Overzicht cryptophone-operaties

Zo’n drie jaar geleden, in november 2018, verscheen het eerste persbericht op OM.nl over het veiligstellen van berichten die zijn verstuurd met ‘cryptotelefoons’ (ook wel ‘PGP-telefoons’ genoemd).

De beschikbare informatie over de operaties die zich richten op het veiligstellen van de berichten die via de apps zijn verstuurd heb ik in de afgelopen maanden de volgende blogberichten hieronder op een rijtje gezet.

  1. Ennetcom (2016)
  2. PGP Safe (2017)
  3. Ironchat (2017)
  4. EncroChat (2020)
  5. Sky ECC (2020)

Waarom een overzicht?

Anno 2021 zijn er al meer dan 200 uitspraken beschikbaar op rechtspraak.nl met veroordelingen van criminelen, waarbij bewijs uit de cryptotelefoons een belangrijke rol speelt. In de media worden de berichten ook wel een ‘goudmijn aan bewijs’ genoemd en de gegevens vormen een game changer voor de politie. Strafrechtadvocaten trekken vaak de rechtmatigheid van de operaties in twijfel, maar vooralsnog lijkt de verdediging bot te vangen.

De operaties zijn blijkbaar bijzonder belangrijk voor de strafrechtpraktijk en toch is er relatief weinig bekend over de operaties. Ook geniet het nog vrij weinig aandacht van strafrechtwetenschappers.

De grote hoeveelheid jurisprudentie en onduidelijkheid over de ‘wat’, ‘wanneer’ en ‘hoe’-vragen vormde voor mij aanleiding een overzicht te maken (ook voor mijzelf voor toekomstige publicaties). Daarbij heb ik mij gebaseerd op persberichten van het OM, de politie en rechtspraak.

Wat en wanneer

  1. Ennetcom (2016)

Leverancier van cryptotelefoons met apps op een Blackberry telefoon. Oprichters van het bedrijf zijn uiteindelijk veroordeeld voor deelname aan een criminele organisatie, gewoontewitwassen en medeplegen van valsheid in geschrifte. Tijdens de operatie zijn 3,6 miljoen berichten veiliggesteld.

Leverancier van cryptotelefoons met apps op Android en Blackberry toestellen. Oprichters bedrijf worden verdacht van onder meer witwassen, overtreding van de Telecommunicatiewet en valsheid in geschrifte. Tijdens de operatie zijn 700.000 berichten veiliggesteld.

Leverancier van Wileyfox-telefoons met Ironchat-app er op. Onderzoek gericht op de oprichters van het bedrijf (verdenkingen nog onduidelijk). Tijdens de operatie zijn 258.000 berichten veiliggesteld.

Leverancier van cryptotelefoons met EncroChat (en andere Encro) apps. Redelijk vermoeden dat Encro en de gebruikers zich in georganiseerd verband schuldig maakten aan witwassen, deelname aan criminele organisaties, etc. Tijdens de operatie zijn 25 miljoen berichten veiliggesteld.  

Leverancier van cryptotelefoons met Sky ECC app. Sky ECC en de daaraan gelieerde (natuurlijke) personen verdacht van deelname aan een criminele organisatie en (gewoonte)witwassen.  Tijdens de operatie zijn honderden miljoenen berichten veiliggesteld.  

Hoe

1.      Ennetcom (2016)
Via een rechtshulpverzoek aan Canada, met machtiging van een Canadese rechter. NL grondslag: 125i Sv. Canadese rechter verbond voorwaarden aan verstrekking en gebruik van gegevens aan Nederlandse opsporingsinstanties.  
 
2.      PGP Safe (2017)
Via een rechtshulpverzoek aan Costa Rica, met assistentie van Nederlandse politie. Machtiging voor bevel tot binnentreden, de doorzoeking en de beslaglegging afgegeven door het Gerecht in Strafzaken van het Eerste District San Jose. Aan de verstrekking van de veilig gestelde gegevens zijn geen beperkingen aan Nederland opgelegd.
 
3.      Ironchat (2017)
Via Europees Opsporingsbevel aan het Verenigd Koninkrijk en verstrekking van een kopie van de server (een image). Parallel onderzoek voor VK-autoriteiten. Zij hebben gegevens verstrekt aan Nederland, zonder beperkingen. Grondslag strafvordering voor operatie onduidelijk.
 
4.      EncroChat (2020)
Via JIT. Franse autoriteiten verzamelden gegevens met inzet “interceptietool”.  Extra machtiging voor inzet hackbevoegdheid (126uba Sv) op verdachten met verdenking van betrokkenheid/beramen van het plegen van misdrijven in georganiseerd verband. Beperkingen en vereisten aan onderzoek opgelegd door Nederlandse rechter-commissaris in een machtiging voor het onderzoeken van gegevens van Nederlandse ingezetenen.
 
5.      Sky ECC (2020)
Via JIT. Franse autoriteiten vergaren gegevens met inzet “interceptietool”. Door Nederlandse opsporingsambtenaren is technische expertise en/of bijstand geleverd met betrekking tot de ontwikkeling en plaatsing van de tool. De in Frankrijk vergaarde informatie is aanvankelijk vrijwillig op basis van artikel 26 van het Cybercrimeverdrag gedeeld met het Nederlandse Openbaar Ministerie. Later zijn ook machtigingen Nederlandse rechter-commissaris verleend. De vorderingen en machtigingen zagen op de toepassing van de artikelen 126t lid 1 en 126t lid 6 Sv (onderzoek communicatie door middel van een geautomatiseerd werk bij georganiseerde criminaliteit) en later ook op aanvullende, ondersteunende vorderingen op de voet van artikel 126uba Sv (hackbevoegdheid bij verdenking betrokkenheid beramen/plegen misdrijven in georganiseerd verband).

New book on cybercrime

Yesterday, our new book ‘Essentials in cybercrime. A criminological overview for education and practice’ became available. Wytske van der Wagen, Marleen Weulen Kranenbarg, and me, are the editors of the book and we are proud of the result. In this blog post, I’ll briefly introduce the book and explain its background.

Background

A study book about the essentials of cybercrime was in our view necessary, in order to bring together knowledge about cybercrime in a conveniently arranged manner. That is why, in 2020, we published our (Dutch) book ‘Basisboek Cybercriminaliteit’, in which all the necessary basic knowledge about cybercrime was provided.

As some universities expressed the desire for an English version of the book, we decided to move forward with a translation. The current book is however not a literal translation. It is more internationally oriented, especially when it comes to legislation, it includes the most recent studies, and it also provides an entirely new chapter on organized cybercrime (Chapter 5). Like the Dutch version of our book, it aims to provide the essential knowledge of various facets of cybercrime.

Aim of the book and intended audience

Our book is intended for students and professionals who want to learn more about cybercrime. The book offers insight into the various manifestations and features of cybercrime, offender and victim characteristics, quantitative and qualitative methods for studying crime in the digital domain, criminological theories that can be used to understand cybercrime, and possible interventions.

In addition to criminological aspects, the book also deals with a number of legal topics, including the criminalisation of cybercrime, the detections process and the investigative powers that can be used by the police in the online domain.

The book is introductory in nature and is therefore are also suitable for those who are new to the subject of cybercrime. At the same time, the book discusses the various topics in depth and incorporates a broad range of studies and perspectives.

Contents and (co-)authors

In this book, we combine our own criminological and legal expertise in the development of cybercrime, our knowledge about cybercrime offenders and victims, and the investigation of cybercrime. We also asked experts in the fields of organised cybercrime, the victimisation of cybercrime and cybercrime interventions to complement our understanding of cybercrime and to contribute to this book.

We therefore thank our guest authors – Rik Beerthuizen, Maša Galič, Tamar Fischer, Thomas Holt, André van der Laan, Rutger Leukfeldt, Sifra Matthijsse, Take Sipma and Elina van ’t Zand – for their important contributions to this book.

Availability

Our book is published by Eleven and now available in the store of Eleven Publishing (with Chapter 1 freely available) and stores like Bol.com.

After 1 year, I will make Chapter 3 about ‘Types of cybercrime and their criminalisation’ and Chapter 8 about ‘Cybercrime investigations’ available in open access.

Evaluatie Wiv 2017: van meer privacy naar meer werkbaarheid… en weer terug?

Aanleiding: meer privacy

Twee jaar na de inwerkingtreding van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) is een evaluatie van deze wet van start gegaan. Deze vervroegde wetsevaluatie (het wordt standaard pas na 5 jaar geëvalueerd) is geïnitieerd vanwege de uitslag van het raadgevend referendum over de Wiv 2017. 49,44% van de kiezers heeft tegen de Wiv 2017 gestemd, 46,53% voor, en 4,03% blanco. Uit het maatschappelijk debat rondom het referendum bleek dat mensen zich met name zorgen maakten over privacy en dan specifiek over de uitbreiding van de bevoegdheid tot bulkinterceptie van internetverkeer naar de kabel (het ‘sleepnet’ genoemd).

Naar meer werkbaarheid

Net voor de start van de evaluatie van de Wiv 2017 vond in 2019 een kentering in het debat plaats. Het voormalige hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) Dick Schoof waarschuwde op 6 februari 2019 in het programma Nieuwsuur dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. Kort daarop vroegen Kamerleden van CDA- en VVD-fractie zich af ‘of de genomen maatregelen werkbaar blijven voor de diensten’ en ‘hoe de disproportionele bureaucratisering van het werk van de diensten wordt tegengaan’. De invloed op de operationele slagkracht van de Wiv 2017 is door de Algemene Rekenkamer speciaal onderzocht. De Algemene Rekenkamer concludeert dat: de nieuwe waarborgen de inzet van bepaalde bijzondere bevoegdheden het verzamelen van inlichten en de snelheid in internationale samenwerking beperken en er een toename is van administratieve lasten, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid (zie rapport).  

De Commissie Evaluatie Wiv 2017 (hierna: de Commissie Jones-Bos naar haar voorzitter) kreeg hierop expliciet de opdracht te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet’ te onderkennen. Op 20 januari 2021 heeft de Commissie Jones-Bos een lijvig rapport (180 pagina’s) afgeleverd. Een groot deel van de aanbevelingen streven een ‘werkbaarder wet’ na, soms ten koste van reeds bestaande (privacy)waarborgen. Kort daarop schreef het demissionaire kabinet de aanbevelingen te ‘omarmen’ en de voorbereidingen te treffen voor een wijzigingsvoorstel van de Wiv 2017.

Gevolgen voorstellen Commissie Jones-Bos voor privacy

Ons artikel (.pdf) betreft een beschouwing van dit rapport, waar in wij verkennen wat de gevolgen van een aantal van deze voorstellen kunnen zijn voor het recht op privacy van personen. In het bijzonder richtten wij ons op de manier waarop bulkdatasets worden verzameld en hoe data-analyse is geregeld.

Wij concluderen dat de voorstellen van de Commissie Jones-Bos de waarborgen van bepaalde bijzondere bevoegdheden verzwakken. Dit heeft gevolgen heeft voor de bescherming van het recht op privacy. Met name een voorgestelde informantenbevoegdheid wordt gebrekkig uitgewerkt door de commissie, terwijl daarmee ook bulkdatasets kunnen worden verzameld. Die regeling behoeft meer aandacht, waarbij fundamentele keuzes gemaakt worden, zoals de vraag of de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) van elke overheidsinstantie en misschien zelfs elk bedrijf gegevens vrijwillig mogen opvragen of kunnen eisen dat deze op verzoek verplicht verstrekt worden (vorderen). Het voorstel de voorafgaande onafhankelijke toets van de Toetsingscommissie Inzet Bevoegdheden (TIB) te schrappen bij de bevoegdheden voor selectie- en metadata-analyse, het vereenvoudigen van het relevant verklaren van bulkdatasets, en de inperking van het begrip ‘geautomatiseerde data-analyse’, verzwakt ook de bescherming van privacy.

Ten slotte merken wij in het artikel op dat de Commissie Jones-Bos bijzonder weinig aandacht aan de bepalingen omtrent gegevensverwerking in de Wiv 2017. Ook bij minder geavanceerde vormen van data-analyse die wel degelijk een ernstige inbreuk op het recht op privacy en andere mensenrechten kunnen meebrengen, waarvoor deze bepalingen van belang kunnen zijn. Wij bevelen daarom aan voordat het voorstel tot wetswijzing naar de Tweede Kamer wordt gestuurd alsnog een ‘privacy impact assessment’ uit te voeren (zie ook de PIA op het wetsvoorstel van de Wiv 2017). Net als bij de Wiv 2017 kunnen de uitkomsten daarvan voor het wetsvoorstel in overweging worden genomen. 

En weer terug naar privacy?

Na de publicatie van ons artikel heeft toch een kleine kentering in het (parlementaire) debat plaatsgevonden over de voorgenomen wijzigingen van de Wiv 2017. De aangenomen moties (zoek op ‘IVD’) zien op de toezichthouders (bijvoorbeeld een oproep te onderzoeken wat de voor- en nadelen van samenvoeging zijn). Daarmee wordt er enige tegenwicht geboden aan sommige aanbevelingen van de Commissie Jones-Bos over toezicht.

In een recente annotatie bij de Big Brother Watch- en Centrum För Rättvisa-zaken betogen Mireille Hagens en ik (Jan-Jaap) dat de oproep van het Europees Hof voor de Rechten van de Mens (EHRM) tot ‘end-to-end safeguards’ bij bulkinterceptie ook tot een heroverweging van het toezicht stelsel en de rol van de rechter zou moeten leiden.

Quirine en ik hadden natuurlijk graag ook een oproep tot meer aandacht voor de regels omtrent gegevensverwerking en impact op privacy gezien (ook vanwege het gemoderniseerde verdrag van de Raad van Europa over regels voor gegevensverwerking (Conventie 108+) die ook betrekking heeft op nationale veiligheid). Maar de discussie lijkt met de vele nieuwe Tweede Kamerleden weer wat meer open te liggen. Het zal ook afhankelijk zijn van de visie en waarden die een nieuw kabinet te zijner tijd met zich meebrengt, hoe een wetsvoorstel voor een nieuwe Wiv (2024?) eruit komt te zien.

Jan-Jaap Oerlemans & Quirine Eijkman

Tijd voor een nieuwe bewaarplicht?

Op 6 oktober 2020 publiceerde het EU Hof van Justitie (HvJ EU) het arrest La Quadrature du Net/Premier ministre e.a. In dat belangrijke arrest bestendigt het Hof de eerder ingezette lijn dat een algemene en ongedifferentieerde bewaarplicht van verkeersgegevens ter bestrijding van ernstige criminaliteit niet is toegestaan en in strijd is met het recht op privacy en het recht op bescherming van persoonsgegevens uit het Handvest van de grondrechten van de Europese Unie. Ter bescherming van de nationale veiligheid laat het EU Hof een beperkte vorm van een bewaarplicht onder voorwaarden toe. Zie daarover deze annotatie die ik samen met Mireille Hagens heb geschreven, met een focus op de betekenis voor de nationale veiligheid en de Wiv 2017.  

Onlangs is ook een artikel (.pdf) in Computerrecht verschenen over het arrest en de bewaarplicht. In het artikel onderzoeken wij (ikzelf, Mireille Hagens en Sofie Royer) wat de gevolgen van deze jurisprudentie zijn voor het wetsvoorstel voor een bewaarplicht in Nederland en de ondertussen vernietigde bewaarplicht in België.

Bevindingen

De belangrijkste conclusie van ons artikel is dat het HvJ EU ruimte biedt voor een bewaarplicht van gebruikersgegevens bij aanbieders van elektronische communicatiediensten. Het preventief bewaren van verkeersgegevens is echter beperkt mogelijk voor de bestrijding van ernstige criminaliteit. Qua beperkingen moet worden gedacht aan elementen als de duur, kring van personen, en/of een geografische afbakening. Ten slotte biedt het HvJ EU enige ruimte voor een bewaarplicht bij bedreigingen van de nationale veiligheid (door het Hof als het hoogste belang gezien), voor zover deze bedreiging reëel en actueel of voorzienbaar is (gedacht kan worden aan een aanslag, hetgeen vragen met zich meebrengt als er bijvoorbeeld een permanente dreiging is van aanslagen).

In Nederland ligt de behandeling van een nieuw wetsvoorstel voor een bewaarplicht sinds 2018 stil (zie dit Kamerstuk en dit Kamerstuk voor de laatste stand van zaken). Uit de voorbereiding van het voorstel voor de invoering van een bewaarplicht in Nederland blijkt dat zich technische uitdagingen voordoen bij het op effectieve wijze koppelen van de gebruikers van telecommunicatiediensten aan een apparaat door de telecomprovider. Uit onderzoek blijkt echter dat deze uitdagingen niet onoverkomelijk zijn (zie dit WODC-rapport, uitgevoerd door Dialogic). Voor een bewaarplicht van gebruikersgegevens in Nederland is voor de bestrijding van met name cybercriminaliteit veel te zeggen. Ook verdient het volgens ons aanbeveling een uitbreiding van een bewaarplicht van gebruikersgegevens bij OTT-diensten te overwegen, hoewel daarbij onvermijdelijk handhavingsproblemen ontstaan. Het arrest van het HvJ EU biedt in die zin Nederland meer vertrouwen dat een bewaarplicht van gebruikersgegevens voor aanbieders van communicatiediensten voldoet aan de vereisten van het HvJ EU.

In België maakt La Quadrature du Net e.a. duidelijk dat een algemene bewaarplicht van verkeersgegevens zoals die vandaag in België bestaat, niet te verzoenen valt met het oordeel van het HvJ EU. Het Grondwettelijk Hof vernietigde inmiddels de Belgische dataretentiewet uit 2016 (zie hier). De wetgever is nu opnieuw aan zet gekomen om de verschillende opdelingen die het HvJ EU maakt, om te zetten in het nationale recht. De bevoegde ministers schoten meteen in actie en een voorontwerp ligt al op tafel.

Hoe verder?

In een Kamerstuk van 1 maart 2021 stelt het Nederlandse kabinet het arrest van het HvJ EU met verstrekkende gevolgen ‘te betreuren’ (klaarblijkelijk omdat wordt herhaald dat een algemene bewaarplicht van verkeersgegevens niet mogelijk is). Uit de brief is de volgende passage relevant:

“Naar verwachting zal het Portugees voorzitterschap de JBZ-Raad uitnodigen hun standpunten te delen over verdere stappen ten aanzien van dataretentie. Het voorzitterschap heeft reeds aangegeven voorstander te zijn van een verdere verkenning van de uitspraken van het Europese Hof van Justitie (het Hof) en specifiek te focussen op de onderdelen waarvoor het Hof ruimte laat: een gerichte bewaarplicht en een bewaarplicht voor gegevens die nodig zijn voor het bepalen van de ‘civiele’ identiteit van gebruikers.”

Prokuratuur

Ten slotte wijzen wij hier nog op de uitspraak van het Hof van Justitie in het arrest H.K./Prokuratuur van 2 maart 2021 die na afronding van ons artikel werd gepubliceerd (zie ook de annotatie van Dave van Toor over deze zaak en deze blogpost van Sofie Royer en Sem Careel).

Hieruit leiden wij af dat voor het vorderen van verkeersgegevens voorafgaande toestemming door een onafhankelijk orgaan (zoals de rechter-commissaris in Nederland of, in sommige gevallen, de onderzoeksrechter in België) of toestemming door een onafhankelijk instituut is vereist. Deze waarborg wordt vereist vanwege de ernst van de privacy-inmenging bij het vorderen van (en daarna analyseren) van verkeersgegevens. In Nederland heeft het al tot ‘de constatering van een vormverzuim’ geleid in deze moordzaak. De rechtbank overweegt:

“Rechtbank is van oordeel dat de in het onderhavige onderzoek opgevraagde verkeersgegevens en mastgegevens achteraf gezien niet door een officier van justitie gevorderd hadden mogen worden zonder voorafgaande onafhankelijke toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit. De rechtbank zoekt aansluiting bij het beoordelingskader van artikel 359a Sv en volstaat met constatering van de normschending, gelet op het geringe nadeel voor verdachte als gevolg van de normschending.”

Wordt het niet eens tijd dat er een plan komt hoe we ook met dit verstrekkende arrest om moeten gaan? 

Het is de vraag of Nederland het oude wetsvoorstel uit 2018 (met een nieuw kabinet) nieuw leven moet in blazen of een eventueel Europees voorstel zal afwachten. Het wetsvoorstel voorzag al in een bewaarplicht van gebruikersgegevens en een verplichte machtiging van een rechter-commissaris als waarborg voor het vorderen van verkeersgegevens. Het kan ook zijn dat de Nederlandse wetgever Europese wetgeving afwacht. We zullen zien!

Jan-Jaap Oerlemans, Mireille Hagens & Sofie Royer

Van zorgen over privacy naar zorgen over administratieve rompslomp

Dit stuk is eerder verschenen in Computerrecht 2021/57

Op 20 januari 2021 heeft de Commissie Jones-Bos haar evaluatierapport over Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) uitgebracht. Slechts twee jaar na de inwerkingtreding van de nieuwe wet op 1 mei 2018 werd het door het kabinet al noodzakelijk geacht deze wet te evalueren. In eerste instantie werd deze vervroegde evaluatie ingegeven vanuit privacyzorgen. De nieuwe wet was omstreden, met name vanwege de uitbreiding van de bevoegdheid tot bulkinterceptie op de kabel om meer internetverkeer te intercepteren (het ‘sleepnet’ genoemd). In het raadgevend referendum over de Wiv 2017 in april 2018 stemden in Nederland 49,44% van de mensen tegen en slechts 46,53% van de mensen voor de wet.

Net voor de start van de evaluatiecommissie vond er echter een kentering in het debat plaats. Tijdens het Kamerdebat over een tussentijdse wijzigingswet van de Wiv 2017 vroegen plotseling een aantal Kamerleden de minister of de nieuwe de Wiv 2017 door alle nieuwe administratieve verplichtingen nog wel voldoende ‘werkbaar’ was. Deze zorgen zijn o.a. ingegeven door de voormalige AIVD-baas Dick Schoof die in april 2019 in het programma Nieuwsuur nog waarschuwde dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. De evaluatiecommissie kreeg vervolgens expliciet de opdracht mee te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen’.

Het gevolg is dat er nu een rapport van 180 pagina’s ligt waar een groot deel van de aanbevelingen een ‘werkbaarder wet’ nastreven, soms ten koste van reeds bestaande privacywaarborgen. Het gaat dan bijvoorbeeld om het voorstel tot het schrappen van onafhankelijke voorafgaande toestemming door de Toetsingscommissie Inzet Bevoegdheden (TIB) bij de kennisname van de inhoud van de communicatie en de geautomatiseerde analyse van metadata na bulkinterceptie. Ook zou het volgens de evaluatiecommissie eenvoudiger moeten worden bulkdata relevant te verklaren, waardoor grote hoeveelheden gegevens zonder maximale bewaartermijn bewaard mogen worden.

Het demissionaire kabinet heeft op 5 maart 2021 in een Kamerbrief laten weten de opdracht te geven de aanbevelingen van de evaluatiecommissie te vertalen in een wetsvoorstel. Mijn hoop is dat wetenschappers en Kamerleden de gevolgen van de voorstellen voldoende doorgronden en het wetsvoorstel kritisch beoordelen.

Jan-Jaap Oerlemans is bijzonder hoogleraar Inlichtingen en Recht bij de Universiteit Utrecht en redacteur van dit blad.

— UPDATE —

Op 21 april 2021 heeft Algemene Rekenkamer rapport ‘Operationele Slagkracht van de AIVD en MIVD: De Wet Dwingt, de Tijd Dringt, de Praktijk Wringt’ gepubliceerd. De belangrijkste conclusies zijn: (1) dat de nieuwe waarborgen uit de Wiv 2017 de inzet van bepaalde bijzondere bevoegdheden beperken het verzamelen van inlichtingen en de snelheid in internationale samenwerking, en (2) de constatering van een toename van de administratieve lasten voor de AIVD en de MIVD, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid.

De Algemene Rekenkamer geeft als verklaring van deze problemen mee: de suboptimale voorbereiding en inbreng van de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) op technisch en operationeel vlak op het wetstraject van de Wiv 2017, het ontbreken van een uitvoeringstoets, een onderschatting aard en omvang implementatie Wiv 2017, onvoldoende budget voor implementatie, achterstanden bij interne processen van de diensten, een tekort aan IT-capaciteit en achterstanden op IT-gebied.

Grenzen stellen aan datahonger

Gisteren (16 november 2020) mocht ik mijn oratie houden getiteld: ‘Grenzen stellen aan datahonger. De bescherming van de nationale veiligheid in een democratische rechtsstaat’ (.pdf). Die ochtend kreeg mijn oratie ook de aandacht in een mooi bericht van de Volkskrant, waarin mijn pleidooi wordt beschreven voor een aanpassing van de informantenbevoegdheid. Daarbij stel ik dat de huidige regeling voor de informantenbevoegdheid onvoorzienbaar is en met onvoldoende waarborgen is omkleed, voor zover het gaat om het verzamelen van bulkdatasets.

Verder leg ik mijn oratie uit hoe de Wet op de inlichtingen- en veiligheidsdiensten in de loop der jaren is ontwikkeld en steeds complexer is geworden. Ik vind het goed dat de Commissie-Jones-Bos in hun evaluatie van Wiv 2017 ook aandacht hebben voor de vraag of de wet voldoende werkbaar is en wat er mogelijk gewijzigd moet worden om het werkbaar te houden. Tegelijkertijd blijf ik de komende vijf jaar dat ik mijn leerstoel mag bekleden scherp op eventuele uitbreidingen van bevoegdheden van de AIVD en de MIVD.

Ten slotte maak ik duidelijk dat mijn onderzoek zich ook richt op het verwerken van inlichtingen door andere instanties, zoals de politie, de NCTV, de FIOD en particulieren. Daar heb ik uiteraard ook de hulp van andere onderzoekers en auteurs bij nodig. Ik kijk er naar uit de komende jaren mijn bijdrage te leveren op het gebied van ‘Inlichtingen en Recht’.

Basisboek Cybercriminaliteit

In het najaar van 2019 staken enkele criminologiedocenten hun koppen bij elkaar en vatten het plan op een boek te schrijven over cybercriminaliteit ten behoeve van het onderwijs. Dat leidde uiteindelijk tot het Basisboek Cybercriminaliteit van Wytske van der Wagen, Marleen Weulen Kranenbarg en mijzelf. Ook hebben enkele andere auteurs aan het boek meegewerkt en vanuit hun eigen expertise een mooie bijdrage geleverd. Het boek is vanaf 29 oktober 2020 verkrijgbaar via de website van Boom Uitgevers (met hoofdstuk 1 als voorproefje) of te bestellen via bol.com (37,50 euro).

In ons onderwijs over Cybercriminaliteit merkten we dat steeds een samenraapsel van artikelen en andere stukken bij elkaar moesten zoeken. Een samenhangend, actueel en overzichtelijk verhaal ontbrak. Dat is voor ons het motief geweest dit boek te schrijven. Het boek (300+ pagina’s) biedt inzicht in de verschillende verschijningsvormen en kenmerken van cybercriminaliteit, strafbaarstellingen, daders, slachtoffers, onderzoeksmethoden voor het online domein, het opsporingsproces en mogelijke interventies.

Persoonlijk ben ik in mijn nopjes over het eindresultaat! Het boek verschaft een uitstekend overzicht van de wetenschappelijke kennis op criminologische en juridisch gebied over cybercriminaliteit. Hoofdstuk 3 en Hoofdstuk 7 – die ik zelf hoofdzakelijk heb geschreven (ook op basis van eerder werk) – verschijnen beiden over één jaar in open access.

De combinatie van (inleiding van) techniek, criminologie en rechten werkt heel goed en ik ga het zeker gebruiken in mijn eigen (gast)colleges en cursussen. Verder wordt het in ieder geval dit jaar al gebruikt voor onderwijs op verschillende universiteiten, zoals de Erasmus Universiteit, de Vrije Universiteit Amsterdam en de Universiteit Leiden. Ik ga het uiteraard ook promoten bij mijn collega’s aan de Universiteit Utrecht.

Feedback is altijd welkom, dus jullie kunnen mij daarover altijd mailen. Wie weet verschijnt er t.z.t. wel een tweede druk!

Annotatie OV-chipkaart zaak

In het tijdschrift Computerrecht is recent mijn annotatie verschenen over de ‘OV-chipkaart’-zaak (ECLI:NL:RBMNE:2020:2277). De annotatie is hier te downloaden (.pdf).

Inleiding

Een ‘OV-chipkaart’ is een persoonsgebonden of anonieme kaart waarmee personen in Nederland kunnen reizen met het openbaar vervoer (zoals de trein, bus en tram). Op een persoonsgebonden OV-chipkaart staat een pasfoto, naam en geboortedatum vermeld. Het biedt als voordeel met kortingsproducten te reizen. Deze persoonsgegevens staan niet vermeld op een anonieme OV-chipkaart. Met een anonieme OV-chipkaart wordt op een vooraf opgeladen bedrag (saldo) gereisd. De OV-chipkaart bevat een bepaalde chip (de ‘Mifare Classic’ chip) en heeft een ‘Near Field Communication’ (NFC) functionaliteit, waardoor de gegevens op de chip eenvoudig en contactloos door een poortje kunnen worden uitgelezen. In de eerste helft van 2019 waren er in Nederland 7,46 miljoen persoonlijke OV-chipkaarten in omloop en 7,36 miljoen anonieme OV-chipkaarten (Kamerstukken II 2019/20, 23645, nr. 713 (Voortgangsrapportage NOVB eerste helft 2019)).

De verleiding voor hackers om een OV-chipkaart te hacken en daardoor gratis te reizen is blijkbaar groot. Sinds de eerste proeven met een OV-chipkaart in Nederland en de landelijke invoering van OV-chipkaart in 2012 zijn er op www.rechtspraak.nl vier uitspraken verschenen over computervredebreuk en OV-chipkaarten (ECLI:NL:RBROT:2013:9579, ECLI:NL:GHDHA:2015:1427, ECLI:NL:RBROT:2019:1101, ECLI:NL:GHDHA:2019:2426). Daarnaast wordt er ook serieus wetenschappelijk onderzoek uitgevoerd naar de veiligheid van de ‘Mifare Classic-chip’ in de OV-chipkaarten en komen om de zoveel tijd berichten naar buiten over kwetsbaarheden in die chip. De onderhavige zaak springt er vergeleken met de andere zaken over gehackte OV-chipkaarten uit, vanwege de lange duur dat de twee verdachten gratis konden (zwart)reizen en de hoogte van de toegewezen vordering.

De feiten

De werkwijze van de verdachte en de medeverdachte bestond onder meer uit het plaatsen van de OV-chipkaart op de NFC-kaartlezer en het met een script een ‘brute force’ aanval op de OV-chipkaart uitvoeren totdat de sleutel (‘key’) is achterhaald. Met de key kon toegang worden verschaft tot de OV-chipkaart, waarna het saldo kon worden veranderd. Voor het veranderen van het saldo werd het programma ‘OVChipAppV6’ gebruikt (Zie voor een meer gedetailleerde uitleg de BNR-podcast ‘Onderzoeksraad der dingen’, dossier #0010b: zwartrijden).

Veroordeling

Beide verdachten zijn veroordeeld voor computervredebreuk, valsheid in geschrifte met betaalpassen en voorhanden hebben van gegevens om valsheid in geschrifte te plegen. In deze zaak wordt voor het eerst wordt vervolgd voor het vervalsen van een OV-chipkaart als zijnde een ‘waardekaart’ (artikel 232 Wetboek van Strafrecht (‘Sr’)). Hoewel het vervalsen van betaalpassen of waardekaarten mogelijk ook onder het delict valsheid in geschrifte valt, heeft de wetgever met de Wet computercriminaliteit I in 1993 ervoor gekozen om hiervoor een aparte strafbepaling in het leven te roepen. Net als bij valsheid in geschrifte is ook het opzettelijk gebruiken, het opzettelijk afleveren of voorhanden hebben van een valse pas of kaart strafbaar (lid 2) (zie ook B.J. Koops & J.J. Oerlemans, ‘Materieel strafrecht & ICT’, p. 79-80 in: B.J. Koops & J.J. Oerlemans, Strafrecht & ICT, Monografieën recht en informatietechnologie, 3e druk, Den Haag: Sdu 2019).

In de uitspraak wordt verder niet ingegaan op het delict computervredebreuk (artikel 138ab Sr). Het Hof Den Haag legt in een eerder arrest (ECLI:NL:GHDHA:2015:1427) uit dat in feite computervredebreuk wordt gepleegd op de NFC chip op de OV-chipkaart, nu deze chip bestemd is (en de technische mogelijkheden heeft) om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

De chip is met andere woorden het ‘geautomatiseerde werk’ in juridische zin (artikel 80sexies Sr), waarop opzettelijk en wederrechtelijk wordt binnengedrongen. (Het begrip is overigens met de Wet computercriminaliteit III als volgt gewijzigd:

“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.”

De chip kwalificeert ook nu als geautomatiseerd werk, evenals de paaltjes waarbij men moet in- en uitchecken en de achterliggende IT-infrastructuur).

Verweer

De verdediging voert aan dat de verdachten slechts uit nieuwsgierigheid hebben gehandeld, waardoor het oogmerk op financieel gewin zou ontbreken. De rechtbank gaat hier niet in mee, omdat de verdachten hebben bekend dat zij veelvuldig het saldo van OV-chipkaarten “valselijk” hebben opgeladen. De verdediging voert ook aan dat slechts bestaande software zou zijn doorontwikkeld en niet is ‘vervaardigd’ in juridische zin. De rechtbank verwerpt dit verweer, omdat het een ‘feit van algemene bekendheid’ zou zijn dat nieuwe computerprogramma’s veelvuldig zijn gestoeld op een basis van reeds ontwikkelde software. Hierdoor ontstaat nieuwe software, waardoor wel degelijk sprake zou zijn van vervaardiging van software, zoals ten laste is gelegd.

Het openbaar ministerie kon de verdachten mogelijk ook vervolgen voor het ‘voorhanden hebben van een technisch middel of toegangscode met het oogmerk computervredebreuk te plegen’ (artikel 139d lid 2 Sr). In een meer recent arrest legt het Hof Den Haag verder uit dat een kaartlezer waarmee saldo kan worden verhoogd niet zonder meer kwalificeert als een technisch hulpmiddel in de zin van artikel 139d Sr. Het hof overweegt kortgezegd dat de kaartlezer een vrij verkrijgbaar elektronisch apparaat is, dat doorgaans wordt gebruikt voor het uitlezen en beschrijven van (onder meer) NFC-chips. Niet blijkt uit de inrichting of de eigenschappen van de kaartschrijver/kaartlezer dat de producent heeft bedoeld een hulpmiddel te produceren dat hoofdzakelijk is ontworpen voor het begaan van delicten als computervredebreuk. De software waarmee OV-chipkaarten kunnen worden gemanipuleerd zijn wél te beschouwen als ‘technisch hulpmiddel’ in de zin van artikel 139d Sr. Het hof overweegt dat deze software immers specifiek is ontworpen om binnen te dringen in OV-chipkaarten, teneinde het saldo op OV-chipkaarten aan te kunnen passen en daarmee het plegen van computervredebreuk.

Schade

De verdachten hebben ongeveer 1,5 jaar lang gratis gereisd op eigen anonieme OV-chipkaarten. Translink Systems heeft zich als benadeelde partij in het geding gevoegd en vordert een bedrag van €68.913,73 als materiële schade die zij hebben geleden. Dit schadebedrag is veel hoger dan in voorgaande zaken over het hacken van OV-chipkaarten om gratis te reizen. De rechtbank concludeert dat de schadeberekening van aangeefster niet inzichtelijk is en een aantal fouten bevat en daarom een eigen berekening moet maken. Het bedrag van de schade ziet op het woon-werkverkeer van de verdachten. Bij het berekenen van het bedrag houdt de rechtbank rekening met het gemiddeld aantal vakantiedagen van werknemers in Nederland en de verdachten ook wel eens thuiswerkten. Op basis van 333 dagen en de kosten voor een retourtje Utrecht-Alkmaar van € 28,00 euro komt de rechtbank op een bedrag van € 9.324,00. De medeverdachte heeft minder frequent gebruik gemaakt van de eigen anonieme OV-chipkaart en moet een schadevergoeding betalen van € 5.264,00. De rechtbank verklaart de vordering voor het overige niet-ontvankelijk, omdat deze onvoldoende is onderbouwd. Zo is het onduidelijk hoe het schadebedrag aan de hand van de gegevens uit de tabellen is berekend, zien de tabellen ook op OV-chipkaarten waarvan de keys niet op de computers van verdachte en medeverdachte zijn aangetroffen.

Opsporing

In nieuwsartikelen en podcasts die verschenen naar aanleiding van deze zaak komt ten slotte nog  interessante informatie over het opsporingsproces naar boven. Het blijkt behoorlijk lastig zijn dit soort OV-chipkaarthackers op te sporen als ze de encryptiesleutel kunnen achterhalen. Het begint met aangifte van Translink Systems: het bedrijf dat de OV-kaarten uitgeeft en transacties met de kaarten verwerkt. Translink verwerkt per jaar 3 miljard transacties. Dit bedrijf monitort ook de transacties en detecteert ongeregeldheden die mogelijk fraude betreffen. Na de aangifte zijn de verdachten met “ouderwets recherchewerk” door de politie geïdentificeerd.

De verdachten zijn geïdentificeerd met name door het bekijken van camerabeelden op de stations van NS op het moment dat een frauduleus aangemerkte transactie plaats heeft gevonden. Vervolgens zijn de verdachten naar verluid tot hun woning gevolgd en zijn NAW-gegevens opgevraagd. Daarna heeft de politie beide verdachten op heterdaad betrapt bij het inchecken bij een poortje met een gehackte OV-chipkaart na observatie bij een vast reispunt van de verdachte.

Tot slot

Als de software en middelen om OV-chipkaarten te hacken voor een breder publiek beschikbaar komen, kunnen we meer van dit soort zaken verwachten. De staatssecretaris van Infrastructuur en Waterstaat heeft in een Kamerbrief (.pdf) van 2 juli 2019 laten weten dat het de bedoeling is dat de OV-chipkaart in 2023 wordt uitgeschakeld. Met een nieuw systeem moet het betaalgemak groter worden, omdat dan ook met andere betaalmiddelen kan worden betaald, zoals een bankpas of mobiele telefoon. Ongetwijfeld zullen hackers dan ook weer hun best doen het systeem te kraken en gratis te reizen.  

National security and the processing of personal data

On 10 October 2018, ‘Convention 108’ of the Council of Europe regarding the ‘automatic processing of personal data’ (1985) was updated. Convention 108+ now explicitly incorporates the processing of personal data in a national securitycontext. The Netherlands signed Convention 108+ on 10 October 2018 and is now in the ratification process.

Surprisingly, Convention 108+ did not gain much attention yet. For the Netherlands, the treaty may bring changes to current legislation, because it provides more stringent regulations for the processing of data in a national security context and possibly provides for broader powers for oversight authorities.

Processing data in a national security context within the EU
Convention 108+ contains basic principles and provisions for processing personal data, as well as standards regarding oversight mechanisms and the international transfer of data. Many provisions are similar to the General Data Protection Regulation (GDPR).

However, the GDPR does not apply to national security and intelligence agencies. The European Union (EU) has no competence to regulate national security law for EU Member States. As a result, regulations for processing data in a national security context differ across the EU.

Convention 108+ may bring more harmonisation of the regulations for processing personal data and oversight mechanisms. The treaty enters into force on 11 October 2023 if there are 38 Parties to the Protocol amending Convention 108. So far, 36 States have signed the new Convention but only six have ratified.

Stricter regulations for processing data
Convention 108+ encompasses many basic principles of data processing, such as the principle of processing data (a) for specified and legitimate purposes; (b) adequate, relevant and not excessive in relation to the purposes for which they are stored; (c) accurate and, where necessary, kept up to date; and (d) no longer stored than necessary (see article 5 of Convention 108+). In addition, categories of sensitive data are identified (and updated in the new protocol) and data subjects gain certain rights (such as the right to be informed and the right to request rectification when informed).

In a national security context (similar to a law enforcement context) some principles do not apply or apply differently, such as the right to be informed of data processing and limitations to the notification principle. It is understandable, that some limitations to the notification principle apply. For instance, when so-called ‘targets’ (in a national security context) or ‘suspects’ (in a law enforcement context) are informed about the processing of their data, they know they are of interest to these national authorities and may then change their behaviour to continue their harmful activities without being detected.

The updated Convention 108+ strengthens the data processing regulations in a national security context. For example, the new Convention does not differentiate levels of protection afforded to a State’s own citizens or foreigners with regard to transborder flows of personal data (adjusted in article 14 of Convention 108+). Some States do apply this differentiation in their national security legislation. In addition, compared to Dutch legislation for national security and intelligence services, the Convention entails a broader definition of ‘sensitive data’, for which stricter regulations apply to process this type of data.

Oversight powers
Convention 108+ may bolster supervision of data processing activities in a national security context. Some oversight bodies for national security and intelligence agencies have access to data located at these agencies and some can even halt unlawful data processing activities. Convention 108+ demands that oversight bodies for data processing activities are independent (similar to the judiciary or a judicial body) and effective. Based on article 15 and 16 of the Convention, to be effective an oversight body must have the power to intervene, such as the possibility to halt data processing activities or even order that unlawfully processed data be deleted.

The new Convention allows for limitations to these far reaching powers in the field of national security and defense, provided that it is done ‘by law and only to the extent that it constitutes a necessary and proportionate measure in a democratic society to fulfill such an aim’. Granting oversight bodies such far reaching powers is a big step, because the fear of States may be that their security and intelligence services will no longer have pieces of information that may be relevant in the future to secure national security (for example to prevent a terrorist attack). However, from the perspective of protecting human rights, it can be argued that this step is part of the requirement of effective review and supervision of intelligence and security services, as interpreted in the jurisprudence of the European Court of Human Rights (ECHR) and pursued by the new Convention 108+.

Now what?
What does this mean for processing personal data for the purpose of national security? For the Netherlands, it means the provisions of Convention 108+ must be implemented in national law. This requires some changes, for example with regard to the aforementioned category of ‘sensitive data’. In addition, the Dutch oversight body for intelligence and security services does not have the binding power to intervene in unlawful data processing activities. The Dutch government must address this issue and decide which changes to law are desirable.

We welcome Convention 108+ because it brings more harmonisation to the regulations for processing data in a national security context and may strengthen oversight bodies for national security and intelligence agencies for States that ratify Convention 108+. It protects the individuals involved in the processing of personal data and provides more legal certainty with regard to the applicable rights and regulations. We look forward to contributing and monitoring the implementation of the treaty throughout the world.

Jan-Jaap Oerlemans & Mireille Hagens

This is cross post from the Montaigne Centre Blog.

Annotatie bij Macro-malware zaak

Hieronder volgt mijn annotatie (.pdf) bij de Macro-malware zaak.

Citeertitel: Rb. Rotterdam 19 maart 2020, ECLI:NL:RBROT:2020:2395, Computerrecht 2020/88, m.nt. J.J. Oerlemans

Inleiding

De verdachte is in deze zaak veroordeeld (ECLI:NL:RBROT:2020:2395) voor het vervaardigen, verkopen, verspreiden en voorhanden hebben van malware met het oogmerk computervredebreuk te plegen. De verdachte ontwikkelde het programma ‘Rubella Macro Builder’. Het is zogenoemde ‘macro-malware’, omdat het aan Officedocumenten zoals Word en Excel een stuk verborgen code toevoegt die iets uitvoert. De verdachte had het programma zo geprogrammeerd dat het heimelijk verbinding legde met een externe server waardoor cybercriminelen hun eigen malware konden plaatsen op de computers van de slachtoffers. De zaak is interessant, omdat het een van de weinige veroordelingen is voor de vervaardiging van malware door een Nederlander en het misbruik maken van de macro-functionaliteit in Office-documenten een veelgebruikte aanvalstechniek is van cybercriminelen.

Bron: McAfee.

Onderzoek vangt aan door particulier onderzoek

De zaak begon niet met een opsporingsonderzoek door de politie, maar met een onderzoek van cybersecuritybedrijf McAfee. De onderzoekers bij McAfee viel een advertentie op het oog van het programma op een hackersforum. Het screenshot van een geprepareerd Word-document had Nederlandse taalinstellingen. Dat is ongebruikelijk in de hackerswereld, waar de voertaal volgens McAfee doorgaans Engels is. Ook was een chataccount (van Jabber) van een ene ‘Rubella’ te vinden. De onderzoekers namen contact op via Jabber met de aanbieder en toonde interesse in de software.

Nader onderzoek van de malware – ‘Dryad’ genaamd – toonde verschillende functionaliteiten aan, zoals (1) de mogelijkheid een uitvoeringsbestand te downloaden van een aangegeven URL, (2) de mogelijkheid (o.a.) een .exe-bestand op een computer te starten, (3) de bestandsnaam van de download te wijzigen, (4) verschillende functionaliteiten om antivirusprogramma’s te omzeilen, en (5) de functionaliteit een Word- of Excel-document te generen.

Strafbare karakter van feiten

De verdachte wordt het vervaardigen van malware, te weten ‘Rubella’, ‘Dryad’ en ‘Cetan’, ten laste gelegd. Deze typen malware zijn hoofdzakelijk geschikt voor het voorbereiden van het plaatsen van afluister- en/of hackapparatuur (strafbaar gesteld in art. 139d lid 2 sub a Sr jo 138ab Sr). De verdachte heeft deze malware vervolgens verkocht, verspreid, anderszins ter beschikking gesteld en voorhanden gehad. Het fungeert als ‘tool’ voor cybercriminelen (zie r.o. 4.2.1). In 2017 berichtte Europol dat misbruik van de macro-functionaliteit in Office-documenten een veel gebruikte aanvalstechniek is van cybercriminelen.

Zie bijvoorbeeld Europol, ‘Internet organised threat assessment report 2017’, p. 57:

“A common approach is to attach a malicious attachment to an email, often a Microsoft Office document containing malicious macro code – a tactic that Dridex is notorious for resurrecting. Alternatively the message may include a link to a malicious URL which will then attempt to infect the target computer when they visit the site.”

De verdediging voert aan dat de verdachte geen oogmerk had dat met de software computervredebreuk wordt gepleegd. Het benodigde oogmerk voor de strafbaarstelling zou dus ontbreken, waardoor de verdachte moet worden vrijgesproken. De rechtbank gaat daar niet in mee. Er is veel bewijs voorhanden dat tot bewezenverklaring van het benodigde oogmerk leidt. De verdachte zegt in zijn verklaring bijvoorbeeld dat de software is ontwikkeld om antivirusprogramma’s te omzeilen en toegang te krijgen tot andermans computer. Ook verklaart hij ter zitting dat hij op een bepaald moment de Rubella software is gaan verkopen (r.o. 4.2.3). Dat is mijns inziens in feite een bekentenis.

De rechtbank overweegt dat verdachte de producten op hackersfora verkocht en daarop zijn producten aanprees. Zo is te lezen in een digitale advertentie van Rubella dat het mogelijk is om aan deze malware een ‘powershell payload’ toe te voegen. Met ‘payload’ wordt malware bedoeld die een kwaadwillende kan uitvoeren bij zijn slachtoffer. In de advertentietekst wordt verder benadrukt dat het mogelijk is om met deze malware anti-virusdetectie te omzeilen. Tevens wordt benadrukt in de advertentietekst dat de malware al vier weken FUD zou zijn. Wanneer een bestand FUD is, wordt bedoeld dat het niet door antivirussoftware wordt herkend als zijnde een virus, aldus de rechtbank in zijn uitleg van deze zaak met een hoog technisch karakter (r.o. 4.2.3).

De rechtbank leidt het oogmerk onder andere af uit het geanalyseerde berichtenverkeer op telefoon van de verdachte. Hieruit blijkt dat de verdachte zelf het verband al heeft gelegd tussen het maken en verkopen van deze software en de strafbaarstelling op grond van artikel 139d lid 2 sub a Sr (r.o. 4.2.3). De verdachte wordt ook veroordeeld voor het voorhanden hebben van creditcardgegevens van 42 personen, terwijl hij wist dat het mogelijk was om met deze gegevens creditcardfraude te plegen.

De rechtbank acht het ontoegankelijk maken van gegevens met de programma’s niet bewezen, omdat uit de beschikbare dossierinformatie onvoldoende is gebleken dat de door de verdachte vervaardigde en verkochte malware hoofdzakelijk geschikt of ontworpen was om gegevens te wissen of onbruikbaar te maken, dan wel vernieling van een geautomatiseerd werk te plegen (zoals bij ransomware, zie ook Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153, Computerrecht 2018/210, m.nt. J.J. Oerlemans en mijn blogbericht over de strafbaarstelling van het vervaardigen en voorhanden hebben van ransomware).

Veroordeling

De verdachte wordt veroordeeld tot 12 dagen gevangenisstraf (de tijd dat hij in voorarrest heeft gezeten) en een taakstraf van 240 uur, met daarbij een voorwaardelijke gevangenisstraf van 180 dagen met een proeftijd van 3 jaren.

Opvallend is dat reclassering adviseerde de verdachte aan te melden bij het programma ‘Hack_Right’ om een positieve draai te geven aan de vaardigheden van de verdachte. Binnen het programma lopen jonge hackers bijvoorbeeld stage bij een cybersecuritybedrijf. De rechtbank vindt het niet nodig dat de verdachte het programma Hack_Right volgt, vanwege ‘de voorwaardelijke gevangenisstraf gedurende een proeftijd van drie jaren en vanwege het leereffect dat van deze strafzaak zal uitgaan voor de verdachte’. De destijds 6,76 Bitcoin (met een waarde van 22.711,97 euro) wordt verbeurd verklaard, omdat deze vermoedelijk met de strafbare feiten zijn verkregen.

De strafoplegging valt tegelijkertijd lager uit dan de officier van justitie heeft geëist. Dat is volgens de rechtbank te verklaren vanwege de overwegingen van de persoon van de verdachte en deels omdat minder wordt bewezen dan de officier van justitie ten laste had gelegd.

Conclusie

Juridisch gezien is er weinig op te merken aan de uitspraak. De rechtbank voert de juiste overwegingen in deze technische zaak en het oordeel van de rechtbank is begrijpelijk. De straf kan als laag worden gezien, omdat de software het mogelijk maakt voor cybercriminelen om op grote schaal computervredebreuk te plegen. De veroorzaakte schade door de software is mogelijk aanzienlijk. Echter, op het delict staat slechts maximaal twee jaar gevangenisstraf en de rechtbank legt een flinke voorwaardelijke gevangenisstraf met proeftijd op. Met deze straf kan de verdachte verder gaan met zijn studie en verder werken aan zijn toekomst.

Het was wel interessant geweest meer te lezen over de bewijsgaring  van de politie onder leiding van het Openbaar Ministerie. Vermoedelijk is een netwerkzoeking ex 125j Sv toegepast toen de politie in de collegezaal de verdachte arresteerde en de laptop van de verdachte doorzocht. In de media is te lezen dat de laptop nog aanstond en de politie bewijs direct heeft verzameld. Het zou goed zijn daar mee over te lezen, omdat er nauwelijks jurisprudentie is over de bevoegdheid van de netwerkzoeking. De advocaat heeft hier echter geen verweer op gevoerd, waardoor de rechtbank Rotterdam er ook geen overwegingen aan hoeft te wijden.

Met name de technische details van de zaak en het geringe aantal veroordelingen voor het vervaardigen van software die als ‘tool’ door cybercriminelen wordt gebruikt, maakt de zaak lezenswaardig.