Tag Data-analyse

Datagedreven opsporing en toezicht

jjoerlemans 2 reacties

In januari 2023 hebben prof. mr. Marianne Hirsch Ballin en ik een artikel (.pdf) geschreven over datagedreven opsporing en toezicht in het tijdschrift voor strafrecht ‘Delikt en Delinkwent’. In deze blogpost leiden wij ons artikel in.  

Datagedreven opsporing

Datagedreven opsporing is de verwerking van gegevens die eerder door de politie bij hun taakuitoefening in andere onderzoeken zijn verzameld en daarna ten behoeve van nieuwe opsporingsonderzoeken worden geanalyseerd. De zogenoemde ‘cryptotelefoon-operaties’ zijn een bekend voorbeeld van deze datagedreven opsporing.

In deze operaties zijn tot wel honderden miljoenen berichten in één operatie veiliggesteld van cryptotelefoonaanbieders zoals ‘EncroChat’ en ‘SkyECC’ (zie ook dit overzicht op deze blog). Deze gegevens vormen (ten dele) bewijs voor honderden toekomstige strafzaken. In politiepraktijk worden deze operaties ook wel beschreven als een game changer.  

In ons artikel stellen wij dat datagedreven opsporing ook een ‘game changer’ zou moeten zijn voor de wijze waarop digitale opsporingsbevoegdheden worden genormeerd. Het gaat dan in het bijzonder om de relatie tussen het Wetboek van Strafvordering (waarbinnen onder andere opsporingsbevoegdheden worden geregeld) en de Wet politiegegevens (waar de verwerking van gegevens wordt geregeld) en het bijbehorende toezicht.

We zetten in ons artikel het model uiteen van datagedreven opsporing en illustreren dat aan de hand van de daarover bekende strafrechtspraak en de praktijk bij het Team High Tech Crime (THTC) van de politie. Over deze praktijk is ook het lezenswaardige WODC-rapport ‘Opsporen, vervolgen en tegenhouden van cybercriminaliteit’ verschenen, waar ook wordt gewezen op het spanningsveld tussen deze praktijk en strafvordering.

De praktijk van het Team High Tech Crime laat zien dat er bij datagedreven opsporing slechts een beperkte rol is voor controle door de strafrechter via strafzaken. Als bijvoorbeeld het doel is een cybercriminele (ICT-)infrastructuur onderuit te halen en het verdienmodel aan te tasten, dan zijn dat activiteiten die vaak niet leiden tot vervolging van een concrete verdachte waardoor die activiteiten buiten het zicht van de strafrechter blijven. En wanneer de inzet van de opsporing ook het vergaren van intelligence ten behoeve van nieuwe onderzoeken omvat, is dat een aspect dat de strafrechter in de regel niet in zijn beoordeling betrekt. Recentelijk wees ook prof. Bart Schermer hierop in zijn inaugurele rede ‘De gespannen relatie tussen privacy en cybercrime’ bij de Universiteit Leiden.

Het spanningsveld met strafvordering

De cryptotelefoon-operaties laten zien dat het model van het Team High Tech Crime ook wordt toegepast in andere strafzaken, buiten de context van de cybercriminaliteit. Vastgesteld kan worden dat daarmee het verwerven van intelligence verweven is geraakt met de opsporingspraktijk. Deze ontwikkeling legt uit normatief oogpunt druk op het huidige stelsel van strafvordering in Nederland.

De verzameling van de gegevens bij datagedreven opsporing vindt plaats met toepassing van bijzondere opsporingsbevoegdheden die worden gereguleerd in het Wetboek van Strafvordering. In ons artikel leggen wij uit dat de verwerking en analyse van deze gegevens plaatsvindt op grond van de Wet politiegegevens (Wpg) en dat de daaropvolgende interventie een nieuw opsporingsonderzoek kan betreffen, maar bijvoorbeeld ook ‘verstoring’ met een grondslag in de Politiewet. De naleving van de Wet politiegegevens bij de strafrechter lijkt tot op heden geen rol van betekenis te spelen bij sanctionering van eventuele vormverzuimen.

Verder leggen wij uit dat deze praktijk een normatieve verbinding vergt tussen de reguleringskaders. De wetgever moet daarom de keuze maken óf normering van data-analyses in het Wetboek van Strafvordering óf voor nadere normering van analysebevoegdheden in de Wpg. Daarbij moet recht worden gedaan aan (basis)beginselen van strafvordering zodat de verbinding tussen de normeringskaders wordt gelegd.

Deze boodschap vindt bredere steun. Zie bijvoorbeeld ook het rapport van prof. Fedorova e.a. over ‘Strafvorderlijke gegevensverwerking’ en het artikel van B.W. Schermer & M. Galič, ‘Biedt de Wet politiegegevens een stelsel van ‘end-to-end’ privacywaarborgen?’. In ons artikel komen wij nu, in aanvulling daarop, tot de conclusie dat die constatering ook vraagt om veranderingen in de wijze waarop het stelsel van toezicht op de opsporing en verwerking van politiegegevens is georganiseerd.

Beter toezicht

Ruimte bieden voor bredere doelstellingen dan opsporing bij de inzet van bijzondere opsporingsbevoegdheden, betekent ook dat in de normering de bakens moeten worden verzet.

De totstandkoming van het nieuwe Wetboek van Strafvordering biedt de ruimte om op een weloverwegen manier te komen tot een herpositionering van de opsporing vanwege deze praktijk van datagedreven opsporing en interventies waarop rechtstreekse controle door de strafrechter ontbreekt. Het is daarbij noodzakelijk dat in de normering de verbinding tussen het Wetboek van Strafvordering en de Wet politiegegevens tot uitdrukking wordt gebracht en, in aansluiting daarop, het stelsel van toezicht op datagedreven opsporing wordt heringericht.

Met betrekking tot het toezicht achten wij een nieuwe vorm van toezicht wenselijk, die mede ziet op de inzet van data-analyses ten behoeve van de politietaken (inclusief de opsporing en aldus de datagedreven opsporing). Het verdient aanbeveling daarvoor een nieuw onafhankelijk extern toezichtsorgaan op te richten.

Gelet op de bredere consensus over de noodzaak van herijking van het stelsel van strafvordering in relatie tot de Wet Politiegegevens in de wetenschappelijke literatuur (zie de eerdere verwijzingen in deze blog), hopen wij dat onze aanbevelingen zich een weg naar het nieuwe Wetboek van Strafvordering zullen vinden.

Marianne Hirsch Ballin & Jan-Jaap Oerlemans

Citeerwijze artikel:

M.F.H. Hirsch Ballin & J.J. Oerlemans, ‘Datagedreven opsporing verzet de bakens in het toezicht op strafvorderlijk optreden’, DD 2023/2, nr. 1, p. 18-38

Rapport evaluatiecommissie Jones-Bos: the good, the bad and the ugly

jjoerlemans

Op 20 januari 2021 heeft de Commissie-Jones-Bos haar rapport ‘Evaluatie 2020. Wet op de inlichtingen- en veiligheidsdiensten 2017’ (.pdf) uitgebracht. De Wiv 2017 schrijft in artikel 167 voor dat de wet (telkens) na vijf jaar wordt geëvalueerd. Toch is besloten het evaluatieproces al twee jaar na de inwerkingtreding van de wet op 1 mei 2018 te starten.

De evaluatiecommissie verklaart dat de vervroegde evaluatie tegen de achtergrond van de ‘stevige maatschappelijke discussie over de Wiv 2017’, maar verwijst daarbij niet expliciet naar de uitslag van het raadgevend referendum waarbij meer mensen tégen de Wiv 2017 hebben gestemd, dan vóór (49,44% tegen en 46,53% voor de Wiv 2017). Hoewel de vervroegde evaluatie dus in eerste instantie was ingegeven door privacyzorgen, heeft de evaluatiecommissie klaarblijkelijk nadrukkelijk ook tot doel gehad de Wiv 2017 werkbaarder te maken. Het onderzoeken van de werkbaarheid van de Wiv 2017 was ook één van de opdrachten die de commissie van het kabinet heeft meegekregen.

In deze blogpost geef ik al mijn eigen korte reactie op belangrijke punten uit het rapport. Wie weet is het een begin van een volledige beschouwing van het rapport dat ik later in een artikel publiceer. Het kan zijn dat mijn standpunten later wijzigen (gelukkig mag dat in de wetenschap). Maar ik denk niet dat iedereen doorziet wat de mogelijke effecten zijn van de aanbevelingen en het leek mij goed in dit stadium hier al op te wijzen.

The good 

  • Het rapport is helder geschreven en bevat een heldere omschrijving van lastige onderwerp zoals: (1) het gebruik van bulkdata, (2) het proces van de verwerking van gegevens in de praktijk, (3) internationale samenwerking en de invloed van internationaal recht op het werk van de diensten, (4) het stelsel van toezicht.
  • De wettelijke regeling voor het verwerven van ‘register bulkdata’, zoals gegevens van de Kamer van Koophandel en de Rijksdienst Wegverkeer (RDW) voor kentekengegevens, is onvoldoende voorzienbaar en verdiend een aparte wettelijke basis (zie ook mijn oratie). Ook de waarborg van toestemming van de minister vind ik passend.
  • Een speciaal regime voor de (verdere) verwerking van bulkgegevens, incl. autorisatievereisten.
  • Voorstel tot aanpassing van de bijzondere bevoegdheid voor geautomatiseerde data-analyse aan (zie ook mijn recente preadvies en artikel hierover).
  • De aanbevelingen m.b.t. OOG-interceptie en de hackbevoegdheid.
  • De meeste aanbevelingen over internationale samenwerking (steviger waarborgen en bescherming van Nederlanders bij gegevensverstrekking aan buitenlande diensten).
  • De aanbevelingen over de reikwijdte van de TIB-toets en procedurele aanbevelingen over benoeming van de leden van de TIB en CTIVD.

The bad 

  • De aanbeveling voor één grondslag voor het verkrijgen van gegevens (incl. bulkdata) van Nederlandse medeoverheden. Deze aanbeveling is onvoldoende uitgewerkt. Vraagstukken zijn bijvoorbeeld: moet altijd verplicht worden verstrekt naar de diensten? En met welke waarborgen op het gebied van gegevensverwerking? Welke bewaartermijn geldt voor deze gegevens? In het strafrecht werd voor deze regeling een hele commissie aangesteld (de Commissie-Mevis met het rapport ‘Strafvorderlijke gegevensvergaring in de informatiemaatschappij‘).
  • Een nieuwe categorie voor geautomatiseerde data-analyse (‘GDA+’) met als argument (als ik het goed begrijp) dat alleen data-analyse waarbij wordt gewerkt met ‘statistische methoden’ (bijvoorbeeld bij profiling) privacy-intrusief zijn. Zogenoemde ‘naslagen’ waarbij allerlei soorten gegevens uit verschillende bronnen gekoppeld en gevisualiseerd kunnen worden zouden slechts een ‘beperkte privacy-inbreuk’ opleveren. Net zoals bijna twee jaar geleden (!) in een brief in reactie op een rechtseenheidbrief over geautomatiseerde data-analyse door de ministers uiteen is gezet. Het is een fundamenteel andere kijk op de privacy-effecten van data-analyse dan van veel juristen en dat verdient meer aandacht.  
  • Het schrappen van de bijzondere bevoegdheid van ‘selectie’ bij onderzoeksopdrachtgerichte-interceptie. Nu moet apart toestemming worden gegeven voor het kennisnemen van de inhoud na interceptie (zoals het uitluisteren van een telefoongesprek). Het voorstel is dit te schrappen (geen voorafgaande toestemming meer van de TIB). Maar welk probleem wordt hier opgelost en waarom is deze privacy-waarborg niet passend?
  • Het niet-samenvoegen van de TIB en CTIVD. Het stelsel werkt klaarblijkelijk niet zoals gehoopt (zoals eerder voorspeld door onder andere de Raad van State), mede door een verdergaande toetsing van de TIB dan gedacht. Volgens de aanbevelingen wordt de rol van TIB beduidend teruggeduwd, krijgt de afdeling toezicht van de CTIVD geen bindende toetsinstrumenten en worden verantwoordelijkheden meer belegd bij de verantwoordelijke ministers. Zie voor een andere kijk ook de bijdrage van de CTIVD aan de evaluatiecommissie.

The ugly 

  • De aanbeveling de relevantietoets aan te passen door een toets op ‘operationele waarde’. Het gevolg is dat bulkdatasets na de termijn van drie jaar bijna in hun geheel ‘van betekenis’ worden verklaard. De gevolgen voor het gegevenbeschermingsrecht zijn hier onvoldoende doordacht. Er geldt niet eens een maximale bewaartermijn van de gegevens. Het beginsel van ‘datareductie’ met een verplichte vernietiging van gegevens wordt hierdoor uitgehold.
  • De aanbeveling het mogelijk te maken begrippen voor te leggen aan de bestuursrechter. In een rechtsstaat kan een rechter beslissen over besluiten van een toezichtsorgaan, maar de toezichthouder interpreteert in eerste instantie de wet bij de taakuitvoering.

Conclusie

In de kern kan ik mij in veel gevallen vinden in de aanbevelingen van de evaluatiecommissie. Aandacht voor de werkbaarheid van wetgeving is belangrijk, ook in het kader van een effectieve bescherming van de nationale veiligheid.

Maar ‘the devil is in the details’ en ik heb veel vraagtekens bij de uitwerking van bepaalde voorstellen. Het rapport is ook niet altijd gebalanceerd, in de zin dat het soms super technisch-juridisch en over details gaat (zoals bij OOG-interceptie en de hackbevoegdheid) en andere keer weer heel hoog over is, zonder uitgebreid te toetsen aan de juridische basis of juridische consequenties (incl. grondrechten), met name m.b.t. bulkdatasets en geautomatiseerde data-analyse.

Het onvermijdelijke wetsvoorstel (ik verwacht dat een nieuw kabinet aan de hand van de aanbevelingen de opdracht geeft een wetsvoorstel voor te bereiden) en daaropvolgende de wetsbehandeling ga ik uiteraard met interesse volgen!  

Jaarverslag AIVD en evaluatiecommissie Wiv 2017

jjoerlemans

Gisteren heeft de AIVD zijn jaarverslag 2019 gepubliceerd. Het is zoals gewoonlijk interessant leeswerk, waar toch verrassend veel details in staan. Landen als Rusland, China en Iran worden bij de naam worden genoemd als landen die spionage bedrijven in Nederland. Ook de lijst met arrestaties van personen van de ‘jihadistische beweging’ op basis van ambtsberichten van de AIVD (op p. 11) is indrukwekkend.

Ook de MIVD heeft eind april zijn jaarverslag 2019 gepubliceerd. In het jaarverslag wordt o.a. benadrukt dat de Russische Federatie informatieoperaties uitvoert om maatschappelijke verdeeldheid te creëren. Ook waarschuwt de MIVD dat digitale spionage bij overheden en bedrijven door staten zoals China en Rusland één van de grootste dreigingen voor Nederland vormt. Bij de MIVD staat er geen lijst met arrestaties naar aanleiding van ambtsberichten in het jaarverslag, maar wordt bijvoorbeeld uitgelegd met welke onderdelen van Defensie werken.

De jaarverslagen maken concreet welk belangrijk werk de diensten verrichten en hoe productief zij zijn geweest. Ze zijn zeker lezenswaardig voor mensen die meer willen leren over het werk van de diensten.

Leden van de evaluatiecommissie Wiv 2017

Deze week werd ook duidelijk wie de leden van de evaluatiecommissie voor de Wiv 2017 zijn (zie Staatscourant nr. 21256).  

De meesten zijn mij wel bekend en betreft volgens mij een deskundig gezelschap. Ik zet ze hierbij op een rijtje (waarbij ik zelf hun achtergrond aan heb toegevoegd):

– drs. R.V.M. Jones-Bos (o.a. voormalig ambassadeur in Moskou)

– mr. Th.P.L. Bot (lid van ‘Raad van Rechtshandhaving’ en ervaring als o.a. plaatsvervangend hoofd van de AIVD in 2001 en 2002)

– prof. mr. E.J. Dommering (emeritus hoogleraar informaticarecht);

– prof. dr. L.J. van den Herik (hoogleraar internationaal publiekrecht);

– prof. dr. B.P.F. Jacobs (hoogleraar beveiliging en correctheid van software);

– vice-admiraal b.d. W. Nagtegaal;

– prof. mr. S.E. Zijlstra (hoogleraar staats- en bestuursrecht).

Onderzoeksonderwerpen

De Commissie Jones-Bos heeft als opdracht te onderzoeken:  

  • Of de wet datgene heeft gebracht wat de wetgever daarmee voor ogen had (realisatie van de doelstellingen van de wet);
  • Of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten;
  •  Welke knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen.

Daarbij moet bijzondere aandacht worden geschonken aan:

  1. het integrale stelsel van toezicht, waarbij in ieder geval aandacht wordt geschonken aan:
  • de inrichting, functie en positie van de Toetsingscommissie Inzet Bevoegdheden (TIB), een en ander tegen de achtergrond van het vraagstuk van de ministeriële verantwoordelijkheid;
  • de positionering van de klachtbehandeling bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) en de effectiviteit daarvan mede vanuit het burgerperspectief;
  • de rechtseenheidsvoorziening TIB – CTIVD;
  • de benoemingsprocedure voor de leden van TIB en CTIVD.

2. de bevoegdheden van de diensten tot gegevensverwerking en de daarvoor geldende waarborgen, waarbij in ieder geval aandacht wordt geschonken aan:

  • de toepassing en inpasbaarheid van nieuwe technieken binnen de wettelijk geregelde bevoegdheden (techniekonafhankelijkheid);
  • de toepassing van het gerichtheidscriterium bij bijzondere bevoegdheden;
  • het datareductiestelsel en de bewaartermijnen;
  • de duidelijkheid van in de wet gehanteerde terminologie.

3. de bevoegdheden en waarborgen met betrekking tot internationale samenwerking van de diensten (zowel op vlak van gegevensverstrekking als ondersteuning).

Is de Wiv 2017 voldoende werkbaar?

Uit de opsomming blijkt dat er veel aandacht is voor (simpel gezegd) de vraag of de nieuwe wet wel ‘werkbaar’ is voor de AIVD en de MIVD. De opdracht: “Welke knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen” is overigens heel raar geformuleerd, maar het lijkt om de identificatie van deze knelpunten te gaan.

De AIVD benadrukt in het jaarverslag in het voorwoord en op p. 22 “de zorg over het vermogen om binnen de huidige kaders verborgen dreigingen te kunnen (blijven) onderkennen” vanwege deze nieuwe wet, maar zij leggen niet uit waar die knelpunten dan uit bestaan. We gaan er uiteraard vanuit dat de commissieleden ook door andere partijen dan de AIVD hierover wordt gevoed.

Waar is het onderwerp van ‘data-analyse’ gebleven?

In de nota naar aanleiding van verslag over de Wijzigingswet Wiv 2017 (zie daarover deze blog) gaf de minister nog aan – naar aanleiding van vragen van kritische Kamerleden – dat het vraagstuk van ‘geautomatiseerde data-analyse’ mogelijk in de evaluatie wordt betrokken. En in de Kamerbrief over de evaluatiecommissie van 12 november 2019 werd het onderwerp van ‘geautomatiseerde data-analyse’ nog specifiek genoemd.

Nu lijkt het onderwerp van geautomatiseerde data-analyse naar de achtergrond te zijn geschoven, maar hopelijk wordt het ingelezen bij het aandachtspunt van de ‘de toepassing en inpasbaarheid van nieuwe technieken binnen de wettelijke geregelde bevoegdheden’. Het lijkt mij namelijk van belang ook de toepassingspraktijk sinds de inwerkingtreding van de nieuwe Wiv in verhouding tot de noodzakelijke waarborgen te onderzoeken.

Planning

Tot slot merk ik nog iets op over de planning. In de Kamerbrief van 12 november 2019 werd nog een doorlooptijd van zes maanden genoemd (met afronding rapport in november 2020). Dat leek mij sowieso wel krap om de onderzoekswerkzaamheden uit te voeren, gesprekken te voeren en het rapport op te stellen. Maar goed, vanwege het Coronavirus wordt de datum voor de oplevering van het rapport later vastgesteld en bekend gemaakt in de Staatscourant. We gaan het zien!

== Update =

Link naar jaarverslag MIVD toegevoegd.

AI, strafrecht en het recht op een eerlijk proces

jjoerlemans 1 reactie

Voor het themanummer ‘AI en Recht’ van het tijdschrift Computerrecht, hebben Bart Schermer en ik een artikel geschreven over AI, strafrecht en het recht op een eerlijk proces (.pdf). Mijn annotatie over de veroordeling van de oprichter van Ennetcom in het Tijdschrift voor Bijzonder Strafrecht & Handhaving is ook hier (.pdf) te lezen.

Het artikel bespreekt eerst de zogenoemde ‘Ennetcom-casus’ en gaat daarna in op de inzet van kunstmatige intelligentie voor het (geautomatiseerd) nemen van strafvorderlijke beslissingen.

Ennetcom

In 2016 heeft het Nederlandse Team High Tech Crime een grote hoeveelheid gegevens (7 Terabyte) in beslag genomen van ‘Ennetcom’, een bedrijf dat werd verdacht van witwassen. Het Nederlandse bedrijf Ennetcom leverde diensten op het gebied van versleutelde communicatie. Tijdens een doorzoeking bij het bedrijf BitFlow Technologies Inc. in Canada (op basis van een rechtshulpverzoek) zijn 3,6 miljoen versleutelde berichten in beslag genomen die zijn verstuurd via zo’n 40.000 smartphones van naar schatting 19.000 klanten.

Klanten konden met speciale BlackBerry-telefoons, voorzien van specifieke software, versleutelde tekstberichten en notities versturen. De encryptiesleutels waren opgeslagen op de ‘Blackberry Enterprise Servers’ van Ennetcom. Deze servers bevonden zich bij BitFlow Technologies Inc. in Toronto, Canada. Na een rechtshulpverzoek van Nederland en een machtiging van een rechter-commissaris aan de Canadese autoriteiten zijn op 19 april 2016 de encryptiesleutels op de servers veilig gesteld zodat daarmee de berichten konden worden ontsleuteld door de Nederlandse opsporingsautoriteiten.

Het Nederlands Forensisch Instituut (NFI) heeft software ontwikkeld waarmee zeer grote hoeveelheden gegevens snel en diepgaand geanalyseerd kunnen worden. Datasets zijn snel te doorzoeken om zo verbanden te leggen tussen verschillende attributen, zoals gebruikersnamen, bijnamen, telefoonnummers en e-mailadressen. Hierdoor kunnen rechercheurs en analisten vele malen sneller en effectiever werken in een opsporingsonderzoek. De software, genaamd ‘Hansken’, is ook ingezet voor de analyse van de Ennetcom-data.

Verdachten worden in strafzaken geconfronteerd met belastend bewijs dat afkomstig is uit een grootschalige data-analyse met het Hansken systeem. In het artikel leggen wij uit dat het recht op een eerlijk proces in artikel 6 EVRM het deelrecht kan worden afgeleid dat de verdachte toegang moet hebben tot gegevens die tegen hem worden gebruikt in belastende en ontlastende zin. De verdediging moet daarbij de mogelijkheid hebben de gegevens met betrekking tot de verdachte te bestuderen en te betwisten. Het openbaar ministerie heeft volgens ons ook tot op zekere hoogte ook zelf een verantwoordelijkheid de technische mogelijkheden aan de verdediging te bieden om de gegevens in een strafproces te bestuderen en te betwisten.

De inrichting van een ‘data room’, waarbij de gegevens die betrekking hebben op de verdachte veilig en relatief eenvoudig kunnen worden geraadpleegd, betreft een voorstel die wij doen om aan het recht invulling te geven. In de toekomst zullen nog veel zaken volgen waarbij verdachten geconfronteerd worden met het resultaat van een grootschalige data-analyse die zijn veilig gesteld in andere strafzaken.

AI en geautomatiseerde besluitvorming

Naast geavanceerde data-analyse of data mining kan ook kunstmatige intelligentie worden toegepast in het kader van de opsporing en vervolging. Zo zijn er onder de noemer predictive policing tal van experimenten binnen de politie die er op gericht zijn om met behulp van kunstmatige intelligentie crimineel gedrag te voorspellen. Daarnaast kan kunstmatige intelligentie worden ingezet voor het nemen of ondersteunen van strafvorderlijke beslissingen door de officier van justitie, rechter-commissaris en rechter.

In het tweede deel gaan wij na in hoeverre de inzet van kunstmatige intelligentie raakt aan de beginselen van een eerlijk proces bij het geautomatiseerd nemen van strafvorderlijke beslissingen.

In het artikel leggen wij uit dat het in het bijzonder bij geautomatiseerde besluitvorming van belang is dat de motivering van de besluitvorming deugdelijk is. Dit betekent dat de gekozen toepassingen transparant, uitlegbaar en controleerbaar zijn.

Hoe deugdelijk de motivering van algoritmische besluitvorming in de praktijk moet zijn, is echter nog onduidelijk. Grofweg zijn er in de context van het strafrecht twee problemen met betrekking tot een voor deugdelijke motivering noodzakelijke transparantie van algoritmes, te weten 1) complexiteit, en 2) de angst voor manipulatie/misbruik. In het artikel gaan we verder in op deze problemen en leggen wij uit hoe met deze problemen kan worden omgegaan.

Gaming the system?

Met betrekking tot het tweede probleem is de angst dat kwaadwillenden het systeem gaan manipuleren of beïnvloeden om tot voor hen gunstige uitkomsten te komen (gaming the system). Inzicht in algoritmische besluitvorming kan daarmee de effectiviteit van de opsporing ondermijnen.

Het kabinet lijkt in haar bijlage bij een Kamerbrief uit oktober 2019 over algoritmes in de opsporing het transparantiebeginsel uit te zonderen door hen in een aparte categorie te plaatsen. In een meer recente beantwoording van Kamervragen over het gebruik van AI bij de politie wordt in punt 76 herhaald dat:

het voor de politie in voorkomende gevallen noodzakelijk is om (delen van) de gegevensverwerking niet inzichtelijk te maken. Dit kan nodig zijn om te voorkomen dat personen zich kunnen onttrekken aan een effectieve taakuitoefening door de politie. Inzicht in de gebruikte analysemethode kan immers aanleiding zijn om het gedrag bewust zodanig aan te passen dat men in de gegevensanalyse buiten zicht blijft. Daarnaast kan geheimhouding nodig zijn omdat inzicht in de gegevensverwerking raakt aan de nationale veiligheid

(deze antwoorden op Kamervragen zijn na het artikel gepubliceerd en daarom niet meegenomen in het artikel zelf).  

Conclusie

Wij waarschuwen dat het voornemen van het kabinet om algoritmische besluitvorming in de opsporing niet te onderwerpen aan de eisen van transparantie en uitlegbaarheid zorgelijk zijn, omdat zij een bedreiging vormen voor de equality of arms en het recht op een eerlijk proces.

Ook in de opsporing moet een concrete invulling worden gegeven aan het recht op een eerlijk proces bij grootschalige data-analyes en het gebruik van algoritmes voor algoritmische besluitvorming. De komende jaren zullen we zien wat van deze invulling terecht komt. 

Bart Schermer & Jan-Jaap Oerlemans

B.W. Schermer en J.J. Oerlemans – AI strafrecht en het recht op een eerlijk proces – 2020Download

Privacy en bulkinterceptie in de Wiv 2017

jjoerlemans Een reactie plaatsen
Privacy-en-bulkinterceptie-in-de-Wiv-2017-Oerlemans-en-Hagens-def-1Download

Posted on 14/08/2019 op Oerlemansblog

Samen met mijn collega Mireille Hagens heb ik het artikel ‘Privacy en bulkinterceptie in de Wiv 2017’ geschreven voor het themanummer van ‘Privacy’ van Ars Aequi. In het artikel gaan we uitgebreid in op de bijzondere bevoegdheid tot het in bulk tappen van communicatie (‘bulkinterceptie’); in de Wet op de inlichtingen- en veiligheidsdiensten 2017 ‘onderzoeksopdrachtgerichte interceptie’ genoemd.

In het artikel leggen we uit hoe het stelsel van onderzoeksopdrachtgerichte interceptie precies is geregeld, met daarbij speciale aandacht voor de bijzondere bevoegdheid van ‘geautomatiseerde data-analyse’ als onderdeel daarvan. Ook bespreken we welke waarborgen daarbij in de Wiv 2017 zijn voorzien voor de rechtsbescherming van burgers en hoe deze zich verhouden tot de jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) over bulkinterceptie. De zaken Big Brother Watch e.a. en Centrum för Rättvisa (2018), waarin het EHRM zich baseert op eerdere jurisprudentie zoals de Grote Kameruitspraak in Roman Zakharov (2015), krijgen in onze analyse daarbij de meeste aandacht. Zie ook mijn eigen analyse van de big Brother Watch-zaak in mijn annotatie.

annotatie-Big-Brother-Watch-J.J.-Oerlemans-1Download

Stevige regeling voor bulkinterceptie

In ons artikel constateren wij dat voor onderzoeksopdrachtgerichte interceptie de Wiv 2017 sterke waarborgen biedt, waaronder het getrapte systeem van voorafgaande toestemming door de minister en de toetsing hiervan door de Toetsingscommissie Inzet Bevoegdheden (TIB) voor de interceptie zelf, maar ook voor de optimalisatie van het interceptieproces en de nadere analyse van de onderschepte gegevens uit interceptie.

Het stelsel voor onderzoeksopdrachtgerichte interceptie voldoet daarmee aan een belangrijk kritiekpunt in de Big Brother Watch-zaak over voorafgaande toestemming en toezicht op de nadere analyse van de gegevens met het oogmerk om kennis te nemen van de inhoud (het selectieproces). Overigens bestaat de mogelijkheid dat de Grote Kamer van het EHRM, waar deze zaak nu voorligt, tot een ander oordeel komt over bulkinterceptie als bijzondere bevoegdheid. De resultaten van onze analyse kunnen daardoor wijzigen, maar dat is niet onze verwachting.

Knelpunt: geautomatiseerde data-analyse

Als knelpunt in de Wiv 2017 identificeren wij de beperkte reikwijdte van de regeling voor de bijzondere bevoegdheid tot geautomatiseerde data-analyse. In de bovengenoemde EHRM-zaken legt het Hof goed uit dat dat de analyse van metadata uit telecommunicatie een zware inmenging in het recht op privacy van de betrokkenen kan inhouden. De reden is dat metadata gevoelig kan zijn, omdat het onder meer informatie kan bevatten over de identiteit van beide communicerende partijen, hun contacten, hun geolocatie en gebruikte apparatuur. Bij de opslag en analyse van deze gegevens in bulk wordt de inmenging in het recht op privacy groter, omdat het daarmee mogelijk is de contacten van een persoon, bewegingen en locaties, internetgeschiedenis en communicatiepatronen in kaart te brengen (zie par. 353-355 uit Big Brother Watch e.a)).

Geautomatiseerde data-analyse krijgt om deze reden ook een specifieke regeling in artikel 50 Wiv 2017, maar nog weinig aandacht gekregen in de literatuur. Wij wijzen er in het artikel op dat de bijzondere bevoegdheid slechts geldt voor de metadata-analyse van gegevens uit onderzoeksopdrachtgerichte interceptie (en geen andere bevoegdheden) met het doel om personen of organisaties te identificeren (en niet voor andere doelen). Het zou duidelijk moeten zijn welke data-analyses dan precies buiten de regeling van artikel 50 lid 1 sub b jo lid 4 Wiv 2017 vallen. Tot dusver is dat echter nog onduidelijk, mede door een gebrek aan nadere duiding in de toelichting op de wet.

De CTIVD en de TIB hebben in 2018 aangegeven dat de bijzondere bevoegdheid ook voor analyse van metadata afkomstig uit andere bevoegdheden zou moeten gelden. De ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie hebben daarentegen in hun reactie (brief en  bijlage (.pdf)) aangegeven dat de bevoegdheid slechts zou moeten gelden in gevallen waarbij de analyse tot een ‘substantiële privacy-inbreuk’ leidt.

Meenemen in de evaluatie Wiv 2017?

Het is interessant om te zien of de bijzondere bevoegdheid van geautomatiseerde data-analyse in de evaluatie van de Wiv 2017 wordt meegenomen en mogelijk een andere invulling krijgt. Het onderwerp is in het nieuwe wetsvoorstel ‘Wijzigingswet Wiv 2017’ in ieder geval niet meegenomen. De evaluatie moet overigens voor 1 mei 2020 van start gaan en hiervoor moet nog een commissie worden ingesteld.