Categorie Publicaties

Datagedreven opsporing en toezicht

jjoerlemans

In januari 2023 hebben prof. mr. Marianne Hirsch Ballin en ik een artikel (.pdf) geschreven over datagedreven opsporing en toezicht in het tijdschrift voor strafrecht ‘Delikt en Delinkwent’. In deze blogpost leiden wij ons artikel in.  

Datagedreven opsporing

Datagedreven opsporing is de verwerking van gegevens die eerder door de politie bij hun taakuitoefening in andere onderzoeken zijn verzameld en daarna ten behoeve van nieuwe opsporingsonderzoeken worden geanalyseerd. De zogenoemde ‘cryptotelefoon-operaties’ zijn een bekend voorbeeld van deze datagedreven opsporing.

In deze operaties zijn tot wel honderden miljoenen berichten in één operatie veiliggesteld van cryptotelefoonaanbieders zoals ‘EncroChat’ en ‘SkyECC’ (zie ook dit overzicht op deze blog). Deze gegevens vormen (ten dele) bewijs voor honderden toekomstige strafzaken. In politiepraktijk worden deze operaties ook wel beschreven als een game changer.  

In ons artikel stellen wij dat datagedreven opsporing ook een ‘game changer’ zou moeten zijn voor de wijze waarop digitale opsporingsbevoegdheden worden genormeerd. Het gaat dan in het bijzonder om de relatie tussen het Wetboek van Strafvordering (waarbinnen onder andere opsporingsbevoegdheden worden geregeld) en de Wet politiegegevens (waar de verwerking van gegevens wordt geregeld) en het bijbehorende toezicht.

We zetten in ons artikel het model uiteen van datagedreven opsporing en illustreren dat aan de hand van de daarover bekende strafrechtspraak en de praktijk bij het Team High Tech Crime (THTC) van de politie. Over deze praktijk is ook het lezenswaardige WODC-rapport ‘Opsporen, vervolgen en tegenhouden van cybercriminaliteit’ verschenen, waar ook wordt gewezen op het spanningsveld tussen deze praktijk en strafvordering.

De praktijk van het Team High Tech Crime laat zien dat er bij datagedreven opsporing slechts een beperkte rol is voor controle door de strafrechter via strafzaken. Als bijvoorbeeld het doel is een cybercriminele (ICT-)infrastructuur onderuit te halen en het verdienmodel aan te tasten, dan zijn dat activiteiten die vaak niet leiden tot vervolging van een concrete verdachte waardoor die activiteiten buiten het zicht van de strafrechter blijven. En wanneer de inzet van de opsporing ook het vergaren van intelligence ten behoeve van nieuwe onderzoeken omvat, is dat een aspect dat de strafrechter in de regel niet in zijn beoordeling betrekt. Recentelijk wees ook prof. Bart Schermer hierop in zijn inaugurele rede ‘De gespannen relatie tussen privacy en cybercrime’ bij de Universiteit Leiden.

Het spanningsveld met strafvordering

De cryptotelefoon-operaties laten zien dat het model van het Team High Tech Crime ook wordt toegepast in andere strafzaken, buiten de context van de cybercriminaliteit. Vastgesteld kan worden dat daarmee het verwerven van intelligence verweven is geraakt met de opsporingspraktijk. Deze ontwikkeling legt uit normatief oogpunt druk op het huidige stelsel van strafvordering in Nederland.

De verzameling van de gegevens bij datagedreven opsporing vindt plaats met toepassing van bijzondere opsporingsbevoegdheden die worden gereguleerd in het Wetboek van Strafvordering. In ons artikel leggen wij uit dat de verwerking en analyse van deze gegevens plaatsvindt op grond van de Wet politiegegevens (Wpg) en dat de daaropvolgende interventie een nieuw opsporingsonderzoek kan betreffen, maar bijvoorbeeld ook ‘verstoring’ met een grondslag in de Politiewet. De naleving van de Wet politiegegevens bij de strafrechter lijkt tot op heden geen rol van betekenis te spelen bij sanctionering van eventuele vormverzuimen.

Verder leggen wij uit dat deze praktijk een normatieve verbinding vergt tussen de reguleringskaders. De wetgever moet daarom de keuze maken óf normering van data-analyses in het Wetboek van Strafvordering óf voor nadere normering van analysebevoegdheden in de Wpg. Daarbij moet recht worden gedaan aan (basis)beginselen van strafvordering zodat de verbinding tussen de normeringskaders wordt gelegd.

Deze boodschap vindt bredere steun. Zie bijvoorbeeld ook het rapport van prof. Fedorova e.a. over ‘Strafvorderlijke gegevensverwerking’ en het artikel van B.W. Schermer & M. Galič, ‘Biedt de Wet politiegegevens een stelsel van ‘end-to-end’ privacywaarborgen?’. In ons artikel komen wij nu, in aanvulling daarop, tot de conclusie dat die constatering ook vraagt om veranderingen in de wijze waarop het stelsel van toezicht op de opsporing en verwerking van politiegegevens is georganiseerd.

Beter toezicht

Ruimte bieden voor bredere doelstellingen dan opsporing bij de inzet van bijzondere opsporingsbevoegdheden, betekent ook dat in de normering de bakens moeten worden verzet.

De totstandkoming van het nieuwe Wetboek van Strafvordering biedt de ruimte om op een weloverwegen manier te komen tot een herpositionering van de opsporing vanwege deze praktijk van datagedreven opsporing en interventies waarop rechtstreekse controle door de strafrechter ontbreekt. Het is daarbij noodzakelijk dat in de normering de verbinding tussen het Wetboek van Strafvordering en de Wet politiegegevens tot uitdrukking wordt gebracht en, in aansluiting daarop, het stelsel van toezicht op datagedreven opsporing wordt heringericht.

Met betrekking tot het toezicht achten wij een nieuwe vorm van toezicht wenselijk, die mede ziet op de inzet van data-analyses ten behoeve van de politietaken (inclusief de opsporing en aldus de datagedreven opsporing). Het verdient aanbeveling daarvoor een nieuw onafhankelijk extern toezichtsorgaan op te richten.

Gelet op de bredere consensus over de noodzaak van herijking van het stelsel van strafvordering in relatie tot de Wet Politiegegevens in de wetenschappelijke literatuur (zie de eerdere verwijzingen in deze blog), hopen wij dat onze aanbevelingen zich een weg naar het nieuwe Wetboek van Strafvordering zullen vinden.

Marianne Hirsch Ballin & Jan-Jaap Oerlemans

Citeerwijze artikel:

M.F.H. Hirsch Ballin & J.J. Oerlemans, ‘Datagedreven opsporing verzet de bakens in het toezicht op strafvorderlijk optreden’, DD 2023/2, nr. 1, p. 18-38

Chapters of ‘Essentials in Cybercrime’ available in open access

jjoerlemans

On 22 December 2021, our book ‘Essentials in cybercrime. A criminological overview for education and practice’ (edited by W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg) was published.

Our book is intended for students and professionals and offers insight into the various manifestations and features of cybercrime, offender and victim characteristics, quantitative and qualitative methods for studying crime in the digital domain, criminological theories that can be used to understand cybercrime, as well as possible interventions.

In addition to criminological aspects, the book also deals with a number of legal topics, including the criminalisation of cybercrime (under the Convention on Cybercrime) and the investigative powers that can be used by the police in the online domain.

My chapters ‘Types of cybercrime and their criminalisation’ (.pdf) (together with dr. Wytske van der Wagen) and ‘Cybercrime investigations’ (.pdf) (together with dr. Maša Galič) are now available in open access.

The rest of the is available at the store of Eleven Publishing (with Chapter 1 freely available) and stores like Bol.com.

Table of contents:

Chapter 3 – Types of cybercrime and their criminalisation

Jan-Jaap Oerlemans & Wytske van der Wagen

3.1         Introduction

3.2         Cyber-dependent crime

3.2.1     Hacking

3.2.1.1 Computer hacking

3.2.1.2 Ethical hacking

3.2.2     Malware

3.2.2.1 Ransomware

3.2.3     Botnets

3.2.4     Ddos attacks

3.3         Cyber-enabled crime

3.3.1     Cyber-enabled fraud

3.3.2     Online drug trafficking

3.3.3      Money laundering and virtual currency

3.3.4     Online sex offences

3.3.4.1 Child pornography

3.3.4.2 Sexting

3.3.4.3 Grooming

3.3.4.4 Sextortion

3.3.4.5 Revenge porn

3.3.5     Content crimes

3.4         Future developments

3.4.1     Increased involvement of state actors

3.4.2     The ‘internet of things’

3.4.3     The use of artificial intelligence by cybercriminals

3.5         To conclude

3.6         Discussion questions

3.7         Core concepts

Please cite as:

Oerlemans, J.J., & Van der Wagen, W. (2022). Types of cybercrime and their criminalisation. In Essentials in cybercrime: A criminological overview for education and practice. Eleven International Publishing, 53-98.

Table of contents

Chapter 8 – Cybercrime investigations

Jan-Jaap Oerlemans & Maša Galič

8.1         Introduction

8.2         Digital investigations and criminal procedure law

8.2.1     Regulating investigative methods

8.2.2     Jurisdiction and cybercrime

8.3         IP addresses as digital leads

8.3.1      Data production and preservation orders

8.3.2     Seizing and analysing data on computers

8.3.3     Network computer searches

8.4         The challenge of anonymity

8.4.1     Proxy and VPN services

8.4.2     Tor

8.4.3     Open source investigations

8.4.4     Online undercover operations

8.5         The challenge of encryption

8.5.1     Encryption in storage

8.5.2     Encryption in transit

8.5.3     Hacking as an investigative method

8.6         Disrupting cybercrime

8.7         To conclude

8.8         Discussion questions

8.9         Core concepts

Please cite as:

Oerlemans, J.J. & Galič, M. (2022). Cybercrime investigations. In Essentials in cybercrime: A criminological overview for education and practice. Eleven International Publishing, 197-254.

Legal Aspects of the EncroChat-Operation

jjoerlemans Een reactie plaatsen

In our article, ‘Legal Aspects of the EncroChat Operation: A Human Rights Perspective’, we examined what lessons can be learned from the Dutch experience with the EncroChat operation from a human rights perspective, in particular the right to a fair trial. The full article is published in open access in the European Journal of Crime, Criminal Law and Criminal Justice (.pdf).

As compared to other legal systems, the Dutch judiciary published a large number of cases at First Instance Courts and Courts of Appeal, in which EncroChat evidence is used. Dutch courts extensively considered arguments of defence attorneys relating to the right to a trial. Therefore, it is interesting for lawyers from other legal systems to review the state of knowledge in the Netherlands.

In order to explain what lessons can be learned from the Dutch experience, we set out the known facts about the operation, show how Dutch courts dealt with legal questions arising from the operation and examined relevant case law of the European Court of Human Rights (ECtHR).

We conclude that the right to a fair trial in Article 6 ECHR proved important in Dutch case law in three ways:

  1. Providing transparency about the operation;
  2. Providing a legal basis to test the reliability of the evidence obtained; and
  3. Providing access to data used as evidence against suspects in a criminal case.

1. Transparency about the operation

In our article, we explain how unrelenting questions of defence attorneys, with a(n) often implicit) basis in article 6 ECHR, led to discovery of details about the EncroChat operation in France and how the data was shared by French authorities and further processed by Dutch authorities. That was no easy feat, as the French declared the operation a state secret and the Dutch judiciary accepted that as fact with regards of the principle of trust.

Keeping the operation secret challenges the right to a fair trial under article 6 ECHR, more specifically the principle of equality of arms. Part of the principle of equality of arms is transparency about the manner in which the evidence is gathered. Law enforcement authorities and the public prosecutor can have a legitimate interest to keep information about the operation secret. However, keeping this information secret is allowed only insofar as it is strictly necessary and must be counterbalanced by the procedures followed by the judicial authorities.

In the Netherlands, as a counterbalance, an extra warrant must be obtained to create a subset of the EncroChat data to use it in a (new) criminal investigation. This way another (Dutch) judge will test the principles of proportionality and subsidiarity with regard to the processing of the EncroChat data, while taking into account the reproducibility of evidence and the protection of privileged communication.

2. Testing the reliability of the evidence obtained

The right to a fair trial also provides a legal basis to test the reliability of the evidence and the method of acquisition. When software is used in the collection of data, this can have a major influence on the reliability of evidence, because it challenges the confidentiality, integrity and availability of data.

Dutch case law shows that the Netherlands Forensic Institute reported that the hacking and interception software did not operate continuously, not all messages on EncroChat phones were intercepted during the entire operation and there had been instances of a mix-up in outgoing and incoming calls from EncroChat phones.

However, these shortcomings did not lead to the conclusion that all evidence from the EncroChat operation is unreliable. So far, Dutch defence attorneys failed to establish that the EncroChat data used as evidence was unreliable and no data has been excluded from evidence.

3. Access to EncroChat data

The right to a fair trial enables the defence – to a certain extent – to access EncroChat data that may be relevant in the trial against their client. Suspects need to be able to access the data in order (a) to review its integrity; (b) to review its reliability (because all EncroChat messages are sent under pseudonyms); and (c) to determine whether exculpatory evidence can be found in the dataset.

Our analysis of case law of the ECtHR shows that, while suspects cannot access all information collected in the EncroChat operation, they have a right to access data that is deemed relevant in their case. In addition, the defence should be able to reason why they require further access to EncroChat data, including data that is not part of the dataset created by the public prosecution service. They should also have the sufficient facilities (an ‘effective opportunity’) to access and analyse the data.

In the Netherlands, the defence can argue why they should be able to access both types of data based on key words and the use of filters. Sometimes access is refused because of ongoing (other) criminal investigations or for privacy reasons of individuals involved. The defence is facilitated in accessing the data at the Netherlands Forensic Institute and can use the same software as law enforcement authorities use to search and analyse the EncroChat data themselves. They can also request the data, which could then be provided to the defence in a readable format.

Conclusion

In conclusion, legal practitioners can learn from the Dutch experience with criminal cases following from the EncroChat operation. Especially arguments of defence attorneys relating to the right to a fair trial and the way Dutch practice dealt with these questions are noteworthy. 

The following three lessons can be learned:

  1. Defence attorneys will demand more transparency about the way the evidence is collected following the EncroChat operation. Some details about the operation may be kept secret, but must be counterbalanced. In the Netherlands, additional warrants with specific safeguards must be obtained to create a subset of the collected data. This data can then be used in a new criminal investigation. We argue this should be viewed a good practice.

  1. Defence attorneys will question the reliability of the evidence. The public prosecution service and law enforcement authorities should prepare for this argument and explain why the particular EncroChat data that is used in a criminal investigation is reliable. In addition, we recommend that other sources of evidence are used besides EncroChat data. Multiple sources of evidence may validate each other and strengthen the case.

  1. The defence has a right to access data that is used as evidence against a suspect. In the Netherlands, the defence now has the practical means to access this data and the right to argue why they should have access to a larger dataset. The defence is also facilitated in accessing the data in readable format. In our view, the public prosecution office and judiciary should prepare for requests of defence attorneys to access EncroChat data and States should invest in an infrastructure to facilitate these requests.

J.J. Oerlemans and D.A.G. van Toor

This blog is a cross-post from ‘Montaigne Blog‘.

Annotatie over de zaak IJsberg (bitcoins en witwassen)

jjoerlemans Een reactie plaatsen

Op 1 februari 2022 heeft het Hof Den Haag een arrest (ECLI:NL:GHDHA:2022:104) gewezen in de zaak ‘IJsberg’ over het witwassen van 39.842 bitcoins ter waarde van €4.464.642,03. Kim Helwegen en ik hebben een annotatie (.pdf) geschreven bij de zaak, omdat het Hof een opvallend beoordelingskader gebruikt ten aanzien van witwassen van Bitcoin en vanwege de meer technische overwegingen omtrent de technieken van ‘labelling’ en ‘clustering’ die vaak een rol spelen in witwaszaken met cryptocurrencies.

Feiten

De verdachte is in de onderhavige zaak in de periode van 3 januari 2013 tot en met 26 maart 2015 in Nederland actief geweest als bitcoinhandelaar. Vanaf het begin van deze periode betrof dit (mede) het inkopen van bitcoins tegen contant geld. De verdachte heeft hieromtrent onder meer verklaard dat hij in totaal naar schatting met meer dan 1.000 mensen bitcoins heeft verhandeld, en met ongeveer 100 daarvan in contant geld heeft gehandeld. Hij heeft geen onderscheid gemaakt tussen hen met wie hij in contant geld heeft gehandeld, en met wie niet.

Het hof maakt uit de verklaringen van de verdachte op dat hij ook in het kader van die laatste transacties contact met zijn klanten had op publieke plaatsen. Meestal ontmoette hij klanten bij eetgelegenheden zoals McDonalds, KFC of Burger King.

De bitcoins die hij uit deze transacties ontving, verkocht hij vervolgens online, bijvoorbeeld via ‘online exchanges’ (een wisselkantoor voor cryptovaluta) of voor contant geld aan andere ‘cash traders’ (o.a. door middel van advertenties op het darkweb). Het geld dat hij via online-exchanges ontving, nam hij vervolgens contant op, of hij liet hij direct van de online-exchanges op de bankrekeningen van anderen uitbetalen, onder meer bij twee medeverdachten.

Labelling

In eerste aanleg achtte de rechtbank Rotterdam het voor de vraag of sprake was van witwassen doorslaggevend of bitcoinadressen te relateren zijn aan darknet markets. Met informatie afkomstig van de website walletexplorer.com (hierna: ‘walletexplorer’) is beoordeeld of bitcoinadressen gelinkt konden worden aan darknet markets.

Het hof staat hier kritisch tegenover (r.o. 2.4). Het hof acht de koppeling van bitcointransacties met darknet markets op zichzelf niet als voldoende om vast te stellen of de aangeboden bitcoins mogelijk van misdrijf afkomstig waren. De getuige (de ontwikkelaar van walletexplorer) kon niet met voldoende zekerheid verklaren op welk moment labels aan wallets zijn gegeven. Als gevolg daarvan kan volgens het hof niet worden vastgesteld dat de verdachte in de aan de orde zijnde periode redelijkerwijs informatie op of via internet voorhanden had om vast te kunnen stellen of de aan hem aangeboden bitcoins mogelijk van misdrijf afkomstig waren.

Clustering

Ook de overwegingen van het hof over de werking van de techniek ‘clustering’ zijn interessant (r.o. 2.3). ‘Clustering’ is een techniek die ertoe leidt dat verschillende bitcoinadressen worden toegeschreven aan één en dezelfde entiteit (in meer juridische termen: een of meer natuurlijke of rechtsperso(o)n(en) die eigenaar van die adressen is/zijn).

Het hof overweegt dat clustering door walletexplorer plaatsvindt op grond van de aanname dat alle bitcoinadressen die tot de inputzijde of zendende kant van een transactie behoren (ook wel heuristiek genoemd), tot één en dezelfde entiteit behoren. Op grond van dit uitgangspunt kan dergelijke informatie worden gebruikt om verschillende transacties met elkaar in verband te brengen. Over deze techniek is door deskundige de heer Van Wegberg onder meer verklaard dat het een betrouwbare methode is om een gemeenschappelijke herkomst van bitcoinadressen vast te stellen. De analyse als zodanig wordt volgens deze deskundige – ten tijde van het getuigenverhoor d.d. 11 december 2017 – door geen enkele andere wetenschapper betwist. De verdediging heeft dit niet weerlegd.

Succes met ‘oude’ feiten en relatieve onbekendheid van Bitcoin

De verdediging stelde in deze zaak dat witwastypologieën voor virtuele betaalmiddelen van de ‘Financial Intelligence Unit’ (FIU) niet mogen worden gebruikt, omdat het handelen van de verdachte zich strekt over de periode van 2013 tot en met begin 2015. De typologieën waren destijds (r.o. 2.6):

– de koper biedt zijn diensten aan via internet middels vraag- en aanbodsites;

– de koper stelt geen identiteit van de verkoper vast;

– de koper rekent in contanten af;

– een legale economische verklaring voor de wijze van omwisseling is niet aannemelijk;

– de omvang van de aangekochte virtuele betaalmiddelen is niet aannemelijk in relatie tot gemiddeld particulier gebruik.

– De koper en/of verkoper maakt/maken bij de verkoop van virtuele betaalmiddelen gebruik van een zogenaamde mixer.

Het hof gaat in zoverre hierin mee dat zij stelt dat cryptovaluta in die periode inderdaad een ‘relatieve onbekendheid’ had en dat een juridisch beoordelingskader dat specifiek is toegesneden op het handelen door de verdachte in de tenlastegelegde periode ontbrak. Daarom is volgens het hof terughoudendheid op zijn plaats bij het toepassen van in 2017 geformuleerde witwastypologieën op het handelen in die eerdere jaren.

Commentaar

Wij plaatsen in onze annotatie (.pdf) enkele kritische kanttekeningen bij de beoordeling van het hof. Het hof is op zoek gegaan naar een kader, waaruit blijkt dat het niet anders kan zijn dan dat de bitcoins afkomstig zijn uit enig misdrijf. Het hof vindt in haar zoektocht aansluiting bij de destijds geldende Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), in het bijzonder de categorie: ‘handelaren in zaken van grote waarde’, die als instelling wordt aangemerkt voor de Wwft. De geciteerde categorie in het arrest (r.o. 2.6) ziet echter niet op de categorie: ‘handelaren in zaken van grote waarde’, maar op de categorie ‘de beroeps of bedrijfsmatige handelende verkoper van goederen’. De destijds geldende Wwft is eveneens van toepassing op beroeps- of bedrijfsmatig handelende verkopers van goederen, ongeacht welke goederen, voor zover betaling van die goederen in contanten plaatsvond voor een bedrag van €15.000 of meer.

De drempelwaarde van €25.000 gold destijds voor handelaren in zaken van grote waarde met betrekking op een aantal limitatief genoemde goederen (voertuigen, schepen, kunstvoorwerpen etc.), waar de Bitcoin in ieder geval niet onder viel. Ten tijde van het feitencomplex was nog niet duidelijk of bitcoins als goed konden worden gekwalificeerd. Het hof onderbouwt haar standpunt nader met de Leidraad 2016 Verkopers van goederen van de Belastingdienst/Bureau Toezicht Wwft. Het zou consistent zijn als het hof ook niet terugvalt op een leidraad uit 2016 bij een feitencomplex van 2013 tot begin 2015. De vergelijking met ECLI:NL:PHR:2021:495 gaat evenmin op, aangezien die zaak een autohandelaar betrof en voor voertuigen destijds – anders dan Bitcoin – expliciet een drempelbedrag van €25.000 van toepassing is.

Kortom, wij zijn in ieder geval niet overtuigd van de motivering van het hof om in onderhavige zaak aansluiting te zoeken bij de Wwft en de drempelwaarde van €25.000. Wij denken dat het hof toch nadrukkelijker had kunnen nagaan of de feiten en omstandigheden die zijn aangedragen door het OM aansloten bij overige witwasindicatoren, zoals het omzetten van de bitcoins in contact geld, een garandeerde anonimiteit en het ontbreken van een ordentelijke administratie van de transacties (zie ook r.o. 2.6).

Conclusie

Wij verwachten dat cassatie wordt ingesteld. Onze inschatting is daarbij dat het nieuwe kader van het hof geen standhoudt en het hof opnieuw moet oordelen. Niettemin is het arrest waardevol voor de verdediging in cryptovaluatazaken en witwassen. De overwegingen in het arrest rond labelling en clustering kunnen van belang zijn voor de tracering van de (eventueel) criminele herkomst van cryptovaluta in andere witwaszaken. Voor de verdediging kan het lonen om de ten laste gelegde transacties met tools zoals walletexplorer of chainalysis kritisch na te lopen.

Citeerwijze: Hof Den Haag 1 februari 2022, ECLI:NL:GHDHA:2022:104, Computerrecht 2022/95, m.nt. J.J. Oerlemans & K.M.T. Helwegen

Annotatie bij HR 5 april 2022 (vorderen van verkeersgegevens)

jjoerlemans Een reactie plaatsen

Op 5 april 2022 heeft de Hoge Raad een arrest (ECLI:NL:HR:2022:475) gewezen over het vorderen van verkeersgegevens. Prof. Anna Berlee en ik hebben over dit arrest een annotatie (.pdf) geschreven.

Aanleiding

Aanleiding voor het arrest vormt Prokuratuur-arrest (ECLI:EU:C:2021:152) van 2 maart 2021 van het Hof van Justitie van de Europese Unie (HvJ EU). Het HvJ EU maakte in Prokuratuur duidelijk dat aangezien een officier van justitie tevens aanklager is in een later proces, deze niet kan voldoen aan de eis ‘dat de instantie die belast is met die voorafgaande toetsing enerzijds niet betrokken mag zijn bij de uitvoering van het betrokken strafrechtelijk onderzoek en anderzijds neutraal moet zijn ten opzichte van de partijen in de strafprocedure’.

Gevolgen

Voor Nederland heeft het arrest tot gevolg dat de Hoge Raad nu ook onomwonden heeft duidelijk gemaakt dat voor het vorderen van verkeers- en locatiegegevens een voorafgaand toestemming noodzakelijk is van een rechter of een onafhankelijke autoriteit. De reden is voor deze waarborg is dat het vorderen (en daarna verwerken) van dit type gegevens een ernstige inmenging vormt op het recht op privacy en het recht op de bescherming van persoonsgegevens. In de rechtsliteratuur werd deze conclusie al eerder getrokken naar aanleiding van het arrest van het HvJ EU (zie bijvoorbeeld EHRC-Updates.nl, m.nt. D.A.G. van Toor en R.M. te Molder, ‘Het bewaren en vorderen van metagegevens ten behoeve van de opsporing: meer duidelijkheid van het HvJ EU gewenst’, DD 2021/66, nr. 9, p. 844-869).

Aan de hand van verkeers- en locatiegegevens kan inzicht worden verkregen in dagelijkse gewoonten, permanente of tijdelijke verblijfplaats, dagelijkse en andere verplaatsingen en activiteiten die worden uitgeoefend, even als de sociale relaties en sociale kringen waarin iemand zich begeeft worden ontwaard. Zie o.a. HvJ EU 21 december 2016, C-203/15, ECLI:EU:C:2016:970, r.o. 98-100 (Tele2 Sverige/Watson), HvJ EU 6 oktober 2020, C‑511/18, C‑512/18 en C‑520/18, ECLI:EU:C:2020:791, r.o. 117 (La Quadrature du Net e.a./Premier ministre e.a. (en mijn annotatie in JBP 2021/1-2 daarover met M. Hagens)). Zelfs indien het gaat om toegang tot gegevens voor een korte periode, zie HvJ EU 2 maart 2021, C-746/18, ECLI:EU:C:2021:152, r.o. 40 (Prokuratuur).

Het arrest van de Hoge Raad laat goed de gevolgen zien van het arrest van het Hof van Justitie. In de onderhavige zaak vond een rechter-commissaris namelijk dat het stelen van een bulldozer het vorderen van verkeersgegevens- en locatiegegevens niet kon rechtvaardigen. Later werd de beschikking door de rechtbank vernietigd en toch toestemming voor de vordering gegeven. Het arrest laat in ieder geval zien dat een officier van justitie (die het bevel voor de vordering geeft) en de rechter-commissaris (die de machtiging geeft) niet altijd met elkaar eens zullen zijn. Het is overigens ook denkbaar dat er geschillen ontstaan over de ‘gerichtheid’ van de vordering: moet deze bijvoorbeeld korter m.b.t. de duur of geografische locatie zijn?

Prejudiciële vragen

In het arrest stelt de Hoge Raad ook meteen de volgende drie prejudiciële vragen aan het Hof van Justitie (zie r.o. 8.1-8.4 in: ECLI:NL:HR:2022:475):

1. Vallen wettelijke maatregelen die betrekking hebben op het in verband met het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten verlenen aan overheidsinstanties van toegang tot verkeers- en locatiegegevens (met inbegrip van identificerende gegevens), onder de werkingssfeer van Richtlijn 2002/58/EG, als het gaat om het verlenen van toegang tot gegevens die niet worden bewaard op grond van wettelijke maatregelen als bedoeld in artikel 15 lid 1 Richtlijn 2002/58/EG, maar die door de aanbieder worden bewaard op een andere grond?

2. a) Vormen de in de onder 5.7 en 5.8 genoemde arresten van het Hof van Justitie gehanteerde begrippen “ernstige strafbare feiten” en “ernstige criminaliteit” (of “zware criminaliteit”) autonome begrippen van Unierecht of is het aan de bevoegde instanties van de lidstaten om zelf mede invulling te geven aan deze begrippen?

2. b) Als het gaat om autonome begrippen van Unierecht, op welke wijze dient dan te worden vastgesteld of sprake is van een “ernstig strafbaar feit” of van “ernstige criminaliteit”? De Hoge Raad merkt hierover op dat “om de redenen die onder 6.6.2 en 6.6.3 zijn besproken, komt het de Hoge Raad voor dat het aan de bevoegde instanties van de lidstaten is om zelf mede invulling te geven aan de genoemde begrippen”;

3. Kan het verlenen van toegang aan overheidsinstanties tot verkeers- en locatiegegevens (anders dan uitsluitend identificerende gegevens) met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten onder Richtlijn 2002/58/EG worden toegestaan als geen sprake is van ernstige strafbare feiten of ernstige criminaliteit, namelijk als in het concrete geval het verlenen van to egang tot die gegevens – naar mag worden aangenomen – slechts een geringe inmenging veroorzaakt in met name het recht op bescherming van het privéleven van de gebruiker als bedoeld in artikel 2, onder b, Richtlijn 2002/58/EG?

Over deze laatste vraag merken wij in de annotatie op dat wij ons de situatie waarbij het vorderen van verkeersgegevens- en locatiegegevens een geringe inbreuk maakt op het recht op privacy ‘lastig voorstelbaar’ vinden. Daar voegen wij nu nog aan toe dat de Wet vorderen gegevens (geïmplementeerd in het Wetboek van Strafvordering) ook niet stelselmatigheid als criterium voor de differentiatie in vordering aanneemt, maar de aard van de gegevens (namelijk gebruikersgegevens, verkeersgegevens, toekomstige verkeersgegevens, gevoelige gegevens of inhoudelijke gegevens).

Commentaar in annotatie

In ons commentaar bij de annotatie merken wij op dat het relatief lang heeft geduurd voordat bekend werd dat het Openbaar Ministerie de werkwijze bij het vorderen van verkeersgegevens heeft aangepast. Wat ons betreft was dit al meteen een duidelijk gevolg van het arrest van het Hof van Justitie voor de Nederlandse strafrechtspraktijk. Daarnaast vragen wij af waarom de wetgever niet heeft overwogen een nieuwe onafhankelijke autoriteit op te richten die de aanvragen voor het vorderen van verkeers- en locatiegegevens kan beoordelen. Hier is geen debat over gevoerd, terwijl deze nieuwe werkwijze toch extra druk op het werk van rechter-commissarissen zal leggen.

Wij stellen ook de vraag welke gevolgen het arrest heeft voor het vorderen van verkeersgegevens of locatiegegevens bij andere bedrijven of instellingen dan aanbieders van communicatiediensten. Ook verkeers- en locatiegegevens van ‘automatic number plate recognition’ (ANPR)-camera’s en ‘bluetooth trackers’ die verbinding maken met apparaten in auto’s en mobiele telefoons kunnen bijvoorbeeld een belangrijke rol kunnen spelen als bewijs in strafzaken. Hier heeft het arrest geen betrekking op, maar de advocatuur en het Openbaar Ministerie doen er goed aan zich op dergelijke discussies voor te bereiden.

Ten slotte wijzen wij erop dat het arrest mogelijk ook gevolgen heeft voor andere wetgeving en dan met name de Telecommunicatiewet (art. 11.13 Tw) en de Wet op de inlichtingen- en veiligheidsdiensten (art. 55 Wiv 2017). Art. 55 Wiv 2017 heeft bijvoorbeeld heeft ook betrekking op het vorderen van verkeersgegevens bij aanbieders van communicatiediensten. Mogelijk moet de wet worden aangepast, zodat ook in deze wet een onafhankelijke autoriteit (in dat geval de Toetsingscommissie Inzet Bevoegdheden (TIB)) voorafgaand aan het bevel toestemming geeft.

Gezien de prejudiciële vragen die zijn gesteld en mogelijke gevolgen voor andere situaties en wetgeving, zal het arrest niet het laatste woord vormen over de noodzakelijke waarborgen bij het vorderen van verkeers- en locatiegegevens.

Citeerwijze annotatie: HR 5 april 2022, ECLI:NL:HR:2022:475, Computerrecht 2022/186, m.nt. J.J. Oerlemans & A. Berlee

Overzicht cryptophone-operaties

jjoerlemans 2 reacties

Ongeveer vier jaar geleden, in november 2018, verscheen het eerste persbericht op OM.nl over het veiligstellen van berichten die zijn verstuurd met ‘cryptotelefoons’ (ook wel ‘PGP-telefoons’ genoemd).

De beschikbare informatie over cryptotelefoons heb ik in de volgende blogberichten hieronder op een rijtje gezet:

  1. Ennetcom (2016)
  2. PGP Safe (2017)
  3. Ironchat (2017)
  4. EncroChat (2020)
  5. Sky ECC (2020)
  6. ANOM (2021)

(Dit overzicht van 30 december 2021 is geüpdatet op 14 november 2022).

Waarom een overzicht?

Op 15 september 2022 zijn er al meer dan 400 uitspraken beschikbaar op rechtspraak.nl, waarin bewijs uit de cryptotelefoons een belangrijke rol speelt. In de media worden de cryptophone-berichten ook wel een ‘goudmijn aan bewijs’ genoemd en de gegevens vormen een game changer voor de politie. Strafrechtadvocaten trekken vaak de rechtmatigheid van de operaties in twijfel, maar vooralsnog lijkt de verdediging bot te vangen.

De operaties zijn blijkbaar bijzonder belangrijk voor de strafrechtpraktijk en toch is er relatief weinig bekend over de operaties. Ook geniet het nog vrij weinig aandacht van strafrechtwetenschappers.

De grote hoeveelheid jurisprudentie en onduidelijkheid over de ‘wat’, ‘wanneer’ en ‘hoe’-vragen vormde voor mij aanleiding een overzicht te maken (ook voor mijzelf voor toekomstige publicaties). Daarbij heb ik mij gebaseerd op persberichten van het OM, de politie en rechtspraak.

Wat en wanneer

  1. Ennetcom (2016)

Leverancier van cryptotelefoons met apps op een Blackberry telefoon. Oprichters van het bedrijf zijn uiteindelijk veroordeeld voor deelname aan een criminele organisatie, gewoontewitwassen en medeplegen van valsheid in geschrifte. Tijdens de operatie zijn 3,6 miljoen berichten veiliggesteld. De operatie werd bekend gemaakt op 9 maart 2017.

Leverancier van cryptotelefoons met apps op Android en Blackberry toestellen. Tijdens de operatie zijn 700.000 berichten veiliggesteld. De verdenking was aanvankelijk dat de verdachte zich tezamen met anderen als professionele facilitator van versleutelde communicatie schuldig zou hebben gemaakt aan overtreding van witwassen (art. 420bis Sr) en deelneming aan een criminele organisatie (art. 140 Sr). De verdachte wordt uiteindelijk alleen veroordeeld (ECLI:NL:RBROT:2022:363) voor valsheid in geschrifte en ‘begunstiging’. De operatie werd bekend gemaakt op 9 mei 2017.

Leverancier van Wileyfox-telefoons met Ironchat-app er op. Onderzoek gericht op de oprichters van het bedrijf (verdenkingen nog onduidelijk). Tijdens de operatie zijn 258.000 berichten veiliggesteld. De operatie werd bekend op 6 november 2018.

Leverancier van cryptotelefoons met EncroChat (en andere Encro) apps. Redelijk vermoeden dat Encro en de gebruikers zich in georganiseerd verband schuldig maakten aan o.a. witwassen en deelname aan criminele organisaties. Tijdens de operatie zijn 25 miljoen berichten veiliggesteld.  De operatie werd bekend gemaakt op 2 juli 2020.

Leverancier van cryptotelefoons met Sky ECC app. Sky ECC en de daaraan gelieerde (natuurlijke) personen verdacht van deelname aan een criminele organisatie en (gewoonte)witwassen.  Tijdens de operatie zijn honderden miljoenen berichten veiliggesteld.  De operatie werd bekend gemaakt op 9 maart 2021.

ANOM was een zogenoemde ‘store front’, oftewel een zelf opgezette communicatiedienst. De operatie stond onder leiding van de FBI en de Australische Federal Police met het doel om verdachten van criminele organisaties te identificeren. Tijdens de operatie zijn 27 miljoen berichten onderschept. De operatie ving al aan in 2019, maar werd pas na Sky ECC bekend op 8 juni 2021.

Hoe

1.      Ennetcom (2016)
Via een rechtshulpverzoek aan Canada, met machtiging van een Canadese rechter. NL grondslag: 125i Sv. Canadese rechter verbond voorwaarden aan verstrekking en gebruik van gegevens aan Nederlandse opsporingsinstanties.  

Zie ook: B.W. Schermer & J.J. Oerlemans, ‘AI, strafrecht en het recht op een eerlijk proces’, Computerrecht 2020/3 en Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (veroordeling oprichter Ennetcom). (HR uitspraak: HR 28 juni 2022, ECLI:NL:HR:2022:900 en blog).
 
2.      PGP Safe (2017)
Via een rechtshulpverzoek aan Costa Rica, met assistentie van Nederlandse politie. Machtiging voor bevel tot binnentreden, de doorzoeking en de beslaglegging afgegeven door het Gerecht in Strafzaken van het Eerste District San Jose. Aan de verstrekking van de veilig gestelde gegevens zijn geen beperkingen aan Nederland opgelegd.
 
3.      Ironchat (2017)
Gegevensvergaring via een Europees Opsporingsbevel aan het Verenigd Koninkrijk. Na eigen onderzoek vond verstrekking van een kopie van de server (een image) plaats. Grondslag strafvordering voor operatie vooralsnog onduidelijk.
 
4.      EncroChat (2020)
Via JIT en EOB’s. Franse autoriteiten verzamelden gegevens met inzet “interceptietool”.  Extra machtiging voor inzet hackbevoegdheid (126uba Sv) op verdachten met verdenking van betrokkenheid/beramen van het plegen van misdrijven in georganiseerd verband. Beperkingen en vereisten aan onderzoek opgelegd door Nederlandse rechter-commissaris in een machtiging voor het onderzoeken van gegevens van Nederlandse ingezetenen.

Zie ook: B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2.
 
5.      Sky ECC (2020)
Via JIT. Franse autoriteiten vergaren gegevens met inzet “interceptietool”. Door Nederlandse opsporingsambtenaren is technische expertise en/of bijstand geleverd met betrekking tot de ontwikkeling en plaatsing van de tool.

De in Frankrijk vergaarde informatie is aanvankelijk vrijwillig op basis van artikel 26 van het Cybercrimeverdrag gedeeld met het Nederlandse Openbaar Ministerie. Later zijn ook machtigingen Nederlandse rechter-commissaris verleend. De vorderingen en machtigingen zagen op de toepassing van de artikelen 126t lid 1 en 126t lid 6 Sv (onderzoek communicatie door middel van een geautomatiseerd werk bij georganiseerde criminaliteit) en later ook op aanvullende, ondersteunende vorderingen op de voet van artikel 126uba Sv (hackbevoegdheid bij verdenking betrokkenheid beramen/plegen misdrijven in georganiseerd verband).

6. ANOM (2021)

Door een ‘spontane eenzijdige verstrekking van informatie zonder een voorafgaand verzoek van de Nederlandse opsporingsdiensten’.

De Nederlandse opsporingsdiensten zouden niet betrokken zijn geweest bij de verkrijging van de gegevens. Wel heeft de Nederlandse software ontwikkeld waarmee de berichten konden worden geanalyseerd en geduid. Deze software is ook beschikbaar gesteld aan Europol, zodat deze dienst de gegevens kon analyseren en beschikbaar stellen aan andere landen.

Themanummer over cryptophones

jjoerlemans 1 reactie

In mei 2022 is een themanummer over cryptophones verschenen in het Tijdschrift voor Bijzonder Strafrecht en Rechtshandhaving (TBS&H). Het themanummer bevat hele actuele en relevante bijdragen (zie het overzicht hieronder).

In het artikel die ik samen met Bart Schermer heb geschreven bieden we een overzicht en analyse van de EncroChat-jurisprudentie (tot en met februari 2022). Daarnaast heb ik een annotatie geschreven over de veroordeling van de oprichter van Ennetcom.

Veel bijdragen zijn van collega’s van de Universiteit Utrecht. Met speciale dank voor de inspanningen van Dave van Toor die het themanummer heeft gecoördineerd!

Inhoudsopgave:

D.A.G. van Toor, ‘Het enkele gebruik van cryptophones als basis voor procesrechtelijke concepten’, TBS&H 2022/2.1

B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2

S. Royer & R. Vanleeuw, ‘Cryptofoons, privacyvriendelijke applicaties en het vermoeden van onschuld’, TBS&H 2022/2.3

D.A.G. van Toor, ‘Het gebruik van resultaten uit de Encro­Chat-­hack in de Duitse strafrechtspleging’, TBS&H 2022/2.4

L.W. Verbeek & T. Beekhuis, ‘Executieve jurisdictie: het (grote) obstakel in grensoverschrijdende opspo­ringsonderzoeken naar (gebruikers van) cryptoaanbieders?’, TBS&H 2022/2.5

M.M. Egberts, ‘De reikwijdte van het inzagerecht en ‘equality of arms’ in het licht van grote datasets, Hansken en toekomstige ontwikkelingen’, TBS&H 2022/2.6

M. Galič, ‘Bulkbevoegdheden en strafrechtelijk onderzoek. Lessen uit de jurisprudentie van het EHRM voor de normering van grootschalige data-analyse’, TBS&H 2022/2.7

Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (Oprichter van cryptotelefoonaanbieder Ennetcom veroordeeld)

Reactie internetconsultatie Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma

jjoerlemans Een reactie plaatsen

Tot 17 april 2022 kan je reageren op internetconsultatie.nl op het wetsvoorstel ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’.

Het wetsvoorstel is belangrijk, omdat het nieuwe bepalingen bevat met betrekking tot de hackbevoegdheid en onderzoeksopdrachtgerichte interceptie (bulkinterceptie). Het idee is toezicht deels te verleggen van vooraf naar toezicht tijdens en achteraf. Op die manier wordt de diensten meer flexibiliteit en meer armslag gegeven. Ook wordt een beroepsprocedure geïntroduceerd bij de Afdeling bestuursrechtspraak van de Raad van State.

Het betreffen wijzigingen in een tijdelijke wet gedurende vier jaar, maar het zijn desalniettemin hele belangrijke wijzigingen. Dat maakt volgens ons een tussentijdse evaluatie noodzakelijk voor de aankomende grote wetswijziging van de Wet op de inlichtingen- en veiligheidsdiensten 2017. In onze reactie (.pdf) op internetconsultatie gaan we verder in op de reikwijdte van het wetsvoorstel, de inzet van de hackbevoegdheid in het kader van strategische operaties en het voorgestelde beroepsstelsel.

Kortgezegd vinden we dat de reikwijdte van het wetsvoorstel beter moet worden omgeschreven en de ministers ook zouden moeten reageren op wat de rol van de diensten is bij criminele groeperingen die de nationale veiligheid bedreigen, bijvoorbeeld door de inzet van ransomware. Ook vinden we dat de inzet van de hackbevoegdheid in de context van ‘strategische operaties’ beter moet worden uitgelegd. Willen de ministers misschien aansluiten bij het concept van ‘active cyber defense’? Dan kan dat ook beter worden omschreven.

Ten slotte vinden we dat de beroepsprocedure bij de Afdeling niet voldoende wordt uitgewerkt in het wetsvoorstel. De noodzaak van de beroepsprocedure en de verhouding met de Awb en de Procesregeling met de mogelijkheid van de inzet van deskundigen en amicus curiae, moet duidelijker. Ook bevelen we aan eens over de grens te kijken hoe bijvoorbeeld de ‘Foreign Intelligence Surveillance Court’ (FISC) te werk gaat.

Jan-Jaap Oerlemans & Sophie Harleman

New book on cybercrime

jjoerlemans

Yesterday, our new book ‘Essentials in cybercrime. A criminological overview for education and practice’ became available. Wytske van der Wagen, Marleen Weulen Kranenbarg, and me, are the editors of the book and we are proud of the result. In this blog post, I’ll briefly introduce the book and explain its background.

Background

A study book about the essentials of cybercrime was in our view necessary, in order to bring together knowledge about cybercrime in a conveniently arranged manner. That is why, in 2020, we published our (Dutch) book ‘Basisboek Cybercriminaliteit’, in which all the necessary basic knowledge about cybercrime was provided.

As some universities expressed the desire for an English version of the book, we decided to move forward with a translation. The current book is however not a literal translation. It is more internationally oriented, especially when it comes to legislation, it includes the most recent studies, and it also provides an entirely new chapter on organized cybercrime (Chapter 5). Like the Dutch version of our book, it aims to provide the essential knowledge of various facets of cybercrime.

Aim of the book and intended audience

Our book is intended for students and professionals who want to learn more about cybercrime. The book offers insight into the various manifestations and features of cybercrime, offender and victim characteristics, quantitative and qualitative methods for studying crime in the digital domain, criminological theories that can be used to understand cybercrime, and possible interventions.

In addition to criminological aspects, the book also deals with a number of legal topics, including the criminalisation of cybercrime, the detections process and the investigative powers that can be used by the police in the online domain.

The book is introductory in nature and is therefore are also suitable for those who are new to the subject of cybercrime. At the same time, the book discusses the various topics in depth and incorporates a broad range of studies and perspectives.

Contents and (co-)authors

In this book, we combine our own criminological and legal expertise in the development of cybercrime, our knowledge about cybercrime offenders and victims, and the investigation of cybercrime. We also asked experts in the fields of organised cybercrime, the victimisation of cybercrime and cybercrime interventions to complement our understanding of cybercrime and to contribute to this book.

We therefore thank our guest authors – Rik Beerthuizen, Maša Galič, Tamar Fischer, Thomas Holt, André van der Laan, Rutger Leukfeldt, Sifra Matthijsse, Take Sipma and Elina van ’t Zand – for their important contributions to this book.

Availability

Our book is published by Eleven and now available in the store of Eleven Publishing (with Chapter 1 freely available) and stores like Bol.com.

One year after publication, Chapter 3 about ‘Types of cybercrime and their criminalisation’ and Chapter 8 about ‘Cybercrime investigations’ will be available in open access.

Evaluatie Wiv 2017: van meer privacy naar meer werkbaarheid… en weer terug?

jjoerlemans Een reactie plaatsen

Aanleiding: meer privacy

Twee jaar na de inwerkingtreding van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) is een evaluatie van deze wet van start gegaan. Deze vervroegde wetsevaluatie (het wordt standaard pas na 5 jaar geëvalueerd) is geïnitieerd vanwege de uitslag van het raadgevend referendum over de Wiv 2017. 49,44% van de kiezers heeft tegen de Wiv 2017 gestemd, 46,53% voor, en 4,03% blanco. Uit het maatschappelijk debat rondom het referendum bleek dat mensen zich met name zorgen maakten over privacy en dan specifiek over de uitbreiding van de bevoegdheid tot bulkinterceptie van internetverkeer naar de kabel (het ‘sleepnet’ genoemd).

Naar meer werkbaarheid

Net voor de start van de evaluatie van de Wiv 2017 vond in 2019 een kentering in het debat plaats. Het voormalige hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) Dick Schoof waarschuwde op 6 februari 2019 in het programma Nieuwsuur dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. Kort daarop vroegen Kamerleden van CDA- en VVD-fractie zich af ‘of de genomen maatregelen werkbaar blijven voor de diensten’ en ‘hoe de disproportionele bureaucratisering van het werk van de diensten wordt tegengaan’. De invloed op de operationele slagkracht van de Wiv 2017 is door de Algemene Rekenkamer speciaal onderzocht. De Algemene Rekenkamer concludeert dat: de nieuwe waarborgen de inzet van bepaalde bijzondere bevoegdheden het verzamelen van inlichten en de snelheid in internationale samenwerking beperken en er een toename is van administratieve lasten, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid (zie rapport).  

De Commissie Evaluatie Wiv 2017 (hierna: de Commissie Jones-Bos naar haar voorzitter) kreeg hierop expliciet de opdracht te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet’ te onderkennen. Op 20 januari 2021 heeft de Commissie Jones-Bos een lijvig rapport (180 pagina’s) afgeleverd. Een groot deel van de aanbevelingen streven een ‘werkbaarder wet’ na, soms ten koste van reeds bestaande (privacy)waarborgen. Kort daarop schreef het demissionaire kabinet de aanbevelingen te ‘omarmen’ en de voorbereidingen te treffen voor een wijzigingsvoorstel van de Wiv 2017.

Gevolgen voorstellen Commissie Jones-Bos voor privacy

Ons artikel (.pdf) betreft een beschouwing van dit rapport, waar in wij verkennen wat de gevolgen van een aantal van deze voorstellen kunnen zijn voor het recht op privacy van personen. In het bijzonder richtten wij ons op de manier waarop bulkdatasets worden verzameld en hoe data-analyse is geregeld.

Wij concluderen dat de voorstellen van de Commissie Jones-Bos de waarborgen van bepaalde bijzondere bevoegdheden verzwakken. Dit heeft gevolgen heeft voor de bescherming van het recht op privacy. Met name een voorgestelde informantenbevoegdheid wordt gebrekkig uitgewerkt door de commissie, terwijl daarmee ook bulkdatasets kunnen worden verzameld. Die regeling behoeft meer aandacht, waarbij fundamentele keuzes gemaakt worden, zoals de vraag of de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) van elke overheidsinstantie en misschien zelfs elk bedrijf gegevens vrijwillig mogen opvragen of kunnen eisen dat deze op verzoek verplicht verstrekt worden (vorderen). Het voorstel de voorafgaande onafhankelijke toets van de Toetsingscommissie Inzet Bevoegdheden (TIB) te schrappen bij de bevoegdheden voor selectie- en metadata-analyse, het vereenvoudigen van het relevant verklaren van bulkdatasets, en de inperking van het begrip ‘geautomatiseerde data-analyse’, verzwakt ook de bescherming van privacy.

Ten slotte merken wij in het artikel op dat de Commissie Jones-Bos bijzonder weinig aandacht aan de bepalingen omtrent gegevensverwerking in de Wiv 2017. Ook bij minder geavanceerde vormen van data-analyse die wel degelijk een ernstige inbreuk op het recht op privacy en andere mensenrechten kunnen meebrengen, waarvoor deze bepalingen van belang kunnen zijn. Wij bevelen daarom aan voordat het voorstel tot wetswijzing naar de Tweede Kamer wordt gestuurd alsnog een ‘privacy impact assessment’ uit te voeren (zie ook de PIA op het wetsvoorstel van de Wiv 2017). Net als bij de Wiv 2017 kunnen de uitkomsten daarvan voor het wetsvoorstel in overweging worden genomen. 

En weer terug naar privacy?

Na de publicatie van ons artikel heeft toch een kleine kentering in het (parlementaire) debat plaatsgevonden over de voorgenomen wijzigingen van de Wiv 2017. De aangenomen moties (zoek op ‘IVD’) zien op de toezichthouders (bijvoorbeeld een oproep te onderzoeken wat de voor- en nadelen van samenvoeging zijn). Daarmee wordt er enige tegenwicht geboden aan sommige aanbevelingen van de Commissie Jones-Bos over toezicht.

In een recente annotatie bij de Big Brother Watch- en Centrum För Rättvisa-zaken betogen Mireille Hagens en ik (Jan-Jaap) dat de oproep van het Europees Hof voor de Rechten van de Mens (EHRM) tot ‘end-to-end safeguards’ bij bulkinterceptie ook tot een heroverweging van het toezicht stelsel en de rol van de rechter zou moeten leiden.

Quirine en ik hadden natuurlijk graag ook een oproep tot meer aandacht voor de regels omtrent gegevensverwerking en impact op privacy gezien (ook vanwege het gemoderniseerde verdrag van de Raad van Europa over regels voor gegevensverwerking (Conventie 108+) die ook betrekking heeft op nationale veiligheid). Maar de discussie lijkt met de vele nieuwe Tweede Kamerleden weer wat meer open te liggen. Het zal ook afhankelijk zijn van de visie en waarden die een nieuw kabinet te zijner tijd met zich meebrengt, hoe een wetsvoorstel voor een nieuwe Wiv (2024?) eruit komt te zien.

Jan-Jaap Oerlemans & Quirine Eijkman