandse strafzaak.

Veroordeling Nederlandse verdachte

De rechtbank Midden-Nederland heeft in de verdachte veroordeeld voor het bezit, toegang verschaffen, en de verspreiding van kinderpornografisch materiaal via een internetforum. De verdachte heeft op twee momenten een ‘thread’ gestart (nieuw onderwerp van discussie op het forum) en vervolgens kinderpornografisch materiaal gedeeld op het besloten forum. In de uitspraak is te lezen dat ‘‘de exacte activiteiten van individuele forumgebruikers alleen konden worden vastgesteld over de periode van 20 februari 2015 tot en met 5 maart 2015’’.

De rechtbank gaat mee met het verweer van de verdediging van de verdachte dat daarmee nog geen sprake is van het gewoonte maken van de verspreiding tot kinderpornografisch materiaal. De rechtbank acht aldus de verspreiding van kinderpornografisch materiaal bewezen, maar niet het gewoonte maken daarvan (waar een hogere straf op straf op staat) (zie rechtsoverweging 4.3).

De verdachte heeft wel een gewoonte gemaakt van het bezit van kinderpornografie. In het door de politie in beslag genomen materiaal, bevonden zich in totaal 103.132 foto’s en 243 video’s. In een willekeurige selectie van ‘ongeveer 25%’ daarvan, zijn 16.453 foto’s en 172 video’s beoordeeld als kinderpornografisch. De bekennende verdachte heeft verklaard dat hij 2 à 3 keer per week kinderpornografische sites bezocht en dat als hij afbeeldingen ging downloaden, dat het er tussen de 20 en 100 per keer waren. Gelet op het aantal aangetroffen kinderpornografische afbeeldingen en de frequentie waarmee verdachte het kinderpornografisch materiaal heeft gedownload, is de rechtbank van oordeel dat verdachte een gewoonte heeft gemaakt van het in het bezit hebben van kinderpornografisch materiaal (zie r.o. 4.3).

Strafmaat

De rechtbank voert een uitgebreide strafoverweging (zie r.o. 8.3). Het overweegt daarbij in het nadeel van de verdachte dat hij zich een lange periode schuldig heeft gemaakt aan het in bezit hebben van pornografisch materiaal, de grote hoeveelheid afbeeldingen die bij verdachte zijn aangetroffen en de (jonge) leeftijd van de minderjarigen die op de aangetroffen afbeeldingen stonden.

In het voordeel van verdachte neemt de rechtbank mee dat de verdachte volledig heeft meegewerkt aan het onderzoek, spijt heeft van zijn gedragingen en in behandeling is. Het recidiverisico wordt door de reclassering, op basis van gesprekken met zijn behandelaar, ingeschat als laag. De rechtbank legt de verdachte een gevangenisstraf op van één jaar, waarvan 364 dagen voorwaardelijk, met een proeftijd van drie jaar. De verdachte krijgt verder een taakstraf van 240 uur.

Toepassing hackbevoegdheid op een forum als Playpen?

Nu rest de vraag of een dergelijke operatie zoals de FBI heeft uitgevoerd ook onder Nederlands recht mogelijk is. Uiteraard kan deze vraag alleen worden beantwoord aan de hand van de omstandigheden van het geval. Echter, als ratio van de nieuwe hackbevoegdheid in artikel 126nba Sv is door de wetgever specifiek meegegeven dat de inzet van de hackbevoegdheid het mogelijk maakt om verdachten te identificeren die actief zijn op Tor en zich met kinderpornografie bezighouden (Kamerstukken II 2015/16, 34372, nr. 3, p. 20).

Op grond van artikel 126nba lid 1 sub a Sv kan de Nederlandse politie met de inzet van de hackbevoegdheid onder strenge voorwaarden op afstand binnendringen in computers, zoals een webserver van een forum en de computer van een verdachte, en vervolgens gegevens vastleggen ter identificatie van die verdachte. De ‘Aanwijzing voor de internationale aspecten van de inzet van de bevoegdheid ex art. 126nba Sv’ geeft allerlei factoren mee die een officier van justitie in overweging moet nemen als hij of zij een rechter-commissaris om toestemming vraagt de hackbevoegdheid in te zetten, waarbij mogelijk computers in het buitenland worden binnengedrongen.

Kort gezegd valt te beargumenteren dat een dergelijke operatie doorgang mag vinden, vanwege het feit dat een webserver en de bezoekers via Tor in beginsel ‘niet redelijkerwijs’ te lokaliseren zijn en het zeer ernstige feiten zijn met mogelijk Nederlandse daders en slachtoffers (zie ook Kamerstukken II 2015/16, 34372, nr. 3, p. 47 met specifiek het gebruik van Tor als voorbeeld).

Tot slot

De veroordelingen in binnen- en buitenland naar aanleiding van Operation Pacifier laat ook zien dat het bewijs afkomstig van de hackbevoegdheid kan standhouden, ondanks bezwaren van advocaten en privacybelangenorganisaties.

Een interessante vraag daarbij is ten slotte nog in hoeverre de politie openheid van zaken moet geven van de toepassing van de hackbevoegdheid en het gebruikte technische hulpmiddel. In Nederland staat in artikel 126nba lid 2 sub d Sv dat “een aanduiding van de aard en functionaliteit van het technische hulpmiddel” moet worden verstrekt. Ook schrijft het ‘Besluit onderzoek in een geautomatiseerd werk’ allerlei technische vereisten en logging voor (zie Stb. 2018, 340 voor het Besluit onderzoek in een geautomatiseerd werk en de toelichting daarop).

De verdediging kan in het kader van het recht op een eerlijk proces zoveel als mogelijk nagaan op welke wijze het bewijsmateriaal is vergaard en op zekere hoogte de betrouwbaarheid van het vergaarde bewijs ter discussie stellen (zie als mogelijke voorloper de ‘Aydin C.-zaak’, Rb. Amsterdam 16 maart 2017, ECLI:NL:RBAMS:2017:1627, Computerrecht 2017/103, m.nt. J.J. Oerlemans). Het zijn zeker aspecten waar de rechtspraak in de toekomst ervaring mee opdoet als de hackbevoegdheid wordt toegepast en het resultaat daarvan in opsporingsonderzoeken als bewijs wordt gebruikt.

Citeertitel: Rb. Midden-Nederland 15 oktober 2019, ECLI:NL:RBMNE:2019:4766, Computerrecht 2020/9, m.nt. J.J. Oerlemans.

Hoofdstukken uit ‘Strafrecht en ICT’ in open access beschikbaar

In januari 2019 verscheen het boek ‘Strafrecht en ICT’ van Bert-Jaap Koops en mij. Het boek betreft een studieboek en naslagwerk. We hebben goede reacties uit de praktijk gekregen.

Nu de embargoperiode van Sdu voorbij is, mag ik de belangrijkste hoofdstukken online zetten. Hieronder staan de links met een indicatie van de inhoud.

Materieel strafrecht en ICT
Het hoofdstuk biedt een overzicht van de strafbepalingen, wetsgeschiedenis en jurisprudentie over computercriminaliteit. Het hoofdstuk heeft de volgende inhoud:

  • Computervredebreuk en wederrechtelijk overnemen van gegevens
  • Afluisteren, aftappen en opnemen van communicatie
  • Verstoring van computergegevens
  • Verstoring van computersystemen
  • Misbruik van technische hulpmiddelen
  • Klassieke vermogensdelicten
  • Valsheid in geschrifte
  • Oplichting
  • Computergerelateerde zedenmisdrijven
  • Uitingsdelicten
  • Auteursrechtschendingen
  • Blik op de toekomst

Formeel strafrecht en ICT
Dit hoofdstuk behandeld alle relevante opsporingsbevoegdheden die worden in gezet in opsporingsonderzoeken naar cybercrime. Dit is de inhoudsindicatie:

  • Het opsporingsonderzoek
  • Doorzoeking, inbeslagname en onderzoek van gegevens in computers
  • Het vorderen van gegevens
  • De telecommunicatietap
  • Direct afluisteren
  • Stelselmatige observatie en locatiebepaling
  • Hacken als opsporingsbevoegdheid
  • Vergaren van publiekelijk toegankelijke online gegevens
  • Online undercover opsporingsmethoden
  • Digitaal bewijs
  • Blik op de toekomst

Grensoverschrijdende digitale opsporing

Dit hoofdstuk gaat over jurisdictie, het Cybercrimeverdrag, andere belangrijke verdragen en de grensoverschrijdende toepassing van opsporingsbevoegdheden. De inhoud is als volgt:

  • Jurisdictie en rechtshulp
  • Het Cybercrimeverdrag en internationale samenwerking in digitale opsporing
  • Grensoverschrijdende toepassing van bevoegdheden  
  • U.S. Cloud Act
  • Tweede Protocol bij het Cybercrimeverdrag (concept
  • EU-voorstellen voor digitale bewijsgaring

Opsporing en bestrijding van online drugsmarkten

Posted on 03/01/2020 on Oerlemansblog

In december 2019 heeft Strafblad het artikel ‘Opsporing en bestrijding van online drugsmarkten’ gepubliceerd. Samen met Rolf van Wegberg heb ik het artikel geschreven. Het bevat een overzicht van opsporingsmethoden die worden gebruikt voor de opsporing op online drugsmarkten. Ook bespreken we ‘Operation Bayonet’, met de verstoringsstrategie van ‘Hansa Market’. De belangrijkste conclusies zetten we hier nog op een rij.

Opsporing

In het artikel wordt de regulering van opsporingsmethoden besproken, zoals openbronnenonderzoek en undercover opsporingsmethoden. De Hansa Market-uitspraak wordt daarbij uitgelicht (zie ook deze blog post). Ook wordt toegelicht waarom online undercoveroperaties interessante mogelijkheden bieden voor opsporingsinstanties, met name vanwege de mogelijkheden tot misleiding en interactie met verdachten op afstand.

We benadrukken daarbij dat digitale undercoveroperaties in de toekomst vaker zullen worden toegepast, al dan niet door of in gezamenlijkheid met buitenlandse opsporingsinstanties. Het is belangrijk dat advocaten en rechters blijven toetsen hoe de gebezigde opsporingsmethoden zich tot de wet verhouden. In de Hansa-zaak heeft de verdediging enkele voor de hand liggende verweren laten liggen, zoals het doorlaatverbod en de toepassing van andere opsporingsbevoegdheden dan infiltratie. Ook verdient het nader onderzoek of de ontwikkeling van internationale verdragen noodzakelijk zijn voor het in goede banen leiden van grensoverschrijdende online operaties van opsporingsautoriteiten.

Verstoring

Aan de hand van Hansa Market leggen we ook uit hoe de ‘verstoring’ van deze online drugsmarkt in elkaar steekt en hoe de effecten daarvan kunnen worden gemeten. Verstoringsacties bieden mooie kansen voor onderzoek. Het meetbaar maken van politie-interventies in het digitale domein biedt nieuwe inzichten op eerder onbeantwoordbare vragen rondom de effectiviteit van deze interventies. Het is daarnaast een handvat voor toekomstig optreden. Immers, wanneer een interventie ontworpen wordt die gebruikmaakt van eerdere, bewezen resultaten, kan daarmee de politiële slagkracht worden vergroot zonder extra middelen of capaciteit.

Vanuit juridisch perspectief biedt het onderwerp van verstoring bij cybercrime nog nadere bestudering, met name op het gebied van toezicht op de rechtmatigheid van dergelijke operaties. Zo komen de betrokkenen van een verstoringsactie meestal niet voor een rechter, waardoor de rechtmatigheid van een dergelijke operatie niet achteraf wordt getoetst.

Annotatie Hansa Market

Posted on 01/11/2019 op Oerlemansblog

De digitale infiltratieoperatie op de darknet market ‘Hansa’ is uniek. Tijdens deze operatie heeft de Nederlandse politie onder leiding van het openbaar ministerie een darknet market overgenomen en 27 dagen lang gerund, teneinde bewijs te verzamelen over de verkopers en kopers op de markt.

Deze zaak van de rechtbank Rotterdam (ECLI:NL:RBROT:2019:5339) zaak betreft een veroordeling van één van de verkopers op het darknet market. De advocaat van de verdachte voert aan dat de infiltratieoperatie onrechtmatig was. In deze annotatie (.pdf) ga ik uitvoerig in op de juridische basis voor een digitale infiltratieoperatie en plaats ik een paar kritische kanttekeningen bij het gebrek aan andere verweren in deze zaak.

De feiten

Hansa is een darknet market waarop grootschalig werd gehandeld in voornamelijk drugs, zoals XTC, cocaïne, speed en amfetamine. Darknet markets zijn online handelsplaatsen die verkopers (‘vendors’) en kopers (‘buyers’) bij elkaar brengen. De handelsplaatsen zijn slechts via een bepaald protocol bereikbaar, in dit geval via het Tor netwerk. Tor zorgt ervoor dat het IP-adres van de handelsplaats en de bezoekers verborgen blijven en versleuteld het netwerkverkeer. Gesprekken tussen kopers en verkopers worden vaak versleuteld door middel van het ‘Pretty Good Privacy’-programma (PGP) en betalingen worden verricht door middel van cryptocurrencies, zoals Bitcoin en Monero. De bestelde producten worden per pakketpost afgeleverd op het gewenste adres.

De verdachte is veroordeeld voor het witwassen van bitcoins, die gekoppeld waren aan debet-, credit- en prepaidcards, en vervolgens werden omgewisseld bij een Bitcoin-uitwisselingkantoor voor in totaal meer dan 800.000 euro. Ook heeft de verdachte samen met anderen meer dan 22.000 bestellingen afgeleverd. De drugs werden verstopt in speciaal met 3D-printers geprinte verpakkingen als make-updoosjes. De hoofdverdachte wordt veroordeeld tot vijf jaar gevangenisstraf.

De rechtbank legt in het vonnis uit dat onder het bevel van een officier van justitie de infiltratiebevoegdheid in artikel 126h Wetboek van Strafvordering (Sv) is ingezet. De rechtbank omschrijft helder op welke wijze de darknet market is overgenomen:

“(…) de infrastructuur van Hansa Market naar Nederlands grondgebied geëmigreerd en is Hansa Market heimelijk en ongewijzigd door het onderzoeksteam overgenomen met als doel wachtwoorden, berichten, orderinformatie en bitcoins niet-versleuteld af te vangen teneinde verdachten te identificeren en illegale goederen in beslag te nemen. Het onderzoeksteam fungeerde daarbij als beheerder van Hansa Market, reageerde op verzoeken van kopers, nam deel aan berichtenverkeer, onderhield contacten en verrichtte een aantal pseudokopen.”

Verweer van advocaat en commentaar

De advocaat van de verdachte voert aan dat het overnemen en beheren van de site geen wettelijke basis heeft, de verdediging geen zicht heeft verkregen in de wijze waarop de infiltratie heeft plaatsgevonden, en niet te controleren is of het optreden van de opsporingsambtenaren rechtmatig was en of voldaan is aan de proportionaliteitseis. De verdediging stelt dat daarom het openbaar ministerie niet-ontvankelijk dient te worden verklaard in de vervolging van de verdachte.

De rechtbank oordeelt dat ‘het overnemen en beheren van de website valt onder de bijzondere opsporingsbevoegdheid van infiltratie in de zin van artikel 126h Sv’ (zie rechtsoverweging 3.1 uit de uitspraak). Daaruit bestaat dan ook de gehele motivering van de rechtbank ten aanzien van het eerste verweer, wat wel érg summier is. De rechtbank had kunnen verwijzen naar de wetsgeschiedenis van de Wet bijzondere opsporingsbevoegdheden waarin al in 1997 duidelijk werd aangegeven dat infiltratie ook op internet mogelijk is. Ook lag het voor de hand dat de rechtbank nog eens de achtergrond van de bevoegdheid aanhaalde. Infiltratie is namelijk bedoeld om te participeren in een criminele organisatie teneinde bewijsmateriaal over strafbare feiten te verzamelen. Het is daarbij mogelijk dat (geautoriseerde) strafbare feiten worden gepleegd. De overname en het beheer van de website voor 27 dagen lang, wordt aldus geplaatst onder de bijzondere opsporingsbevoegdheid van infiltratie. Uit het vonnis wordt niet duidelijk of Nederlandse opsporingsambtenaren ook de online identiteit (het account) van de oorspronkelijke ‘administrators’ (beheerders) van de darknet market hebben overgenomen (zie hierover dit – uitstekende – artikel van Wired). Die handeling is mogelijk onderdeel van de inzet van de infiltratiebevoegdheid, maar het is bijvoorbeeld interessant om te weten of de accountovername op vrijwillige basis plaatsvond.

Uitlokking?

De rechtbank oordeelt tevens, terecht meen ik, dat er geen sprake is van uitlokking. De rechtbank past de gebruikelijke toets toe of de verkopers en kopers door de overname niet tot andere strafbare feiten zijn gebracht door het onderzoeksteam, dan waarop hun opzet reeds was gericht (zie ook HR 29 juni 2010, ECLI:NL:HR:2010:BL0613). Met de geruisloze overname van Hansa Market heeft het onderzoeksteam de bestaande situatie in zoverre ongewijzigd voortgezet. Niet is gebleken dat verkopers (of kopers) door de overname, dan wel door het handelen van het onderzoeksteam, zijn gebracht tot het begaan van andere strafbare feiten dan waarop hun opzet reeds van tevoren was gericht. Het toelaten van nieuwe vendors en aanbieden van een korting bij personen bij wie al het opzet bestond om te handelen in verdovende middelen op deze specifieke en verborgen website, past volgens de rechtbank eveneens in dit kader en kan dan ook niet worden gekwalificeerd als uitlokking.

Over de transparantie van de infiltratieoperatie oordeelt de rechtbank dat voldoende valt te controleren of is voldaan aan de eisen van proportionaliteit en subsidiariteit. Het strafdossier bevat een aanvullend proces-verbaal  waarin inzicht in de werkwijze van de opsporingsambtenaren tijdens de infiltratie wordt verschaft. De rechtbank overweegt daarbij in het kader van de subsidiariteit, naar mijn mening terecht, dat ‘enkel het in beslag namen van servers van illegale marktplaatsen eerder niet heeft geleid tot een effectieve verstoring van de handel in verdovende middelen, maar tot een verplaatsing hiervan met behoud van de digitale structuur bij de verkopers op een andere website (het zgn. ‘waterbedeffect’)’. De operatie was namelijk opgezet in samenwerking met de FBI. De FBI heeft eerst de darknet market ‘Alphabay’ ontmanteld. De kopers en verkopers migreerden toen naar ‘Hansa Market’. Op dat moment heeft de Nederlandse politie en het openbaar ministerie de markt overgenomen en 27 dagen lang beheerd teneinde bewijs te verzamelen. Met deze infiltratieactie is het wel mogelijk gebleken de identiteit van verkopers en kopers te achterhalen en eventuele criminele tegoeden van hen in beslag te nemen. De aard en ernst van de strafbare feiten, de onmogelijkheid langs andere weg het bewijs te verzamelen en de begrensde periode van de inzet van het opsporingsmiddel, maakt in combinatie met elkaar dat is voldaan aan de proportionaliteit- en subsidiariteitseis, aldus de rechtbank.

Toch zal de proportionaliteitstoets niet eenvoudig zijn geweest. Hansa Market had naar verluid in totaal meer dan 3600 dealers en in totaal 420.000 bezoekers. Volgens een achtergrondartikel in Wired op basis van een interview met betrokken opsporingsambtenaren waren er op enig moment 5000 bezoekers per dag op de drugsmarkt en vonden ongeveer 1000 bestellingen per dag plaats tijdens het beheer van de Nederlandse autoriteiten. In totaal zouden minstens 10.000 adressen van gebruikers van de darknet market zijn vastgelegd. Hoe weegt de noodzaak tot de inzet van de bijzondere opsporingsbevoegdheid van infiltratie, vermoedelijk in combinatie met andere bijzondere opsporingsbevoegdheden zoals een netwerkzoeking en de telecommunicatietap, op tegen de privacy-inbreuk van die duizenden betrokkenen? In de uitspraak staat bijvoorbeeld in rechtsoverweging 5.3.2 dat tijdens een doorzoeking computers werden aangetroffen die waren ingelogd op een server in Parijs met toezicht tot een ander darknet market (“Dream Market”). In het eerder aangehaalde artikel van Wired staat bijvoorbeeld ook: “The NHTCU officers explained how, in the undercover work that followed, (…),  even tricked dozens of Hansa’s anonymous sellers into opening a beacon file on their computers that revealed their locations”.  Ook zijn naar verluidt de instellingen van de (programmeercode van) de  website gewijzigd, zodat wachtwoorden en geolocatiegegevens in de foto’s van gebruikers van de website zijn vastgelegd.

Rechterlijke toets?

Hieraan gerelateerd bestaat de vraag of het wenselijk is deze toets slechts bij een officier van justitie te beleggen. Het Europees Hof van de Rechten voor de Mens (EHRM) acht de betrokkenheid van een rechter(-commissaris) in undercoveroperaties als het meest geschikt, maar acht ook toezicht van een officier van justitie mogelijk als er voldoende procedures en waarborgen zijn (zie bijvoorbeeld EHRM 4 november 2010, ECLI:CE:ECHR:2010:1104JUD001875706, par. 50 (Bannikova/Rusland), EHRM 23 oktober 2014, ECLI:CE:ECHR:2014:1023JUD005464809, par. 53, (Furcht/Duitsland) en EHRM 28 juni 2018, ECLI:CE:ECHR:2018:0628JUD003153607, par. 45 (Tchokhonelidze/Georgië). Procedures en waarborgen kunnen bijdragen aan het ondervangen van bepaalde risico’s omtrent de integriteit van een dergelijk onderzoek, bijvoorbeeld het risico dat een undercoveragent zich bezighoudt met zelfverrijking of criminele activiteiten die verder gaan dan oorspronkelijk met een officier van justitie zijn afgesproken. Wellicht zag de advocaat geen heil in dit verweer en speelt hierbij mee dat in Nederland bij infiltratieacties nog een extra toets door de Centrale Toetsingscommissie van het Openbaar Ministerie plaatsvindt.

Doorlaatverbod?

De advocaat van de verdachte stelt verder geen verweer in met betrekking tot het doorlaatverbod uit 126ff Sv, wellicht omdat de schutznorm niet van toepassing is en het verweer waarschijnlijk geen voordeel voor de verdachte oplevert (zie bijvoorbeeld HR 2 juli 2002, ECLI:NL:HR:2002:AD9915). De politie en openbaar ministerie mogen in principe geen drugs doorlaten op de markt en moeten tot inbeslagname van de drugs overgaan, tenzij een zwaarwegend opsporingsbelang prevaleert en de Centrale Toetsingscommissie schriftelijk instemt. Uit nieuwsberichten (zoals deze uit Trouw) is af te leiden dat het openbaar ministerie zich heeft ingespannen pakketverzendingen met drugs tegen te houden. De vraag blijft bijvoorbeeld wel hoe dat in zijn werking ging met de levering van drugs vanuit andere landen. Het vonnis gaat hier verder niet op in.

Conclusie

Het bovenstaande in overweging nemende, kan worden geconcludeerd dat de digitale infiltratieactie op Hansa Market door de Nederlandse politie en het openbaar ministerie een klinkend succes is geweest. De infiltratieoperatie wordt rechtmatig verklaard en daar is in beginsel veel voor te zeggen.

Wel is de rechtbank summier in de motivering van de uitspraak, wordt geen verweer gevoerd met betrekking tot tal van andere bevoegdheden die vermoedelijk zijn ingezet en is het opvallend dat de advocaat niet is ingegaan op het doorlaatverbod. De Hansa-zaak laat de potentiële schaal en technische complexiteit van een dergelijke operatie zien en de lastige overwegingen die hierbij spelen, in het bijzonder met betrekking tot de proportionaliteit.

Ten slotte op deze plaats nog een persoonlijke observatie: het is opvallend dat tot nog toe zo weinig door andere juristen is geschreven over deze operatie. Het is bij uitstek een zaak met interessante juridische discussies (zie ook de opmerking van officier in deze video op 5:50 min). Zou het te technisch zijn voor de gemiddelde jurist of is de zaak simpelweg aan de aandacht ontsnapt? Het is interessant om te zien welke veroordelingen er mogelijk nog komen en welke online undercover operaties in de toekomst zullen volgen.

Privacy en bulkinterceptie in de Wiv 2017

Posted on 14/08/2019 op Oerlemansblog

Samen met mijn collega Mireille Hagens heb ik het artikel ‘Privacy en bulkinterceptie in de Wiv 2017’ geschreven voor het themanummer van ‘Privacy’ van Ars Aequi. In het artikel gaan we uitgebreid in op de bijzondere bevoegdheid tot het in bulk tappen van communicatie (‘bulkinterceptie’); in de Wet op de inlichtingen- en veiligheidsdiensten 2017 ‘onderzoeksopdrachtgerichte interceptie’ genoemd.

In het artikel leggen we uit hoe het stelsel van onderzoeksopdrachtgerichte interceptie precies is geregeld, met daarbij speciale aandacht voor de bijzondere bevoegdheid van ‘geautomatiseerde data-analyse’ als onderdeel daarvan. Ook bespreken we welke waarborgen daarbij in de Wiv 2017 zijn voorzien voor de rechtsbescherming van burgers en hoe deze zich verhouden tot de jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) over bulkinterceptie. De zaken Big Brother Watch e.a. en Centrum för Rättvisa (2018), waarin het EHRM zich baseert op eerdere jurisprudentie zoals de Grote Kameruitspraak in Roman Zakharov (2015), krijgen in onze analyse daarbij de meeste aandacht. Zie ook mijn eigen analyse van de big Brother Watch-zaak in mijn annotatie.

Stevige regeling voor bulkinterceptie

In ons artikel constateren wij dat voor onderzoeksopdrachtgerichte interceptie de Wiv 2017 sterke waarborgen biedt, waaronder het getrapte systeem van voorafgaande toestemming door de minister en de toetsing hiervan door de Toetsingscommissie Inzet Bevoegdheden (TIB) voor de interceptie zelf, maar ook voor de optimalisatie van het interceptieproces en de nadere analyse van de onderschepte gegevens uit interceptie.

Het stelsel voor onderzoeksopdrachtgerichte interceptie voldoet daarmee aan een belangrijk kritiekpunt in de Big Brother Watch-zaak over voorafgaande toestemming en toezicht op de nadere analyse van de gegevens met het oogmerk om kennis te nemen van de inhoud (het selectieproces). Overigens bestaat de mogelijkheid dat de Grote Kamer van het EHRM, waar deze zaak nu voorligt, tot een ander oordeel komt over bulkinterceptie als bijzondere bevoegdheid. De resultaten van onze analyse kunnen daardoor wijzigen, maar dat is niet onze verwachting.

Knelpunt: geautomatiseerde data-analyse

Als knelpunt in de Wiv 2017 identificeren wij de beperkte reikwijdte van de regeling voor de bijzondere bevoegdheid tot geautomatiseerde data-analyse. In de bovengenoemde EHRM-zaken legt het Hof goed uit dat dat de analyse van metadata uit telecommunicatie een zware inmenging in het recht op privacy van de betrokkenen kan inhouden. De reden is dat metadata gevoelig kan zijn, omdat het onder meer informatie kan bevatten over de identiteit van beide communicerende partijen, hun contacten, hun geolocatie en gebruikte apparatuur. Bij de opslag en analyse van deze gegevens in bulk wordt de inmenging in het recht op privacy groter, omdat het daarmee mogelijk is de contacten van een persoon, bewegingen en locaties, internetgeschiedenis en communicatiepatronen in kaart te brengen (zie par. 353-355 uit Big Brother Watch e.a)).

Geautomatiseerde data-analyse krijgt om deze reden ook een specifieke regeling in artikel 50 Wiv 2017, maar nog weinig aandacht gekregen in de literatuur. Wij wijzen er in het artikel op dat de bijzondere bevoegdheid slechts geldt voor de metadata-analyse van gegevens uit onderzoeksopdrachtgerichte interceptie (en geen andere bevoegdheden) met het doel om personen of organisaties te identificeren (en niet voor andere doelen). Het zou duidelijk moeten zijn welke data-analyses dan precies buiten de regeling van artikel 50 lid 1 sub b jo lid 4 Wiv 2017 vallen. Tot dusver is dat echter nog onduidelijk, mede door een gebrek aan nadere duiding in de toelichting op de wet.

De CTIVD en de TIB hebben in 2018 aangegeven dat de bijzondere bevoegdheid ook voor analyse van metadata afkomstig uit andere bevoegdheden zou moeten gelden. De ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie hebben daarentegen in hun reactie (brief en  bijlage (.pdf)) aangegeven dat de bevoegdheid slechts zou moeten gelden in gevallen waarbij de analyse tot een ‘substantiële privacy-inbreuk’ leidt.

Meenemen in de evaluatie Wiv 2017?

Het is interessant om te zien of de bijzondere bevoegdheid van geautomatiseerde data-analyse in de evaluatie van de Wiv 2017 wordt meegenomen en mogelijk een andere invulling krijgt. Het onderwerp is in het nieuwe wetsvoorstel ‘Wijzigingswet Wiv 2017’ in ieder geval niet meegenomen. De evaluatie moet overigens voor 1 mei 2020 van start gaan en hiervoor moet nog een commissie worden ingesteld.

Annotatie over (het misbruik van) het ‘Mirai-botnet’

Posted on 13/07/2019 op Oerlemansblog

In het nieuwe nummer van Computerrecht is een annotatie over het Mirai-botnet verschenen (.pdf). Ik heb een korte noot bij de zaak Rb. Den Haag 7 maart 2019, ECLI:NL:RBDHA:2019:2116 geschreven, omdat de zaak een interessant feitencomplex bevat met een veroordeling voor het eerste succesvolle botnet met IoT-apparaten. Daarnaast is de zaak vanuit juridisch perspectief interessant, omdat de rechtbank Den Haag het begrip ‘geweld’ in het artikel bij het misdrijf ‘afpersing’ in artikel 317 Sr toepast bij de ddos-aanval. De rechtbank Den Haag is daarnaast wat kort door de bocht in de bewezenverklaring van de strafbaarstellingen. Hierover zeg ik het volgende in de noot:

Bewijs van computervredebreuk en is sprake van een ‘dienst van algemene nutte’?

De rechtbank is kort door de bocht als zij stelt dat “een DDoS-aanval kan worden gekwalificeerd als overtreding van artikel 138ab Sr en artikel 138b Sr”. Van artikel 138b Sr is zonder meer sprake, in dit geval ook in gekwalificeerde vorm in artikel 138b lid 2 Sr, omdat de verdachte gebruik maakte van een botnet. Een ddos-aanval leidt echter niet direct tot overtreding van het delict computervredebreuk in artikel 138ab Sr, omdat het een geautomatiseerd werk ontoegankelijk maakt maar geen sprake is van het binnendringen in een geautomatiseerd werk.

Echter, een botnet is een netwerk van geïnfecteerde computers – in dit geval IoT-apparaten – die door een derde worden aangestuurd. Voor het creëren van een botnet moet wel computervredebreuk worden gepleegd, en wel in gekwalificeerde vorm in artikel 138ab lid 3 sub b Sr.

Daarnaast is het mij niet helemaal duidelijk waarom sprake is van artikel 161sexies Sr, omdat in dat geval is vereist dat de ddos-aanval een ‘gemeen gevaar voor goederen of voor de verlening van diensten te duchten is’. De websites zijn geen ‘diensten van algemene nutte’, zoals overheidswebsites. Volgens de rechtbank is er een ‘gemeen gevaar voor goederen of de verlening van diensten’, omdat de aanval er toe leidde dat vijf andere websites onbereikbaar waren. Het is denkbaar dat deze vijf websites op dezelfde webserver stonden als één van de websites die is aangevallen.

Sprake van ‘geweld’ bij afpersing in de zin van artikel 317 lid 1 Sr?

De rechtbank overweegt verder dat sprake is van het delict afpersing als bedoeld in artikel 317 van het Wetboek van Strafrecht (Sr). Daarbij stelt de rechtbank dat zonder meer sprake is van ‘geweld’, omdat ‘websites en servers onbruikbaar worden gemaakt’ en ‘maatregelen genomen moeten worden om de aanval af te slaan en de website en server te herstellen’.

Mijns inziens had de officier van justitie simpelweg art. 317 lid 2 Sr ten laste moeten leggen, waarbij geen sprake hoeft te zijn van geweld. Bij art. 317 lid 2 Sr bestaat de dwang bij afpersing uit ‘de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist’.

Het gelijk stellen van het begrip ‘geweld’ met het onbereikbaar maken van een webserver, zoals de rechtbank Den Haag in deze zaak, is juist niet vanzelfsprekend en onnodig. De officier van justitie had op de zitting de tenlastelegging nog kunnen wijzigen.

Internetonderzoek door bestuursorganen

Posted on 28/05/2019

In de gemeente Amsterdam mag woonruimte niet meer dan 30 dagen per jaar mag worden verhuurd. Ter handhaving van dit beleid legt de gemeente met behulp van zogenoemde ‘scraping’-technieken elke dag de advertenties en reviews op de advertenties op AirBnB vast. Deze informatie uit ‘open bron’ vormt mogelijk bewijsmateriaal in handhavingsacties. Uit onder andere deze zaak (ECLI:NL:RBAMS:2018:4442) blijkt dat bewoners een last onder dwangsom opgelegd kunnen krijgen als zij – blijkend uit de advertentie en de reviews op AirBnB – de regels uit de Huisvestingsverordening overtreden.

De gemeente Amsterdam is zeker niet het enige bestuursorgaan dat informatie op internet verzamelt ten behoeve van de uitvoering. Zo wordt in het kader van de sociale zekerheid veelvuldig op sociale media en online handelsplatformen als ‘Marktplaats’ gezocht naar informatie die op mogelijke fraude wijst. Op sociale media verschijnen bijvoorbeeld posts die op mogelijke samenleving tussen personen kunnen wijzen, zoals “bij de liefde van mijn leven ingetrokken” (zie bijvoorbeeld ECLI:NL:RBDHA:2016:8215) en kan bij een groot aantal advertenties voor goederen of diensten op Marktplaats het vermoeden rijzen dat er verzwegen inkomsten zijn (zie bijvoorbeeld ECLI:NL:CRVB:2015:979).

Ook in het vreemdelingerecht duikt het gebruik van sociale media steeds vaker op. Posts op de tijdlijn van Facebook of de activiteiten op LinkedIn blijken inzicht te verschaffen in de politieke of religieuze activiteiten (ECLI:NL:RBDHA:2017:6180), de seksuele oriëntatie (ECLI:NL:RBDHA:2014:10266) of in de mogelijkheden om vakanties in het buitenland door te brengen, zonder problemen met de autoriteiten te ondervinden (ECLI:NL:RBDHA:2017:7852). Deze informatie kan van belang zijn voor bijvoorbeeld een beslissing over het verlenen van een verblijfsvergunning. Andere opvallende zaken die soms de publiciteit haalden, is bijvoorbeeld de sluiting van de Amsterdamse sexclub Bianca, (mede) vanwege anonieme recensies op hookers.nl (ECLI:NL:RVS:2013:792) en de grootschalige Facebookanalyse die de gemeente Amsterdam uitvoerde om meer grip te krijgen op overlastgevende hangjongeren.

Artikel

In ons artikel (.pdf) in het NJB heb ik samen met Ymre Schuursmans onderzocht in hoeverre openbronnenonderzoek op internet binnen het bestuursrechtelijk kader toelaatbaar is. Binnen het strafrecht en de Wiv 2017 worden nieuwe bevoegdheden geïntroduceerd voor ‘stelselmatig openbronnenonderzoek’, terwijl binnen het bestuursrecht dergelijke plannen ontbreken. Wij analyseren de achtergrond van dit verschil in regulering en bezien of normen en waarborgen uit het strafvorderlijk domein toepasbaar zijn in het bestuursrecht, teneinde de grondrechten van betrokkenen (beter) te beschermen.

Conclusie

In het artikel concluderen wij dat openbronnenonderzoek binnen het bestuursrecht mogelijk is op grond van de algemene onderzoeksplicht in artikel 3:2 Awb. De ernst van de privacy-inmenging bij openbronnenonderzoek verschilt echter van geval tot geval. Met het voorbeeld van de inzet van scrapers uit de inleiding in het achterhoofd, wordt volgens ons door de rechtbank te weinig gemotiveerd akkoord gegaan.

Onze aanbeveling is om in beleid en rechtspraak (en mogelijk in een bijzondere wet, zoals de Participatiewet) een nadere invulling te geven voor stelselmatig openbronnenonderzoek binnen het bestuursrecht. Dat moet duidelijk maken voor welke doelen en onder welke voorwaarden openbronnenonderzoek door bestuursorganen plaatsvindt.

Dergelijk beleid en meer rechtspraak vergroot de voorzienbaarheid van de toepassing van het instrument voor de burger en dwingt bepaalde waarborgen af. Daarbij valt te denken aan een nadere invulling van de proportionaliteitstoets in de toezichtfase (art. 5:13 Awb), het stellen van eisen aan de verslaglegging, het stellen van grenzen aan de duur van het onderzoek, het bepalen van een bewaartermijn van gegevens en de wijze waarop wordt omgegaan met de informatieplicht uit de AVG. Het protocol internetrechercheren voor gemeenten (.pdf) biedt een eerste invulling van deze waarborgen.