Cybercrime jurisprudentieoverzicht mei 2022

Bulk en EncroChat

Op 17 maart 2022 heeft de rechtbank Amsterdam een verdachte veroordeeld (ECLI:NL:RBAMS:2022:1273) voor onder andere drugshandel. De verdachte was werkzaam in een drugslaboratorium en had als aanspreekpunt voor de criminele organisatie een essentiële rol. Daarnaast wordt hij (mede) verantwoordelijk gehouden voor de inrichting van het laboratorium en het productieproces van de handel in cocaïne. Hij is veroordeeld voor vier jaar gevangenisstraf.

De overwegingen over privacy en bulkdata zijn met name interessant om te lezen. De rechtbank overweegt dat er geen sprake is geweest van ‘bulkdata’ in de zin van ongedifferentieerde dataverzameling (zie in soortgelijke zin ook (Rb. Noord-Holland 4 mei 2022, ECLI:NL:RBNHO:2022:3899)). Het ging hier om een afgebakende groep, namelijk de gebruikers van EncroChat, en om een concrete verdenking, namelijk dat EncroChat werd gebruikt, geheel of in overwegende mate, door deelnemers aan georganiseerde criminaliteit. Dat is een essentieel andere situatie dan bijvoorbeeld het bewaren van alle metadata van alle abonnees van een telecomprovider ten behoeve van eventuele toekomstige strafrechtelijke onderzoeken.

Zie over bulkbevoegdheden en strafvordering ook het recente artikel van M. Galič, ‘Bulkbevoegdheden en strafrechtelijk onderzoek – Lessen uit de jurisprudentie van het EHRM voor de normering van grootschalige data-analyse’, TBS&H 2022/2.7 (in een themanummer over cryptophones). In dat themanummer is onder andere ook een overzichtartikel van EncroChat-jurisprudentie te vinden (tot februari 2022): B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2 en een bijdrage van S. Royer & R. Vanleeuw, ‘Cryptofoons, privacyvriendelijke applicaties en het vermoeden van onschuld’, TBS&H 2022/2.3.

Diefstal van bitcoins

Op 7 april 2022 is een verdachte veroordeeld (ECLI:NL:RBMNE:2022:1414) voor diefstal van Bitcoins en Bitcoin Cash. De virtuele valuta had een waarde van € 120.000,-. De verdachte wordt veroordeeld voor zowel computervredebreuk als diefstal. De diefstal kwam aan het ligt toen het slachtoffer zag dat 30 Bitcoins uit zijn wallet waren weggenomen, vanaf de computer op zijn tandartsenpraktijk waar zijn blockchain-account op stond. Uit onderzoek van het IT beveiligingsbedrijf Fox IT bleek dat een ‘Remote Dekstop Protocol’ was geactiveerd op de computer, hetgeen leidde tot nader onderzoek. Uit het bewijs blijkt dat de verdachte door middel van een ‘remote desktop’-sessie toegang had verkregen tot het systeem van de aangever.

De verbalisant stelde met Chainalysis vast dat de Bitcoins uit de wallet van de aangever waren verstuurd naar een ander Bitcoin-adres. Vervolgens waren de Bitcoins opgesplitst in negen transacties. Alle transacties werden uiteindelijk naar Shapeshift.io verzonden (Shapeshift.io is een platform waar je cryptocurrencies kunt wisselen, een soort digitaal wisselkantoor, maar staat ook wel bekend als ‘Bitcoinmixer’). De rechtbank overweegt dat ‘een mixer een soort dienst is die Bitcointransacties door elkaar husselt, zodat het spoor onderbroken wordt en het traceren van de transacties vrijwel onmogelijk wordt’.

De verdachte is veroordeeld tot (slechts) een taakstraf van 240 uren en een voorwaardelijke gevangenisstraf van zes maanden, een hogere straf dan de officier van justitie had gevorderd. De rechtbank houdt bij de strafoplegging rekening met het feit dat verdachte vader is van twee jonge kinderen en een gezin te onderhouden heeft en een overschrijding van de redelijke termijn.

Arrest over controle van gegevensdragers

Op 15 maart 2022 heeft de Hoge Raad een arrest (ECLI:NL:HR:2022:338) gewezen over het stellen van bijzondere voorwaarden bij zedendelinquenten. In deze zaak ging het om de volgende voorwaarden:

“3. de veroordeelde onthoudt zich op welke wijze dan ook van het seksueel getint communiceren met minderjarigen, gedrag dat is gericht op een digitale omgeving waarin kinderpornografisch materiaal kan worden verkregen en gedrag dat is gericht op een digitale omgeving waarin over seksuele handelingen met minderjarigen wordt gecommuniceerd,

a. waarbij de veroordeelde tijdens de gesprekken met de reclassering bespreekt hoe hij denkt dit gedrag te voorkomen;

b. waarbij het toezicht op deze voorwaarde onder andere kan bestaan uit controles van computers en andere apparatuur;

c. waarbij de betrokkene meewerkt aan controle van digitale gegevensdragers tijdens een huisbezoek;”

Kortgezegd overweegt de Hoge Raad met betrekking tot de ‘Toezichtgeoriënteerde gedragsvoorwaarde’ dat er sprake moet zijn dat ‘er ernstig rekening mee moet worden gehouden dat veroordeelde wederom misdrijf zal begaan dat gericht is tegen of gevaar veroorzaakt voor onaantastbaarheid van lichaam van een of meer personen” art. 14c Sr). De door het hof gestelde bijzondere voorwaarde dat de veroordeelde ‘meewerkt aan controle van digitale gegevensdragers tijdens huisbezoek’ voldoet niet aan hiervoor genoemde eisen en is daarom in strijd met art. 14c.2.14 Sr. Zo’n voorwaarde moet volgens de Hoge Raad voldoende precies het daarin gevatte gedragsvoorschrift formuleren. Zij mag echter niet gedrag van de verdachte omvatten dat in feite overeenkomt met het meewerken aan door de politie uit te oefenen veelomvattende en ingrijpende dwangmiddelen (met verwijzing naar HR 7 juli 2020, ECLI:NL:HR:2020:1215, SR-Updates.nl 2020-0260, m.nt. J.H.J. Verbaan).

Hoewel hof voldoende duidelijk tot uitdrukking heeft gebracht dat deze bijzondere voorwaarde het toezicht op naleving van bijzondere voorwaarden beoogt te regelen, blijkt uit voorwaarde immers niet met welke frequentie en op welke wijze controles van gegevensdragers mogen worden uitgevoerd, welke functionarissen daarbij betrokken mogen zijn en hoe is gewaarborgd dat persoonlijke levenssfeer van verdachte daarbij niet verdergaand wordt beperkt dan nodig is voor beoogd toezicht. De klacht slaagt.  

Gebruik van risicoscore en veroordeling voor kinderopvangtoeslagfraude

Op 5 april 2022 veroordeelde (ECLI:NL:RBAMS:2022:1827) de rechtbank Amsterdam een verdachte voor het medeplegen valsheid in geschrift, gewoontewitwassen en als leider deelnemen aan een criminele organisatie in verband met kinderopvangetoeslagfraude. Volgens de Fiscale Inlichtingen- en Opsporingsdienst (FIOD) kunnen drie stadia bij kinderopvangtoeslagfraude worden geïdentificeerd. Het eerste stadium is het werven van aanvragers. In het eerste stadium van ‘werven’ worden personen benaderd en erop worden gewezen dat zij kinderopvang toeslag aan te vragen. De daders bieden daarbij aan te helpen en doen zich voor als belastingmedewerker. Het tweede stadium is het indienen van de aanvraag tot kinderopvangtoeslag. Aan aanvragers werd gevraagd om hun DigiD-wachtwoord, bankgegevens en andere persoonlijke gegevens af te geven. Daarvan worden valse bescheiden opgemaakt en bij de aanvraag gevoegd. In het derde stadium van betaling werd met aanvragers afgesproken welk deel van de ontvangen kinderopvangtoeslag zij moesten afdragen, aan wie zij dit moesten afdragen en hoe zij dit moesten betalen. De zaak is met name interessant vanwege de overwegingen omtrent het ‘frauderisico’ die de Belastingdienst hanteerde.

Het onderzoek met de naam ‘Bonsai’ is begonnen na een melding van het Fraudeteam van de Belastingdienst Toeslagen dat een persoon bij haar aanvraag van kinderopvangtoeslag valse bewijsstukken had aangeleverd. Naar aanleiding hiervan is onderzocht welk IP-adres is gebruikt voor die aanvraag. Het bleek dat nog voor zeven andere personen via dit IP-adres kinderopvangtoeslag te zijn aangevraagd. Naar aanleiding daarvan is ook onderzoek gedaan naar de aanvragen van deze zeven personen. Daarbij was in meerdere gevallen ook sprake van een onjuiste aanvraag waardoor onterecht kinderopvangtoeslag is uitgekeerd. Uit vervolgonderzoek is gebleken dat de aanvragen van deze zeven personen aan in totaal 23 IP-adressen zijn te koppelen. Vanaf deze 23 IP-adressen zijn in totaal voor 50 personen onjuiste aanvragen ingediend, waarbij voor ongeveer 30 personen het vermoeden bestond dat ook valse documenten waren ingestuurd.

Aan de hand van de tenaamstellingen van de IP-adressen kwamen enkele verdachten in beeld en zijn huiszoekingen gedaan. Op de laptops die zijn aangetroffen in de woningen van een aantal verdachten zijn IP-adressen aangetroffen die zijn gebruikt bij de aanvragen van kinderopvangtoeslag. Op die laptops zijn ook sporen van digitaal contact tussen de aanvragers en de Belastingdienst Toeslagen aangetroffen. Daarnaast zijn in de woning van de verdachte 11 DigiD-codes aangetroffen waarvan er vijf zijn te herleiden tot onjuiste aanvragen. Ook zijn op de telefoon en laptop van een medeverdachte chatsessies met de verdachte over kinderopvangtoeslag en betalingen aangetroffen.

De verdediging voert het interessante verweer dat uit het procesdossier valt niet af te leiden op welke basis de aanvrager is geselecteerd, zodat niet kan worden uitgesloten dat dit is gebeurd op basis van discriminatoire algoritmes. Gelet op het feit dat – indien er sprake is geweest van een selectie op basis van discriminatoire algoritmes – heeft er volgens de verdediging een ernstige schending plaatsgevonden en moet er worden overgegaan tot uitsluiting van het bewijs dat door middel van het onrechtmatige, niet onafhankelijke en niet onpartijdige onderzoek is verkregen.

In haar verweer verwijst het Openbaar Ministerie naar de brief ‘Openbaarmaking risicoclassificatiemodel Toeslagen’ van 26 november 2021, waarin de werkwijze van de Belastingdienst Toeslagen uiteen wordt gezet. Wat uit die brief in ieder geval kan worden afgeleid is dat er met algoritmes werd gewerkt bij de Belastingdienst Toeslagen en dat op basis van meerdere indicatoren werd gekomen tot een risico-score per aanvraag. Scoorde een aanvraag hoog, dan liep die aanvraag meer kans om gecontroleerd te worden. Over de wenselijkheid van de gehanteerde indicatoren is veel politiek debat gevoerd, met name ook over een indicator op het gebied van nationaliteit. ‘Persoon 1’, waarnaar wordt verwezen, had in ieder geval de Nederlandse nationaliteit. In dat geval werd er door de Belastingdienst Toeslagen geen nadere selectie gemaakt op het bestaan van een eventuele tweede nationaliteit bij de selectie van het controleren van de aanvragen kinderopvangtoeslag. De keuze om de aanvraag van ‘persoon 1’ te controleren had dus niet te maken met haar afkomst, aldus het Openbaar Ministerie.

De rechtbank overweegt dat in het rapport ‘De verwerking van de nationaliteit van aanvragers van kinderopvangtoeslag’ van juli 2020 is geconstateerd dat er met selectie op basis van nationaliteit in het model sprake was van een overtreding. Deze verwerking was niet noodzakelijk omdat er minder vergaande mogelijkheden voorhanden waren. Deze overtreding is door de Autoriteit Persoonsgegevens als discriminerend en daarmee onbehoorlijk aangemerkt. De rechtbank stelt vast dat er meerdere indicatoren voor de Belastingdienst Toeslagen waren om te bepalen of een aanvraag al dan niet als risicovol moest worden aangemerkt. Medewerkers van Toeslagen ontwikkelden het model in 2013 aan de hand van een set risico-indicatoren en op basis van voorbeelden van juiste en onjuiste toeslagaanvragen. Door het model te voeden met duizenden voorbeelden van handmatig behandelde aanvragen, herkende het model statistische verbanden tussen indicatoren en voorspelde het model op basis daarvan hoe groot het risico was op onjuistheden in de toeslagaanvragen. Het model werd daarmee in de loop van de tijd aangepast en het model leerde welke posten (on)terecht van een hoge risicoscore waren voorzien. Elke maand kregen de toeslagaanvragen die in het Toeslagen Verstrekkingen Systeem (TVS) klaar stonden voor ‘formeel beschikken’ een risicoscore van 0 tot 1. De meest risicovolle aanvragen kregen een risicoscore dicht bij 1 en de minst risicovolle aanvragen een risicoscore dicht bij 0. De indicatoren voor de kinderopvangtoeslag zagen op de situatie van de opvang (soort opvang zoals gastouder of buitenschoolse opvang, afstand tussen woon- en opvangadres) en op de situatie van de aanvrager (zoals inkomen, toeslagschulden, partner of alleenstaand, leeftijd en aantal kinderen).

Het model heeft ook gebruik gemaakt van de indicator ‘Nederlanderschap Ja/Nee’. Deze indicator was in het model opgenomen, vanwege enerzijds fraude via toeslagaanvragers zonder Nederlandse nationaliteit die in dezelfde periode als de ontwikkeling van het model speelde en anderzijds omdat medewerkers van Toeslagen de ervaring hadden dat toeslagaanvragers zonder Nederlandse nationaliteit soms moeite hadden met het aanvragen van toeslagen en er vaker fouten in hun toeslagaanvragen werden aangetroffen. Deze indicator gaf een ‘Ja’ gaf als de aanvrager de Nederlandse nationaliteit bezat, ook als daarnaast sprake was van nog een andere nationaliteit. Dus ongeacht of er sprake was van meerdere nationaliteiten, iemand met alleen de Nederlandse nationaliteit werd exact hetzelfde gescoord als iemand met een Nederlandse en andere nationaliteit. De rechtbank concludeert dat volgens de hiervoor omschreven werkwijze van de Belastingdienst Toeslagen niet verder werd geselecteerd op een eventuele tweede nationaliteit en daarmee was er op dit vlak geen sprake van een risico-indicatie. Het dossier bevat geen aanwijzingen dat discriminatoire, indicatoren zoals haar Surinaamse naam of uiterlijke kenmerken daarbij een rol hebben gespeeld.

In de beoordeling overweegt de rechtbank dat de verdachte en zijn mededaders zich op grote schaal bezighielden met het valselijk opmaken van stukken en indienen van aanvraag- en wijzigingsformulieren kinderopvangtoeslag en hebben de verkregen gelden vervolgens witgewassen. Daarmee hebben zij misbruik gemaakt van het systeem van de Belastingdienst, waarvan het doel is miljoenen ouders op een zo efficiënt mogelijke manier financieel te ondersteunen als zij gebruik maken van kinderopvang. De Belastingdienst is gedurende een lange periode voor honderdduizenden euro’s opgelicht. De verdachte wordt veroordeeld tot twee jaar gevangenisstraf, waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar.

Diefstal met geweld en digitaal bewijs

Op 18 maart 2022 verscheen er een uitspraak (ECLI:NL:RBGEL:2022:1253) over diefstal met geweld, waarbij een mix van fysiek als digitaal bewijs een belangrijke rol speelde. De zaak gaat over een verdachte en medeverdachte (haar schoonzus) die met mannen afspraken en vervolgens diefstal pleegden.

In de eerste zaak werd afgesproken via de datingsite ‘knuz.nl’. Het slachtoffer werd gedrogeerd door iets in de koffie te doen. Het slachtoffer geeft aan dat hij nog hoorde dat ‘ze’ tegen hem zeiden dat hij geld moest geven zodat ze sigaretten konden halen. Aangever heeft verklaard dat hij toen waarschijnlijk het geld heeft gepakt dat hij contant in huis had. Dat was 150 euro. Bij het sporenonderzoek in de woning aan van aangever te Heerewaarden hebben verbalisanten een restje koffie, dat nog in de mok zat waaruit aangever had gedronken, in beslag genomen. Daarvan is een monster genomen. Ook van koffiebekers van de vrouwen die op bezoek waren is een monster afgenomen. Het Nederlands Forensisch Instituut (NFI) heeft die monsters onderzocht en heeft vastgesteld dat het monster van het restant koffie benzodiazepinen (te weten temazepam en oxazepam) bevatte. Door het NFI is gerapporteerd dat benzodiazepines stoffen zijn die een kalmerende, slaapverwekkende en spierverslappende werking hebben. Op de koffiemokken is ook DNA gevonden die een match opleverde met een DNA-profiel van de medeverdachte.

Bij een tweede slachtoffer werd context gelegd via ‘Lexa.nl’ en gebeurde iets soortgelijks. Bij hem werden dure goederen gestolen. In de tweede zaak werd een onderzoek ingesteld naar de historische telecommunicatiegegevens van het mobiele telefoonnummer en bijbehorend imei-nummer. Uit die gegevens is vast komen te staan dat, op twee gesprekken na, tijdens alle verkregen gesprekken gebruik werd gemaakt van de zendmast op een bepaald adres in Zeist, dat binnen de zendrichting van de zendmast valt. Bovendien zijn de ‘de Lexa-profielen uitgevraagd’. Een van de accounts maakte gebruik van ene IP-adres stond die ‘op naam stond van de verdachte’.

Bij het derde slachtoffer werd contact gelegd via de site ‘NL-Date’. Bij hem zijn dure horloges gestolen na een bezoek. Ook daarbij leidde een monster van een kopie tot een DNA-match met de verdachte op. Het ‘gebruikers ID’ bij NL-Date maakte bovendien gebruik van het IP-adres op naam van verdachte en op naam van haar schoonzus.

De rechtbank acht de diefstal bij de drie slachtoffers bewezen en overweegt dat het tenlastegelegde op grond van artikel 81 Sr kan worden bewezen, omdat het toedienen van een dergelijk middel als een vorm van geweld kan worden beschouwd. Het slachtoffer is in een staat van bewusteloosheid of onmacht is gebracht, waardoor de fysieke macht tot weerstand is gebroken.

De verdachte in de onderhavige zaak werd veroordeeld voor 12 maanden gevangenisstraf, waarvan 8 maanden voorwaardelijk.

Themanummer over cryptophones

In mei 2022 is een themanummer over cryptophones verschenen in het Tijdschrift voor Bijzonder Strafrecht en Rechtshandhaving (TBS&H). Het themanummer bevat hele actuele en relevante bijdragen (zie het overzicht hieronder).

In het artikel die ik samen met Bart Schermer heb geschreven bieden we een overzicht en analyse van de EncroChat-jurisprudentie (tot en met februari 2022). Daarnaast heb ik een annotatie geschreven over de veroordeling van de oprichter van Ennetcom.

Veel bijdragen zijn van collega’s van de Universiteit Utrecht. Met speciale dank voor de inspanningen van Dave van Toor die het themanummer heeft gecoördineerd!

Inhoudsopgave:

D.A.G. van Toor, ‘Het enkele gebruik van cryptophones als basis voor procesrechtelijke concepten’, TBS&H 2022/2.1

B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2

S. Royer & R. Vanleeuw, ‘Cryptofoons, privacyvriendelijke applicaties en het vermoeden van onschuld’, TBS&H 2022/2.3

D.A.G. van Toor, ‘Het gebruik van resultaten uit de Encro­Chat-­hack in de Duitse strafrechtspleging’, TBS&H 2022/2.4

L.W. Verbeek & T. Beekhuis, ‘Executieve jurisdictie: het (grote) obstakel in grensoverschrijdende opspo­ringsonderzoeken naar (gebruikers van) cryptoaanbieders?’, TBS&H 2022/2.5

M.M. Egberts, ‘De reikwijdte van het inzagerecht en ‘equality of arms’ in het licht van grote datasets, Hansken en toekomstige ontwikkelingen’, TBS&H 2022/2.6

M. Galič, ‘Bulkbevoegdheden en strafrechtelijk onderzoek. Lessen uit de jurisprudentie van het EHRM voor de normering van grootschalige data-analyse’, TBS&H 2022/2.7

Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (Oprichter van cryptotelefoonaanbieder Ennetcom veroordeeld)

Evaluatie Wiv 2017: van meer privacy naar meer werkbaarheid… en weer terug?

Aanleiding: meer privacy

Twee jaar na de inwerkingtreding van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) is een evaluatie van deze wet van start gegaan. Deze vervroegde wetsevaluatie (het wordt standaard pas na 5 jaar geëvalueerd) is geïnitieerd vanwege de uitslag van het raadgevend referendum over de Wiv 2017. 49,44% van de kiezers heeft tegen de Wiv 2017 gestemd, 46,53% voor, en 4,03% blanco. Uit het maatschappelijk debat rondom het referendum bleek dat mensen zich met name zorgen maakten over privacy en dan specifiek over de uitbreiding van de bevoegdheid tot bulkinterceptie van internetverkeer naar de kabel (het ‘sleepnet’ genoemd).

Naar meer werkbaarheid

Net voor de start van de evaluatie van de Wiv 2017 vond in 2019 een kentering in het debat plaats. Het voormalige hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) Dick Schoof waarschuwde op 6 februari 2019 in het programma Nieuwsuur dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. Kort daarop vroegen Kamerleden van CDA- en VVD-fractie zich af ‘of de genomen maatregelen werkbaar blijven voor de diensten’ en ‘hoe de disproportionele bureaucratisering van het werk van de diensten wordt tegengaan’. De invloed op de operationele slagkracht van de Wiv 2017 is door de Algemene Rekenkamer speciaal onderzocht. De Algemene Rekenkamer concludeert dat: de nieuwe waarborgen de inzet van bepaalde bijzondere bevoegdheden het verzamelen van inlichten en de snelheid in internationale samenwerking beperken en er een toename is van administratieve lasten, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid (zie rapport).  

De Commissie Evaluatie Wiv 2017 (hierna: de Commissie Jones-Bos naar haar voorzitter) kreeg hierop expliciet de opdracht te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet’ te onderkennen. Op 20 januari 2021 heeft de Commissie Jones-Bos een lijvig rapport (180 pagina’s) afgeleverd. Een groot deel van de aanbevelingen streven een ‘werkbaarder wet’ na, soms ten koste van reeds bestaande (privacy)waarborgen. Kort daarop schreef het demissionaire kabinet de aanbevelingen te ‘omarmen’ en de voorbereidingen te treffen voor een wijzigingsvoorstel van de Wiv 2017.

Gevolgen voorstellen Commissie Jones-Bos voor privacy

Ons artikel (.pdf) betreft een beschouwing van dit rapport, waar in wij verkennen wat de gevolgen van een aantal van deze voorstellen kunnen zijn voor het recht op privacy van personen. In het bijzonder richtten wij ons op de manier waarop bulkdatasets worden verzameld en hoe data-analyse is geregeld.

Wij concluderen dat de voorstellen van de Commissie Jones-Bos de waarborgen van bepaalde bijzondere bevoegdheden verzwakken. Dit heeft gevolgen heeft voor de bescherming van het recht op privacy. Met name een voorgestelde informantenbevoegdheid wordt gebrekkig uitgewerkt door de commissie, terwijl daarmee ook bulkdatasets kunnen worden verzameld. Die regeling behoeft meer aandacht, waarbij fundamentele keuzes gemaakt worden, zoals de vraag of de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) van elke overheidsinstantie en misschien zelfs elk bedrijf gegevens vrijwillig mogen opvragen of kunnen eisen dat deze op verzoek verplicht verstrekt worden (vorderen). Het voorstel de voorafgaande onafhankelijke toets van de Toetsingscommissie Inzet Bevoegdheden (TIB) te schrappen bij de bevoegdheden voor selectie- en metadata-analyse, het vereenvoudigen van het relevant verklaren van bulkdatasets, en de inperking van het begrip ‘geautomatiseerde data-analyse’, verzwakt ook de bescherming van privacy.

Ten slotte merken wij in het artikel op dat de Commissie Jones-Bos bijzonder weinig aandacht aan de bepalingen omtrent gegevensverwerking in de Wiv 2017. Ook bij minder geavanceerde vormen van data-analyse die wel degelijk een ernstige inbreuk op het recht op privacy en andere mensenrechten kunnen meebrengen, waarvoor deze bepalingen van belang kunnen zijn. Wij bevelen daarom aan voordat het voorstel tot wetswijzing naar de Tweede Kamer wordt gestuurd alsnog een ‘privacy impact assessment’ uit te voeren (zie ook de PIA op het wetsvoorstel van de Wiv 2017). Net als bij de Wiv 2017 kunnen de uitkomsten daarvan voor het wetsvoorstel in overweging worden genomen. 

En weer terug naar privacy?

Na de publicatie van ons artikel heeft toch een kleine kentering in het (parlementaire) debat plaatsgevonden over de voorgenomen wijzigingen van de Wiv 2017. De aangenomen moties (zoek op ‘IVD’) zien op de toezichthouders (bijvoorbeeld een oproep te onderzoeken wat de voor- en nadelen van samenvoeging zijn). Daarmee wordt er enige tegenwicht geboden aan sommige aanbevelingen van de Commissie Jones-Bos over toezicht.

In een recente annotatie bij de Big Brother Watch- en Centrum För Rättvisa-zaken betogen Mireille Hagens en ik (Jan-Jaap) dat de oproep van het Europees Hof voor de Rechten van de Mens (EHRM) tot ‘end-to-end safeguards’ bij bulkinterceptie ook tot een heroverweging van het toezicht stelsel en de rol van de rechter zou moeten leiden.

Quirine en ik hadden natuurlijk graag ook een oproep tot meer aandacht voor de regels omtrent gegevensverwerking en impact op privacy gezien (ook vanwege het gemoderniseerde verdrag van de Raad van Europa over regels voor gegevensverwerking (Conventie 108+) die ook betrekking heeft op nationale veiligheid). Maar de discussie lijkt met de vele nieuwe Tweede Kamerleden weer wat meer open te liggen. Het zal ook afhankelijk zijn van de visie en waarden die een nieuw kabinet te zijner tijd met zich meebrengt, hoe een wetsvoorstel voor een nieuwe Wiv (2024?) eruit komt te zien.

Jan-Jaap Oerlemans & Quirine Eijkman

De Wijzigingswet Wiv 2017

De ‘Wijzigingswet 2017’ krijgt weinig aandacht in de literatuur en media, maar er staan toch belangrijke bepalingen in het wetsvoorstel die ik even op een rijtje wil zetten. Het wetsvoorstel betreft voor een belangrijk deel de codificatie van de Beleidsregels Wiv 2017. De Beleidsregels waren ingevoerd gelet op de zorgen in de samenleving, zoals deze onder meer uit de uitslag van het raadgevend referendum over de Wiv 2017 zijn gebleken (49,44% stemmen tegen en 46,53% stemmen voor de Wiv 2017).

In deze blogpost bespreek ik niet niet alle bepalingen van het wetsvoorstel Wijzigingswet Wiv 2017 maar de aanpassingen van (in mijn ogen) de belangrijkste artikelen rond het gerichtheidsvereiste en het delen van ongeëvalueerde gegevens met buitenlandse diensten. Daarnaast signaleer ik nog een paar interessante vragen en antwoorden in het Kamerdebat over het wetsvoorstel.

Belangrijke wijzigingen Wiv 2017

1. Het gerichtheidsvereiste

In artikel 5 van de Beleidsregels Wiv 2017 staat dat bijzondere bevoegdheden “zo gericht mogelijk” moeten worden ingezet. Het nieuwe vereiste die per 1 mei 2018 van kracht is, is geïntroduceerd naar aanleiding van de motie Recourt. In de motie stond dat het wenselijk is dat het gerichtheidsvereiste voor álle bevoegdheden geldt en niet alleen voor de bijzondere bevoegdheden zoals in de Beleidsregels is opgenomen. In de Beleidsregel en de toelichting wordt echter niet uitgelegd wat het gerichtheidsvereiste behelst.

In het wetsvoorstel wordt in de memorie van toelichting (p. 4-5) verduidelijkt dat onder “zo gericht mogelijk” wordt verstaan

“in hoeverre bij de verwerving sprake is van het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus.”

De te vergaren gegevens moeten daarbij dus van te voren worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object. Per inzet van een bevoegdheid krijgt het vereiste aldus zijn uitwerking. Zonder voorbeelden blijft deze uitleg natuurlijk wel wat vaag. Het was overigens sowieso al gek dat het vereiste niet eerder was gedefinieerd.

In de praktijk is wel ervaring met het vereiste opgedaan, waar de CTIVD ook al op heeft getoetst. In CTIVD-rapport nr. 64 (2019) over de selectie van geïntercepteerde communicatie uit de ether, constateert de toezichthouder bijvoorbeeld dat in de aanvraag tot de inzet van de bijzondere bevoegdheid tot selectie in één geval een heldere omschrijving ontbrak van de organisatie ten aanzien waarvan de selectiebevoegdheid werd ingezet. De geformuleerde groep was te ruim omschreven en in de aanvraag was niet omschreven waarom sprake was van een organisatie.

En in het CTIVD-rapport nr. 63 (2019) over filtering bij ‘onderzoeksopdrachtgerichte interceptie’ (bulkinterceptie) gaf de toezichthouder aan dat bij een specifieke vorm van satellietinterceptie tijdens de onderzoeksperiode ‘een deel van gebruikte verwerkingssystemen alle inhoud en metadata van herkende typen data or protocollen doorlaat. Het zonder meer opslaan van gegevens op deze manier laat zich niet verenigen met het vereiste dat de interceptie ‘zo gericht mogelijk’ dient te zijn’ (onderstreping toegevoegd). In reactie op beide rapporten zeiden de ministers zich in te spannen deze onrechtmatigheden in de toekomst te voorkomen.

Als het wetsvoorstel Wijzigingswet Wiv 2017 wordt aangenomen en van kracht is, geldt het gerichtheidsvereiste verder voor álle bevoegdheden. Daartoe wordt artikel 26 Wiv 2017 gewijzigd, waar nu ook de andere algemene vereisten van proportionaliteit en subsidiariteit zijn neergelegd. Als gevolg daarvan moet het vereiste ook worden toegepast bij de inzet van algemene bevoegdheden zoals de informantenbevoegdheid en het stelselmatig verzamelen van persoonsgegevens op internet. Als je bijvoorbeeld gegevens opvraagt bij een bedrijf of instelling op grond van de informantenbevoegdheid (die dat dan al dan niet vrijwillig verstrekt), dan vraag je dat zo gericht mogelijk; bijvoorbeeld de gegevens van het target die je als dienst in de gaten houdt en niet een hele database. Een dergelijke toets raakt overigens ook sterk de proportionaliteitstoets en subsidiariteitstoets, maar goed. Vanuit het perspectief van de bescherming van fundamentele rechten is de bepaling zeker een winst, omdat het als extra waarborg kan fungeren voor alle bevoegdheden.

2. Delen van ongeëvalueerde gegevens met buitenlandse diensten

Het wettelijk kader voor het delen van gegevens is nogal ingewikkeld. In deze blogpost sluit ik aan bij de uitleg uit de memorie van toelichting en het nader verslag.

In het nader verslag wordt uitgelegd dat voorafgaand aan het aangaan van een samenwerkingsrelatie met een buitenlandse dienst een ‘wegingsnotitie’ wordt opgesteld. In de wegingsnotitie wordt aan de hand van wettelijk vastgelegde criteria, zoals de ‘democratische inbedding van de buitenlandse dienst’ en ‘de eerbiediging van mensenrechten door het betreffende land’, nagegaan of een dergelijke samenwerkingsrelatie kan worden aangegaan en in hoeverre gegevens kunnen worden uitgewisseld. Daarbij wordt onderscheid gemaakt tussen geëvalueerde of ongeëvalueerde gegevens. Ongeëvalueerde gegevens zijn gegevens waarvan de AIVD en de MIVD te weinig kennis van de inhoud hebben om een adequate weging te kunnen maken van de noodzaak, behoorlijkheid en zorgvuldigheid van de verstrekking van de gegevens.

De door de minister van BZK of minister van Defensie verleende toestemming voor het aangaan van de samenwerkingsrelatie bepaalt dus ook de grenzen van die samenwerking en of er gegevens mogen worden verstrekt en zo ja, welke soorten gegevens.

Artikel 64 Wiv 2017 vormt een uitzondering op deze regeling. In het kader van een goede taakuitvoering kan de AIVD of de MIVD op grond van een dringende en gewichtige reden – bijvoorbeeld indien men beschikt over gegevens die wijzen in de richting van een ophanden zijnde terroristische aanslag in het desbetreffende land – gegevens verstrekken aan de buitenlandse dienst waarmee geen samenwerkingsrelatie bestaat. Dat mag alleen met toestemming van de verantwoordelijke minister. Het kan daarbij óók gaan om de verstrekking van ongeëvalueerde gegevens.

De aanpassing ziet er op de situatie dat er wél een samenwerkingsrelatie is, maar de wegingsnotitie aangeeft dat het regulier niet is toegestaan gegevens met de buitenlandse dienst te delen. Door aanpassing van artikel 64 Wiv 2017 wordt dit bij bovengenoemde gewichtige redenen wel mogelijk met toestemming van de verantwoordelijke minister. Als er toch al een uitzondering is met toestemming van de minister de gegevens te delen bij gewichtige redenen, is het wat mij betreft ook niet gek dat dit ook mogelijk wordt gemaakt als er wel een samenwerkingsrelatie bestaat. De CTIVD wordt overigens via een melding op de hoogte gesteld bij een verstrekking van ongeëvalueerde gegevens.

In het nader verslag vragen leden van GroenLinks nog hoe het staat met het internationaal toezicht op het delen van gegevens met buitenlands diensten. De minister van Defensie herhaalt dat bij samenwerkingsverbanden de controle op de handelingen van de inlichtingen- en veiligheidsdiensten door de nationale toezichthouders plaatsvindt. Het is volgens minister ‘te vroeg om voor het toezicht op samenwerkingsverbanden multilaterale afspraken te maken over het integraal wegnemen van wettelijke beperkingen voor de uitwisseling van staatsgeheime gegevens tussen toezichthouders’.

Tweede Kamerdebat (nota naar aanleiding van het verslag)

Tijdens het Tweede Kamerdebat over de Wijzigingswet Wiv 2017 kwamen een aantal interessante onderwerpen voorbij (zie de ‘nota naar aanleiding van het verslag’). Ik licht er drie uit.  

1. Geclausuleerde toestemming TIB

De leden van de Partij van de Dieren vroegen zich of in hoeverre het mogelijk is dat de TIB ‘geclausuleerd’ voorafgaand aan de inzet goedkeuring geeft van de inzet van (bepaalde) bijzondere bevoegdheden die door de minister zijn goedgekeurd. Dan wordt dus goedkeuring gegeven, maar onder voorwaarde dat bij de uitvoering ergens rekening mee wordt gehouden. Blijkbaar ziet de partij deze ruimte niet, omdat in artikel 36 lid 2 Wiv 2017 is vastgelegd dat de commissie oordeelt of de toestemming van de minister rechtmatig is. Deze toestemming zou ook geen geheime voorwaarden toelaten volgens de partij. De minister van Defensie beaamt dat strikt genomen de Wiv 2017 niet voorziet in de mogelijkheid tot geclausuleerde goedkeuring. In de praktijk is dit slechts in enkele situaties voorgekomen, zo geeft zij aan. Opvallend is dat verderop wordt gezegd dat: 

“Mocht een geclausuleerde goedkeuring door de TIB voor de inzet van de bijzondere bevoegdheid overigens voorwaarden bevatten die om verschillende redenen als niet aanvaardbaar worden beschouwd (praktisch onwerkbaar, verschil in interpretatie wettelijke bepalingen e.d.), dan ligt het voor de hand dat – nu de verleende toestemming niet van rechtswege is vervallen – deze door de Minister wordt ingetrokken.”

Ten slotte wordt gewezen op de aanstaande evaluatie (die uiterlijk start op 1 mei 2020, maar waarvan de Commissieleden nog niet publiekelijk bekend zijn) zich buigt over ‘de hele inrichting, de functie en de plek van de TIB in het bestel, een en ander tegen de achtergrond van de ministeriële verantwoordelijkheid’. Het vraagstuk geclausuleerde goedkeuring door de TIB maakt daar onderdeel van uit.

2. ‘Werken met grote gegevenssets en GDA’

Verder vond ik het interessant – en ook terecht overigens – dat verschillende Kamerleden vroegen of de regering kon ingaan op de kritiek van de TIB over de verzameling van grote gegevenssets door middel van hacken of informanten. De leden van GroenLinks geven aan dat ook bij andere bevoegdheden gegevens in bulk worden verzameld, ook van personen die niet in onderzoek zijn bij de diensten. De leden vragen waarom deze waarborgen niet in bindende bepalingen zijn gegoten voor GDA-verwerking van alle verzamelde data, of deze data nu uit een open bron zijn verkregen, via een zogeheten bulk-hack zijn binnengehaald, met de OOG-interceptie bevoegdheid zijn afgevangen of van een andere dienst zijn ontvangen. De minister geeft aan dat dit onderwerp niet wordt behandeld in de Wijzigingswet en daarom hier niet op wordt ingegaan. Het wordt mogelijk in de wetsevaluatie betrokken.

Ook wordt de suggestie om de waarborgensystematiek voor geautomatiseerde data-analyse na bulkinterceptie op bijvoorbeeld metadata in de Wiv 2017 uit te breiden, wordt niet door de minister omarmt. De minister is er geen voorstander van, omdat dan voor ‘alle gevallen van geautomatiseerde data-analyse waarbij persoonsgegevens worden verwerkt, toestemming van de minister en een toets van de TIB noodzakelijk zou zijn’. Dat is mijns inziens afhankelijk van hoe je het regelt, maar de minister geeft in ieder geval aan een dergelijke regeling niet wenselijk te vinden.

De minister zegt dat ook geautomatiseerde data-analyse onderwerp kunnen zijn voor de wetsevaluatie. De minister wilt eerst de resultaten van de evaluatie af te wachten, alvorens tot aanpassingen van het stelsel te komen. De leden van wetsevaluatie gaan het dus nog druk krijgen gezien het aantal onderwerpen op die voor hen op de agenda zijn geplaatst! (zie deze Kamerbrief (.pdf) uit november 2019).  

3. Regelgeving en invloed opslagkracht van de diensten

De leden van CDA- en VVD fractie stelden verschillen vragen ‘of de genomen maatregelen werkbaar blijven voor de diensten’ en ‘op welke wijze met het voorliggende wetsvoorstel de slagkracht van de diensten wordt bevorderd en de disproportionele bureaucratisering van het werk van de diensten tegengegaan’.

De minister (die uiteraard haar eigen wetsvoorstel verdedigde) antwoordde daarop dat de bepalingen uit de Wijzigingswet  2017 naar inschatting werkbaar zijn. Over de bepalingen uit de Wiv 2017 (ten opzichte van de Wiv 2002) antwoord de minister dat de AIVD en de MIVD ‘intensief betrokken’ waren bij de totstandkoming van de wet en naar hun beste vermogen een inschatting hebben gemaakt van de impact van de nieuwe regels op hun werkwijze. Maar: ‘in de toepassingspraktijk is gebleken dat op onderdelen er frictie kan ontstaan tussen de wettelijke norm (en de wijze waarop deze is toegelicht) en de werkbaarheid voor de praktijk’. De minister wordt niet concreter welke onderdelen dat zijn en geeft aan dat ‘een en ander’ bij de wetsevaluatie wordt ingebracht.