Categorie Publicaties

The future of data driven investigation in light of the Sky ECC operation

jjoerlemans Een reactie plaatsen

In our article, ‘The future of data driven investigations in light of the Sky ECC operation’, we examine whether or not, and on what terms, there is a future for data driven criminal investigations.  To answer the research question, we identified the main characteristics and legal criteria for data driven investigations. We use the Sky ECC operation to contextualise data driven investigations. The legal criteria are derived from the right to privacy and the right to a fair trial. Finally, we examine the impact of a violation of these criteria for the use of evidence in criminal proceedings.

The full article is published in open access in the New Journal of European Criminal Law (.pdf). It is part of a thematic issue ‘Bridging the Regulatory Disconnection Between Data Collection and Data Analysis in Criminal Investigation’. In this blog post, we share our main findings.

The Sky ECC operation

Sky ECC is an app on so-called cryptophones, which were widely used by individuals involved in organised crime. The app used encryption techniques to communicate more securely and entailed additional features to anonymise its users.

French, Dutch and Belgium law enforcement authorities cooperated in a Joint Investigation Team (JIT) to gather evidence about the criminal activities of Sky Global and its users and share technical knowhow. In our article we explain the events of the operation as detailed as possible. Most notably, French law enforcement authorities were able to collect and decrypt messages and other data sent by Sky ECC cryptophones from 18 December 2020 until presumably approximately 9 March 2021.

According to Belgian law enforcement officials, 1 billion (!) messages were intercepted by French law enforcement authorities in France and shared with the JIT partners. At least 500 million messages of this ‘bulk interception’ were decrypted within the first month. We believe that these messages represent a treasure trove or “jackpot” for law enforcement authorities, due to the potential evidence of crimes and intelligence that can be derived from them. Law enforcement officials have made similar statements in interviews.

Therefore, the Sky ECC operation is a prime example of a data driven investigation. This type of investigation involves the processing of data that has been collected by law enforcement authorities in an earlier phase, which is then enriched, and linked with other data for future investigations. Of course, the bulk collection and subsequent analyses of data for use of evidence, raises questions relating to the right to privacy and the right to a fair trial.

  1. Right to privacy

In our article, we examine the privacy interference in an operation such as Sky ECC and identify which minimum safeguards the European Court of Human Rights (ECtHR) would probably require in a (future) case involving this type of operation. We explain that the bulk collection in Sky ECC significantly interferes with the right to privacy and the ECtHR would probably require at least the same safeguards as identified in the case of Big Brother Watch and Centrum för Rättvisa.

We find it particularly noteworthy that the minimum safeguards do not only focus on the collection phase, but require safeguards during all phases, including the (further) processing of data. Obviously, only a warrant provided by a judge or independent authority to justify bulk interception of communications is not enough. With these minimum safeguards, the ECtHR makes clear that throughout the phases of bulk data investigations, principles of data protection regulations apply. Here, the ECtHR clearly establishes a connection between criminal procedural law and data protection law.

In order to minimise the risk of the bulk interception power being abused, the ECtHR emphasises the need for ‘end-to-end safeguards’. This entails the following key elements: (a) a necessity and proportionality assessment should be made at each stage of the process; (b) bulk interception should be subject to independent authorisation at the outset, when the object and scope of the operation are being defined; and (c) the operation should be subject to supervision and independent ex post facto review.

  1. Right to a fair trial

In our analysis of the right to fair trial, we focused on the ‘equality of arms’, a key principle of the right to a fair trial. The ECtHR has consistently judged that criminal procedure should be adversarial and that there should be ‘equality of arms’ between prosecution and defence. Building upon earlier work of others, we identified three main elements of the equality of arms in the context of the Sky ECC operation: (1) transparency; (2) reliability of evidence; and (3) access to datasets.

We noted that the use of algorithms, key word indexes, or network analysis techniques is rarely mentioned in case law. Yet, this information may be relevant when discussing the reliability of the evidence. Compared to earlier work, we made a more in-depth analysis regarding the issue of the reliability of evidence.

The legal evaluation of the authenticity and reliability of digital evidence, and therefore the opportunity for the defence to challenge digital forensics expertise, depends on the selected digital forensic process, methods, and tools for each forensic task. There must be sufficient documentation and possibilities to challenge the reliability of evidence. At the same time, we point out that Sky ECC messages are rarely the only source of evidence used to convict individuals of crimes. Oftentimes, additional sources of evidence are available, such as data production orders directed at telecommunication service providers to gather subscriber and location data, data production orders to gather passenger name records, seizing a suspect’s cryptophone, correlating the nicknames of suspects from other sources of evidence to Sky ECC messages, and, of course, obtaining testimonials or even confessions from suspects. Taken together, this may be factored in when assessing the reliability of evidence.

With regard to access to datasets, we reiterated that all information that is deemed relevant in a particular case and that can be used against the suspect in a criminal case (the tertiary dataset), should be disclosed to the suspect. In addition, the defence should have sufficient facilities (an ‘effective opportunity’) to access and analyse the data. The defence can request and should motivate why they require further access to the secondary dataset. When the Public Prosecution Service denies access to the data, it must motivate this refusal, for example by referring to ongoing (other) criminal investigations or the risk of reprisals for individuals who are also part of the dataset.

  1. Exclusion of evidence

In general, the ECtHR keeps aloof when it comes to the assessment of evidence, as this is rather a task for the national judges, especially assessing the admissibility or weight of specific pieces of evidence. In other words, the ECtHR provides for a large margin of appreciation on this matter by national judges. Nevertheless, some overall observations should be made.

In our article we first point out that the ECtHR has repeatedly found that evidence obtained through a violation of the right to privacy does not necessarily amount to a violation of the right to a fair trial. Hence, privacy violations should not lead to the exclusion of evidence and could have little to no impact on ongoing and future possible criminal cases. However, it is uncertain this will remain so, due to case law of the Court of Justice of the European Union.

Second, violations of the right to a fair trial may have serious consequences for the outcome of an investigation. Not only can evidence be excluded from the procedure, e.g., when evidence is not reliable, but a violation of the right to a fair trial can also render the procedure as a whole inadmissible or lead to the acquittal of suspects, e.g., when the defendant has not had proper access to the evidence.

Conclusion

The Sky ECC operation illustrates a law enforcement practice in which intelligence and criminal investigations have become intricately intertwined, potentially spawning hundreds, if not thousands, of criminal cases from a single activity involving bulk data collection.

We posit that Sky ECC may serve as a precursor to future operations in which law enforcement authorities target similar ‘grey infrastructures’, employing investigative techniques such as the seizure of servers, hacking, or the interception of communications, or all of these at the same time. However, law enforcement authorities must tread carefully on the fine line between intelligence gathering and criminal investigation. There is a danger that the main objective becomes a fishing expedition, because the sought-after data may be a treasure trove for other criminal investigations, but not sufficiently related to the investigation at hand. There is also the risk of a slippery slope, as it is unclear what proportion of criminal activity makes an infrastructure exactly ‘grey’ and thereby a potential target for law enforcement agencies.

When regulating data-driven investigations, the main take-away of our analysis relating to the right to privacy is that a warrant authorising the acquisition of the data is not a sufficient safeguard. The ECtHR requires that data protection regulations are also applied and overseen by independent and effective oversight bodies. Criminal procedural law, which regulates the collection of data, and data protection law, which regulates the processing of data, are connected and intertwined.We also emphasise that violations of the right to a fair trial may have serious consequences for criminal proceedings, since they may lead to the exclusion of evidence. Therefore, we anticipate an ongoing discourse on the transparency and reliability concerns in operations like Sky ECC.

Jan-Jaap Oerlemans & Sofie Royer

This is a cross-post from sofieroyer.be and Montaigne Centre Blog.

Antwoorden Hoge Raad op prejudiciële vragen in de EncroChat- en SkyECC-zaken

jjoerlemans 2 reacties

Op 13 juni 2023 antwoordde (ECLI:NL:HR:2023:913) de Hoge Raad de prejudiciële vragen over EncroChat en SkyECC. Voor het Nederlands Juristenblad (NJB) hebben Bart Schermer en ik een artikel (.pdf) geschreven waarin wij de antwoorden op deze vragen analyseren.

In dit blogbericht delen wij onze belangrijkste conclusies.

Interstatelijk vertrouwensbeginsel

De antwoorden van de Hoge Raad met betrekking tot het interstatelijke vertrouwensbeginsel zijn over het geheel genomen niet verassend. De Hoge Raad maakt (wederom) duidelijk dat het niet behoort tot de taak van de Nederlandse strafrechter om de rechtmatigheid van de uitvoer van het buitenlandse onderzoek te toetsen.

Nederlandse rechters moeten dus uitgaan van de rechtmatigheid van het verzamelde bewijs in Frankrijk in de EncroChat en SkyECC-zaken. Wanneer in Frankrijk onherroepelijk vast komt te staan dat het onderzoek niet in overeenstemming met de daarvoor geldende rechtsregels is verricht, dan kan de Nederlandse rechter daar op grond van het Nederlandse strafprocesrecht consequenties aan verbinden. Gezien de stand van zaken op dit moment, zal dit niet snel gebeuren.

Recht op een eerlijk proces

De Hoge Raad oordeelt ook dat het uitgangspunt is dat het dat het door de buitenlandse autoriteiten verkregen materiaal betrouwbaar moet worden geacht. Als er echter concrete aanwijzingen voor het tegendeel bestaan, dan is de rechter gehouden de betrouwbaarheid van die resultaten te onderzoeken. Die aanwijzingen kunnen voortkomen uit een specifiek verweer.

Wij plaatsen hierbij de kanttekening dat een verweer op dit punt voor de verdediging lastig is te onderbouwen, omdat deze (indirect) ook betrekking hebben op de toetsing van de rechtmatigheid van het Franse onderzoek waar het interstatelijke vertrouwensbeginsel aan in de weg staat. De ‘Catch 22’ die de verdediging ervaart wordt helaas voor hen niet opgelost door de Hoge Raad.

Wij wijzen erop dat de overwegingen omtrent het interstatelijke vertrouwensbeginsel betrekking hebben op de verzameling van de gegevens door en onder verantwoordelijkheid van buitenlandse autoriteiten. Echter, het interstatelijk vertrouwensbeginsel houdt op bij de Nederlandse grens.

Verweer op de verdere verwerking (analyse) van de gegevens

Advocaten kunnen dus verweer voeren op deze verdere verwerking van gegevens en de betrouwbaarheid van de ruwe data zelf en de daarop verrichte analyses ter discussie stellen. Met andere woorden: hoewel de verzameling van het bewijs niet te controleren valt, valt het verdere gebruik van het bewijs dat wél. Voor zover daartoe aanleiding is, bijvoorbeeld omdat de verdediging ontkent dat het digitale bewijs betrekking heeft op de cliënt, moet de verdediging hierop effectief verweer kunnen voeren.

De analyse van de gegevens in Nederland, waarbij ook gebruik wordt gemaakt van algoritmen en AI, staat volledig open ter toetsing aan het recht op een eerlijk proces. Als daartoe aanleiding is, moet de verdediging uitleg krijgen hoe het resultaat van die verdere gegevenswerking – het bewijs – tot stand is gekomen en daar verweer op kunnen voeren. Onzes inziens ligt op dit punt nog ruimte voor verweren en jurisprudentievorming.

Jan-Jaap Oerlemans & Bart Schermer

The necessity of a new cyberlaw for dutch intelligence and security services 

jjoerlemans

Growing cyber threats to Dutch national security reveal an urgent need to amend current  powers of intelligence and security services. The proposed “Cyber Act” aims to address these challenges by granting bulk interception and hacking capabilities, and by allowing for greater flexibility in the oversight process. However, further clarification is needed on the scope of the Act.

In my opinion, there is an urgent need for a new bill that amends the bulk interception and hacking powers of Dutch intelligence and security services. In this blog post, I share the essential points that I presented during a ‘round table hearing’ at the Dutch parliament on 5 April 2023. My original contribution (in Dutch) can be found here.

The (cyber)threat

The cyberthreat the proposed legislation aims to address should be completely clear. The Dutch General Intelligence and Security Service (AIVD) first reported about ‘digital infringements on Dutch vital ICT infrastructures’ in 2007. This message highlighting the risks of digital espionage to our national security has been reiterated in every annual report since 2013. These reports explicitly mention various victims of digital espionage, including Dutch ministries, telecom providers, universities, educational institutions, think tanks, and biotechnology companies.

Our Military Intelligence and Security Services (MIVD), as well as the National Cyber Security Centre (NCSC), have echoed these concerns. In fact, the NCSC considers the threat posed by ‘state actors’ to cybersecurity as the most significant among all threats, surpassing even the threats posed by criminal actors. 

The problem

In 2021, the Dutch intelligence and security services raised concerns regarding challenges they encountered in their cyber operations. These issues primarily stem from the “legality review” process conducted by the newly established Investigatory Powers Commission (TIB). The TIB is responsible for granting or denying warrants for investigatory powers, including bulk interception and hacking.

The proposed Cyber Act  

To address these challenges, a bill has been introduced, which I refer to as the ‘Cyber Act’. This proposed legislation specifically addresses bulk interception and hacking capabilities and proposes significant changes to the oversight system in the Netherlands. It is crucial to emphasise that the scope of the bill is limited to operations conducted by Dutch intelligence and security services that target the gathering of intelligence related to “offensive cyber operations of foreign states”. 

The aim of the proposed bill is to amend and partially shift the oversight of bulk interception and hacking as investigatory powers from the Investigatory Powers Commission (TIB) to the Dutch Review Committee on Intelligence and Security Services, allowing for greater flexibility for intelligence and security services. It seeks to establish a more dynamic oversight process that aligns with the technical realities of these powers. 

It is also noteworthy that the proposal grants the Dutch Review Committee on Intelligence and Security Services the (binding) power to halt an operation and (ultimately) order the deletion of unlawfully processed data when specific investigatory powers are employed. Currently, this oversight body lacks any binding authority in its task of overseeing intelligence and security services. Additionally, the proposed legislation introduces an appeals procedure for decisions made by the Dutch oversight bodies, enabling a judge to make the final determination regarding the legality of actions and decisions. 

Bulk interception 

Bulk interception serves as a notable example that illustrates how investigatory powers are amended in the Cyber Act. One significant challenge in the current application of bulk interception as an investigatory power is the disagreement between the intelligence and security services (and their responsible ministers who authorise these powers) and the Investigatory Powers Commission (TIB) regarding the level of focus that should be applied to bulk interception.

It is important to clarify that bulk interception is inherently non-targeted in nature. It involves the interception of large volumes of data (bulk) after it is collected at a specific location. This process differs from, for instance, wiretapping. With wiretapping, data associated with a particular identifying number, such as a telephone number or IP address is intercepted. Bulk interception captures a greater volume of data, including unidentified numbers that may be connected to potential national security threats. In a cybersecurity context, bulk interception can be used to collect intelligence about the IT infrastructure utilised by foreign actors engaging in covert activities on Dutch infrastructure.

The Cyber Act aims to do more justice to the untargeted nature of bulk interception, but solely within the context of gathering intelligence related to the threat of offensive cyber operations conducted by state actors that pose a risk to national security. While the bill includes numerous detailed provisions, which I will not delve into here, I believe the arguments put forth in support of the proposals are compelling. Therefore, it is in my view necessary to amend the law. In fact, I think we should consider an even more substantial role for intelligence and security services in combating cybersecurity threats.

Addressing the threat of cybercrime to national security

The issue of cybercrime posing a threat to national security deserves attention. I emphasised that the Dutch National Security Centre identified ransomware as a national security threat. I agree with this assessment, insofar ransomware attacks have severe economic consequences or disrupt vital infrastructures. Regrettably, we have already witnessed ransomware incidents targeting the Port of Rotterdam, hospitals, and municipalities in the Netherlands.

In the Netherlands, there is a strict separation between the investigation of criminal activities and the investigation of national security threats. It is evident to me that the Dutch Intelligence and Security Services should investigate ransomware attacks that pose a risk to national security. However, it remains unclear whether such investigations are currently being carried out. While the Dutch Cyber Act appears to primarily focus on state actors, I would appreciate clarification on whether it also encompasses ransomware activities conducted by criminal organisations.

This is a cross-post from my blog post on aboutintel.eu. It is part of a discussion prompt about the ‘Dutch Temporary Cyber Act‘, with contributions of Lotte Houwing and Bert Hubert.

Datagedreven opsporing en toezicht

jjoerlemans 2 reacties

In januari 2023 hebben prof. mr. Marianne Hirsch Ballin en ik een artikel (.pdf) geschreven over datagedreven opsporing en toezicht in het tijdschrift voor strafrecht ‘Delikt en Delinkwent’. In deze blogpost leiden wij ons artikel in.  

Datagedreven opsporing

Datagedreven opsporing is de verwerking van gegevens die eerder door de politie bij hun taakuitoefening in andere onderzoeken zijn verzameld en daarna ten behoeve van nieuwe opsporingsonderzoeken worden geanalyseerd. De zogenoemde ‘cryptotelefoon-operaties’ zijn een bekend voorbeeld van deze datagedreven opsporing.

In deze operaties zijn tot wel honderden miljoenen berichten in één operatie veiliggesteld van cryptotelefoonaanbieders zoals ‘EncroChat’ en ‘SkyECC’ (zie ook dit overzicht op deze blog). Deze gegevens vormen (ten dele) bewijs voor honderden toekomstige strafzaken. In politiepraktijk worden deze operaties ook wel beschreven als een game changer.  

In ons artikel stellen wij dat datagedreven opsporing ook een ‘game changer’ zou moeten zijn voor de wijze waarop digitale opsporingsbevoegdheden worden genormeerd. Het gaat dan in het bijzonder om de relatie tussen het Wetboek van Strafvordering (waarbinnen onder andere opsporingsbevoegdheden worden geregeld) en de Wet politiegegevens (waar de verwerking van gegevens wordt geregeld) en het bijbehorende toezicht.

We zetten in ons artikel het model uiteen van datagedreven opsporing en illustreren dat aan de hand van de daarover bekende strafrechtspraak en de praktijk bij het Team High Tech Crime (THTC) van de politie. Over deze praktijk is ook het lezenswaardige WODC-rapport ‘Opsporen, vervolgen en tegenhouden van cybercriminaliteit’ verschenen, waar ook wordt gewezen op het spanningsveld tussen deze praktijk en strafvordering.

De praktijk van het Team High Tech Crime laat zien dat er bij datagedreven opsporing slechts een beperkte rol is voor controle door de strafrechter via strafzaken. Als bijvoorbeeld het doel is een cybercriminele (ICT-)infrastructuur onderuit te halen en het verdienmodel aan te tasten, dan zijn dat activiteiten die vaak niet leiden tot vervolging van een concrete verdachte waardoor die activiteiten buiten het zicht van de strafrechter blijven. En wanneer de inzet van de opsporing ook het vergaren van intelligence ten behoeve van nieuwe onderzoeken omvat, is dat een aspect dat de strafrechter in de regel niet in zijn beoordeling betrekt. Recentelijk wees ook prof. Bart Schermer hierop in zijn inaugurele rede ‘De gespannen relatie tussen privacy en cybercrime’ bij de Universiteit Leiden.

Het spanningsveld met strafvordering

De cryptotelefoon-operaties laten zien dat het model van het Team High Tech Crime ook wordt toegepast in andere strafzaken, buiten de context van de cybercriminaliteit. Vastgesteld kan worden dat daarmee het verwerven van intelligence verweven is geraakt met de opsporingspraktijk. Deze ontwikkeling legt uit normatief oogpunt druk op het huidige stelsel van strafvordering in Nederland.

De verzameling van de gegevens bij datagedreven opsporing vindt plaats met toepassing van bijzondere opsporingsbevoegdheden die worden gereguleerd in het Wetboek van Strafvordering. In ons artikel leggen wij uit dat de verwerking en analyse van deze gegevens plaatsvindt op grond van de Wet politiegegevens (Wpg) en dat de daaropvolgende interventie een nieuw opsporingsonderzoek kan betreffen, maar bijvoorbeeld ook ‘verstoring’ met een grondslag in de Politiewet. De naleving van de Wet politiegegevens bij de strafrechter lijkt tot op heden geen rol van betekenis te spelen bij sanctionering van eventuele vormverzuimen.

Verder leggen wij uit dat deze praktijk een normatieve verbinding vergt tussen de reguleringskaders. De wetgever moet daarom de keuze maken óf normering van data-analyses in het Wetboek van Strafvordering óf voor nadere normering van analysebevoegdheden in de Wpg. Daarbij moet recht worden gedaan aan (basis)beginselen van strafvordering zodat de verbinding tussen de normeringskaders wordt gelegd.

Deze boodschap vindt bredere steun. Zie bijvoorbeeld ook het rapport van prof. Fedorova e.a. over ‘Strafvorderlijke gegevensverwerking’ en het artikel van B.W. Schermer & M. Galič, ‘Biedt de Wet politiegegevens een stelsel van ‘end-to-end’ privacywaarborgen?’. In ons artikel komen wij nu, in aanvulling daarop, tot de conclusie dat die constatering ook vraagt om veranderingen in de wijze waarop het stelsel van toezicht op de opsporing en verwerking van politiegegevens is georganiseerd.

Beter toezicht

Ruimte bieden voor bredere doelstellingen dan opsporing bij de inzet van bijzondere opsporingsbevoegdheden, betekent ook dat in de normering de bakens moeten worden verzet.

De totstandkoming van het nieuwe Wetboek van Strafvordering biedt de ruimte om op een weloverwegen manier te komen tot een herpositionering van de opsporing vanwege deze praktijk van datagedreven opsporing en interventies waarop rechtstreekse controle door de strafrechter ontbreekt. Het is daarbij noodzakelijk dat in de normering de verbinding tussen het Wetboek van Strafvordering en de Wet politiegegevens tot uitdrukking wordt gebracht en, in aansluiting daarop, het stelsel van toezicht op datagedreven opsporing wordt heringericht.

Met betrekking tot het toezicht achten wij een nieuwe vorm van toezicht wenselijk, die mede ziet op de inzet van data-analyses ten behoeve van de politietaken (inclusief de opsporing en aldus de datagedreven opsporing). Het verdient aanbeveling daarvoor een nieuw onafhankelijk extern toezichtsorgaan op te richten.

Gelet op de bredere consensus over de noodzaak van herijking van het stelsel van strafvordering in relatie tot de Wet Politiegegevens in de wetenschappelijke literatuur (zie de eerdere verwijzingen in deze blog), hopen wij dat onze aanbevelingen zich een weg naar het nieuwe Wetboek van Strafvordering zullen vinden.

Marianne Hirsch Ballin & Jan-Jaap Oerlemans

Citeerwijze artikel:

M.F.H. Hirsch Ballin & J.J. Oerlemans, ‘Datagedreven opsporing verzet de bakens in het toezicht op strafvorderlijk optreden’, DD 2023/2, nr. 1, p. 18-38

Chapters of ‘Essentials in Cybercrime’ available in open access

jjoerlemans

On 22 December 2021, our book ‘Essentials in cybercrime. A criminological overview for education and practice’ (edited by W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg) was published.

Our book is intended for students and professionals and offers insight into the various manifestations and features of cybercrime, offender and victim characteristics, quantitative and qualitative methods for studying crime in the digital domain, criminological theories that can be used to understand cybercrime, as well as possible interventions.

In addition to criminological aspects, the book also deals with a number of legal topics, including the criminalisation of cybercrime (under the Convention on Cybercrime) and the investigative powers that can be used by the police in the online domain.

My chapters ‘Types of cybercrime and their criminalisation’ (.pdf) (together with dr. Wytske van der Wagen) and ‘Cybercrime investigations’ (.pdf) (together with dr. Maša Galič) are now available in open access.

The rest of the is available at the store of Eleven Publishing (with Chapter 1 freely available) and stores like Bol.com.

Table of contents:

Chapter 3 – Types of cybercrime and their criminalisation

Jan-Jaap Oerlemans & Wytske van der Wagen

3.1         Introduction

3.2         Cyber-dependent crime

3.2.1     Hacking

3.2.1.1 Computer hacking

3.2.1.2 Ethical hacking

3.2.2     Malware

3.2.2.1 Ransomware

3.2.3     Botnets

3.2.4     Ddos attacks

3.3         Cyber-enabled crime

3.3.1     Cyber-enabled fraud

3.3.2     Online drug trafficking

3.3.3      Money laundering and virtual currency

3.3.4     Online sex offences

3.3.4.1 Child pornography

3.3.4.2 Sexting

3.3.4.3 Grooming

3.3.4.4 Sextortion

3.3.4.5 Revenge porn

3.3.5     Content crimes

3.4         Future developments

3.4.1     Increased involvement of state actors

3.4.2     The ‘internet of things’

3.4.3     The use of artificial intelligence by cybercriminals

3.5         To conclude

3.6         Discussion questions

3.7         Core concepts

Please cite as:

Oerlemans, J.J., & Van der Wagen, W. (2022). Types of cybercrime and their criminalisation. In Essentials in cybercrime: A criminological overview for education and practice. Eleven International Publishing, 53-98.

Table of contents

Chapter 8 – Cybercrime investigations

Jan-Jaap Oerlemans & Maša Galič

8.1         Introduction

8.2         Digital investigations and criminal procedure law

8.2.1     Regulating investigative methods

8.2.2     Jurisdiction and cybercrime

8.3         IP addresses as digital leads

8.3.1      Data production and preservation orders

8.3.2     Seizing and analysing data on computers

8.3.3     Network computer searches

8.4         The challenge of anonymity

8.4.1     Proxy and VPN services

8.4.2     Tor

8.4.3     Open source investigations

8.4.4     Online undercover operations

8.5         The challenge of encryption

8.5.1     Encryption in storage

8.5.2     Encryption in transit

8.5.3     Hacking as an investigative method

8.6         Disrupting cybercrime

8.7         To conclude

8.8         Discussion questions

8.9         Core concepts

Please cite as:

Oerlemans, J.J. & Galič, M. (2022). Cybercrime investigations. In Essentials in cybercrime: A criminological overview for education and practice. Eleven International Publishing, 197-254.

Legal Aspects of the EncroChat-Operation

jjoerlemans Een reactie plaatsen

In our article, ‘Legal Aspects of the EncroChat Operation: A Human Rights Perspective’, we examined what lessons can be learned from the Dutch experience with the EncroChat operation from a human rights perspective, in particular the right to a fair trial. The full article is published in open access in the European Journal of Crime, Criminal Law and Criminal Justice (.pdf).

As compared to other legal systems, the Dutch judiciary published a large number of cases at First Instance Courts and Courts of Appeal, in which EncroChat evidence is used. Dutch courts extensively considered arguments of defence attorneys relating to the right to a trial. Therefore, it is interesting for lawyers from other legal systems to review the state of knowledge in the Netherlands.

In order to explain what lessons can be learned from the Dutch experience, we set out the known facts about the operation, show how Dutch courts dealt with legal questions arising from the operation and examined relevant case law of the European Court of Human Rights (ECtHR).

We conclude that the right to a fair trial in Article 6 ECHR proved important in Dutch case law in three ways:

  1. Providing transparency about the operation;
  2. Providing a legal basis to test the reliability of the evidence obtained; and
  3. Providing access to data used as evidence against suspects in a criminal case.

1. Transparency about the operation

In our article, we explain how unrelenting questions of defence attorneys, with a(n) often implicit) basis in article 6 ECHR, led to discovery of details about the EncroChat operation in France and how the data was shared by French authorities and further processed by Dutch authorities. That was no easy feat, as the French declared the operation a state secret and the Dutch judiciary accepted that as fact with regards of the principle of trust.

Keeping the operation secret challenges the right to a fair trial under article 6 ECHR, more specifically the principle of equality of arms. Part of the principle of equality of arms is transparency about the manner in which the evidence is gathered. Law enforcement authorities and the public prosecutor can have a legitimate interest to keep information about the operation secret. However, keeping this information secret is allowed only insofar as it is strictly necessary and must be counterbalanced by the procedures followed by the judicial authorities.

In the Netherlands, as a counterbalance, an extra warrant must be obtained to create a subset of the EncroChat data to use it in a (new) criminal investigation. This way another (Dutch) judge will test the principles of proportionality and subsidiarity with regard to the processing of the EncroChat data, while taking into account the reproducibility of evidence and the protection of privileged communication.

2. Testing the reliability of the evidence obtained

The right to a fair trial also provides a legal basis to test the reliability of the evidence and the method of acquisition. When software is used in the collection of data, this can have a major influence on the reliability of evidence, because it challenges the confidentiality, integrity and availability of data.

Dutch case law shows that the Netherlands Forensic Institute reported that the hacking and interception software did not operate continuously, not all messages on EncroChat phones were intercepted during the entire operation and there had been instances of a mix-up in outgoing and incoming calls from EncroChat phones.

However, these shortcomings did not lead to the conclusion that all evidence from the EncroChat operation is unreliable. So far, Dutch defence attorneys failed to establish that the EncroChat data used as evidence was unreliable and no data has been excluded from evidence.

3. Access to EncroChat data

The right to a fair trial enables the defence – to a certain extent – to access EncroChat data that may be relevant in the trial against their client. Suspects need to be able to access the data in order (a) to review its integrity; (b) to review its reliability (because all EncroChat messages are sent under pseudonyms); and (c) to determine whether exculpatory evidence can be found in the dataset.

Our analysis of case law of the ECtHR shows that, while suspects cannot access all information collected in the EncroChat operation, they have a right to access data that is deemed relevant in their case. In addition, the defence should be able to reason why they require further access to EncroChat data, including data that is not part of the dataset created by the public prosecution service. They should also have the sufficient facilities (an ‘effective opportunity’) to access and analyse the data.

In the Netherlands, the defence can argue why they should be able to access both types of data based on key words and the use of filters. Sometimes access is refused because of ongoing (other) criminal investigations or for privacy reasons of individuals involved. The defence is facilitated in accessing the data at the Netherlands Forensic Institute and can use the same software as law enforcement authorities use to search and analyse the EncroChat data themselves. They can also request the data, which could then be provided to the defence in a readable format.

Conclusion

In conclusion, legal practitioners can learn from the Dutch experience with criminal cases following from the EncroChat operation. Especially arguments of defence attorneys relating to the right to a fair trial and the way Dutch practice dealt with these questions are noteworthy. 

The following three lessons can be learned:

  1. Defence attorneys will demand more transparency about the way the evidence is collected following the EncroChat operation. Some details about the operation may be kept secret, but must be counterbalanced. In the Netherlands, additional warrants with specific safeguards must be obtained to create a subset of the collected data. This data can then be used in a new criminal investigation. We argue this should be viewed a good practice.

  1. Defence attorneys will question the reliability of the evidence. The public prosecution service and law enforcement authorities should prepare for this argument and explain why the particular EncroChat data that is used in a criminal investigation is reliable. In addition, we recommend that other sources of evidence are used besides EncroChat data. Multiple sources of evidence may validate each other and strengthen the case.

  1. The defence has a right to access data that is used as evidence against a suspect. In the Netherlands, the defence now has the practical means to access this data and the right to argue why they should have access to a larger dataset. The defence is also facilitated in accessing the data in readable format. In our view, the public prosecution office and judiciary should prepare for requests of defence attorneys to access EncroChat data and States should invest in an infrastructure to facilitate these requests.

J.J. Oerlemans and D.A.G. van Toor

This blog is a cross-post from ‘Montaigne Blog‘.

Annotatie over de zaak IJsberg (bitcoins en witwassen)

jjoerlemans Een reactie plaatsen

Op 1 februari 2022 heeft het Hof Den Haag een arrest (ECLI:NL:GHDHA:2022:104) gewezen in de zaak ‘IJsberg’ over het witwassen van 39.842 bitcoins ter waarde van €4.464.642,03. Kim Helwegen en ik hebben een annotatie (.pdf) geschreven bij de zaak, omdat het Hof een opvallend beoordelingskader gebruikt ten aanzien van witwassen van Bitcoin en vanwege de meer technische overwegingen omtrent de technieken van ‘labelling’ en ‘clustering’ die vaak een rol spelen in witwaszaken met cryptocurrencies.

Feiten

De verdachte is in de onderhavige zaak in de periode van 3 januari 2013 tot en met 26 maart 2015 in Nederland actief geweest als bitcoinhandelaar. Vanaf het begin van deze periode betrof dit (mede) het inkopen van bitcoins tegen contant geld. De verdachte heeft hieromtrent onder meer verklaard dat hij in totaal naar schatting met meer dan 1.000 mensen bitcoins heeft verhandeld, en met ongeveer 100 daarvan in contant geld heeft gehandeld. Hij heeft geen onderscheid gemaakt tussen hen met wie hij in contant geld heeft gehandeld, en met wie niet.

Het hof maakt uit de verklaringen van de verdachte op dat hij ook in het kader van die laatste transacties contact met zijn klanten had op publieke plaatsen. Meestal ontmoette hij klanten bij eetgelegenheden zoals McDonalds, KFC of Burger King.

De bitcoins die hij uit deze transacties ontving, verkocht hij vervolgens online, bijvoorbeeld via ‘online exchanges’ (een wisselkantoor voor cryptovaluta) of voor contant geld aan andere ‘cash traders’ (o.a. door middel van advertenties op het darkweb). Het geld dat hij via online-exchanges ontving, nam hij vervolgens contant op, of hij liet hij direct van de online-exchanges op de bankrekeningen van anderen uitbetalen, onder meer bij twee medeverdachten.

Labelling

In eerste aanleg achtte de rechtbank Rotterdam het voor de vraag of sprake was van witwassen doorslaggevend of bitcoinadressen te relateren zijn aan darknet markets. Met informatie afkomstig van de website walletexplorer.com (hierna: ‘walletexplorer’) is beoordeeld of bitcoinadressen gelinkt konden worden aan darknet markets.

Het hof staat hier kritisch tegenover (r.o. 2.4). Het hof acht de koppeling van bitcointransacties met darknet markets op zichzelf niet als voldoende om vast te stellen of de aangeboden bitcoins mogelijk van misdrijf afkomstig waren. De getuige (de ontwikkelaar van walletexplorer) kon niet met voldoende zekerheid verklaren op welk moment labels aan wallets zijn gegeven. Als gevolg daarvan kan volgens het hof niet worden vastgesteld dat de verdachte in de aan de orde zijnde periode redelijkerwijs informatie op of via internet voorhanden had om vast te kunnen stellen of de aan hem aangeboden bitcoins mogelijk van misdrijf afkomstig waren.

Clustering

Ook de overwegingen van het hof over de werking van de techniek ‘clustering’ zijn interessant (r.o. 2.3). ‘Clustering’ is een techniek die ertoe leidt dat verschillende bitcoinadressen worden toegeschreven aan één en dezelfde entiteit (in meer juridische termen: een of meer natuurlijke of rechtsperso(o)n(en) die eigenaar van die adressen is/zijn).

Het hof overweegt dat clustering door walletexplorer plaatsvindt op grond van de aanname dat alle bitcoinadressen die tot de inputzijde of zendende kant van een transactie behoren (ook wel heuristiek genoemd), tot één en dezelfde entiteit behoren. Op grond van dit uitgangspunt kan dergelijke informatie worden gebruikt om verschillende transacties met elkaar in verband te brengen. Over deze techniek is door deskundige de heer Van Wegberg onder meer verklaard dat het een betrouwbare methode is om een gemeenschappelijke herkomst van bitcoinadressen vast te stellen. De analyse als zodanig wordt volgens deze deskundige – ten tijde van het getuigenverhoor d.d. 11 december 2017 – door geen enkele andere wetenschapper betwist. De verdediging heeft dit niet weerlegd.

Succes met ‘oude’ feiten en relatieve onbekendheid van Bitcoin

De verdediging stelde in deze zaak dat witwastypologieën voor virtuele betaalmiddelen van de ‘Financial Intelligence Unit’ (FIU) niet mogen worden gebruikt, omdat het handelen van de verdachte zich strekt over de periode van 2013 tot en met begin 2015. De typologieën waren destijds (r.o. 2.6):

– de koper biedt zijn diensten aan via internet middels vraag- en aanbodsites;

– de koper stelt geen identiteit van de verkoper vast;

– de koper rekent in contanten af;

– een legale economische verklaring voor de wijze van omwisseling is niet aannemelijk;

– de omvang van de aangekochte virtuele betaalmiddelen is niet aannemelijk in relatie tot gemiddeld particulier gebruik.

– De koper en/of verkoper maakt/maken bij de verkoop van virtuele betaalmiddelen gebruik van een zogenaamde mixer.

Het hof gaat in zoverre hierin mee dat zij stelt dat cryptovaluta in die periode inderdaad een ‘relatieve onbekendheid’ had en dat een juridisch beoordelingskader dat specifiek is toegesneden op het handelen door de verdachte in de tenlastegelegde periode ontbrak. Daarom is volgens het hof terughoudendheid op zijn plaats bij het toepassen van in 2017 geformuleerde witwastypologieën op het handelen in die eerdere jaren.

Commentaar

Wij plaatsen in onze annotatie (.pdf) enkele kritische kanttekeningen bij de beoordeling van het hof. Het hof is op zoek gegaan naar een kader, waaruit blijkt dat het niet anders kan zijn dan dat de bitcoins afkomstig zijn uit enig misdrijf. Het hof vindt in haar zoektocht aansluiting bij de destijds geldende Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), in het bijzonder de categorie: ‘handelaren in zaken van grote waarde’, die als instelling wordt aangemerkt voor de Wwft. De geciteerde categorie in het arrest (r.o. 2.6) ziet echter niet op de categorie: ‘handelaren in zaken van grote waarde’, maar op de categorie ‘de beroeps of bedrijfsmatige handelende verkoper van goederen’. De destijds geldende Wwft is eveneens van toepassing op beroeps- of bedrijfsmatig handelende verkopers van goederen, ongeacht welke goederen, voor zover betaling van die goederen in contanten plaatsvond voor een bedrag van €15.000 of meer.

De drempelwaarde van €25.000 gold destijds voor handelaren in zaken van grote waarde met betrekking op een aantal limitatief genoemde goederen (voertuigen, schepen, kunstvoorwerpen etc.), waar de Bitcoin in ieder geval niet onder viel. Ten tijde van het feitencomplex was nog niet duidelijk of bitcoins als goed konden worden gekwalificeerd. Het hof onderbouwt haar standpunt nader met de Leidraad 2016 Verkopers van goederen van de Belastingdienst/Bureau Toezicht Wwft. Het zou consistent zijn als het hof ook niet terugvalt op een leidraad uit 2016 bij een feitencomplex van 2013 tot begin 2015. De vergelijking met ECLI:NL:PHR:2021:495 gaat evenmin op, aangezien die zaak een autohandelaar betrof en voor voertuigen destijds – anders dan Bitcoin – expliciet een drempelbedrag van €25.000 van toepassing is.

Kortom, wij zijn in ieder geval niet overtuigd van de motivering van het hof om in onderhavige zaak aansluiting te zoeken bij de Wwft en de drempelwaarde van €25.000. Wij denken dat het hof toch nadrukkelijker had kunnen nagaan of de feiten en omstandigheden die zijn aangedragen door het OM aansloten bij overige witwasindicatoren, zoals het omzetten van de bitcoins in contact geld, een garandeerde anonimiteit en het ontbreken van een ordentelijke administratie van de transacties (zie ook r.o. 2.6).

Conclusie

Wij verwachten dat cassatie wordt ingesteld. Onze inschatting is daarbij dat het nieuwe kader van het hof geen standhoudt en het hof opnieuw moet oordelen. Niettemin is het arrest waardevol voor de verdediging in cryptovaluatazaken en witwassen. De overwegingen in het arrest rond labelling en clustering kunnen van belang zijn voor de tracering van de (eventueel) criminele herkomst van cryptovaluta in andere witwaszaken. Voor de verdediging kan het lonen om de ten laste gelegde transacties met tools zoals walletexplorer of chainalysis kritisch na te lopen.

Citeerwijze: Hof Den Haag 1 februari 2022, ECLI:NL:GHDHA:2022:104, Computerrecht 2022/95, m.nt. J.J. Oerlemans & K.M.T. Helwegen

Annotatie bij HR 5 april 2022 (vorderen van verkeersgegevens)

jjoerlemans Een reactie plaatsen

Op 5 april 2022 heeft de Hoge Raad een arrest (ECLI:NL:HR:2022:475) gewezen over het vorderen van verkeersgegevens. Prof. Anna Berlee en ik hebben over dit arrest een annotatie (.pdf) geschreven.

Aanleiding

Aanleiding voor het arrest vormt Prokuratuur-arrest (ECLI:EU:C:2021:152) van 2 maart 2021 van het Hof van Justitie van de Europese Unie (HvJ EU). Het HvJ EU maakte in Prokuratuur duidelijk dat aangezien een officier van justitie tevens aanklager is in een later proces, deze niet kan voldoen aan de eis ‘dat de instantie die belast is met die voorafgaande toetsing enerzijds niet betrokken mag zijn bij de uitvoering van het betrokken strafrechtelijk onderzoek en anderzijds neutraal moet zijn ten opzichte van de partijen in de strafprocedure’.

Gevolgen

Voor Nederland heeft het arrest tot gevolg dat de Hoge Raad nu ook onomwonden heeft duidelijk gemaakt dat voor het vorderen van verkeers- en locatiegegevens een voorafgaand toestemming noodzakelijk is van een rechter of een onafhankelijke autoriteit. De reden is voor deze waarborg is dat het vorderen (en daarna verwerken) van dit type gegevens een ernstige inmenging vormt op het recht op privacy en het recht op de bescherming van persoonsgegevens. In de rechtsliteratuur werd deze conclusie al eerder getrokken naar aanleiding van het arrest van het HvJ EU (zie bijvoorbeeld EHRC-Updates.nl, m.nt. D.A.G. van Toor en R.M. te Molder, ‘Het bewaren en vorderen van metagegevens ten behoeve van de opsporing: meer duidelijkheid van het HvJ EU gewenst’, DD 2021/66, nr. 9, p. 844-869).

Aan de hand van verkeers- en locatiegegevens kan inzicht worden verkregen in dagelijkse gewoonten, permanente of tijdelijke verblijfplaats, dagelijkse en andere verplaatsingen en activiteiten die worden uitgeoefend, even als de sociale relaties en sociale kringen waarin iemand zich begeeft worden ontwaard. Zie o.a. HvJ EU 21 december 2016, C-203/15, ECLI:EU:C:2016:970, r.o. 98-100 (Tele2 Sverige/Watson), HvJ EU 6 oktober 2020, C‑511/18, C‑512/18 en C‑520/18, ECLI:EU:C:2020:791, r.o. 117 (La Quadrature du Net e.a./Premier ministre e.a. (en mijn annotatie in JBP 2021/1-2 daarover met M. Hagens)). Zelfs indien het gaat om toegang tot gegevens voor een korte periode, zie HvJ EU 2 maart 2021, C-746/18, ECLI:EU:C:2021:152, r.o. 40 (Prokuratuur).

Het arrest van de Hoge Raad laat goed de gevolgen zien van het arrest van het Hof van Justitie. In de onderhavige zaak vond een rechter-commissaris namelijk dat het stelen van een bulldozer het vorderen van verkeersgegevens- en locatiegegevens niet kon rechtvaardigen. Later werd de beschikking door de rechtbank vernietigd en toch toestemming voor de vordering gegeven. Het arrest laat in ieder geval zien dat een officier van justitie (die het bevel voor de vordering geeft) en de rechter-commissaris (die de machtiging geeft) niet altijd met elkaar eens zullen zijn. Het is overigens ook denkbaar dat er geschillen ontstaan over de ‘gerichtheid’ van de vordering: moet deze bijvoorbeeld korter m.b.t. de duur of geografische locatie zijn?

Prejudiciële vragen

In het arrest stelt de Hoge Raad ook meteen de volgende drie prejudiciële vragen aan het Hof van Justitie (zie r.o. 8.1-8.4 in: ECLI:NL:HR:2022:475):

1. Vallen wettelijke maatregelen die betrekking hebben op het in verband met het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten verlenen aan overheidsinstanties van toegang tot verkeers- en locatiegegevens (met inbegrip van identificerende gegevens), onder de werkingssfeer van Richtlijn 2002/58/EG, als het gaat om het verlenen van toegang tot gegevens die niet worden bewaard op grond van wettelijke maatregelen als bedoeld in artikel 15 lid 1 Richtlijn 2002/58/EG, maar die door de aanbieder worden bewaard op een andere grond?

2. a) Vormen de in de onder 5.7 en 5.8 genoemde arresten van het Hof van Justitie gehanteerde begrippen “ernstige strafbare feiten” en “ernstige criminaliteit” (of “zware criminaliteit”) autonome begrippen van Unierecht of is het aan de bevoegde instanties van de lidstaten om zelf mede invulling te geven aan deze begrippen?

2. b) Als het gaat om autonome begrippen van Unierecht, op welke wijze dient dan te worden vastgesteld of sprake is van een “ernstig strafbaar feit” of van “ernstige criminaliteit”? De Hoge Raad merkt hierover op dat “om de redenen die onder 6.6.2 en 6.6.3 zijn besproken, komt het de Hoge Raad voor dat het aan de bevoegde instanties van de lidstaten is om zelf mede invulling te geven aan de genoemde begrippen”;

3. Kan het verlenen van toegang aan overheidsinstanties tot verkeers- en locatiegegevens (anders dan uitsluitend identificerende gegevens) met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten onder Richtlijn 2002/58/EG worden toegestaan als geen sprake is van ernstige strafbare feiten of ernstige criminaliteit, namelijk als in het concrete geval het verlenen van to egang tot die gegevens – naar mag worden aangenomen – slechts een geringe inmenging veroorzaakt in met name het recht op bescherming van het privéleven van de gebruiker als bedoeld in artikel 2, onder b, Richtlijn 2002/58/EG?

Over deze laatste vraag merken wij in de annotatie op dat wij ons de situatie waarbij het vorderen van verkeersgegevens- en locatiegegevens een geringe inbreuk maakt op het recht op privacy ‘lastig voorstelbaar’ vinden. Daar voegen wij nu nog aan toe dat de Wet vorderen gegevens (geïmplementeerd in het Wetboek van Strafvordering) ook niet stelselmatigheid als criterium voor de differentiatie in vordering aanneemt, maar de aard van de gegevens (namelijk gebruikersgegevens, verkeersgegevens, toekomstige verkeersgegevens, gevoelige gegevens of inhoudelijke gegevens).

Commentaar in annotatie

In ons commentaar bij de annotatie merken wij op dat het relatief lang heeft geduurd voordat bekend werd dat het Openbaar Ministerie de werkwijze bij het vorderen van verkeersgegevens heeft aangepast. Wat ons betreft was dit al meteen een duidelijk gevolg van het arrest van het Hof van Justitie voor de Nederlandse strafrechtspraktijk. Daarnaast vragen wij af waarom de wetgever niet heeft overwogen een nieuwe onafhankelijke autoriteit op te richten die de aanvragen voor het vorderen van verkeers- en locatiegegevens kan beoordelen. Hier is geen debat over gevoerd, terwijl deze nieuwe werkwijze toch extra druk op het werk van rechter-commissarissen zal leggen.

Wij stellen ook de vraag welke gevolgen het arrest heeft voor het vorderen van verkeersgegevens of locatiegegevens bij andere bedrijven of instellingen dan aanbieders van communicatiediensten. Ook verkeers- en locatiegegevens van ‘automatic number plate recognition’ (ANPR)-camera’s en ‘bluetooth trackers’ die verbinding maken met apparaten in auto’s en mobiele telefoons kunnen bijvoorbeeld een belangrijke rol kunnen spelen als bewijs in strafzaken. Hier heeft het arrest geen betrekking op, maar de advocatuur en het Openbaar Ministerie doen er goed aan zich op dergelijke discussies voor te bereiden.

Ten slotte wijzen wij erop dat het arrest mogelijk ook gevolgen heeft voor andere wetgeving en dan met name de Telecommunicatiewet (art. 11.13 Tw) en de Wet op de inlichtingen- en veiligheidsdiensten (art. 55 Wiv 2017). Art. 55 Wiv 2017 heeft bijvoorbeeld heeft ook betrekking op het vorderen van verkeersgegevens bij aanbieders van communicatiediensten. Mogelijk moet de wet worden aangepast, zodat ook in deze wet een onafhankelijke autoriteit (in dat geval de Toetsingscommissie Inzet Bevoegdheden (TIB)) voorafgaand aan het bevel toestemming geeft.

Gezien de prejudiciële vragen die zijn gesteld en mogelijke gevolgen voor andere situaties en wetgeving, zal het arrest niet het laatste woord vormen over de noodzakelijke waarborgen bij het vorderen van verkeers- en locatiegegevens.

Citeerwijze annotatie: HR 5 april 2022, ECLI:NL:HR:2022:475, Computerrecht 2022/186, m.nt. J.J. Oerlemans & A. Berlee

Overzicht cryptophone-operaties

jjoerlemans 3 reacties

Ongeveer vier jaar geleden, in november 2018, verscheen het eerste persbericht op OM.nl over het veiligstellen van berichten die zijn verstuurd met ‘cryptotelefoons’ (ook wel ‘PGP-telefoons’ genoemd).

De beschikbare informatie over cryptotelefoons heb ik in de volgende tijdlijn en blogberichten hieronder op een rijtje gezet:

  1. Ennetcom (2016)
  2. PGP Safe (2017)
  3. Ironchat (2017)
  4. EncroChat (2020)
  5. Sky ECC (2020)
  6. ANOM (2021)
  7. Exclu (2022)

(Dit overzicht van 30 december 2021 is geüpdatet op 19 november 2023).

Waarom een overzicht?

De operaties zijn blijkbaar bijzonder belangrijk voor de strafrechtpraktijk en toch is er relatief weinig bekend over de operaties. Op 15 september 2022 zijn er al meer dan 400 uitspraken beschikbaar op rechtspraak.nl, waarin bewijs uit de cryptotelefoons een belangrijke rol speelt. In de media worden de cryptophone-berichten ook wel een ‘goudmijn aan bewijs’ genoemd en de gegevens vormen een game changer voor de politie. Strafrechtadvocaten trekken vaak de rechtmatigheid van de operaties in twijfel, maar vooralsnog lijkt de verdediging bot te vangen. Op 13 april 2023 maakte de Landelijke Eenheid ook bekend dat de politie inmiddels 1 miljard “criminele chats” in handen heeft. De initiële cijfers uit de persberichten die in de tijdlijn hierboven staan kloppen dus opgeteld niet met dit “eindcijfers”.

Duidelijk is wel dat dit om “bulkdata” gaat en dit de brandstof levert voor de nieuwe strategie van “datagedreven opsporing” van de politie en het Openbaar Ministerie.

De grote hoeveelheid jurisprudentie en onduidelijkheid over de ‘wat’, ‘wanneer’ en ‘hoe’-vragen vormde voor mij aanleiding een overzicht te maken (ook voor mijzelf voor toekomstige publicaties). Daarbij heb ik mij gebaseerd op persberichten van het OM, de politie en rechtspraak.

Wat en wanneer

  1. Ennetcom (2016)

Leverancier van cryptotelefoons met apps op een Blackberry telefoon. Oprichters van het bedrijf zijn uiteindelijk veroordeeld voor deelname aan een criminele organisatie, gewoontewitwassen en medeplegen van valsheid in geschrifte. Tijdens de operatie zijn 3,6 miljoen berichten veiliggesteld. De operatie werd bekend gemaakt op 9 maart 2017.

Leverancier van cryptotelefoons met apps op Android en Blackberry toestellen. Tijdens de operatie zijn 700.000 berichten veiliggesteld. De verdenking was aanvankelijk dat de verdachte zich tezamen met anderen als professionele facilitator van versleutelde communicatie schuldig zou hebben gemaakt aan overtreding van witwassen (art. 420bis Sr) en deelneming aan een criminele organisatie (art. 140 Sr). De verdachte wordt uiteindelijk alleen veroordeeld (ECLI:NL:RBROT:2022:363) voor valsheid in geschrifte en ‘begunstiging’. De operatie werd bekend gemaakt op 9 mei 2017.

Leverancier van Wileyfox-telefoons met Ironchat-app er op. Onderzoek gericht op de oprichters van het bedrijf (verdenkingen nog onduidelijk). Tijdens de operatie zijn 258.000 berichten veiliggesteld. De operatie werd bekend op 6 november 2018.

Leverancier van cryptotelefoons met EncroChat (en andere Encro) apps. Vermoeden dat Encro en de gebruikers zich in georganiseerd verband schuldig maakten aan o.a. witwassen en deelname aan criminele organisaties. Tijdens de operatie zijn 25 miljoen berichten veiliggesteld.  De operatie werd bekend gemaakt op 2 juli 2020.

Leverancier van cryptotelefoons met Sky ECC app. Sky ECC en de daaraan gelieerde (natuurlijke) personen verdacht van deelname aan een criminele organisatie en (gewoonte)witwassen. Tijdens de operatie zijn honderden miljoenen berichten veiliggesteld. De operatie werd bekend gemaakt op 9 maart 2021.

ANOM was een zogenoemde ‘store front’, oftewel een zelf opgezette communicatiedienst. De operatie stond onder leiding van de FBI en de Australische Federal Police met het doel om verdachten van criminele organisaties te identificeren. Tijdens de operatie zijn 27 miljoen berichten onderschept. De operatie werd bekend gemaakt op 8 juni 2021.

Leverancier van cryptotelefoons met Exclu app(s) erop. Een onderzoek richt zich op de eigenaren en beheerders van de cryptocommunicatiedienst en een ander onderzoek richt zich zich op de gebruikers van Exclu van wie wordt vermoed dat zij in georganiseerd verband misdrijven plegen. De operatie werd op vrijdag 3 februari 2023 bekend gemaakt.

Hoe

1.      Ennetcom (2016)
Via een rechtshulpverzoek aan Canada, met machtiging van een Canadese rechter. NL grondslag: 125i Sv. Canadese rechter verbond voorwaarden aan verstrekking en gebruik van gegevens aan Nederlandse opsporingsinstanties.  

Zie ook: B.W. Schermer & J.J. Oerlemans, ‘AI, strafrecht en het recht op een eerlijk proces’, Computerrecht 2020/3 en Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (veroordeling oprichter Ennetcom). (HR uitspraak: HR 28 juni 2022, ECLI:NL:HR:2022:900 en blog).
 
2.      PGP Safe (2017)
Via een rechtshulpverzoek aan Costa Rica, met assistentie van Nederlandse politie. Machtiging voor bevel tot binnentreden, de doorzoeking en de beslaglegging afgegeven door het Gerecht in Strafzaken van het Eerste District San Jose. Aan de verstrekking van de veilig gestelde gegevens zijn geen beperkingen aan Nederland opgelegd.
 
3.      Ironchat (2017)
Gegevensvergaring via een Europees Opsporingsbevel aan het Verenigd Koninkrijk. Na eigen onderzoek vond verstrekking van een kopie van de server (een image) plaats. Grondslag strafvordering voor operatie vooralsnog onduidelijk.
 
4.      EncroChat (2020)
Via JIT en EOB’s. Franse autoriteiten verzamelden gegevens met inzet “interceptietool”.  Extra machtiging voor inzet hackbevoegdheid (126uba Sv) op verdachten met verdenking van betrokkenheid/beramen van het plegen van misdrijven in georganiseerd verband. Beperkingen en vereisten aan onderzoek opgelegd door Nederlandse rechter-commissaris in een machtiging voor het onderzoeken van gegevens van Nederlandse ingezetenen.

Zie ook: B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2.
 
5.      Sky ECC (2020)
Via JIT. Franse autoriteiten vergaren gegevens met inzet “interceptietool”. Door Nederlandse opsporingsambtenaren is technische expertise en/of bijstand geleverd met betrekking tot de ontwikkeling en plaatsing van de tool.

De in Frankrijk vergaarde informatie is aanvankelijk vrijwillig op basis van artikel 26 van het Cybercrimeverdrag gedeeld met het Nederlandse Openbaar Ministerie. Later zijn ook machtigingen Nederlandse rechter-commissaris verleend. De vorderingen en machtigingen zagen op de toepassing van de artikelen 126t lid 1 en 126t lid 6 Sv (onderzoek communicatie door middel van een geautomatiseerd werk bij georganiseerde criminaliteit) en later ook op aanvullende, ondersteunende vorderingen op de voet van artikel 126uba Sv (hackbevoegdheid bij verdenking betrokkenheid beramen/plegen misdrijven in georganiseerd verband).

De Hoge Raad beantwoordde op 13 juni 2023 in een arrest (ECLI:NL:HR:2023:913) prejudiciële vragen over EncroChat en SkyECC. Kortgezegd maakt de Hoge Raad (wederom) duidelijk dat het niet behoort tot de taak van de Nederlandse strafrechter om de rechtmatigheid van de uitvoer van het buitenlandse onderzoek te toetsen. Zie ook J.J. Oerlemans & B.W. Schermer, ‘Antwoorden op prejudiciële vragen in de EncroChat- en SkyECC-zaken‘, NJB 2023/2244, afl. 31, p. 2610-2618.

6. ANOM (2021)

Door een ‘spontane eenzijdige verstrekking van informatie zonder een voorafgaand verzoek van de Nederlandse opsporingsdiensten’.

De Nederlandse opsporingsdiensten zouden niet betrokken zijn geweest bij de verkrijging van de gegevens. Wel heeft de Nederlandse software ontwikkeld waarmee de berichten konden worden geanalyseerd en geduid. Deze software is ook beschikbaar gesteld aan Europol, zodat deze dienst de gegevens kon analyseren en beschikbaar stellen aan andere landen.

7. Exclu (2022)

In Duitsland stond een server en die is veilig gesteld. Tijdens de operatie is ook de hackbevoegdheid in een opsporingsonderzoek naar de betrokkenheid naar misdrijven die worden gepleegd in georganiseerd verband. De rest van de feiten over de operatie zijn vooralsnog onduidelijk.

Themanummer over cryptophones

jjoerlemans 1 reactie

In mei 2022 is een themanummer over cryptophones verschenen in het Tijdschrift voor Bijzonder Strafrecht en Rechtshandhaving (TBS&H). Het themanummer bevat hele actuele en relevante bijdragen (zie het overzicht hieronder).

In het artikel die ik samen met Bart Schermer heb geschreven bieden we een overzicht en analyse van de EncroChat-jurisprudentie (tot en met februari 2022). Daarnaast heb ik een annotatie geschreven over de veroordeling van de oprichter van Ennetcom.

Veel bijdragen zijn van collega’s van de Universiteit Utrecht. Met speciale dank voor de inspanningen van Dave van Toor die het themanummer heeft gecoördineerd!

Inhoudsopgave:

D.A.G. van Toor, ‘Het enkele gebruik van cryptophones als basis voor procesrechtelijke concepten’, TBS&H 2022/2.1

B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2

S. Royer & R. Vanleeuw, ‘Cryptofoons, privacyvriendelijke applicaties en het vermoeden van onschuld’, TBS&H 2022/2.3

D.A.G. van Toor, ‘Het gebruik van resultaten uit de Encro­Chat-­hack in de Duitse strafrechtspleging’, TBS&H 2022/2.4

L.W. Verbeek & T. Beekhuis, ‘Executieve jurisdictie: het (grote) obstakel in grensoverschrijdende opspo­ringsonderzoeken naar (gebruikers van) cryptoaanbieders?’, TBS&H 2022/2.5

M.M. Egberts, ‘De reikwijdte van het inzagerecht en ‘equality of arms’ in het licht van grote datasets, Hansken en toekomstige ontwikkelingen’, TBS&H 2022/2.6

M. Galič, ‘Bulkbevoegdheden en strafrechtelijk onderzoek. Lessen uit de jurisprudentie van het EHRM voor de normering van grootschalige data-analyse’, TBS&H 2022/2.7

Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (Oprichter van cryptotelefoonaanbieder Ennetcom veroordeeld)