Cybercrime jurisprudentieoverzicht januari 2026

7 januari 20267 januari 2026jjoerlemans

Bron: met WordPress-gegenereerde afbeelding met de (automatische) prompt: “create a featured image depicting a modern wind farm with multiple wind turbines under a dramatic sky, symbolizing crryptocurrency mining in a windmill park. Highlight three mining rigs connected to a router at a wind farm location, and include two Helium nodes subtly integrated into the scene”. (haha)

Inleiding

We beginnen het jurisprudentieoverzicht met een bijzondere uitspraak over cryptominen in een windmolenpark. Ik kwam via – het altijd goed geïnformeerde – ‘copsincyberspace’ op de hoogte van de zaak. Daarna behandelen we wat uitvoeriger het arrest van de Hoge Raad over de verstrekking van inbeslaggenomen bestanden. De tekst heb ik geprobeerd hier en daar in meer begrijpelijke bewoordingen te formuleren, maar ik wil geen belangrijke details overslaan, dus het blijft een wat lange, taaie tekst.

Ook de uitspraken over een reseller van EncroChat-telefoons (met een “feit van algemene bekendheid” dat cryptocommunicatiediensten aantrekkelijk zijn voor criminelen), een veroordeling naar aanleiding van de takedown van LabHost (zie dit Europol persbericht uit 2024), en de veroordeling van een man voor doxing en bedreiging via sociale media zijn dit keer nogal uitgebreid, omdat ze interessante details en (soms) heldere en belangrijke juridische duidingen bevatten.

Veroordeling voor cryptominen op windmodelpark

Op 13 november 2025 deed de rechtbank Noord-Nederland een bijzondere uitspraak (ECLI:NL:RBNNE:2025:4621) over cryptominen in een windmolenpark. De verdachte is ten laste gelegd: diefstal (art. 310 Sr), computervredebreuk (art. 138ab Sr) en het wederrechtelijk wijzigen of toevoegen van gegevens (art. 350a Sr).

Volgens de officier van justitie heeft de verdachte drie mining rigs aangesloten op een router van Nordex in het inkoopstation van windmolenpark Gieterveen en twee Helium nodes verbonden met het netwerk van Nordex bij windmolenpark Waardpolder. Een router is een geautomatiseerd werk en ook het netwerk (de servers) van Nordex moet als zodanig worden beschouwd. De mining rigs en heliumnodes hebben gegevens toegevoegd aan dit netwerk. De officier van justitie stelt dat het niet relevant is dat niet precies geduid kan worden welke gegevens zijn toegevoegd. De rigs en nodes versturen immers gegevens via het netwerk van Nordex om crypto te minen, waardoor deze data aan het bestaande netwerk worden toegevoegd.

De rechtbank overweegt dat de verdachte in die periode werkzaam als ‘technical manager’ bij de beheersmaatschappij van de windmolenparken. De rechtbank is van oordeel dat het toevoegen van gegevens individualiseerbaarheid van de betreffende gegevens veronderstelt. Met andere woorden: het toevoegen van gegevens vereist dat concreet gemaakt kan worden welke gegevens er precies zijn toegevoegd. In de wetsgeschiedenis wordt het plaatsen van malware op een computer genoemd als klassiek voorbeeld van het toevoegen van gegevens. In die situatie is het duidelijk dat er gegevens zijn toegevoegd en om welke gegevens het gaat.

Het versturen van gegevens via het internet, zoals Helium nodes doen wanneer zij dekking bieden aan mobiele devices en voor die apparaten bestemde gegevens doorsturen, betreft ondeelbaar gegevensverkeer, zodat van het toevoegen daarvan niet kan worden gesproken. Deze situatie geldt eveneens voor de op het netwerk van Nordex aangesloten cryptominingcomputers. Ook hier is naar het oordeel van de rechtbank enkel sprake geweest van het versturen van gegevens via het internet, namelijk het verifiëren en registeren van nieuwe transacties om ervoor te zorgen dat de blokchain veilig is, en daarmee dus niet van het toevoegen van gegevens. De rechtbank acht daarom het ten laste gelegde art. 350a Sr niet wettig en overtuigend bewezen, zodat verdachte hiervan zal worden vrijgesproken.

Bij de strafoplegging houdt de rechtbank rekening met de omstandigheid dat uit het reclasseringsrapport volgt dat verdachte zijn leven een positieve wending heeft gegeven en zelfinzicht toont. Verder weegt mee dat verdachte niet eerder onherroepelijk is veroordeeld voor strafbare feiten en de kans op recidive als laag wordt ingeschat. Tot slot is er sprake van een aanzienlijke overschrijding van de redelijke termijn, waarbij geldt dat de behandeling van de zaak ter terechtzitting in eerste aanleg binnen twee jaar met een eindvonnis moet zijn afgerond. Bij deze uitspraak is de redelijke termijn met ruim vijf maanden overschreden. De rechtbank zal dit eveneens meewegen bij het bepalen van de straf. Daarom legt de rechtbank een taakstraf van 120 uren op. De gevorderde materiële schade van €4155,65 wordt toegewezen.

Arrest van de Hoge Raad over het verstrekken van bestanden op inbeslaggenomen gegevensdragers

Op 2 december 2025 heeft de Hoge Raad een arrest (ECLI:NL:HR:2025:1716) gewezen over het verstrekken van bestanden op inbeslaggenomen gegevensdragers.

Het Hof Den Haag had eerder de verdachte veroordeeld (ECLI:NL:GHDHA:2024:217) voor onder meer, het maken van een beroep of gewoonte van het bezit en het verspreiden van ‘kinderporno’ en ‘dierenporno’. Het hof legde destijds onttrekking aan het verkeer op van de inbeslaggenomen MacBook Pro en iPhone X, waarop deze ‘kinderporno’ en ‘dierenporno’ werden aangetroffen.

De advocaat heeft namens zijn cliënt een verzoek ingediend om het beslag op diverse goederen op te heffen. Het betrof persoonlijke foto’s uit het verleden en studiematerialen van de HBO-opleiding, waarmee hij zijn toekomst wil voortzetten. Het hof heeft dit verzoek afgewezen, waarop het cassatiemiddel is gericht. Kortgezegd stelde het hof voorop dat als een gegevensdrager strafbare gegevens bevat, deze in beginsel aan het verkeer moet worden onttrokken. Daarom besloot het hof de iPhone X en MacBook Pro volledig te onttrekken, omdat ongecontroleerd bezit daarvan in strijd is met de wet.

Het hof constateerde dat er bij zowel de iPhone X als de MacBook Pro sprake is van vermenging. Op beide gegevensdragers staan zeer grote hoeveelheden bestanden. De strafbare en niet-strafbare bestanden staan door elkaar op de gegevensdrager. De verdachte was bewust van deze vermenging. Het hof oordeelde dat het verstrekken van een kopie van de verzochte bestanden, gezien de vermenging, tot onevenredig tijdsbeslag zou leiden bij het scheiden van strafbare en niet-strafbare bestanden. Bovendien moest per afbeelding worden vastgesteld wie hierop te zien is alvorens deze kon worden verstrekt, om te voorkomen dat (strafbaar) beeldmateriaal, bijvoorbeeld van een slachtoffer in deze zaak, aan de verdachte zou worden gegeven. Het persoonlijke belang van de verdachte bij het ontvangen van een kopie van de bestanden woog niet op tegen dit tijdsbeslag.

De Hoge Raad overweegt in r.o. 3.5.1-3.5.4 dat artikel 36b tot en met 36d Sr de onttrekking aan het verkeer van een inbeslaggenomen voorwerp toestaat als dat voorwerp van die aard is, dat ongecontroleerd bezit daarvan in strijd is met de wet of het algemeen belang. Hieruit volgt dat het moet gaan om een voorwerp waarvan de aard relevant is in die zin dat het ongecontroleerde bezit, al dan niet in samenhang met het redelijkerwijs te verwachten gebruik daarvan, juist in verband met die aard, in strijd is met de wet of het algemeen belang (vgl. HR 8 maart 2005, ECLI:NL:HR:2005:AR7626).

Als een inbeslaggenomen gegevensdrager één of meer bestanden bevat waarop (bijvoorbeeld) ‘kinderporno’ of ‘dierenporno’ is afgebeeld, kan dat leiden tot de onttrekking aan het verkeer van die gegevensdrager op de grond dat het ongecontroleerde bezit van de gegevensdrager als zodanig in strijd is met de wet en het algemeen belang. Hierbij is van belang dat de Hoge Raad in zijn arrest van 4 december 2018, ECLI:NL:HR:2018:2244 heeft geoordeeld dat geen steun vindt in het recht de opvatting dat de afzonderlijke bestanden/gegevens op een gegevensdrager evenzoveel voorwerpen zijn waarop het beslag rust en zijn te beschouwen als afzonderlijke voorwerpen als bedoeld in artikel 36b Sr.

Als de rechter de onttrekking aan het verkeer van een inbeslaggenomen voorwerp oplegt, kan hij de effectuering van deze maatregel niet afhankelijk stellen van een voorwaarde (vgl. HR 6 december 2005, ECLI:NL:HR:2005:AU3309). Dit neemt niet weg dat de rechter op grond van artikel 33c lid 2 in samenhang met artikel 36b lid 2 Sr een geldelijke tegemoetkoming kan toekennen als dit nodig is om te voorkomen dat degene aan wie de onttrokken voorwerpen toebehoren, onevenredig wordt getroffen (vgl. HR 10 juli 2018, ECLI:NL:HR:2018:1156). Verder staat het wettelijk stelsel niet in de weg dat de rechter die de onttrekking aan het verkeer oplegt, op verzoek van de verdediging gelast dat aan de verdachte (een kopie van) één of meer bestanden op de gegevensdrager wordt verstrekt.

De vraag wanneer de rechter verstrekking van bestanden moet gelasten, kan niet in algemene zin worden beantwoord. Gezien de rechtspraak van het Europees hof voor de rechten van de mens (weergegeven in de conclusie van de advocaat-generaal, ECLI:NL:PHR:2025:700), waarin een “fair balance” tussen het algemeen belang en de bescherming van individuele rechten vereist is, hangt die beantwoording af van de concrete omstandigheden van het geval. Het gaat er daarbij in de kern om of het belang van de verdachte bij het verkrijgen van de beschikking over (een kopie van) één of meer bestanden zo zwaarwegend is dat nadere inspanningen van politie en justitie mogen worden verlangd om het verstrekken daarvan te realiseren.

De Hoge Raad wijst in dit verband op onder meer de volgende omstandigheden die de rechter in zijn afweging kan betrekken:
De Hoge Raad wijst op de volgende omstandigheden die de rechter in zijn afweging kan betrekken:

het aantal, de aard en de inhoud van de bestanden waarop het verzoek betrekking heeft, en daarmee samenhangend het belang dat de verdachte – mede gelet op artikel 8 EVRM en artikel 1 Eerste Protocol EVRM – heeft bij de verstrekking;
de (vindbaarheid van de) locatie(s) van deze bestanden op de gegevensdrager, het tijdsbeslag dat het onderzoek naar de betreffende bestanden met zich meebrengt, en de vraag of de verdachte de bestanden ook op een andere manier dan vanaf de gegevensdrager kon verkrijgen;
de mogelijkheid verstrekking te realiseren – zonder dat het risico ontstaat dat daarbij (ongemerkt) ook gegevens zouden kunnen worden verstrekt die tot de onttrekking van de gegevensdrager aanleiding geven –met een redelijke inspanningen van de daarbij betrokken functionarissen;
de vraag of belangen van derden zich verzetten tegen de verstrekking;
de mate waarin de verdachte zelf verantwoordelijk is voor het feit dat er naast strafbare bestanden ook andere, kennelijk voor hem belangrijke bestanden op de gegevensdrager staan.

Dit betekent dat een verzoek tot verstrekking van één of meer bestanden die zich op een – mogelijk voor onttrekking in aanmerking komende – gegevensdrager bevinden, zo tijdig, concreet en onderbouwd moet zijn, dat het openbaar ministerie voorafgaand aan of tijdens de terechtzitting een standpunt kan innemen. De rechter moet hiermee in staat worden gesteld een beslissing te nemen op basis van alle relevante omstandigheden. Indien nodig kan de rechter zich tevoren laten voorlichten over de mogelijkheden en benodigde inspanningen, zodat de afdoening van de strafzaak niet onnodig wordt vertraagd.

Volgens de Hoge Raad was de afwijzing van het Hof Den Haag geen onjuiste rechtsopvatting en was deze toereikend gemotiveerd.

Veroordeling resellers EncroChat-telefoons

Op 10 november 2025 heeft de rechtbank Oost-Brabant een man veroordeeld (ECLI:NL:RBOBR:2025:7270) voor de gewoontewitwassen en deelneming aan een criminele organisatie vanwege de verkoop van EncroChat-telefoons.

De rechtbank overweegt dat uit onderzoek blijkt dat binnen de EncroChat-organisatie een centraal administratiesysteem werd gebruikt, ook wel ‘portal’ genoemd, waarmee onder meer EncroChat-toestellen, abonnementen en tegoeden werden beheerd. Via deze portal konden telefoons ook worden gewist (gewiped).

Bij de opsporingsdiensten is op basis van onderschepte EncroChat-berichten het vermoeden ontstaan dat de verdachte EncroChat-telefoons heeft geleverd, abonnementen heeft geactiveerd en verlengd, wachtwoorden heeft gereset en telefoons heeft gewiped. Hierdoor zou hij crimineel geld hebben verdiend en zich schuldig hebben gemaakt aan witwassen. Ook wordt hij verdacht van deelname aan een criminele organisatie, medeplichtigheid aan drugshandel en het wegmaken van bewijsmateriaal.

De rechtbank is van oordeel dat op grond van de bewijsmiddelen, waaronder de bekennende verklaring van de verdachte, vaststaat dat hij gebruiker was van de Encrochat-ID ‘latepython’. Verder heeft de rechtbank vastgesteld dat de verdachte beschikte over een portal, dat zijn opdrachtgevers op zijn verzoek credits ter waarde van € 1,00 per credit in de portal zetten waarmee hij telefoons kon bestellen. Hij ontving deze telefoons en leverde ze vervolgens aan resellers. Van die resellers ontving hij contante betalingen, waarvan hij een deel behield en het overige bedrag naar zijn opdrachtgevers bracht. Ook activeerde en verlengde de verdachte via de portal abonnementen en wist hij op verzoek van resellers de inhoud van telefoons van klanten. Tot slot is vast komen te staan dat de verdachte het geld dat hij verdiende met de handel in EncroChat-telefoons en diensten niet aan de Belastingdienst heeft opgegeven, maar voor privé-aankopen gebruikte.

De rechtbank stelt vast dat handel in cryptocommunicatiediensten, zoals EncroChat, op zichzelf geen illegale activiteit is. De daarmee verkregen inkomsten hebben een legale herkomst, tenzij de rechtbank tot de conclusie komt dat het geld waarmee betaald wordt een criminele oorsprong heeft.

Feit van algemene bekendheid

In dat kader is van belang dat het een feit van algemene bekendheid is dat cryptocommunicatiediensten, zoals EncroChat, aantrekkelijk zijn voor criminelen om daarmee over de uitvoering van strafbare feiten te communiceren. Berichten die via deze apps worden verzonden zijn moeilijk te onderscheppen, want dergelijke cryptocommunicatiediensten hebben een hoge mate van beveiliging. Bovendien kunnen deze toestellen op afstand worden gewist, waardoor alles wat op de telefoon staat wordt verwijderd.

Witwassen

Dit feit van algemene bekendheid weegt naar het oordeel van de rechtbank mee in de beoordeling van de onderhavige zaak, maar is op zichzelf onvoldoende voor een bewezenverklaring van witwassen. En veroordeling voor witwassen vereist aanvullende omstandigheden die aantonen dat de producten en diensten waarin verdachte handelde, zijn gekocht met geld dat voorafgaand aan de aanschaf door misdaad is verkregen, en dat verdachte dit wist of redelijkerwijs kon vermoeden.

De rechtbank stelt voorop dat het eerste chatgesprek dat relevant is voor de wetenschap van verdachte dateert van 28 maart 2020. Voor de periode vóór die datum geldt dat de rechtbank geen andere bewijsmiddelen heeft dan het hiervoor genoemde feit van algemene bekendheid. Gelet hierop komt de rechtbank niet tot een veroordeling voor witwassen voor de gehele tenlastegelegde periode, maar zal de rechtbank verdachte partieel vrijspreken voor de periode tot 28 maart 2020.

Dat is anders voor de periode vanaf 28 maart 2020. Voor wat betreft die periode is naar het oordeel van de rechtbank sprake van een groot aantal aanvullende omstandigheden die uit de bewijsmiddelen, waaronder de chatgesprekken en de verklaring van verdachte, kunnen worden afgeleid.

Ten aanzien van de chatgesprekken stelt de rechtbank voorop dat zij bij de interpretatie van de voor het bewijs gebezigde chatberichten in aanmerking heeft genomen dat de raadsvrouw inzage heeft gekregen in de gehele dataset die het openbaar ministerie ter beschikking had en dat verdachte ter terechtzitting uitgebreid in de gelegenheid is gesteld om over bovengenoemde delen van het berichtenverkeer te verklaren, maar hij heeft daarvoor geen verklaring kunnen of willen geven. De rechtbank is het eens met de raadsvrouw dat terughoudendheid moet worden betracht bij de beoordeling van de telefoondata, maar naar het oordeel van de rechtbank zijn de berichten, die soms kort – enkele seconden – na elkaar zijn verstuurd voldoende duidelijk en niet voor andere interpretatie vatbaar dan die op basis van de tekst voor de hand ligt. De gesprekken zijn te volgen en bevatten doorgaans ook geen versluierde (geheim)taal. De gebruikers waanden zich kennelijk onbespied. De rechtbank komt daarom tot de conclusie dat de berichten zoals die in de bewijsmiddelen naar voren komen, in onderlinge samenhang bezien, niet vatbaar zijn voor een andere interpretatie dan de interpretatie die op basis van de tekst voor de hand ligt. De rechtbank gaat dan ook uit van de lezing van de berichten zoals die voor het bewijs zijn gebruikt.

De rechtbank acht naast het eerdergenoemde feit van algemene bekendheid de volgende aanvullende omstandigheden van belang:

verdachte is benaderd door opdrachtgevers over wie hij niets wil verklaren, met de vraag of hij een extra zakcentje wil verdienen;
verdachte beheert een ‘portal’ waarvoor hij bij (een van) zijn opdrachtgevers credits aanvraagt die zonder directe betaling worden toegevoegd;
verdachte bestelt en ontvangt grote aantallen toestellen tegelijk;
verdachte ontvangt en levert telefoontoestellen op verschillende adressen en op openbare plaatsen, liefst buiten het zicht van camera’s; het berichtenverkeer bevat onder andere: ‘kutcamera’s’, ‘zet auto bij de buren voor de deur’ en ‘deel tels bij je ma in garage zetten’;
verdachte levert telefoontoestellen en diensten aan personen die hij niet goed kent;
verdachte houdt geen administratie of registratie van klanten bij;
betaling vindt plaats met contant geld, waarbij sprake is van aanzienlijke bedragen;
verdachte geeft de inkomsten niet op aan de belastingdienst;
de telefoontoestellen en abonnementen zijn duur en hebben juist een veel beperktere functionaliteit ten opzichte van normale telefoontoestellen en abonnementen;
communicatie vindt plaats via versleuteld berichtenverkeer waarbij gebruik wordt gemaakt van usernames, zodat sprake is van anonimiteit
verdachte heeft angst voor de politie; het berichtenverkeer bevat onder andere: ‘kwam wouten tegen, woonwijk ingescheurd, plankgas’ en ‘kut thuis nog 120 toestellen’;
wipen vindt plaats op afstand en gebeurt in relatie tot politie-activiteiten zoals de arrestaties van gebruikers van de telefoons; het berichtenverkeer gerelateerd aan dat wipen bevat onder andere: ‘zit ie vast?’, ‘gaat om levenslang of vrij’,’arrested’ en ‘gepakt door de wouten’;
verdachte heeft over sim kaarten gezegd dat “over al de jaren er ook hoop in beslag zijn genomen en weet niet welke nr’s dat zijn’’
andere opvallende woorden in het berichtenverkeer: ‘AT had alle tels gepakt’, ‘tapkamer’, ‘encro op cel’, ‘zoeking’, ‘400k pillen en paar kg M’, ‘inval’, ‘sweepspullen’ en ‘mast aanstralen’;
verdachte gebruikt in het berichtenverkeer het woord witwassen;
verdachte heeft kennis van andere cryptocommunicatiediensten als Exclu en Sky.

Uit het samenstel van bevindingen concludeert de rechtbank dat – anders dan de verdediging aanvoert – ten minste een deel van de geldbedragen die verdachte ontving, middellijk of onmiddellijk uit misdrijf afkomstig was. De volgende vraag is of verdachte wist of redelijkerwijs had kunnen vermoeden dat hij EncroChat-diensten verkocht aan klanten die criminele activiteiten uitvoerden.

De rechtbank oordeelt – in het licht van de omstandigheden zoals beschreven in dit vonnis – dat verdachte wist, of in ieder geval willens en wetens de aanmerkelijke kans heeft aanvaard, dat het geld een criminele oorsprong had. Daarbij is van belang dat verdachte gedurende langere tijd abonnementen afsloot en verlengde, en ondanks herhaalde signalen van criminele activiteiten door gebruikers zijn handel voortzette.

De rechtbank acht daarmee wettig en overtuigend bewezen dat verdachte zich schuldig heeft gemaakt aan het witwassen van ‘enig geldbedrag’. Het exacte bedrag kan niet worden vastgesteld, mede omdat de rechtbank uitgaat van een kortere periode dan oorspronkelijk ten laste gelegd. Gezien de duur en met name de dagelijkse hoeveelheid transacties is er sprake geweest van een gewoonte.

Vrijspraak medeplichtigheid aan drugshandel

De rechtbank is het eens met de officier van justitie en de raadsvrouw dat uit het bewijs niet blijkt dat verdachte opzet had op de specifieke handel in verdovende middelen. Daarom acht de rechtbank hetgeen aan verdachte onder 3 ten laste gelegd, niet wettig en overtuigend bewezen en spreekt zij hem daarvan vrij.

Deelname aan een criminele organisatie

De rechtbank concludeert op basis van het bewijs dat verdachte en medeverdachte [medeverdachte 1] een duurzaam samenwerkingsverband vormden met een zekere structuur. Verdachte had als hoofd-reseller en beheerder van de ‘portal’ een leidende rol, terwijl [medeverdachte 1] als sub-reseller uitvoerende taken had. Uit hun frequente EncroChat-contact blijkt dat zij samenwerkten en de handel in EncroChat-telefoons en diensten als verdienmodel hadden. Verdachte leverde telefoons aan [medeverdachte 1], activeerde abonnementen op haar verzoek, en wiste telefoons indien nodig. [Medeverdachte 1] zorgde voor betaling van (een deel van) de inkomsten, terwijl verdachte ook met andere sub-resellers zoals [gebruikersnaam 4] samenwerkte. Ook de opdrachtgevers van verdachte, die credits in zijn portal zetten en uiteindelijk het geld ontvingen, behoorden tot dit verband.

De rechtbank acht bewezen dat het oogmerk van de organisatie gericht was op gewoontewitwassen (artikel 420bis Sr) en misdrijven als bedoeld in artikel 189 en 198 Sr, namelijk het vernietigen of verbergen van belastende EncroChat-gesprekken. Uit het bewijs blijkt dat verdachte en zijn medewerkers meerdere ‘wipe-verzoeken’ uitvoerden om de opsporing te bemoeilijken.

Op grond hiervan is bewezen dat verdachte deelnam aan een criminele organisatie als bedoeld in artikel 140 Sr.

Strafoplegging:

Bij de strafoplegging houdt de rechtbank rekening met de gezondheidssituatie van de vrouw van verdachte, zijn rol als kostwinner, het positief afgesloten reclasseringstoezicht en eerdere schorsingsvoorwaarden. Daarnaast compenseert de rechtbank de overschrijding van de redelijke termijn (2 jaar en ruim 1 maand) met een strafvermindering van 10%. De rechtbank legt een gevangenisstraf op van 16 maanden en een geldboete op van € 10.000.

Veroordeling voor het gebruik van phishing-as-a-service LabHost

Op 3 november 2025 heeft de rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2025:5658) voor voorbereidingshandelingen voor het plegen van online fraude, namelijk het vervaardigen en voorhanden hebben van phishing panels en het overdragen, verwerven en voorhanden hebben van persoons-, creditcard- en bankgegevens met het doel fraude te plegen.

Op 16 januari 2024 startte onder leiding van de officier van justitie van het parket Midden-Nederland een opsporingsonderzoek genaamd 03Maia, voortvloeiend uit een internationaal onderzoek door autoriteiten in Groot-Brittannië en Estland naar een (geanonimiseerde) website. LabHost bleek een ‘phishing-as-a-service provider’ te zijn die tegen betaling toegang gaf tot diverse phishing pagina’s. De rechtbank definieert phishing panels als nepwebsites die qua uiterlijk sterk lijken op legitieme websites van banken of overheidsinstanties. Gebruikers konden na een cryptobetaling (o.a. Bitcoin) deze panels hosten op hun eigen server en vervolgens spam-e-mails of -sms-berichten naar slachtoffers versturen. Slachtoffers voerden onwetend hun persoonlijke gegevens, zoals bank- of creditcardgegevens, in op deze nepwebsites. Het aanbod van phishing panels was wereldwijd gericht, net als de slachtoffergroep.

De Estlandse opsporingsautoriteiten verkregen een forensische kopie van de LabHost database, die gehost werd op een server in Litouwen. Deze database werd doorzocht om gebruikers van de dienst te identificeren en aan te houden. Uit het onderzoek bleek dat deze gebruikers vermoedelijk wereldwijd verspreid waren, waaronder ook in Nederland. De Nederlandse opsporingsautoriteiten werden daarom verzocht deel te nemen aan het internationale onderzoek naar LabHostgebruikers. Op basis van account- en slachtoffergegevens, evenals de gekozen tijdzone, werd aangenomen dat ten minste 36 LabHostgebruikers zich in Nederland bevonden. Dit leidde tot het opstarten van onderzoek 3CC4ASTREA, gericht op de specifieke LabHostgebruiker in kwestie.

Werking van LabHost

Om gebruik te kunnen maken van de diensten van LabHost moest op de website [website] een account aangemaakt worden. Met dit account kon vervolgens een betaald lidmaatschap afgesloten worden voor toegang tot de wereldwijde service. Na betaling kreeg de gebruiker toegang tot gestandaardiseerde of ‘custom-made’ pagina’s (phishing panels) die sprekend leken op websites van echte banken, overheidsinstanties of online platformen zoals Netflix of Amazon.

Na het verkrijgen van toegang moesten gebruikers een eigen virtual private server (VPS) en domeinnaam aanschaffen. Om slachtoffers te overtuigen de link aan te klikken, moest de domeinnaam sterk overeenkomen met de instantie waarvan de website was nagemaakt. Vervolgens moest het domein gekoppeld worden aan de VPS, waarna bij LabHost verzocht kon worden het gekozen phishing panel op de VPS te laden, waarbij de inloggegevens (credentials) aan LabHost werden verstrekt.’

Na deze stappen was de nagebootste website operationeel en konden gebruikers e-mail- of sms-berichten naar slachtoffers versturen met een frauduleuze link naar de nepwebsite (phishing panel). Dit gebeurde buiten LabHost om. Zodra slachtoffers op de link klikten en hun gegevens invulden, werd deze informatie naar de server van LabHost gestuurd en vervolgens beschikbaar gesteld aan de gebruiker. Gebruikers konden hun Telegramaccount koppelen aan hun LabHostaccount om meldingen te ontvangen zodra een slachtoffer op de link klikte of gegevens invulde.

Bij de aanhouding van de verdachte werden onder meer een laptop en een Samsung S23 in beslag genomen. De inhoud van de laptop – die de verdachte sinds begin 2021 in bezit had – is door de politie vergeleken met de data van [userID] in de LabHostdatabase. Hieruit bleek dat de datum en tijdstippen van het aanmaken van het account en de database data vrijwel gelijkliepen. Daarnaast werden op de laptop en in de database de volgende overeenkomstige gegevens gevonden:

gebruikersnamen en bijbehorende wachtwoorden;
IP-adressen waarmee is ingelogd op het LabHost platform door [userID];
IP-adressen van de gehuurde VPS’s;
Domeinnamen die door [userID] zijn gebruikt;
Cryptobetalingen voor het LabHostabonnement.

Op basis van het bovenstaande acht de rechtbank bewezen dat de verdachte in de periode van 6 mei 2023 tot en met 16 april 2024 phishing panels en een programma voor het geautomatiseerd doorgeven van (slachtoffer)gegevens heeft verschaft, verworven en voorhanden heeft gehad. Anders dan de advocaat van de verdachte heeft betoogd, ziet de rechtbank vol opzet van de verdachte bij dit handelen. De panels en het programma zijn een technisch hulpmiddel ontworpen voor het aftappen van gegevens die worden overgedragen via telecommunicatie, als bedoeld in artikel 139c van het Wetboek van Strafrecht (hierna: Sr) en daarop was ook het oogmerk gericht.

De rechtbank is van oordeel dat ook bewezen is dat de verdachte het feit samen met anderen heeft gepleegd. Uit een Snapchatgesprek blijkt dat de verdachte samen met [Snapchat account 2] een programma gebruikte dat verband houdt met online fraude.

Daarnaast acht de rechtbank bewezen dat er sprake was van nauwe en bewuste samenwerking met LabHost. Hoewel LabHost de phishing panels leverde, vereiste het gebruik daarvan dat de gebruiker zelf een VPS (Virtual Private Server) en domeinnaam aanleverde. De gebruiker en medewerkers van LabHost werkten dus samen om functionele phishing panels te vervaardigen. De rechtbank ziet hierin een nauwe en bewuste samenwerking, waaraan beide partijen een wezenlijke bijdrage leverden. Beide partijen hadden elkaars bijdrage immers nodig om tot een werkend technisch hulpmiddel te komen, bestemd voor het aftappen van gegevens die worden overgedragen via telecommunicatie. Beide partijen hadden daar ook het oogmerk op. De rechtbank ziet hierin, naast bewijs voor medeplegen, dus ook bewijs voor het op de beschuldiging genoemde vervaardigen van een technisch hulpmiddel.

De rechtbank concludeert dat de verdachte zich gedurende bijna een jaar schuldig heeft gemaakt aan voorbereidingshandelingen voor online fraude. In samenwerking met LabHost heeft hij phishing panels (nepwebsites) gecreëerd, met als doel persoons-, creditcard- en bankgegevens van potentiële slachtoffers te verzamelen en deze vervolgens te gebruiken om hen financieel te benadelen. Uit het dossier blijkt dat de verdachte hierin succesvol is geweest; hij heeft meerdere keren slachtoffergegevens ontvangen op zijn Samsung S23, welke hij direct doorspeelde aan een onbekend gebleven derde.

Daarnaast beschikte de verdachte over aanzienlijke hoeveelheden bestanden met persoonsgegevens, telefoonnummers en e-mailadressen, en in sommige gevallen creditcard- en bankgegevens (leadlijsten). Op de laptop van de verdachte werden circa 18 gigabyte (!) aan leadlijsten aangetroffen. Deze lijsten worden vaak verkocht aan cybercriminelen, omdat de gegevens gebruikt kunnen worden voor oplichting, zoals vriend-in-noodfraude (ook bekend als Whatsappfraude). Op de Samsung S23 van de verdachte zijn indicaties gevonden van betrokkenheid bij deze vorm van fraude. In een Telegramgesprek met [Snapchat account 2] suggereert de verdachte hiermee geld te hebben verdiend: “3300 (de rechtbank begrijpt € 3.300,-) gepakt”.

Strafoplegging

De ernst van de feiten en de omstandigheden waaronder deze zijn gepleegd rechtvaardigen een langdurige gevangenisstraf, mede gezien het relevante oriëntatiepunt. Het feit dat een eerdere (nog niet onherroepelijke) veroordeling de verdachte er niet van heeft weerhouden soortgelijke strafbare feiten te plegen, wordt als verzwarend beschouwd.

De rechtbank legt daarom een onvoorwaardelijke gevangenisstraf op, maar ziet in de persoonlijke omstandigheden van de verdachte aanleiding deze gelijk te stellen aan de duur van het voorarrest. Terugkeer naar de gevangenis zou het proces van woningtoewijzing doorkruisen, dakloosheid veroorzaken en daarmee het recidivebeperkende doel ondermijnen. Zonder stabiele huisvesting is het voor de verdachte moeilijker een baan te vinden, wat het risico op terugval vergroot.

Gezien het reclasseringsrapport, maar ook de afwerende en externaliserende (schuld/verantwoordelijkheid buiten zichzelf leggen) houding van de verdachte op de zitting, cht de rechtbank een duidelijke waarschuwing noodzakelijk om herhaling te voorkomen. Het hoge recidiverisico, dat niet met voorwaarden kan worden ingeperkt, leidt tot een proeftijd van 3 jaren bij het voorwaardelijke deel van de straf.

Om afstraffing en recidivepreventie te bevorderen, legt de rechtbank daarnaast een onvoorwaardelijke taakstraf op. De rechtbank veroordeelt de verdachte tot een gevangenisstraf van 300 dagen (10 maanden), met aftrek van de reeds doorgebrachte 74 dagen voorarrest. De resterende 226 dagen worden voorwaardelijk opgelegd, met een proeftijd van 3 jaren. Daarnaast legt de rechtbank aan de verdachte op een taakstraf van 180 uren, te vervangen door 90 dagen hechtenis als de verdachte de taakstraf niet (naar behoren) uitvoert.

Veroordeling voor dreiging met een school shooting

Op 10 november 2025 heeft de rechtbank Noord-Nederland een verdachte veroordeeld (ECLI:NL:RBNHO:2025:13953) binnen het jeugdstrafrecht voor een het dreigen met een ‘school schooting’ (zie ook Nos.nl). De delicten bedreiging, poging tot afpersing, witwassen, oplichting en computervredebreuk zijn onder andere bewezen geacht.

De verdachte heeft onder meer op 3 april 2023 in Zaandam leerlingen en medewerkers van een college bedreigd met een misdrijf tegen het leven gericht. Hij stuurde een e-mail met de tekst: “Hallo alle, Dinsdag 4 april, 10:30. Zal de hele school naar de kanker gaan, mensen die op de grond liggen met bloed op hun. Vooral jullie docenten haha. Wordt de ergste dag van je leven let op.”. Daarnaast probeerde hij de school af te persen voor 100.000 dollar in cryptovaluta. De politie nam deze e-mail dermate serieus dat zij besloot de school op 4 april 2023 gesloten te houden (nos.nl).

De rechtbank stelt vast dat de verdachte zich vanaf veertienjarige leeftijd over een langere periode schuldig heeft gemaakt aan acht zeer ernstige strafbare feiten met veel slachtoffers. Naast de bovengenoemde bedreiging en poging tot afpersing, pleegde de verdachte diverse vormen van cybercrime, waaronder oplichting, computervredebreuk, het zonder toestemming wijzigen van wachtwoorden van e-mailaccounts en spoofing.

De verdachte belde slachtoffers en deed zich voor als een medewerker van een telecommunicatiebedrijf. Vervolgens wist hij hen te bewegen tot het doorgeven van een wachtwoordherstelcode van hun e-mailaccount, die hij eerder zelf had opgevraagd. Hij gebruikte deze codes om toegang te krijgen tot de accounts, met als doel berichten over cryptovaluta te vinden en vervolgens de cryptovaluta van de slachtoffers te stelen. De verdachte misbruikte hiermee het vertrouwen van zijn slachtoffers. Bovendien toonde hij geen enkel oog voor de gevolgen van zijn handelen en hield hij uitsluitend rekening met eigen financieel gewin. Het gebruik van gehackte (persoons)gegevens vormt een inbreuk op de privacy van anderen en veroorzaakt onveiligheid. Tot slot heeft de verdachte het geldbedrag, dat hij heeft verdiend met de oplichting, witgewassen. Dit vormt een ernstige bedreiging van de legale economie en tast de integriteit van het financiële en economische verkeer aan.

De rechtbank concludeert dat de bewezen feiten in beginsel een langdurige onvoorwaardelijke jeugddetentie zouden kunnen rechtvaardigen. Echter, gezien de overschrijding van de redelijke termijn, de consequenties die deze zaak al voor de verdachte heeft gehad en zijn huidige persoonlijke omstandigheden, acht de rechtbank herhaalde detentie niet passend.

De rechtbank veroordeelt de verdachte tot een jeugddetentie van 135 dagen, met aftrek, waarvan 120 dagen voorwaardelijk, en een onvoorwaardelijke taakstraf van 100 uren.

Veroordeling voor doxing, smaad, belediging, bedreiging en opruiing

Op 4 november 2025 veroordeelde (ECLI:NL:RBAMS:2025:8303) de rechtbank Amsterdam een man tot vijf maanden gevangenisstraf vanwege doxing, smaad, belediging, bedreiging en opruiing.

De verdachte heeft tussen 10 mei 2024 en 31 december 2024 een groot aantal berichten verspreid op zijn openbare accounts op X en Facebook, waarbij hij mensen heeft beschuldigd van (onder andere) pedofilie en kindermisbruik, corruptie, het zijn van nazi-aanhanger en het meewerken aan genocide. Daarnaast heeft hij van verschillende van deze personen namen, foto’s en adressen online gezet en heeft hij opgeroepen tot een volksgerecht op de Dam in Amsterdam. Ook heeft verdachte zijn huisgenoot bedreigd in een periode in januari 2025. De verdachte bekent dat hij de ten laste gelegde feiten heeft gepleegd. In de heldere uitspraak legt de rechtbank uit wat deze delicten zijn en waarom ze bewezen zijn.

Doxing

De rechtbank overweegt dat ‘doxing’ sinds 1 januari 2024 strafbaar is gesteld in artikel 285d Sr. Met de strafbaarstelling van ‘doxing’ wordt de norm gesteld dat het zich verschaffen, verspreiden of anderszins ter beschikking stellen van persoonsgegevens van een ander voor intimiderende doeleinden, zoals vrees aan (laten) jagen en/of ernstige overlast aan (laten) doen, onacceptabel is. Het doel van de strafbaarstelling is de persoonlijke vrijheid van (potentiële) slachtoffers beschermen.

Voor strafbaarheid van doxing is vereist dat degene die zich de persoonlijke gegevens verschaft, deze verspreidt of anderszins ter beschikking stelt (hierna samen aan te duiden als: verspreiden). Dat zijn gedragingen die opzet impliceren. Het verspreiden moet zijn gedaan met het oogmerk om een ander vrees aan te jagen, ernstige overlast aan te (laten) doen of ernstig te hinderen in zijn beroepsuitoefening. Aan het oogmerkvereiste, wat de zwaarste opzetvorm is, is voldaan als de verdachte op het moment van die gedraging die bedoeling heeft dan wel dat het niet anders kan zijn dan dat de verdachte heeft beseft dat het noodzakelijke gevolg van zijn handeling is, dat het slachtoffer vrees zal worden aangejaagd, ernstige overlast zal worden aangedaan of in de uitoefening van zijn ambt of beroep zal worden gehinderd.

Opvallend is dat de rechtbank – anders dan de officier van justitie – van oordeel dat is voldaan aan het oogmerkvereiste ten aanzien van alle in de tenlasteleggingen genoemde personen. De rechtbank acht bewezen dat de verdachte deze feiten heeft begaan.

Smaadschrift

Over smaad(schrift) overweegt de rechtbank dat het een specifieke vorm van belediging betreft en daarom een zwaarder misdrijf is dan eenvoudige belediging. De strafbaarstelling van smaad(schrift) onderscheidt zich van eenvoudige belediging doordat het een verplicht middel tot belediging bevat, in die zin dat bij smaad(schrift) de aanranding van de eer en goede naam van een ander een beschuldiging ten laste van die ander moet inhouden, waarbij die beschuldiging aan het publiek bekend moet zijn gemaakt. De strafbaarstelling van smaad(schrift) beoogt de morele integriteit van de smadelijk beschuldigde met betrekking tot diens publieke reputatie te beschermen.

In het algemeen heeft een beschuldiging een smadelijk karakter wanneer het een min of meer concreet omschreven misdrijf of zodanig omschreven feit betreft dat met de positieve moraal strijdt, iemands eer of goede naam wordt aangerand of waarmee iemand publiekelijk in een ongunstig daglicht wordt gesteld. Voor een bewezenverklaring van smaadschrift is verder vereist dat vast komt te staan dat de verdachte de kennelijke bedoeling heeft gehad om aan de door hem geuite beschuldiging ruchtbaarheid te geven. Onder ‘ruchtbaarheid geven’ als bedoeld in artikel 261 Sr dient te worden verstaan ‘het ter kennis van het publiek brengen’. Met zodanig ‘publiek’ is een bredere kring van betrekkelijk willekeurige derden bedoeld.

De rechtbank is – met de raadsman – van oordeel dat bepaalde uitlatingen van verdachte geen omschrijving van een concrete gedraging van de beschuldigde behelzen. Zoals hiervoor toegelicht is er geen sprake van smaadschrift als niet aan die eis wordt voldaan. De verdachte wordt voor zover het gaat over die uitlatingen dus vrijgesproken van het plegen van smaadschrift.

Belediging

Deze uitlatingen kunnen echter wel als eenvoudige belediging worden gekwalificeerd. De betreffende uitlatingen van verdachte zijn op zichzelf zonder meer beledigend van aard. De rechtbank overweegt dat een uiting als beledigend kan worden beschouwd wanneer zij de strekking heeft een ander bij het publiek in een ongunstig daglicht te stellen en hem aan te randen in zijn eer en goede naam. Het beledigende karakter van de uiting kan verder worden versterkt door de context waarin de verdachte deze heeft gedaan.

Verhouding met de vrijheid van meningsuiting

De rechtbank stelt vast dat de verdachte een groot aantal verschillende berichten heeft verspreid op X en Facebook met teksten waarbij verschillende personen worden beschuldigd van onder andere pedofilie en het plegen van genocide. Vlak nadat verdachte het bericht “Het volk heeft deze criminele psychopaten allang ontmaskerd!” heeft gestuurd, stuurt hij bijvoorbeeld het bericht “Wie moet er nou in een inrichting, een vieze pedofiel die niet van kinderen af kan blijven of iemand die boos op hem wordt? Wie moet er nou in een inrichting, een corrupte viroloog die meedoet aan genocide of iemand die boos op haar wordt?”

De verdachte heeft hiermee bewust de aanmerkelijke kans aanvaard dat het bericht zo zou worden opgevat dat de betreffende persoon in haar eer en goede naam zou worden aangetast. De berichten kunnen niet anders worden gelezen dan dat verdachte hiermee de bedoeling heeft gehad om de betrokkenen in een kwaad daglicht te stellen. De uitlatingen van de verdachte kunnen, gelet op de inhoud ervan, niet worden opgevat als te zijn gedaan om een publiek debat op gang te brengen. De rechtbank is dan ook van oordeel dat de uitlatingen niet kunnen worden gerechtvaardigd met een beroep op de vrijheid van meningsuiting.

De rechtbank acht op grond van de aangifte, het proces-verbaal van het verhoor van verdachte en verklaring van verdachte ter terechtzitting ten slotte ook bewezen dat verdachte het ten laste gelegde feit van bedreiging heeft begaan. De verdachte heeft ter terechtzitting en bij zijn verhoor expliciet verklaard dat het klopt dat hij tegen aangever heeft gezegd “Please come and vist me so I can beat the hell out of you” en dat hij aangever in elkaar zou slaan als aangever bij verdachte thuis zou komen. De rechtbank acht daarom de ten laste gelegde bedreiging met zware mishandeling bewezen.

Strafmotivering

De verdachte lijdt aan een depressie met angstige spanning, vitale, stemmingscongruente en stemmingsincongruente psychotische kenmerken, ernstig, recidiverend, mogelijk in het kader van een bipolaire-I-stoornis. Daarnaast is er sprake van ernstige een stoornis in het cannabisgebruik. Het ten laste gelegde wordt daarom in verminderde mate aan de verdachte toegerekend.

Gezien de aard en de ernst van de bewezenverklaarde feiten is de rechtbank van oordeel dat een gevangenisstraf passend is. Daarbij heeft de rechtbank gekeken naar straffen die in soortgelijke zaken worden opgelegd. Het legt een gevangenisstraf van vijf maanden op, met aftrek van voorarrest, waarvan drie maanden voorwaardelijk, met een proeftijd van twee jaren en daarbij een deel van de bijzondere voorwaarden zoals geadviseerd door de reclassering, te weten: meldplicht, ambulante behandeling (met mogelijkheid tot kortdurende klinische opname), meewerken aan middelencontrole en ambulante (outreachende) begeleiding.

Cybercrime jurisprudentieoverzicht mei 2025

13 mei 202512 mei 2025jjoerlemans

Bron: Afbeelding is AI gegenereerd door WordPress met de (automatische) prompt: “Create a highly detailed and sharp-focused image for a blog post on the role of Dutch authorities in the SkyECC operation, emphasizing the themes of cybercrime and judicial proceedings. The image should feature a digital courtroom setting with a silhouette of a judge, legal documents scattered on a modern desk, and high-tech surveillance elements in the background. Illuminate the scene with soft, dramatic lighting to enhance the seriousness of the subject, reflecting a blend of technology and law. Ensure the image is in high resolution to capture intricate details, making it suitable for a featured blog post.”

Deze blog is ook te beluisteren als podcast (gegenereerd met Notebook LM van Google, voor het eerst in het Nederlands, best wel goed!):

Rol Nederlandse autoriteiten in de SkyECC-operatie

De rechtbank Noord-Holland heeft op 4 april 2025 een uitspraak (ECLI:NL:RBNHO:2025:4038) gepubliceerd naar aanleiding van een regiezitting over het horen van getuigen en de verstrekking van stukken in het kader van SkyECC. In dit bericht worden kort de overwegingen ten aanzien van nieuwe informatie over de rol van Nederlandse opsporingsautoriteiten met betrekking tot de SkyECC-operatie genoemd, in verband met het interstatelijk vertrouwensbeginsel.

Onjuist voorgelicht over de SkyECC-hack?

De raadsman heeft in essentie aangevoerd dat het openbaar ministerie de rechtbanken, hoven en Hoge Raad de afgelopen jaren onjuist heeft voorgelicht over de aanloop naar de SkyECC-hack. Het openbaar ministerie zou de rol van Amerika en Canada bij het voorbereidende onderzoek bewust niet hebben vermeld. Voorts heeft de raadsman aangevoerd dat Nederland de interceptietool, de ontsleutelmethode en het uitleesprogramma (ChatX) heeft ontwikkeld, de plaatsing daarvan heeft geïnitieerd en Nederlandse opsporingsambtenaren de inbeslagname van de twee servers hebben verricht en gefaciliteerd. Ook zou Nederland een leidende rol hebben gehad bij de hack, waardoor niet langer kan worden volgehouden dat er slechts sprake was van technische bijstand aan Frankrijk. Er lijkt ook sprake te zijn van onregelmatigheden nu bijvoorbeeld een EOB niet is ondertekend. Dit alles brengt mee dat het vertrouwensbeginsel doorbroken moet worden en dat de rechtmatigheid van het onderzoek naar en de hack van SkyECC in volle omvang getoetst kan worden door de verdediging, aldus de raadsman.

Oordeel rechtbank

De rechtbank overweegt het volgende. Uit het arrest van de Hoge Raad van 13 juni 2023 (ECLI:NL:HR:2023:913) volgt dat het niet tot de taak van de Nederlandse strafrechter behoort om te toetsen of de wijze waarop het onderzoek onder verantwoordelijkheid van buitenlandse autoriteiten is uitgevoerd, strookt met de rechtsregels die gelden in het betreffende land voor het uitvoeren van dat onderzoek. De beslissingen van de buitenlandse autoriteiten die aan het verrichte onderzoek ten grondslag liggen, worden gerespecteerd en er wordt uitgegaan van rechtmatige uitvoering. Dit is uitsluitend anders als in het betreffende land onherroepelijk vaststaat dat het onderzoek niet in overeenstemming met de daarvoor geldende rechtsregels is verricht.

De situatie kan zich voordoen dat buiten Nederland onderzoekshandelingen worden verricht onder verantwoordelijkheid van Nederlandse autoriteiten. Op grond van artikel 539a lid 1 Sv kunnen Nederlandse opsporingsambtenaren de hun bij de Nederlandse wet toegekende opsporingsbevoegdheden ook in het buitenland uitoefenen. In die situatie is artikel 359a Sv van toepassing op vormverzuimen die zich eventueel voordoen met betrekking tot de toepassing van de bevoegdheden die hen op grond van het Nederlandse recht toekomen. De verantwoordelijkheid voor de uitvoering ligt bij de Nederlandse autoriteiten (i) als onder gezag van de (Nederlandse) officier van justitie in het buitenland, overeenkomstig artikel 539a Sv, door Nederlandse opsporingsambtenaren toepassing wordt gegeven aan de hun bij de Nederlandse wet toegekende opsporingsbevoegdheden, of (ii) als er een zo nauwe samenwerking bestaat tussen Nederlandse en buitenlandse autoriteiten bij de opsporing, dat het gezag daarover feitelijk volledig of in overwegende mate toekomt aan de (Nederlandse) officier van justitie.

Het merendeel van het betoog van de raadsman komt erop neer dat de Nederlandse politie een zo grote rol heeft gespeeld bij de hack van SkyECC en de daaruit volgende gegevensverzameling, dat sprake is van een situatie waarin de verantwoordelijkheid voor de uitvoering van het onderzoek in Frankrijk (mede) bij de Nederlandse autoriteiten is komen te liggen. Om die reden zou getoetst moeten kunnen worden of zich bij dat onderzoek vormverzuimen hebben voorgedaan. De raadsman heeft ter onderbouwing aangevoerd dat de Nederlandse politie dan wel (andere) Nederlandse IT-specialisten de interceptietool, de ontsleutelmethode en het uitleesprogramma (ChatX) hebben ontwikkeld en betrokken zijn geweest bij de inbeslagname van de servers. Dit betreft echter geen situaties zoals genoemd onder (i) en (ii). De rechtbank ziet hierin dan ook geen grond om de onderzoekswensen, die betrekking hebben op de aanloop naar en de uitvoering van het onderzoek in Frankrijk naar SkyECC, toe te wijzen. Hetgeen is aangevoerd over mogelijke (undercover)operaties door de Verenigde Staten en Canada naar bij het bedrijf SkyECC betrokken personen, maakt dit niet anders, nu het verband tussen dergelijke operaties en de verwerving van de data van SkyECC uit Frankrijk niet duidelijk is geworden.

Bewijsmiddelen en Exclu-berichten

Deze uitspraak (ECLI:NL:RBOBR:2025:1621) van de rechtbank Oost-Brabant is interessant in verband met de gedetailleerde bewijsoverwegingen ten aanzien van Exclu-berichten en andere bewijsbronnen.

Een Exclu-account was gekoppeld aan een zogenaamd CSN-nummer bestaande uit vijf cijfers. Aan dit CSN-nummer was bovendien een bijnaam gekoppeld. Binnen onderzoek 26Lytham konden, met toestemming van de rechter-commissaris, chatgesprekken tussen gebruikers van Exclu worden meegelezen wanneer deze woorden bevatten die voorkwamen op vooraf vastgestelde woordenlijsten. Vervolgens werd geprobeerd de gebruiker van het CSN-nummer te identificeren.

Op grond van de ontsleutelde Exclu-berichten en de inzet van een aantal bijzondere opsporingsbevoegdheden in onderzoek 26Lytham, zijn personen als mogelijke verdachten geïdentificeerd. Na analyse van de beschikbare Exclu-berichten werd bevestiging gevonden voor het vermoeden dat anderen zich bezig hielden met onder meer de handel in verdovende middelen.

Voor de bewijsvoering komt het in belangrijke mate aan op de inhoud van de ter beschikking gekomen cryptoberichten (Exclu). Volgens de verdediging wordt de lat van het wettelijk vereiste bewijsminimum niet gehaald door enkel gebruik te maken van deze berichten, omdat er geen andere bewijsmiddelen beschikbaar zijn, zoals chats, tapgesprekken of NFI-rapporten, waarmee daadwerkelijk kan worden vastgesteld dat sprake is geweest van (de handel of het bezit van) een onder lijst I van de Opiumwet ressorterende substantie, in dit geval cocaïne.

Eén bewijsbron of meerdere?

De rechtbank overweegt dat de in het procesdossier opgenomen Exclu-berichten te beschouwen zijn als andere geschriften in de zin van artikel 344, eerste lid, sub 5, van het Wetboek van Strafvordering (Sv). Op grond van dit wetsartikel kunnen dergelijke geschriften alleen gelden in verband met de inhoud van andere bewijsmiddelen. Eén (ander) bewijsmiddel kan volstaan en dat bewijsmiddel mag ook weer een ander geschrift zijn. Aan het verband met de inhoud van andere bewijsmiddelen worden geen zware eisen gesteld, in die zin dat het verband niet uitdrukkelijk door de rechter hoeft te worden aangegeven. Dit betekent dat (in dit geval) een Exclu-bericht steun kan vinden in een ander Exclu-bericht (volgens het arrest van de Hoge Raad van 28 maart 2023, ECLI:NL:HR:2023:474 en de conclusie van de AG van 7 februari 2023, ECLI:NL:PHR:2023:163).

Op basis van de in de chatberichten gebruikte termen, de soms bijgevoegde foto’s waarop de drugs pontificaal in beeld staan, het besproken (in- en verkoop)proces, de afgeschermde werkwijze (met versleutelde berichten, verborgen identiteiten door het gebruik van chat-ID’s) en de (door de verdachte en de medeverdachten besproken) hoogte van de met de aan- en verkoop van de middelen gemoeide geldbedragen, is het naar het oordeel van de rechtbank evident dat de berichten daadwerkelijk over verdovende middelen zijn gegaan en dat deze verdovende middelen daadwerkelijk zijn ontvangen dan wel (af)geleverd. Ook zijn diverse telefoons in beslag genomen waarop gegevens zijn aangetroffen, waaruit is gebleken dat de gebruiker van dit toestel bezig is geweest met de handel in hoeveelheden cocaïne. Het ging daarbij om berichten uit de Signal-app, notities op een telefoon, berichten en foto’s uit een Exclu-applicatie en berichten met de app ‘Threema’.

De verdachte wordt schuldig bevonden aan witwassen, het bezit van vuurwapens en opnieuw witwassen en wordt veroordeeld tot zeven jaar gevangenisstraf, met aftrek van de tijd die verdachte in voorlopige hechtenis heeft doorgebracht. Hoewel de rechtbank begrijpt dat een langdurige gevangenisstraf niet alleen voor de verdachte ernstige gevolgen heeft, maar ook (en misschien wel vooral) voor zijn gezin, ziet de rechtbank in de persoonlijke omstandigheden die de verdachte en zijn raadsman in dat verband naar voren hebben gebracht onvoldoende aanleiding om hier in strafmatigende zin rekening mee te houden.

EncroChat en verweer zendmastgegevens i.v.m. Prokuratuur

De rechtbank Amsterdam heeft op 27 januari 2025 een verdachte veroordeeld (ECLI:NL:RBAMS:2025:538) voor vijf jaar gevangenisstraf vanwege drugshandel en deelname aan een criminele organisatie. De uitspraak is relevant door de rol van digitale bewijsmiddelen, met name de discussie over zendmastgegevens.

Het bewijs in deze zaak bestaat voornamelijk uit chatberichten die zijn verstuurd en ontvangen via Encrochat en SkyECC. Om te bepalen of de verdachte de gebruiker was van de hem toegeschreven accounts, onderzocht de rechtbank ook andere bewijsmiddelen. Opvallend was daarbij een camera in de kluis van een garagebox, waarin twee bigshoppers met 29 blokken cocaïne en 34 losse blokken cocaïne werden aangetroffen. De camera bevatte een simkaart die op 5 april 2020 om 01:30 uur werd geactiveerd via een Lebara-account met een gekoppeld e-mailadres. Betalingen voor dit account geschiedden via PayPal, waarbij twee verschillende IP-adressen werden gebruikt. Deze IP-adressen waren ook gebruikt bij het bestellen van maaltijden via Thuisbezorgd.nl naar adressen in Eindhoven, waar ook de verdachte verbleef. Bovendien was de applicatie middels het Apple ID van de verdachte geïnstalleerd op de iPhone 12 die bij zijn aanhouding bij hem werd aangetroffen. De rechtbank linkt voor elke verdachte bewijs uit verschillende bronnen – chatberichten, camerabeelden en ‘reisbewegingen’ (o.a. van locatiegegevens uit zendmasten) – om de accounts aan de persoon te koppelen.

De raadvrouw voert het verweer dat de zendmastgegevens op grond van artikel 359a Sv moeten worden uitgesloten van het bewijs, omdat deze zijn verkregen zonder dat een rechter daarvoor vooraf toestemming heeft gegeven. Zij verwijst daarbij naar het arrest van het Hof van Justitie van de Europese Unie van 2 maart 2021 (ECLI:EU:C:2021:152, hierna: het Prokuratuur-arrest). De rechtbank merkt op dat de raadsvrouw niet concreet heeft benoemd op welke zendmastgegevens haar verweer betrekking heeft. Voor zover het verweer ziet op de zendmastgegevens van de telefoontoestellen die zijn gekoppeld aan het Encrochat-account en het Sky-ID, stelt de rechtbank vast dat deze afkomstig zijn uit de metadata die zijn verkregen in de EncroChat en SkyECC-operatie en dat deze informatie door de officieren van justitie overeenkomstig artikel 126dd Sv is overgedragen aan het onderzoek Velp. Daarom is ten aanzien van deze zendmastgegevens geen sprake van een vormverzuim in het voorbereidend onderzoek in de zaak van verdachte.

Voor zover het verweer ziet op de zendmastgegevens van de telefoon van de verdachte, stelt de rechtbank vast dat de officier van justitie op 25 januari 2021 op grond van artikel 126n Sv de historische verkeersgegevens van dit telefoonnummer heeft gevorderd. Gelet op het Prokuratuur-arrest had voorafgaand aan de toepassing van deze bevoegdheid een rechterlijke toetsing moeten plaatsvinden. Dat is in deze zaak niet gebeurd. Dit levert een vormverzuim op dat moet worden beoordeeld op grond van het bepaalde in artikel 359a Sv. Bij die beoordeling stelt de rechtbank voorop dat uit het dossier niet blijkt deze gegevens zijn gebruikt om de betrokkenheid van verdachte bij de ten laste gelegde feiten te onderbouwen. Het is dus niet gebleken dat de verdachte door het verzuim in zijn verdediging is geschaad en daarmee dat sprake is van een schending van artikel 6 EVRM. Gelet op bovenstaande is evenmin gebleken dat een inbreuk is gemaakt op de persoonlijke levenssfeer van verdachte, zoals beschermd in artikel 8 EVRM, en dat dit verzuim daadwerkelijk nadeel voor verdachte heeft veroorzaakt. Daarom is de rechtbank – in overeenstemming met de jurisprudentie op dit punt – van oordeel dat kan worden volstaan met een constatering van het vormverzuim zonder daaraan een rechtsgevolg te verbinden.

Ten aanzien van het opzet van de verdachten op het deelnemen aan een organisatie met het oogmerk op het plegen van harddrugsmisdrijven, weegt de rechtbank mee dat de deelnemers van de organisatie met elkaar communiceerden via versleutelde berichten waarin werd gesproken over ophalen/wegbrengen van (tassen vol) geld, prijzen rond de €27.000, blokken, stuks, spul, poeder, mixen, en waarin foto’s werden gedeeld van rechthoekige witte blokken. Ook wijst de rechtbank op het heimelijke karakter van de gedragingen binnen de organisatie. Zo werden bij de overdracht van geld en/of blokken de rijroutes door middel van voorverkenningen gecontroleerd op de aanwezigheid van (grens)politie, werden de goederen vervoerd in voertuigen met verborgen ruimtes, vond verificatie van de koper/verkoper plaats door middel van tokens en er werden uniformen van postbezorgers gedragen als dekmantel.

Aangezien alle verdachten aan gesprekken over de handel deelnamen en/of bij de overdrachten betrokken waren, achtte de rechtbank bewezen dat zij in zijn algemeenheid wisten dat de organisatie het invoeren, vervoeren, verkopen, verstrekken en aanwezig hebben van cocaïne als oogmerk had.

Hoge Raad wijst wederom arrest n.a.v. van een politiemol-zaak

Op 1 april 2025 heeft de Hoge Raad opnieuw een arrest gewezen (ECLI:NL:HR:2025:501) in een politiemol-zaak. De Hoge Raad achtte het oordeel van het hof Den Haag van 4 april 2023 (ECLI:NL:GHDHA:2023:2968) niet onbegrijpelijk dat de verdachte is binnengedrongen in de servers van de politie voor privédoeleinden en daarmee meermalen computervredebreuk pleegde. De Hoge Raad herhaalde daarbij relevante overwegingen uit eerdere arresten (HR:2013:BY9718 en HR:2011:BN9287) over het begrip ‘geautomatiseerd werk’ in relatie tot artikel 80sexies Sr (oud).

Door de verdachte werden de bevragingen uitgevoerd voor privédoeleinden die geen enkele link hadden met zijn functie als politieman. Door informatie te raadplegen waarvoor hij uitsluitend toegang had in verband met zijn werk, overschreed de verdachte de grenzen van de verleende autorisatie om politiesystemen te gebruiken. Hij wist dat de bevragingen niet plaatsvonden in het kader van een politieonderzoek. Bovendien verschijnt bij het starten of inloggen op het systeem een melding die aangeeft dat het alleen mag worden gebruikt met een gegronde reden en/of noodzaak. Het desondanks uitvoeren van de bevragingen betekent dat hij wederrechtelijk binnengedrongen is in een geautomatiseerd werk, gebruikmakend van zijn systeemautorisatie – te beschouwen als een valse sleutel.

De verdediging betoogde dat er geen sprake was van een ‘server’ zoals tenlastegelegd. Naar het oordeel van het hof kan een server deel uitmaken van een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.

De Hoge Raad oordeelt als volgt. Blijkens de bewijsvoering heeft het hof vastgesteld dat de verdachte, door in te loggen met het aan hem als politieambtenaar verstrekte account, zich de toegang heeft verschaft tot de politiesystemen en de politiewerkomgeving. In die digitale werkomgeving heeft de verdachte vervolgens personen, voertuigen (kentekens) en/of adressen bevraagd, waarna hij de verkregen gegevens heeft geëxporteerd en geprint. Het op die vaststellingen gebaseerde oordeel van het hof dat de verdachte “in één of meer geautomatiseerde werken, namelijk in één of meer servers van de politie” is binnengedrongen getuigt – in het licht van wat hiervoor is vooropgesteld – niet van een onjuiste rechtsopvatting. Dat oordeel is ook niet onbegrijpelijk.

Anders dan in de toelichting op het cassatiemiddel is betoogd, doet daaraan niet af dat het hof geen nadere vaststellingen heeft gedaan over de precieze manier waarop een concreet aangeduide server door de verdachte is binnengedrongen. Naar het hof kennelijk in aanmerking heeft genomen brengt het inloggen in, en raadplegen van, een digitale werkomgeving of digitaal systeem als hier aan de orde, met zich dat toegang wordt verworven tot één of meer servers die deze werkomgeving of dat systeem in stand houden en daarmee – al dan niet in verbinding met andere apparaten – bestemd zijn om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

Veroordeling voor opruiing in een Telegramgroep

De rechtbank Rotterdam heeft op 17 maart 2025 een verdachte veroordeeld (ECLI:NL:RBROT:2025:3483) voor opruiing tot een terroristisch misdrijf.

Openbare Telegramgroep?

Voor het delict opruiing is vereist dat iemand opzettelijk aanzet tot strafbare feiten en/of gewelddadig optreden tegen het openbaar gezag, waarbij deze uitlating in het openbaar wordt gedaan. De rechtbank overweegt dat ‘het internet kan worden aangemerkt als een openbare plaats, mits het publiek toegang heeft tot de internetpagina waarop de teksten zijn weergegeven’. Bij de beoordeling of opruiing op een online forum in het openbaar is geschied kan bijvoorbeeld acht worden geslagen op de hoeveelheid personen die de uitlatingen ontvangen, hoe wordt bepaald wie tot een online groep wordt toegelaten en of er toetredingsvoorwaarden zijn, of de leden van de online groep elkaar kennen en welke verwachtingen bestaan met betrekking tot de vertrouwelijkheid van uitlatingen op het forum (met verwijzing naar hof Den Haag 13 november 2023, ECLI:NL:GHDHA:2023:2207)

De rechtbank stelt vast dat een medeverdachte op 4 januari 2024 de Telegramgroep heeft opgericht. De verdachte werd vanaf 11 juni 2024 lid van deze groep en deed vervolgens diverse uitlatingen. Een link naar de Telegramgroep werd openbaar gedeeld, waardoor nieuwe leden zich konden aanmelden.

De rechtbank overweegt dat de Telegramgroep een openbare status had, gelet op (1) het relatief eenvoudige toetredingsproces, (2) de willekeurige en openbare werving van leden, (3) het kennelijk ontbreken van afspraken omtrent vertrouwelijkheid van de gedeelde berichten en (4) de omvang van de groep ten tijde van de berichten van de verdachte. Daarmee waren ook de berichten die in de groep zijn gedeeld openbaar. Het feit dat de Telegramgroep op 3 juli 2024 kennelijk op besloten is gezet, doet daar niet aan af.

Opruiing tot een terroristisch misdrijf

De rechtbank stelt vast dat de Telegramgroep een trainingsgroep was voor witte mensen die zich voorbereiden op een rassenoorlog tegen ‘niet-witte’ mensen. De berichten en afbeeldingen die door de verdachten en andere deelnemers in de Telegramgroep zijn gedeeld, bevatten vele racistische en rechts-extremistische elementen, waaronder verheerlijking van Nazi-Duitsland, Hitler, hakenkruizen en de term ‘1488’. Het nummer 14 verwijst naar de 14 woorden van David Lane (‘we must secure the existence of our people and a future for white children’) en 88 staat voor ‘Heil Hitler’.

Hieruit leidt de rechtbank af dat het doel van de Telegramgroep was om tot een rassenoorlog te komen en op die wijze ‘het witte ras’ te redden. Daarbij wordt opgeroepen tot geweld tegen ‘niet-witte’ mensen, wat neerkomt op oproeping tot strafbare feiten als mishandeling en openlijke geweldpleging. Deze oproeping heeft ook een terroristisch oogmerk, omdat daarmee een deel van de bevolking, namelijk iedereen met een niet-Europese etnische afkomst, vrees wordt aangejaagd (vergelijk artikel 83a van het Wetboek van Strafrecht).

De andere in de tenlastelegging genoemde berichten en afbeeldingen die in de Telegramgroep zijn geplaatst, zijn op zichzelf niet allemaal als opruiend te beschouwen. Bezien in onderlinge samenhang kunnen alle uitlatingen echter worden aangemerkt als opruiend tot het plegen van een terroristisch misdrijf.

Gelet op vorenstaande gedragingen van de verdachte, is de rechtbank van oordeel dat wettig en overtuigend is bewezen dat de verdachte zich schuldig heeft gemaakt aan opruiing tot een terroristisch misdrijf. De rechtbank plaatst deze berichten in het kader van het accelerationisme, een rechtsextremistische ideologie die via sociale mediaplatformen wordt verspreid om terroristisch geweld te verheerlijken en een rassenoorlog te ontketenen, met als doel chaos te creëren en een witte (nationaalsocialistische) etnostaat te vestigen.

Gezien de ernst van de feiten legt de rechtbank de verdachte een gevangenisstraf op voor 191 dagen (met 30 dagen voorwaardelijk). De verdachte wordt in verminderde mate toerekeningsvatbaar geacht en krijgt een proeftijd van drie jaar met bijzondere voorwaarden, waaronder een contactverbod, meldplicht, ambulante behandelverplichting, opname in een instelling voor begeleid wonen, een social media verbod en reclasseringstoezicht.

Sociale mediaverbod

Onder het sociale mediaverbod valt het volgende (onder 6):

“het wordt de veroordeelde verboden gebruik te (laten) maken van social media zoals X (voorheen Twitter), Instagram, Facebook, Telegram. Het wordt hem tevens verboden om video’s dan wel vlogs, dan wel op een andere manier informatie te plaatsen op mediaplatforms zoals YouTube, zolang de reclassering dit noodzakelijk acht”

De veroordeelde moet meewerken aan controles van gegevensdragers en versterkt daarbij de gebruikersnamen en wachtwoorden die nodig zijn voor deze controle. De controle strekt er niet toe de inhoud van die communicatie in te zien zonder zijn toestemming. De controle vindt plaats zo frequent als door de reclassering nodig wordt geacht met een maximum van drie keer per jaar.

Overzicht cryptophone-operaties

13 december 202413 december 2024jjoerlemans 1 reactie

7,5 jaar geleden, in maart 2017, verscheen het eerste persbericht op OM.nl over het veiligstellen van berichten die zijn verstuurd met ‘cryptotelefoons’ (ook wel ‘PGP-telefoons’ genoemd) van Ennetcom met de titel ‘Versleutelde berichten: schat aan criminele informatie‘. Sindsdien zijn er negen cryptcommunicatiediensten ontmanteld en gegevens van deze telefoons (met name de berichten gekoppeld aan de verzenders en ontvangers) zijn veiliggesteld. De gegevens wordt geanalyseerd en gebruikt als bewijs in opsporingsonderzoeken.

Deze ‘cryptophone-operaties’ heb ik in de onderstaande tijdlijn gevat:

Hieronder volgt verder een overzicht van de cryptophone-operaties op basis van blogberichten.

Waarom een overzicht?

De cryptophone-operaties zijn bijzonder belangrijk voor de strafrechtpraktijk en toch is er net na de operaties relatief weinig bekend over het verloop daarvan. In de media worden de cryptophone-berichten ook wel een ‘goudmijn aan bewijs’ genoemd en de gegevens vormen een game changer voor de politie. Strafrechtadvocaten trekken vaak de rechtmatigheid van de operaties in twijfel, maar vooralsnog lijkt de verdediging bot te vangen. Op 13 april 2023 maakte de Landelijke Eenheid ook bekend dat de politie inmiddels 1 miljard “criminele chats” in handen heeft. Duidelijk is wel dat dit om “bulkdata” gaat en dit de brandstof levert voor de nieuwe strategie van “datagedreven opsporing” van de politie en het Openbaar Ministerie.

Voor een presentatie heb ik in oktober 2024 de gepubliceerde uitspraken van rechtbanken (in eerste aanleg dus) op rechtspraak.nl waar in strafzaken een cryptotelefoon wordt genoemd op een rijtje gezet en in onderstaande tabel en diagram geplaatst.

Let op: dit is een indicatie van het aantal veroordelingen en verdeling tussen de cryptotelefoons. Uiteraard zijn er minder uitspraken van meer recente operaties en het komt vaak voor dat meerdere telefoons in één zaak genoemd worden. Neem de cijfers dus met een korreltje zout.

De grote hoeveelheid jurisprudentie en onduidelijkheid over de ‘wat’, ‘wanneer’ en ‘hoe’-vragen vormde voor mij aanleiding dit overzicht te maken (ook voor mijzelf voor toekomstige publicaties). Daarbij heb ik mij gebaseerd op persberichten van het OM, de politie en rechtspraak. Voor iedere operatie liggen de feiten en grondslagen waarop de gegevens zijn verzameld weer anders. In een enkele operatie zijn er serieuze overwegingen over de betrouwbaarheid van de gegevens meegeven. Het is daarom belangrijk steeds af te vragen en na te gaan met welke cryptophone-operatie we in casu te maken hebben.

Hieronder volgt een kort antwoord op deze vragen met links naar de desbetreffende blogs over de operaties.

Wat en wanneer?

Ennetcom (2016)

Ennetcom was een Nederlandse dienstverlener voor versleutelde “PGP” communicatie. De app werd geïnstalleerd op een Blackberry telefoons. De oprichters van het bedrijf zijn uiteindelijk veroordeeld voor deelname aan een criminele organisatie, gewoontewitwassen en medeplegen van valsheid in geschrifte. Tijdens de operatie zijn 3,7 miljoen berichten veiliggesteld. De operatie werd bekend gemaakt op 9 maart 2017.

PGP Safe (2017)

PGP Safe was de merknaam voor een cryptotelefoon. De software werd geïnstalleerd op Blackberry toestellen. Tijdens de operatie zijn 700.000 berichten veiliggesteld, waarvan er destijds ruim 337.000 ontsleuteld en leesbaar werden gemaakt. Het OM richtte zich aanvankelijk op de leveranciers (‘resellers’) van PGP-cryptotelefoons (met wisselend succes). De operatie werd bekend gemaakt op 9 mei 2017.

IronChat (2017)

IronChat was een app dat geïnstalleerd op Wileyfox-telefoons of Samsung-telefoons (Android). De telefoons technisch zo zijn ingericht dat er geen gebruik gemaakt kan worden van de camera, microfoon of wifi. Bij deze telefoons werd gebruik gemaakt van van end-to-end encryptie door middel van het zogenaamde OTR (Off-The-Record) protocol. Ook was het mogelijk chats of de gehele inhoud van de telefoon op commando te wissen. Het onderzoek richtte zich zowel op de leveranciers als gebruikers van de telefoons. Tijdens de operatie zijn 258.000 berichten veiliggesteld. De operatie werd bekend op 6 november 2018.

EncroChat (2020)

EncroChat was een communicatieaanbieder van telefoons, waarmee middels de Encrochat applicatie versleutelde chats, bestaande uit tekstberichten en afbeeldingen, konden worden verzonden en ontvangen en waarmee onderling gebeld kon worden. Gebruikers kochten een telefoontoestel, zoals een Android telefoon, waarop de EncroChat applicaties vooraf geïnstalleerd waren in combinatie met een abonnement om de service te kunnen gebruiken. Geschat wordt dat er wereldwijd destijds tussen de 55.000-60.000 EncroChat telefoons werden gebruikt, waarvan circa 12.000 Nederlandse gebruikers waren en circa 3000 Franse gebruikers. Tijdens de operatie zijn circa 115 miljoen berichten veiliggesteld. De operatie werd bekend gemaakt op 2 juli 2020.

Sky ECC (2020)

Sky ECC is de naam van het bedrijf dat een versleutelde berichtendienst aanbood. De telefoons werden aangeboden door het bedrijf ‘Sky Global’. Een Sky ECC-toestel is een mobiele telefoon die voorgeprogrammeerd is op iPhones, Google Pixels, Blackberry’s en Nokia’s en met een abonnement ter beschikking werd gesteld. Met de telefoon was het mogelijk versleuteld met elkaar te communiceren. In 2021 had het bedrijf wereldwijd 170.000 gebruikers. Tijdens de operatie zijn naar verluid 1 miljard berichten veiliggesteld, waarvan 500 miljoen ontsleuteld konden worden. De operatie werd bekend gemaakt op 9 maart 2021.

ANOM (2021)

ANOM was een zogenoemde ‘store front’, oftewel een zelf opgezette communicatiedienst door opsporingsautoriteiten. De operatie stond onder leiding van de FBI en de Australische Federal Police met het doel om verdachten van criminele organisaties te identificeren. Tijdens de operatie zijn 27 miljoen berichten onderschept. De operatie werd bekend gemaakt op 8 juni 2021.

Exclu (2022)

Exclu is een type cryptotelefoon, die het mogelijk maakt berichten, foto’s, notities, gesproken memo’s, chatconversaties en video’s met andere Exclu-gebruikers uit te wisselen. Exclu had volgens naar schatting 3000 gebruikers, waarvan 750 Nederlandstaligen. De politie en het Openbaar Ministerie konden vijf maanden de berichten van Exclu-gebruikers meelezen. De operatie werd op vrijdag 3 februari 2023 bekend gemaakt.

Ghost (2024)

De app Ghost bood de een keuze in drie versleutelstandaarden voor versleutelde communicatie en de optie om berichten op de telefoon te vernietigen als een code werd verstuurd. Slechts enkele duizenden personen maakten gebruik van de software, dat draaide op zijn eigen infrastructuur in verschillende landen. De operatie werd op 18 september 2024 bekend gemaakt.

MATRIX (2024)

MATRIX werd door de politie gezien als de als de opvolger van voorgangers als ANOM, Sky ECC en EncroChat. De cryptocommunicatiedienst bood een heel ecosysteem aan applicaties aan, waaronder de mogelijkheid om te (video)bellen, transacties bij te houden en geanonimiseerd te internetten. De dienst in een app aangeboden op met name Google Pixel telefoons. MATRIX had minstens 8000 gebruikers wereldwijd. Gedurende en aantal maanden zijn 2,3 miljoen berichten onderschept. Op 4 december 2024 is de operatie bekend gemaakt.

Hoe?

1.      Ennetcom (2016)
In totaal is 6 Terabyte aan gegevens veiliggesteld bij het Nijmeegse telecombedrijf Ennetcom op een server in Nederland en van een server in Toronto (Canada). Door de Canadese politie zijn de gegevens gekopieerd. Na analyse van de data bleken de kopieën 3,7 miljoen berichten en 193.000 notities te bevatten. Daarnaast bevatte de server de private sleutels van de gebruikers van de klanten van de verdachte. Een Canadese rechter stelde de dataset na een rechtshulpverzoek ter beschikking aan Nederland.

2.      PGP Safe (2017)
Na een rechtshulpverzoek is een doorzoeking uitgevoerd bij een datacentrum in Costa Rica. Tussen 9 mei 2017 te 18.00 uur en 11 mei 2017 te 09.00 uur zijn bestanden gekopieerd. De BlackBerry Enterprise Server (BES)-infrastructuur bevond zich in twee serverkasten waarvan er één sinds 2012 en één sinds 2016 aan PGP-safe was verhuurd. Het onderzoek is beperkt tot de serverkast die was verhuurd sinds 2012. In overleg met de Costa Ricaanse autoriteiten is bij het veiligstellen prioriteit gegeven aan de zich op die server bevindende virtuele machines met cryptografisch sleutelmateriaal en aan de virtuele machines met emailberichten. De datadragers, waarnaar de data zijn gekopieerd, zijn door de Costa Ricaanse autoriteiten verpakt en overgedragen aan de Nederlandse autoriteiten.

3.      Ironchat (2017)
Het betrokken Nederlandse bedrijf maakte gebruik van een telecomserver in het Verenigd Koninkrijk. Middels een Europees Onderzoeksbevel (EOB) kreeg het onderzoeksteam de beschikking over een kopie (een ‘image’) van de server van het Nederlandse bedrijf. In het Verenigd Koninkrijk werd zelfstandig onderzoek gedaan naar de versleutelde berichten die via deze server waren verzonden. Van 3 oktober 2018 tot 2 november 2018 werd overgegaan tot het ‘live intercepteren en decrypten van de server’. De Britse autoriteiten hebben toestemming gegeven voor het gebruik van de dataset in opsporingsonderzoeken in Nederland en de gegevens overgedragen.

4.      EncroChat (2020)
Via JIT en EOB’s in een complex verhaal. Franse autoriteiten verzamelden gegevens met inzet hacking tool en door interceptie op de servers van 1 april 2020 tot 20 juni 2020. Ook zijn images van de servers beschikbaar gesteld door Frankrijk aan Nederland. Nederland zou betrokkenheid hebben gehad in de ontwikkeling van de tool en/of decryptie van de gegevens.

5.      Sky ECC (2020)
Via JIT en EOB’s in een complex verhaal. Nederlandse technici hebben binnen het JIT een techniek ontwikkeld om een kopie te maken van het werkgeheugen van één van de SkyECC-servers zonder dat die offline zou gaan. De interceptie en kopieën van gegevens hebben gefaseerd plaatsgevonden. Naar verwachting heeft het grootste deel van de interceptie plaatsgevonden vanaf de toestemming door een Franse rechter vanaf 18 december 2020 tot 9 maart 2021, de dag dat de operatie publiek werd.

6. ANOM (2021)

Door een ‘spontane eenzijdige verstrekking van informatie zonder een voorafgaand verzoek van de Nederlandse opsporingsdiensten’ door de Verenigde Staten van Amerika aan Nederland. De operatie betrof een samenwerking tussen de Verenigde Staten en Australië. Ook stemde een derde land – Litouwen – in met het aanvragen van een rechterlijke machtiging zoals daar vereist was om een iBot server voor de Anom-berichten aldaar te kopiëren en de FBI van de kopie te voorzien conform een rechtshulpverzoek. In oktober 2019 verkreeg het derde land een rechterlijke machtiging.

Vanaf 21 oktober 2019 begon de FBI de serverinhoud van het derde land te verkrijgen. Sinds dat moment heeft de FBI de inhoud van de iBotserver in het derde land op basis van het rechtshulpverzoek bekeken. Ze hebben de berichten indien nodig vertaald en meer dan 20 miljoen berichten van 11.800 toestellen van 90 landen wereldwijd gecatalogiseerd. De top vijf van landen waar de toestellen gebruikt worden betreft Duitsland, Nederland, Spanje, Australië en Servië.

De Nederlandse opsporingsdiensten zouden niet betrokken zijn geweest bij de verkrijging van de gegevens. Wel heeft de Nederlandse software ontwikkeld waarmee de berichten konden worden geanalyseerd en geduid. Deze software is ook beschikbaar gesteld aan Europol, zodat deze dienst de gegevens kon analyseren en beschikbaar stellen aan andere landen.

7. Exclu (2022)

In Duitsland stond een server bij Cyberbunker en die server is veilig gesteld. Tijdens de operatie is ook de hackbevoegdheid ingezet ten behoeve van een opsporingsonderzoek naar de betrokkenheid naar misdrijven die worden gepleegd in georganiseerd verband. Daardoor kon de politie gedurende vijf maanden de berichten van Exclu-gebruikers meelezen. Bij beschikking van 25 augustus 2022, daarna vijf keer verlengd, heeft de rechter-commissaris machtiging verleend voor het hacken van de server van Exclu in Duitsland. Deze beschikkingen en de verlengingen daarvan werden steeds gevolgd door Europese onderzoeksbevelen (EOB’s) gericht aan de bevoegde Duitse autoriteiten.

8. Ghost (2024)

Het platform is in Australië sinds 2022 in het vizier gekomen van de Australian Federal Police (AFP). Nadat internationale partners zich ook richten op Ghost gingen ze samenwerken in een Operational Taks Force (OTF) bij Europol. De Australische autoriteiten hebben de Ghost telefoons via een update hebben geïnfecteerd met software (dus gehackt) en daarmee toegang kregen tot gegevens op de telefoons. Verder is nog veel onduidelijk.

9. MATRIX (2024)

De politie meldt dat zij ruim 2,3 miljoen berichten wisten te onderscheppen en een aantal maanden lang konden meelezen. De infrastructuur bestond naar verluid uit meer dan 40 servers, verspreid over meerdere landen, met de belangrijkste servers in Frankrijk en Duitsland. De dienst werd vanuit Spanje aangestuurd door de hoofdverdachte met een Litouwse nationaliteit. De operationele details blijven vooralsnog onbekend.

Uitspraak Hof van Justitie over EncroChat

6 mei 202417 juni 2024jjoerlemans

Op 30 april 2024 heeft de Grote Kamer van het Hof van Justitie van de Europese Unie (HvJ EU) uitspraak gedaan in de EncroChat-zaak (ECLI:EU:C:2024:372). Het Hof verduidelijkt de voorwaarden voor de overdracht en het gebruik van het bewijs in strafzaken met een grensoverschrijdende dimensie (zoals geregeld in Richtlijn 2014/41/EU betreffende het Europees Onderzoeksbevel in strafzaken) en beantwoordde enkele prejudiciële vragen van een Duitse rechtbank (het ‘Landgericht Berlin’). Dit bericht is (slechts) een samenvatting van het arrest.

In casu was de Franse politie in staat om – met toestemming van een rechter – EncroChat-berichten veilig te stellen van cryptotelefoons. Daarbij is gebruik van maakt van een Trojaans paard, waarbij deze software in het voorjaar van 2020 naar de server geüpload en van daaruit via een gesimuleerde update op die mobiele telefoons geïnstalleerd. Van de in totaal 66.134 geabonneerde gebruikers zouden 32.477 gebruikers in 122 landen door deze software zijn getroffen, waaronder ongeveer 4.600 gebruikers in Duitsland.

De Duitse ‘Bundeskriminalamt’ (BKA) opende op 13 maart 2020 een onderzoek tegen alle onbekende gebruikers van de dienst EncroChat, op verdenking van betrokkenheid bij de georganiseerde handel in aanzienlijke hoeveelheden verdovende middelen en van het vormen van een criminele organisatie. De Duitse politiediensten konden vervolgens via een Europolserver de onderschepte gegevens van Duitse gebruikers in Duitsland opvragen. Tussen 3 april en 28 juni 2020 heeft het BKA de gegevens opgevraagd die dagelijks op de server van Europol beschikbaar werden gesteld over in Duitsland gebruikte mobiele telefoons. De Duitse openbare aanklager heeft vervolgens Europees Onderzoeksbevelen (EOB’s) uitgevaardigd om toestemming te verkrijgen van een Franse rechtbank om die gegevens over te dragen en aan gebruiken in de Duitse strafprocedures. Die toestemming werd gegeven.

Kortgezegd maakt het HvJ EU duidelijk dat voor de overdracht van bewijsmateriaal dat reeds in het bezit is van de bevoegde autoriteiten van de tenuitvoerleggende staat, niet noodzakelijkerwijs door een rechter te worden uitgevaardigd. Ook een officier van justitie mag dit doen, voor zover deze onder nationaal recht daartoe bevoegd is. Het Hof verduidelijkt dat voor het uitvaardigen van een EOB dezelfde materiële voorwaarden gelden als voor de overdracht van soortgelijk bewijsmateriaal in een zuiver binnenlandse situatie in die staat. Het Hof merkt op dat als een rechtbank van oordeel is dat een partij niet in een positie verkeert om effectief tegenspraak te leveren op een bewijsstuk dat waarschijnlijk een doorslaggevende invloed zal hebben op de feitelijke vaststellingen, die rechtbank een inbreuk op het recht op een eerlijk proces vaststellen en bewijs moet uitsluiten om een dergelijke inbreuk te voorkomen.

De EOB is gebaseerd op het beginsel van wederzijdse erkenning van vonnissen en rechterlijke beslissingen. Dit beginsel, dat de „hoeksteen” vormt van de justitiële samenwerking in strafzaken, is zelf gebaseerd op wederzijds vertrouwen en op het weerlegbare vermoeden dat andere lidstaten het Unierecht en in het bijzonder de grondrechten naleven. Hieruit volgt dat wanneer de uitvaardigende autoriteit door middel van een EOB de overdracht wil veiligstellen van bewijsmateriaal dat reeds in het bezit is van de bevoegde autoriteiten van de uitvoerende staat, de uitvaardigende autoriteit niet bevoegd is om de rechtmatigheid van de afzonderlijke procedure te toetsen. Dit zou in de praktijk resulteren in een ingewikkelder en minder effectief systeem, wat de doelstelling van die richtlijn zou ondermijnen.

Ten slotte is in de EncroChat-situatie sprake van ‘interceptie van telecommunicatie’, waarvan kennis moet worden gegeven aan de autoriteit die daartoe is aangewezen door de lidstaat op wiens grondgebied het onderwerp van de interceptie zich bevindt (in casu Duitsland). De bevoegde autoriteit van die lidstaat heeft dan het recht om aan te geven dat die onderschepping van telecommunicatie mag niet worden uitgevoerd of moet worden beëindigd, als dit op een soortgelijke manier niet zou zijn toegestaan in een binnenlands geval. Deze rechten en plichten zijn niet alleen bedoeld om het respect voor de soevereiniteit van de EU-lidstaat te garanderen, maar ook om de fundamentele rechten van de betrokken personen te beschermen.

Eerste Hoge Raad arrest na prejudiciële vragen over EncroChat en SkyECC

3 maart 2024jjoerlemans

Op 13 februari 2024 heeft de Hoge Raad het eerste arrest gewezen (ECLI:NL:HR:2024:192) na de na de beantwoording van prejudiciële vragen door de Hoge Raad over de EncroChat- en SkyECC-zaken (HR 13 juni 2023, ECLI:NL:HR:2023:913, zie ook ‘Antwoorden op prejudiciële vragen in de EncroChat- en SkyECC-zaken‘). Dit bericht is voornamelijk gebaseerd op de samenvatting van de website van de Hoge Raad en de samenvatting in het arrest zelf.

De prejudiciële vragen gingen over de betekenis van het ‘interstatelijke vertrouwensbeginsel’ voor de beoordeling van de rechtmatigheid en betrouwbaarheid van dergelijke vanuit het buitenland ontvangen onderzoeksgegevens en de mogelijkheden voor de verdediging om de rechtmatigheid van die bewijsverkrijging te onderzoeken. De Hoge Raad antwoordde dat het interstatelijke vertrouwensbeginsel van toepassing is. Dat betekent onder meer dat het niet op de weg van de Nederlandse strafrechter ligt om de rechtmatigheid van het in Frankrijk uitgevoerde onderzoek naar EncroChat en SkyECC te toetsen.

De advocaten van de verdachte vroegen de Hoge Raad de uitspraak van het hof te vernietigen. Zij hebben meerdere cassatieklachten ingediend tegen deze uitspraak. De cassatieklachten richtten zich onder meer tegen de weigering van het hof om de zaak uit te stellen tot de Hoge Raad de door de rechtbank Noord-Nederland gestelde prejudiciële vragen over Encrochatdata beantwoord zou hebben. Verder klaagden de advocaten over de afwijzing door het hof van verschillende onderzoekswensen van de verdediging en over het oordeel van het hof dat de EncroChat-berichten voor het bewijs kunnen worden gebruikt. Daarnaast deden de advocaten van de verdachte het verzoek aan de Hoge Raad om prejudiciële vragen te stellen aan het Europese Hof voor de Rechten van de Mens (EHRM) en het Hof van Justitie van de EU.

Oordeel Hoge Raad

De Hoge Raad heeft ten eerste geoordeeld dat een rechter, als in een andere strafzaak prejudiciële vragen zijn gesteld over een rechtsvraag die ook speelt in de zaak die hij behandelt, de behandeling van de door hem behandelde zaak kan schorsen, maar daartoe niet verplicht is. Het is aan rechter om beslissing te nemen over schorsen van verdere behandeling in licht van belangen die in betreffende zaak aan de orde zijn (vgl. HR 13 juni 2023, ECLI:NL:HR:2023:913). Het hof kon dus het aanhoudingsverzoek van de verdediging afwijzen.

Verder heeft de Hoge Raad geoordeeld dat het hof kon oordelen dat op de toetsing van de inzet van de interceptietool het vertrouwensbeginsel van toepassing is, nu de inzet van de interceptietool plaatsvond onder verantwoordelijkheid van de Franse en dus buitenlandse autoriteiten. Het is niet aan de Nederlandse rechter om te toetsen of de wijze waarop die inzet heeft plaatsgevonden strookt met de rechtsregels die daarvoor gelden in Frankrijk. De omstandigheid dat de inzet van de interceptietool meebracht dat ook gegevens van EncroChat-toestellen die zich op het moment van interceptie in Nederland bevonden werden verzameld en gekopieerd en vervolgens ook met Nederland werden gedeeld, leidt daarbij niet tot een ander oordeel. Ook art. 31 Richtlijn 2014/41/EU geeft geen aanleiding hierover anders te oordelen (vgl. HR 13 juni 2023, ECLI:NL:HR:2023:913). Het hiertegen gerichte cassatiemiddel is verworpen.

Recht op een eerlijk proces

Ook het oordeel van het hof dat de procedure in haar geheel voldoet aan het door artikel 6 EVRM gewaarborgde recht op een eerlijk proces en de daaraan verbonden notie van ‘the overall fairness of the trial’ acht de Hoge Raad juridisch juist en voldoende gemotiveerd. De Hoge Raad wijst erop dat het hof bij zijn oordeel onder meer heeft betrokken dat de EncroChat-dataset die betrekking heeft op deze zaak, woordelijk uitgewerkt in het dossier is gevoegd en dat de verdachte van de inhoud daarvan kennis heeft kunnen nemen en zich daartegen heeft kunnen verdedigen. Dat technische informatie over de inzet van de interceptietool van EncroChat niet in het dossier is gevoegd, leidt niet tot een ander oordeel. Deze cassatieklacht slaagt dan ook niet. Dat geldt eveneens voor een aantal andere cassatieklachten.

Geen aanleiding tot prejudiciële vragen EHRM of het HvJ EU

De Hoge Raad ziet ook geen reden prejudiciële vragen te stellen aan het EHRM en het Hof van Justitie van de EU. N.a.v. namens verdachte ingediende reactie op CAG merkt HR nog op dat ook uitspraak van EHRM 26 september 2023, nr. 15669/20, ECLI:CE:ECHR:2023:0926JUD001566920 (Yüksel Yalçinkaya/Turkije) in relatie tot bestreden uitspraak geen aanleiding geeft tot doen van zo’n verzoek. Door EHRM uiteengezette “general principles” zijn al betrokken in HR 13 juni 2023, ECLI:NL:HR:2023:913. In cassatie voorliggende zaak verschilt bovendien sterk van zaak die aan orde was in deze uitspraak van EHRM. Daarin ging het immers om veroordeling van klager o.g.v. gebruik dat hij maakte van specifieke applicatie voor cryptocommunicatie en mogelijkheden om in dat verband authenticiteit en integriteit van bewijs voor dat gebruik te betwisten. Bewijsvergaring onder verantwoordelijkheid van buitenlandse autoriteiten was daarbij niet aan orde.

Cybercrime jurisprudentieoverzicht dec. 2023

20 december 2023jjoerlemans

Nederlandse hacker veroordeeld voor afpersing en witwassen

Op 3 november 2023 heeft de rechtbank Rotterdam een Nederlandse hacker veroordeeld (ECLI:NL:RBAMS:2023:6967) voor een fikse gevangenisstraf van vier jaar (waarvan één jaar voorwaardelijk). De verdachte moet ook honderdduizenden euro’s aan schadevergoeding betalen. Hij heeft zich onder meer schuldig gemaakt aan computervredebreuk, afpersing, heling van niet-openbare gegevens, ransomware en het witwassen van een bedrag van meer dan een miljoen euro.

Door het verwijderen van allerlei gegevens (ook over de slachtoffers) is het vonnis minder goed leesbaar en blijft de impact van de zaak onduidelijk. Daarom volgt eerst een korte inleiding en daarna zoals gebruikelijk een samenvatting van het vonnis.

Inleiding

Het gaat in deze zaak om een Nederlandse hacker. Eerder verscheen op Follow the Money een artikel over de zaak (en een achtergrondverhaal over de hacker). Samen met anderen zou hij (ook door gebruik van ransomware) slachtoffers hebben gemaakt in onder meer de VS, Engeland, Letland, Nederland en Rusland.

RTL nieuws schreef ook een interessant artikel over het Nederlandse bedrijf Ticketcounter die slachtoffer was geworden. Alleen al bij Ticketcounter ging het om persoonlijke gegevens van honderdduizenden Nederlanders die via Ticketcounter een kaartje hebben gekocht voor een pretpark, dierentuin, evenement of museum. Gegevens van 1,5 miljoen ticketkopers, met daarin ook geboortedatums, adressen, telefoonnummers en bankrekeningnummers werden aangeboden op hackersforum RaidForums (nu offline).

In het artikel worden ook andere slachtoffers genoemd, zoals de uitgever van seniorenblad Plus Magazine en de website PlusOnline, de cryptobeurs Litebit en de Hogeschool van Arnhem en Nijmegen (HAN) (deze gingen allen niet in op de afpersing). In een artikel op AD.nl wordt ook gesproken over een gezondheidsorganisatie en een internetforum voor prostitutieklanten die slachtoffer werden van afpersing.

Strafbare feiten

De verdachte heeft in de periode van 1 juli 2021 tot en met 23 januari 2023 een onder andere een gezondheidsorganisatie heeft afgeperst met ransomware (‘Tortilla-ransomware’). Dit betreft daarmee een de weinige veroordelingen voor het gebruik van ransomware in Nederland (zie verder het bericht over CoinVault op deze blog).

Daarnaast was hij in het bezit van software benodigd voor phishing en gestolen databases met gegevens van miljoenen mensen (7,3 miljoen mensen) die bij uitstek informatie bevatten die niet bedoeld was om openbaar te worden. De rechtbank ontslaat de verdachte van alle rechtsvervolging van door de verdachte zelf gehackte niet-openbare gegevens. Hoewel dit niet volgt uit de bewoordingen van artikel 139g Sr, kan volgens de rechtbank uit de parlementaire geschiedenis (Kamerstukken II 2015-2016, 34372, nr. 3, par. 4.1 en 4.2) worden afgeleid dat de wetgever het toepassingsbereik van dit artikel heeft willen beperken tot gegevens die uit een door een ander gepleegd misdrijf zijn verkregen. Ter voorkoming van automatisch dubbele strafbaarheid is het vaste jurisprudentie bij de heling van een goed als bedoeld in artikel 416 Sr dat de omstandigheid, dat iemand een helingshandeling begaat ten aanzien van een goed dat hij zelf door enig misdrijf heeft verkregen, aan zijn veroordeling wegens heling in de weg staat (zie bijvoorbeeld HR 30 oktober 2001, ECLI:NL:HR:2001:AD5149). Dit wordt ook wel de heler-steler-regel genoemd.

Witwassen

De verdachte heeft een bekennende verklaring afgelegd ten aanzien van het witwassen, maar niet ten aanzien van de hoogte van het bedrag. Volgens de officier van justitie is € 2.214.923,68 (!) in cryptovaluta witgewassen en € 46.405 in contanten. De rechtbank is van oordeel dat op grond van de bekennende verklaring van verdachte en de bewijsmiddelen kan worden bewezen dat verdachte een hoeveelheid cryptovaluta en een geldbedrag van € 46.510,- tezamen en in vereniging heeft witgewassen. Het contante geld is bij verdachte aangetroffen en hij heeft bekend dat hij dit bedrag heeft witgewassen. Verdachte heeft dit geld uit misdrijf ontvangen in cryptovaluta en deze valuta omgezet in contanten door het geld op te (laten) nemen. Ten aanzien van de cryptovaluta heeft verdachte bekend dat alle binnengekomen cryptovaluta uit misdrijf afkomstig is.

De rechtbank stelt vast dat de cryptovaluta uit eigen misdrijf van verdachte afkomstig is, al dan niet via deelneming aan strafbare feiten gepleegd door anderen. Door de cryptovaluta telkens om te zetten naar andere valuta (zoals Monero (JJO: dit is één van de weinige keren dat deze cryptovaluta in jurisprudentie wordt genoemd)) en deze te mixen via mixing services, heeft verdachte de herkomst en de vindplaats verhuld en heeft hij verhuld wie de rechthebbende(n) op die cryptovaluta en/of het geldbedrag waren, en wie het geld voorhanden had. De rechtbank stelt ook vast de verdachte een cryptovaluta van € 1.024.666,35 heeft witgewassen uit afpersing dan wel afdreiging. De rechtbank stelt dat vast dat voor het overige bedrag (JJO: meer dan 1,2 miljoen euro (!)), op basis van de verklaringen van de verdachte, het voldoende aannemelijk is geworden dat de berekening van het Openbaar Ministerie dubbeltellingen bevat. De rechtbank kan daarom niet met voldoende mate van zekerheid vaststellen hoeveel cryptovaluta uit onbekende bron is witgewassen.

Strafmotivering

De rechtbank heeft in het voordeel van verdachte in de strafoplegging rekening gehouden met zijn persoonlijke omstandigheden, waaronder PTSS, zijn jonge leeftijd en zijn proceshouding. De verdachte heeft op den duur actief meegewerkt aan het onderzoek en een – grotendeels – bekennende verklaring afgelegd.

Alles afwegende vindt de rechtbank een gevangenisstraf van vier jaren passend. De rechtbank zal hiervan één jaar voorwaardelijk opleggen om verdachte ervan te weerhouden om in de toekomst strafbare feiten te plegen. De rechtbank verbindt aan het voorwaardelijk strafdeel de volgende bijzondere voorwaarden: een meldplicht bij de reclassering, dagbesteding, meewerken aan schuldhulpverlening en ambulante behandeling. De rechtbank ziet – gelet op de ernst van de feiten – aanleiding om aan het voorwaardelijk strafdeel een langere proeftijd te koppelen en legt een proeftijd van drie jaren op.

Moderator op een forum voor seksueel misbruik van minderjarigen veroordeeld

Op 4 oktober 2023 heeft de rechtbank Rotterdam een verdachte voor vijf jaar gevangenisstraf veroordeeld (ECLI:NL:RBROT:2023:10960) vanwege deelname aan een criminele organisatie, het bezit en verspreiding van een grote hoeveel kinderporno en het bezit en verspreiden van dierenporno.

De verdachte was actief op het online chatplatform ‘The Annex’. The Annex is een ‘hidden service’ website op het darkweb en alleen bereikbaar via het TOR-protocol. Op dit chatplatform verspreidde de verdachte kinderporno, bood hij dit aan en heeft hij zich daarnaast ook in zijn rol als ‘apprentice moderator’ ingespannen om de werking van die website te verbeteren en uit te breiden.

Criminele organisatie

De rechtbank stelt vast dat het platform The Annex werd gerund door een hiërarchisch ingerichte organisatie met een eigenaar, diverse administrators en (daaronder) moderators van verschillende rangen. Deze functionarissen werden alle tot de staf gerekend en zij namen online deel aan ‘staffmeetings’. Deze vergaderingen vonden regelmatig plaats met een steeds wisselende agenda. Tijdens deze meetings werden zaken besproken zoals de ontwikkeling van (het gebruik van) de site en de promotie daarvan, technische aspecten, maar ook regels waaraan gebruikers zich moesten houden.

Waar geregistreerde gebruikers toegang hadden tot de zogeheten ‘Annex Gateway’ en pas toegang konden krijgen tot specifieke chatrooms wanneer zij kinderporno deelden en deelnamen aan de conversatie binnen die chatomgeving, hadden de administrators en moderators meer rechten en privileges dan de geregistreerde gebruikers. Alleen zij hadden toegang tot bepaalde voor gebruikers afgeschermde gedeeltes van de sites. De hiervoor genoemde functies en rol-en taakverdeling geven blijk van een georganiseerd verband. Het spreken over en het aanbieden en verspreiden van kinderpornografisch beeldmateriaal is de kern van het bestaan van The Annex en daarmee is ook het oogmerk van de organisatie gegeven, aldus de rechtbank.

Strafmotivering

De rechtbank overweegt ook dat de verdachte een zeer grote hoeveelheid kinderporno gedownload. In totaal zijn er op de inbeslaggenomen gegevensdragers bij de verdachte 120.213 foto’s en 11.379 films/video’s aangetroffen die aan de criteria van kinderpornografisch materiaal voldeden, waarvan 98.215 foto’s makkelijk benaderbaar waren. Het ging om foto’s en video’s van ernstig seksueel misbruik van jonge kinderen. Gezien de ernst van de feiten en gelet op straffen die in vergelijkbare zaken zijn opgelegd zal een onvoorwaardelijke gevangenisstraf van langere duur worden opgelegd. In strafverzwarende zin wordt daarbij meegewogen de lange periode van de strafbare feiten alsmede de ernst en het veelal gewelddadige karakter van het kinderporno- en dierenpornografisch materiaal.

Het lekken van persoonsgegevens en medeplichtigheid bij een aanslag

De rechtbank Gelderland heeft op 6 november 2023 een verdachte veroordeeld (ECLI:NL:RBGEL:2023:6115) voor twee jaar gevangenisstraf vanwege computervredebreuk, het doorgeven van deze gegevens aan een ander en medeplichtigheid aan het medeplegen van de voorbereiding van opzettelijk een ontploffing teweegbrengen en brandstichting op een woning. Deze aanslag is voorkomen door vroegtijdig ingrijpen van de politie.

De verdachte was ‘senior klant contact specialist’ bij een verzekeraar en had daarmee toegang tot persoonlijke informatie van verzekerden en de Basis Registratie Personen (BRP). Gegevens uit deze systemen werden via Whatsapp met derden gedeeld. Deze gegevens zijn beide keren gebruikt voor (voorgenomen) aanslagen op woningen. Eén daarvan ziet op de afpersingszaak van een fruithandel (onderzoek ‘Panter’).

Crystal methlabs, Pablo-icecobar en witwassen met bitcoins

De rechtbank Oost-Brabant heeft op 29 november 2023 enkele verdachten veroordeeld voor het produceren en voorhanden hebben van metamfetamine (ook wel ‘ice’ of ‘crystal meth’ genoemd) in drugslabs in Drempt, Moerdijk, Willemsoord en Hauwert. De leider van de criminele organisatie krijgt een gevangenisstraf opgelegd van 14 jaar en 10 maanden (ECLI:NL:RBOBR:2023:5522). Uiteraard heeft de media ook over de zaak bericht. Lees bijvoorbeeld dit achtergrondartikel over de zaak in Panorama of luister deze podcast over de zaak van Radio1.

De zaak begon toen op 19 juni 2020 uit politie-informatie bleek dat een Mexicaanse burger woonachtig op zoek zou zijn naar een loods in het buitengebied van Nederland om een drugslab op te zetten. Naar aanleiding van deze informatie werd diezelfde dag een onderzoek opgestart onder de naam ‘26Inn’. Dat onderzoek richt met name op de organisatie achter deze drugslabs. Op basis van observaties, taps en het ontsleutelen van cryptoberichten zijn in het onderzoek 26Inn meerdere drugslabs in beeld gekomen en meerdere verdachten aangemerkt die volgens het Openbaar Ministerie strafbare betrokkenheid hebben gehad bij de grootschalige synthetische drugsproductie.

Voor deze blog is met name relevant dat voor de bewijsvoering de inhoud van chatberichten van EncroChat- en Sky ECC relevant zijn geweest. Ook is gebruik gemaakt van tapgesprekken en locatiegegevens. Uit schattingen naar aanleiding van EncroChat-berichten tussen de bij de labs betrokken personen leidt de rechtbank af dat er alleen al in de maanden januari tot en met juni 2020 meer dan 450 kilogram metamfetamine is geproduceerd. Uitgaande van een verkoopprijs in april 2020 van € 7.000,- betekent dat een omzet van € 3.150.000,-. Een deel van de hierbij verkregen geldbedragen werd door een medeverdachte via een derde omgezet in bitcoins. Ook werden er vele geldbedragen door middel van moneytransfers via diverse kantoren in Den Haag naar Zuid-Amerika, Spanje en Amerika verzonden. In 2020 betrof dat 95 transfers voor een bedrag van € 80.894,-.

Eén van de verdachten met het EncroChat-account ‘Pablo-icecobar’ is als leider van de criminele organisatie aangemerkt. Hij vernam welke grondstoffen nodig waren en zorgde dat deze in de labs werden geleverd, regelde de ‘koks’ voor de verschillende drugslabs, stuurde deze aan en zorgde dat ze betaald kregen. Ook ontving hij na het productieproces het eindproduct en verkocht dat of zorgde dat dat verkocht werd. De criminele organisatie waaraan de verdachten hebben deelgenomen of leidinggegeven, bracht ‘de Mexicaanse methode’ naar Nederland, waarbij veelal Latijns-Amerikaanse laboranten naar Nederland werden gehaald om deze bereidingswijze van metamfetamine toe te passen.

De rechtbank overweegt dat de productie van metamfetamine gezondheidsrisico’s en grote schade toe aan het milieu en de leefomgeving met zich meebrengt. Het bereiden van metamfetamine gaat gepaard met het gebruik van zeer gevaarlijke stoffen en chemisch afval. Deze stoffen en afval komen terecht in de aardbodem, open wateren of openbare ruimtes. Dit leidt tot immense schade aan het milieu en deze komt veelal geheel voor rekening van de (lokale) gemeenschap. De ontdekking van een crystal meth-lab gaat daarnaast gepaard met onrust en een gevoel van onveiligheid voor de (lokale) gemeenschap. Deze drugslabs zijn dan volgens de rechtbank dan ook een zware vorm van ondermijning voor de Nederlandse samenleving.

Vrijspraak voor drugshandel in SkyECC-zaak

Op 8 november 2023 heeft de rechtbank Den Haag een verdachte vrijgesproken (ECLI:NL:RBDHA:2023:16698) voor handel in verdovende middelen. De rechtbank kan niet buiten redelijke twijfel vaststellen dat alleen de verdachte de gebruiker is geweest van Sky-accounts in de tenlastegelegde periode. Hierdoor kon niet worden bewezen dat de verdachte ook de gebruiker was van voornoemde Sky-accounts op de momenten dat er over drugshandel werd gesproken.

De rechtbank stelt wel vast dat er een relatie is tussen deze drie accounts. Uit het dossier volgt namelijk dat de Sky-accounts een gezamenlijke nickname hadden, dat er in de chatberichten van de Sky-accounts werd verwezen naar een account uit EncroChat en dat zowel de telefoon met het EncroChat-account als de telefoons met de Sky-accounts in de voor nachtrust bestemde tijd vaak gebruik maakten van een ‘basisstation’ op een locatie. Ook kunnen een aantal chatberichten van de drie accounts aan de verdachte kunnen worden toegeschreven. Zo wordt in de chatberichten geschreven over de dochter van de verdachte en een bepaalde motor van de verdachte (een “Ducati Monster”). Ook is enkele keren afgesproken op of nabij het adres van de verdachte.

Echter, ziet de rechtbank ook data en chatberichten die juist niet naar de verdachte wijzen en zelfs tegenspreken dat hij de gebruiker van de accounts is. Zo wordt de accountnaam ook door anderen gebruikt. Zo zijn er chatgesprekken in het Pools, terwijl de verdachte de Poolse taal niet machtig is. Ook zijn er andere aanwijzingen, waardoor de rechtbank niet kan uitsloten dat niet alleen de verdachte, maar ook een ander of anderen in periodes gebruik heeft/hebben gemaakt van de voornoemde Sky-accounts. Ten aanzien van de ten laste gelegde gesprekken waarin over – kort gezegd – drugshandel wordt gesproken, is voor de rechtbank niet vast te stellen dat het de verdachte is geweest die op die momenten van de accounts gebruikmaakte.

Veroordeling voor drugshandel via het darkweb in hoger beroep

In een hoger beroepszaak veroordeelt (ECLI:NL:GHARL:2023:8583) het Hof Arnhem Leeuwarden op 12 oktober 2023 een verdachte voor zes jaar gevangenisstraf vanwege drugshandel en witwassen, onder andere gepleegd via het darkweb. De zaak in eerste aanleg is in dit jurisprudentieoverzicht uit 2020 opgenomen.

Voor de bewijsvoering in de zaak van verdachte en in die van medeverdachten komt het in belangrijke mate aan op de inhoud van de ter beschikking gekomen chatberichten. Er werd gebruikgemaakt van telefoons van met name het merk ‘Wileyfox’ en laptops waarop de applicatie ‘Ironchat’ was geïnstalleerd. De verdachten communiceerden over de handel met elkaar – en met onbekend gebleven derden – door middel van de hiervoor beschreven versleutelde Ironchat-accounts. Op verschillende plaatsen in Nederland hadden zij werkhuizen en ‘stashplekken’ voor de te produceren en/of te verhandelen drugs. In die panden zijn door de politie niet alleen machines en toebehoren voor de productie van drugs aangetroffen, maar ook verpakkings- en verzendingsmaterialen.

De verdachten waren op het darkweb als verkopers actief en maakten gebruik van Bitcoin voor het betalingsverkeer. De verdachten verkochten onder andere cocaïne, speed, MDMA, 2-CB, xtc-pillen, LSD, ketamine, hash en heroïne en verkochten deze wereldwijd. Uit de zwaar geanonimiseerde uitspraak (ook de namen van de drugsmarktplaats zijn geanonimiseerd) blijkt dat Team Darkweb van de Landelijke politie de databases ervan had veiliggesteld. Verder heeft de politie pseudokopen gedaan en de blockchain datatool Chainalysis gebruikt om na te gaan waar bitcoinstransacties vandaan kwamen.

De bitcoins werden op gezette tijden omgewisseld in contant geld. De verdachte en zijn mededaders hebben door de opbrengsten van de grootschalige drugshandel via het darkweb aanzienlijke bedragen verworven en voorhanden gehad die van misdrijf afkomstig zijn. De verdachte heeft in de tenlastegelegde periode twee geldwissels uitgevoerd waarbij hij telkens bitcoins heeft ingewisseld voor geldbedragen die uiteindelijk optellen tot een totaalbedrag van 85.000 euro. Daarbij is sprake van witwassen.

Het hof stelt in navolging van de rechtbank Overijssel in eerste aanleg (ECLI:NL:RBOVE:2020:1597) vast dat de verdachte zich samen met zijn medeverdachten gedurende langere tijd bezig heeft gehouden met omvangrijke drugshandel. Daarbij werden drugs geproduceerd en verhandeld. Verdachte en medeverdachten maakten daarbij onder meer gebruik van het darkweb en verzonden de bestelde drugs in vermomde postpakketten, zoals bijvoorbeeld DVD-hoesjes.

Antwoorden Hoge Raad op prejudiciële vragen in de EncroChat- en SkyECC-zaken

6 oktober 20235 november 2023jjoerlemans Een reactie plaatsen

Op 13 juni 2023 antwoordde (ECLI:NL:HR:2023:913) de Hoge Raad de prejudiciële vragen over EncroChat en SkyECC. Voor het Nederlands Juristenblad (NJB) hebben Bart Schermer en ik een artikel (.pdf) geschreven waarin wij de antwoorden op deze vragen analyseren.

In dit blogbericht delen wij onze belangrijkste conclusies.

Interstatelijk vertrouwensbeginsel

De antwoorden van de Hoge Raad met betrekking tot het interstatelijke vertrouwensbeginsel zijn over het geheel genomen niet verassend. De Hoge Raad maakt (wederom) duidelijk dat het niet behoort tot de taak van de Nederlandse strafrechter om de rechtmatigheid van de uitvoer van het buitenlandse onderzoek te toetsen.

Nederlandse rechters moeten dus uitgaan van de rechtmatigheid van het verzamelde bewijs in Frankrijk in de EncroChat en SkyECC-zaken. Wanneer in Frankrijk onherroepelijk vast komt te staan dat het onderzoek niet in overeenstemming met de daarvoor geldende rechtsregels is verricht, dan kan de Nederlandse rechter daar op grond van het Nederlandse strafprocesrecht consequenties aan verbinden. Gezien de stand van zaken op dit moment, zal dit niet snel gebeuren.

Recht op een eerlijk proces

De Hoge Raad oordeelt ook dat het uitgangspunt is dat het dat het door de buitenlandse autoriteiten verkregen materiaal betrouwbaar moet worden geacht. Als er echter concrete aanwijzingen voor het tegendeel bestaan, dan is de rechter gehouden de betrouwbaarheid van die resultaten te onderzoeken. Die aanwijzingen kunnen voortkomen uit een speciﬁek verweer.

Wij plaatsen hierbij de kanttekening dat een verweer op dit punt voor de verdediging lastig is te onderbouwen, omdat deze (indirect) ook betrekking hebben op de toetsing van de rechtmatigheid van het Franse onderzoek waar het interstatelijke vertrouwensbeginsel aan in de weg staat. De ‘Catch 22’ die de verdediging ervaart wordt helaas voor hen niet opgelost door de Hoge Raad.

Wij wijzen erop dat de overwegingen omtrent het interstatelijke vertrouwensbeginsel betrekking hebben op de verzameling van de gegevens door en onder verantwoordelijkheid van buitenlandse autoriteiten. Echter, het interstatelijk vertrouwensbeginsel houdt op bij de Nederlandse grens.

Verweer op de verdere verwerking (analyse) van de gegevens

Advocaten kunnen dus verweer voeren op deze verdere verwerking van gegevens en de betrouwbaarheid van de ruwe data zelf en de daarop verrichte analyses ter discussie stellen. Met andere woorden: hoewel de verzameling van het bewijs niet te controleren valt, valt het verdere gebruik van het bewijs dat wél. Voor zover daartoe aanleiding is, bijvoorbeeld omdat de verdediging ontkent dat het digitale bewijs betrekking heeft op de cliënt, moet de verdediging hierop effectief verweer kunnen voeren.

De analyse van de gegevens in Nederland, waarbij ook gebruik wordt gemaakt van algoritmen en AI, staat volledig open ter toetsing aan het recht op een eerlijk proces. Als daartoe aanleiding is, moet de verdediging uitleg krijgen hoe het resultaat van die verdere gegevenswerking – het bewijs – tot stand is gekomen en daar verweer op kunnen voeren. Onzes inziens ligt op dit punt nog ruimte voor verweren en jurisprudentievorming.

Jan-Jaap Oerlemans & Bart Schermer

Meer duidelijkheid over EncroChat-operatie

29 juni 202312 december 2024jjoerlemans Een reactie plaatsen

In deze blog geef ik een overzicht van de feiten met betrekking tot de EncroChat-operatie. Tijdens deze operatie Frans-Nederlandse operatie zijn 115 miljoen (!) berichten verzameld en later geanalyseerd ten behoeve van de opsporing. De Nederlandse politie sprak (in 2021) over zo’n 25 miljoen berichten (wellicht het aantal berichten van cryptotelefoons in Nederland). Geschat wordt dat er wereldwijd destijds tussen de 55.000-60.000 EncroChat telefoons werden gebruikt, waarvan circa 12.000 Nederlandse gebruikers waren en circa 3000 Franse gebruikers.

Deze blog is een aantal keer geüpdatet n.a.v. nieuwe feiten in jurisprudentie. De meeste feiten zijn gebaseerd op een uitspraak van 25 juni 2021 van de rechtbank Rotterdam (ECLI:NL:RBROT:2021:6113), een uitspraak van 12 april 2022 van de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2022:1389) en de onderstaande persconferentie (via YouTube) van Frankrijk, Nederland en Europol op 28 juni 2023 (zie daarover ook dit artikel van ComputerWeekly).

Lees voor een jurisprudentie-analyse ook: B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2.van de jurisprudentie (tot en met circa mei 2022)). Ook heeft de Hoge Raad inmiddels antwoorden gegeven op prejudiciële vragen naar aanleiding van de EncroChat-zaken. Zie ook uitgebreid hierover ons andere artikel: J.J. Oerlemans & B.W. Schermer, ‘Antwoorden op prejudiciële vragen in de EncroChat- en SkyECC-zaken‘, NJB 2023/2244, afl. 31, p. 2610-2618.

Hoe werken EncroChat-telefoons?

Door middel van de EncroChat-applicatie konden de EncroChat gebruikers alleen onderling en één-op-één communicatie voeren. Er konden dus geen groepsgesprekken worden gevoerd. De onderlinge communicatie kon tot stand komen nadat een gebruiker zijn ‘username’ stuurde naar een andere gebruiker, met het verzoek om toegevoegd te worden aan diens contactenlijst. De ander moest dit verzoek eerst accepteren voordat onderlinge communicatie mogelijk was. Gebruikers konden elkaars username opslaan in hun contactenlijst onder een zelfgekozen omschrijving (‘nickname’). Er kon dus slechts gecommuniceerd worden met contacten in de contactenlijst; niet met overige EncroChat gebruikers ook al was daarvan de EncroChat-gebruikersnaam bekend.

Een chat kon bestaan uit tekstberichten en foto’s. De berichten verliepen in principe na een vooraf ingestelde tijd, ook wel burn-time of beveiligde verwijdertijd genoemd. Deze tijd was door de gebruiker aan te passen, standaard stond hij ingesteld op zeven dagen. Tevens kon er vanuit de chat een ‘VoIP’ spraakgesprek gevoerd worden.

Een EncroChat-telefoon kon door de gebruiker volledig worden gewist. Dit werd ook wel ‘panic-wipe’ genoemd. Gebruikers kochten een telefoontoestel waarop de EncroChat applicaties vooraf geïnstalleerd waren in combinatie met een abonnement om de service te kunnen gebruiken. De kosten voor de ‘Android BQ Aquaris X2 en X3’-cryptophones bedroegen ongeveer €1.000,- en €1.500,- voor een abonnement van zes maanden.

Start EncroChat-operatie

De Franse Gendarmerie begon haar onderzoek naar EncroChat in 2017 naar aanleiding van inbeslaggenomen cryptophones van verdachten die betrokken waren bij georganiseerde misdaad. Daarbij kwamen de Franse autoriteiten erachter dat de EncroChat servers gehost werden bij ‘OVH’ in Roubaix, Frankrijk. In Frankrijk werd het bedrijf EncroChat eind 2018 al onderzocht vanwege (o.a.) deelname aan een criminele organisatie met als doel het plegen van misdrijven of vergrijpen waarop tien jaar gevangenisstraf staat.

Op 10 februari 2020 werd in Nederland een opsporingsonderzoek gestart onder de naam ’26Lemont’, welk onderzoek voortkwam uit een langer lopend onderzoek genaamd Bismarck. 26Lemont richtte zich op de verdenking tegen het bedrijf Encrochat en op de NN-gebruikers (onbekende gebruikers) van Encrochat telefoons die zich bezighielden met diverse vormen van georganiseerde criminaliteit. Al in de eerste maanden van 2020 is overleg gevoerd door politie en justitie uit verschillende landen met als doel te komen tot een gecoördineerde aanpak bij de vervolging van het bedrijf Encrochat, de daaraan gelieerde personen, en de gebruikers van deze dienst. Op 1 april 2020 hebben de Franse en Nederlandse onderzoeksteams een JIT opgericht, welke JIT-overeenkomst op 10 april 2020 is ondertekend.

De hack en interceptie

Op 22 januari 2020 hebben de Franse autoriteiten in een “Schedule of Conduct” aan de Engelse autoriteiten meegedeeld dat zij in de eerste fase (‘stage 1’) een ‘implant’ (een hack tool) zouden inzetten op alle EncroChat toestellen wereldwijd via een update vanaf de server in Frankrijk. In het verslag van Computerweekly n.a.v. de persconferentie is te lezen dat de Franse inlichtingendienst buitenland ‘Direction générale de la Sécurité extérieure’ (DGSE) de software implant heeft ontworpen en geleverd. Het legde gegevens op de telefoons vast, waaronder IMEI-gegevens, gebruikersnamen, adresboeken, wachtwoorden, opgeslagen chatberichten, afbeeldingen, locatiegegevens (‘geodata’) en notities.

Vervolgens werd in fase 2 (‘stage 2’) de communicatie (verstuurde berichten) verzameld. Op 30 januari 2020 heeft een Franse onderzoeksrechter een machtiging verleend om een interceptietool in te zetten. Deze machtiging is telkens verlengd en de verdenking die ten grondslag lag aan de aanvraag om de interceptietool in te zetten betrof onder andere drugshandel/-smokkel, witwassen en wapenhandel/-bezit. Uit een Frans proces-verbaal blijkt dat deze interceptietool is ontworpen door de ‘Service Technique National de Captation Judiciaire’ (STNCJ), een dienst die gerechtigd is dergelijke middelen te ontwerpen en kon worden ingezet door de ‘Service Central de Renseignement Criminel’ (SCRCGN) van de Franse Gendarmerie.

Vervolgens heeft de Franse Gendarmerie de EncroChat data verzameld vanaf 1 april 2020 om 17:15 uur tot en met 26 juni 2020 omstreeks 17:00 uur. De Franse Gendarmerie heeft op basis van “geodata” oftewel locatiegegevens, de gegevens vervolgens gedeeld met het land van herkomst, die daar – onder bepaalde voorwaarden – verder geanalyseerd en verwerkt konden worden voor strafrechtelijke onderzoeken naar de gebruikers. Het Franse onderzoeksteam bewaarde deze data gedurende deze periode op computersystemen in Frankrijk en heeft vervolgens de Nederlandse politie toegang gegeven tot de data over een beveiligde verbinding met die computersystemen. Deze informatie-uitwisseling vond zijn basis in de overeenkomst die is gesloten in het kader van de samenwerking in een Joint Investigation Team (JIT).

Daarnaast heeft het Franse onderzoeksteam op 4 verschillende momenten, te weten januari 2019, oktober 2019, februari 2020 en juni 2020, een kopie gemaakt van de EncroChat infrastructuur en de informatie die op dat moment beschikbaar was op de verschillende servers. Deze informatie is ook gedeeld met Nederland, zowel in het onderzoek Bismarck dat al eerder liep, als in het kader van het JIT. Dit heeft eveneens veel informatie opgeleverd. Geen inhoudelijke berichten, maar wel veel metadata, zoals back-ups van de notitie-app, administratieve gegevens, IP adressen, overzicht van users en databases met wachtwoorden.

Europol heeft ook een ‘Operational Task Force’ (OTF) met de codenaam ‘Emma’ opgericht, om de 115 miljoen EncroChat-berichten te analyseren. Het betrof 1.3TB (terabytes) aan gegevens en zij hebben 700 ‘intelligence packages’ geleverd aan in totaal 123 landen.

Rol en gebruik data Nederlandse politie

Van 1 april 2020 omstreeks 18:00 uur tot 29 juni 2020 om 13:15 uur heeft de Nederlandse politie de EncroChat data gekopieerd over de beveiligde verbinding naar het onderzoeksnetwerk van de Nederlandse politie. Hierbij werd een wijze van kopiëren gebruikt waarbij met een zo klein mogelijke vertraging de nieuwe EncroChat data werden gekopieerd en waarbij met hashwaardes werd geverifieerd dat de data die werd weggeschreven na verzending over een computernetwerk, identiek is aan de data die werd gelezen in de bron.

De Nederlandse opsporingsdiensten beschikten daarmee ook over een enorme hoeveelheid data. Die data kan volgens de rechtbank Amsterdam (ECLI:NL:RBAMS:2022:1276) worden onderverdeeld in drie subcategorieën:

metadata (accountnamen, IMEI-nummers etc.), verkregen op verschillende momenten en verschillende periodes bestrijkend, waaronder de live periode van 1 april 2020 tot 20 juni 2020 (‘serverdata’);
‘live’ binnengekomen inhoudelijke communicatie uit de periode 1 april 2020 tot 20 juni 2020 (‘telefoondata’);
inhoudelijke communicatie van vóór 1 april 2020, meegekomen met het binnenhalen van de data (eveneens ‘telefoondata’).

De dataset is door de Nederlandse politie met behulp van algoritmes en zoektermen geanalyseerd en onderzocht. Deels in het kader van reeds bekende onderzoeken die op de hiervoor genoemde lijst stonden die de rechter-commissaris had goedgekeurd. Deels op basis van in categorieën ingedeelde zoektermen. In andere jurisprudentie – ECLI:NL:RBDHA:2022:4504 – wordt bijvoorbeeld genoemd dat via ‘IMSI-scans’ bleek dat sommige verdachten PGP-telefoons gebruikten. Doordat de IMEI-nummers van deze toestellen in het onderzoek ‘Echinops’ waren vastgelegd, konden deze worden gematcht met de lijst van IMEI-nummers in onderzoek 26Lemont.

Resultaten van de operatie

De resultaten van de operatie (ten tijde van april 2021) worden in een jaarrapport van 2020 in de volgende mooie ‘infographic’ getoond:

Tijdens de persconferentie in Lille op 28 juni 2023 vertelden de autoriteiten dat als gevolg van de operatie meer dan 6500 mensen zijn gearresteerd en meer dan 900 miljoen aan vermogen in beslag is genomen. Zie onderstaande infographic:

Bron: Persbericht Europol, 28 juni 2023.

Interstatelijk vertrouwensbeginsel

Steeds vraagt de verdediging in de jurisprudentie om meer informatie over de verzameling van de gegevens bij een Frans bedrijf in Frankrijk, terwijl rechters steevast verwijzen naar het internationaal vertrouwensbeginsel en het bewijs niet onder Nederlands recht op rechtmatigheid wordt getoetst (zie bijvoorbeeld Rb. Rotterdam 24 juni 2021, ECLI:NL:RBROT:2021:6050).

Op 13 juni 2023 heeft de Hoge Raad bevestigd (ECLI:NL:HR:2023:913) ervan moet worden uitgegaan dat het onderzoek door de buitenlandse autoriteiten rechtmatig – dat wil zeggen: in overeenstemming met het buitenlandse recht – is verricht. De Nederlandse rechter is alleen verplicht nader in te gaan op de betrouwbaarheid van de resultaten als – al dan niet naar aanleiding van wat de verdediging heeft aangevoerd – concrete aanwijzingen voor het tegendeel bestaan. Dit geldt ook als het onderzoek in JIT-verband is uitgevoerd.

Zie ook uitgebreid hierover ons artikel: J.J. Oerlemans & B.W. Schermer, ‘Antwoorden op prejudiciële vragen in de EncroChat- en SkyECC-zaken‘, NJB 2023/2244, afl. 31, p. 2610-2618.

Machtiging rechter-commissaris

Vanwege de voorzienbare inbreuk die de interceptie van de EncroChat-data op de persoonlijke levenssfeer van de Nederlandse gebruikers van deze dienst zou hebben, heeft het Openbaar Ministerie ervoor gekozen om, mogelijk ten overvloede, in Nederland een rechterlijke toetsing te vorderen die strikt genomen het Nederlandse Wetboek van Strafvordering niet als zodanig kent. Deze manier van werken keurt de Hoge Raad wel goed in (ECLI:NL:HR:2023:913).

Bij de rechter-commissaris is een vordering ingediend om een machtiging om op 13 maart 2020 een machtiging te verlenen voor de inzet van de hackbevoegdheid op personen die betrokken zijn bij georganiseerde misdaad (art. 126uba Sv) te geven teneinde de informatie betreffende de Nederlandse gebruikers te mogen analyseren en gebruiken. De rechter-commissaris heeft op 27 maart 2020 onder voorwaarden de gevorderde machtiging verleend voor een periode van maximaal vier weken en op grond van deze machtiging heeft de officier van justitie op 1 april 2020 een bevel 126uba Sv afgegeven. Deze machtiging (met instandhouding van de gestelde voorwaarden) en het bevel zijn beide meerdere malen verlengd.

In een uitspraak van de rechtbank Gelderland van 8 december 2021 (ECLI:NL:RBGEL:2021:6584) was (bij mijn weten voor het eerst) meer te lezen over de machtiging. Voor het gebruik van de berichten is een (Nederlandse) rechter-commissaris om een machtiging gevraagd voor de inzet van de hackbevoegdheid (artikel 126uab Sv) en het opnemen van telecommunicatie (artikel 126t Sv). In het ‘proces-verbaal aanvraag’ wordt gesteld dat het redelijk vermoeden bestaat dat de EncroChat-gebruikers zich in georganiseerd verband schuldig maken aan (het medeplegen van) één of meer van de volgende misdrijven:

witwassen;
deelnemen/leiding geven aan een criminele organisatie;
Opiumwet delicten;
wapenhandel;
(poging) tot moord/doodslag;
gijzeling en/of wederrechtelijke vrijheidsberoving; en
afpersing en/of diefstal met geweld.

Daarbij werden de volgende drie doelen nagestreefd:

het identificeren van de NN-gebruikers;
onderzoek doen naar de criminele samenwerkingsverbanden waarvan zij deel uitmaken;
bewijs verzamelen over door deze criminele samenwerkingsverbanden gepleegde en/of nog te plegen misdrijven.

De EncroChat-data mocht worden doorzocht met behulp van een lijst met trefwoorden die gerelateerd zijn aan te onderzoeken feiten of verdachten. De rechter-commissaris overwoog expliciet dat het onderzoek geen fishing expedition mocht worden. De rechter-commissaris heeft de vordering vervolgens toegewezen onder de volgende zeven voorwaarden (verkort weergegeven):

de wijze waarop is binnengedrongen in het geautomatiseerde werk wordt vastgelegd, als er geen gebruik wordt gemaakt van een reeds goedgekeurd middel;
een beschrijving van de gebruikte software die beschikbaar is voor onderzoek, als er geen gebruik wordt gemaakt van een reeds goedgekeurd middel;
de integriteit van de opgeslagen informatie wordt gegarandeerd;
het onderzoek moet reproduceerbaar zijn, en gebruik moet worden gemaakt van zoeksleutels (woordenlijsten);
voorkomen moet worden dat communicatie tussen cliënten en verschoningsgerechtigden wordt opgenomen;
de met zoeksleutels vergaarde informatie moet binnen twee weken ter toetsing aan de rechter-commissaris worden aangeboden en pas daarna aan het openbaar ministerie en de politie ter beschikking worden gesteld voor het opsporingsonderzoek;
de machtiging wordt voor een beperkte duur van vier weken verleend en kan enkel middels een vordering worden verlengd. De rechter-commissaris kan de machtiging vroegtijdig beëindigen, als de tussentijdse toets daartoe aanleiding zou geven.

Als de EncroChat-gegevens worden gedeeld met andere onderzoeken, moet daarvoor eerst toestemming moet worden gevraagd aan de rechter-commissaris waarna de officier(en) in de zaak 26Lemont op grond van artikel 126dd Sv de informatie mag delen met de zaaksofficier van dat betreffende onderzoek.

Overigens acht de rechtbank de inbreuk op de privacy van een EncroChat-gebruikers bij het doorzoeken van de EncroChats beperkt (!), omdat:

bij het doorzoeken van de EncroChat-data gebruik is gemaakt van vooraf door de rechter-commissaris goedgekeurde zoeksleutels gericht op de opsporing van ernstige criminele activiteiten en
gelet op de aard van de communicatie via PGP-telefoons als o.a. EncroChat, slechts een (beperkt) beeld wordt gekregen van iemands criminele activiteiten, er wordt geen min of meer volledig beeld gekregen van bepaalde aspecten van het privéleven van de gebruiker.

Ook opvallend, maar niet per se verassend, is de overweging van de rechtbank over vormverzuimen die mogelijk hebben plaatsgevonden bij overtreding van de Wet politiegegevens (Wpg):

“De rechtbank heeft op 28 april 2021 al besloten dat de Wpg geen belangrijk strafvorderlijk voorschrift is. De verdediging heeft dan ook geen belang bij een toetsing aan de voorschriften van de Wpg. Deze toetsing is immers niet van belang voor de vragen die de rechtbank in het kader van de artikelen 348 en 350 Sv dient te beantwoorden, noch een vraag die beantwoord moet worden bij de toetsing of sprake is van een eerlijk proces als bedoeld in artikel 6 EVRM.”

Datagedreven opsporing en toezicht

30 januari 202310 februari 2023jjoerlemans

In januari 2023 hebben prof. mr. Marianne Hirsch Ballin en ik een artikel (.pdf) geschreven over datagedreven opsporing en toezicht in het tijdschrift voor strafrecht ‘Delikt en Delinkwent’. In deze blogpost leiden wij ons artikel in.

Datagedreven opsporing

Datagedreven opsporing is de verwerking van gegevens die eerder door de politie bij hun taakuitoefening in andere onderzoeken zijn verzameld en daarna ten behoeve van nieuwe opsporingsonderzoeken worden geanalyseerd. De zogenoemde ‘cryptotelefoon-operaties’ zijn een bekend voorbeeld van deze datagedreven opsporing.

In deze operaties zijn tot wel honderden miljoenen berichten in één operatie veiliggesteld van cryptotelefoonaanbieders zoals ‘EncroChat’ en ‘SkyECC’ (zie ook dit overzicht op deze blog). Deze gegevens vormen (ten dele) bewijs voor honderden toekomstige strafzaken. In politiepraktijk worden deze operaties ook wel beschreven als een game changer.

In ons artikel stellen wij dat datagedreven opsporing ook een ‘game changer’ zou moeten zijn voor de wijze waarop digitale opsporingsbevoegdheden worden genormeerd. Het gaat dan in het bijzonder om de relatie tussen het Wetboek van Strafvordering (waarbinnen onder andere opsporingsbevoegdheden worden geregeld) en de Wet politiegegevens (waar de verwerking van gegevens wordt geregeld) en het bijbehorende toezicht.

We zetten in ons artikel het model uiteen van datagedreven opsporing en illustreren dat aan de hand van de daarover bekende strafrechtspraak en de praktijk bij het Team High Tech Crime (THTC) van de politie. Over deze praktijk is ook het lezenswaardige WODC-rapport ‘Opsporen, vervolgen en tegenhouden van cybercriminaliteit’ verschenen, waar ook wordt gewezen op het spanningsveld tussen deze praktijk en strafvordering.

De praktijk van het Team High Tech Crime laat zien dat er bij datagedreven opsporing slechts een beperkte rol is voor controle door de strafrechter via strafzaken. Als bijvoorbeeld het doel is een cybercriminele (ICT-)infrastructuur onderuit te halen en het verdienmodel aan te tasten, dan zijn dat activiteiten die vaak niet leiden tot vervolging van een concrete verdachte waardoor die activiteiten buiten het zicht van de strafrechter blijven. En wanneer de inzet van de opsporing ook het vergaren van intelligence ten behoeve van nieuwe onderzoeken omvat, is dat een aspect dat de strafrechter in de regel niet in zijn beoordeling betrekt. Recentelijk wees ook prof. Bart Schermer hierop in zijn inaugurele rede ‘De gespannen relatie tussen privacy en cybercrime’ bij de Universiteit Leiden.

Het spanningsveld met strafvordering

De cryptotelefoon-operaties laten zien dat het model van het Team High Tech Crime ook wordt toegepast in andere strafzaken, buiten de context van de cybercriminaliteit. Vastgesteld kan worden dat daarmee het verwerven van intelligence verweven is geraakt met de opsporingspraktijk. Deze ontwikkeling legt uit normatief oogpunt druk op het huidige stelsel van strafvordering in Nederland.

De verzameling van de gegevens bij datagedreven opsporing vindt plaats met toepassing van bijzondere opsporingsbevoegdheden die worden gereguleerd in het Wetboek van Strafvordering. In ons artikel leggen wij uit dat de verwerking en analyse van deze gegevens plaatsvindt op grond van de Wet politiegegevens (Wpg) en dat de daaropvolgende interventie een nieuw opsporingsonderzoek kan betreffen, maar bijvoorbeeld ook ‘verstoring’ met een grondslag in de Politiewet. De naleving van de Wet politiegegevens bij de strafrechter lijkt tot op heden geen rol van betekenis te spelen bij sanctionering van eventuele vormverzuimen.

Verder leggen wij uit dat deze praktijk een normatieve verbinding vergt tussen de reguleringskaders. De wetgever moet daarom de keuze maken óf normering van data-analyses in het Wetboek van Strafvordering óf voor nadere normering van analysebevoegdheden in de Wpg. Daarbij moet recht worden gedaan aan (basis)beginselen van strafvordering zodat de verbinding tussen de normeringskaders wordt gelegd.

Deze boodschap vindt bredere steun. Zie bijvoorbeeld ook het rapport van prof. Fedorova e.a. over ‘Strafvorderlijke gegevensverwerking’ en het artikel van B.W. Schermer & M. Galič, ‘Biedt de Wet politiegegevens een stelsel van ‘end-to-end’ privacywaarborgen?’. In ons artikel komen wij nu, in aanvulling daarop, tot de conclusie dat die constatering ook vraagt om veranderingen in de wijze waarop het stelsel van toezicht op de opsporing en verwerking van politiegegevens is georganiseerd.

Beter toezicht

Ruimte bieden voor bredere doelstellingen dan opsporing bij de inzet van bijzondere opsporingsbevoegdheden, betekent ook dat in de normering de bakens moeten worden verzet.

De totstandkoming van het nieuwe Wetboek van Strafvordering biedt de ruimte om op een weloverwegen manier te komen tot een herpositionering van de opsporing vanwege deze praktijk van datagedreven opsporing en interventies waarop rechtstreekse controle door de strafrechter ontbreekt. Het is daarbij noodzakelijk dat in de normering de verbinding tussen het Wetboek van Strafvordering en de Wet politiegegevens tot uitdrukking wordt gebracht en, in aansluiting daarop, het stelsel van toezicht op datagedreven opsporing wordt heringericht.

Met betrekking tot het toezicht achten wij een nieuwe vorm van toezicht wenselijk, die mede ziet op de inzet van data-analyses ten behoeve van de politietaken (inclusief de opsporing en aldus de datagedreven opsporing). Het verdient aanbeveling daarvoor een nieuw onafhankelijk extern toezichtsorgaan op te richten.

Gelet op de bredere consensus over de noodzaak van herijking van het stelsel van strafvordering in relatie tot de Wet Politiegegevens in de wetenschappelijke literatuur (zie de eerdere verwijzingen in deze blog), hopen wij dat onze aanbevelingen zich een weg naar het nieuwe Wetboek van Strafvordering zullen vinden.

Marianne Hirsch Ballin & Jan-Jaap Oerlemans

Citeerwijze artikel:

M.F.H. Hirsch Ballin & J.J. Oerlemans, ‘Datagedreven opsporing verzet de bakens in het toezicht op strafvorderlijk optreden’, DD 2023/2, nr. 1, p. 18-38

Legal Aspects of the EncroChat-Operation

10 januari 20239 januari 2023jjoerlemans Een reactie plaatsen

In our article, ‘Legal Aspects of the EncroChat Operation: A Human Rights Perspective’, we examined what lessons can be learned from the Dutch experience with the EncroChat operation from a human rights perspective, in particular the right to a fair trial. The full article is published in open access in the European Journal of Crime, Criminal Law and Criminal Justice (.pdf).

As compared to other legal systems, the Dutch judiciary published a large number of cases at First Instance Courts and Courts of Appeal, in which EncroChat evidence is used. Dutch courts extensively considered arguments of defence attorneys relating to the right to a trial. Therefore, it is interesting for lawyers from other legal systems to review the state of knowledge in the Netherlands.

In order to explain what lessons can be learned from the Dutch experience, we set out the known facts about the operation, show how Dutch courts dealt with legal questions arising from the operation and examined relevant case law of the European Court of Human Rights (ECtHR).

We conclude that the right to a fair trial in Article 6 ECHR proved important in Dutch case law in three ways:

Providing transparency about the operation;
Providing a legal basis to test the reliability of the evidence obtained; and
Providing access to data used as evidence against suspects in a criminal case.

1. Transparency about the operation

In our article, we explain how unrelenting questions of defence attorneys, with a(n) often implicit) basis in article 6 ECHR, led to discovery of details about the EncroChat operation in France and how the data was shared by French authorities and further processed by Dutch authorities. That was no easy feat, as the French declared the operation a state secret and the Dutch judiciary accepted that as fact with regards of the principle of trust.

Keeping the operation secret challenges the right to a fair trial under article 6 ECHR, more specifically the principle of equality of arms. Part of the principle of equality of arms is transparency about the manner in which the evidence is gathered. Law enforcement authorities and the public prosecutor can have a legitimate interest to keep information about the operation secret. However, keeping this information secret is allowed only insofar as it is strictly necessary and must be counterbalanced by the procedures followed by the judicial authorities.

In the Netherlands, as a counterbalance, an extra warrant must be obtained to create a subset of the EncroChat data to use it in a (new) criminal investigation. This way another (Dutch) judge will test the principles of proportionality and subsidiarity with regard to the processing of the EncroChat data, while taking into account the reproducibility of evidence and the protection of privileged communication.

2. Testing the reliability of the evidence obtained

The right to a fair trial also provides a legal basis to test the reliability of the evidence and the method of acquisition. When software is used in the collection of data, this can have a major influence on the reliability of evidence, because it challenges the confidentiality, integrity and availability of data.

Dutch case law shows that the Netherlands Forensic Institute reported that the hacking and interception software did not operate continuously, not all messages on EncroChat phones were intercepted during the entire operation and there had been instances of a mix-up in outgoing and incoming calls from EncroChat phones.

However, these shortcomings did not lead to the conclusion that all evidence from the EncroChat operation is unreliable. So far, Dutch defence attorneys failed to establish that the EncroChat data used as evidence was unreliable and no data has been excluded from evidence.

3. Access to EncroChat data

The right to a fair trial enables the defence – to a certain extent – to access EncroChat data that may be relevant in the trial against their client. Suspects need to be able to access the data in order (a) to review its integrity; (b) to review its reliability (because all EncroChat messages are sent under pseudonyms); and (c) to determine whether exculpatory evidence can be found in the dataset.

Our analysis of case law of the ECtHR shows that, while suspects cannot access all information collected in the EncroChat operation, they have a right to access data that is deemed relevant in their case. In addition, the defence should be able to reason why they require further access to EncroChat data, including data that is not part of the dataset created by the public prosecution service. They should also have the sufficient facilities (an ‘effective opportunity’) to access and analyse the data.

In the Netherlands, the defence can argue why they should be able to access both types of data based on key words and the use of filters. Sometimes access is refused because of ongoing (other) criminal investigations or for privacy reasons of individuals involved. The defence is facilitated in accessing the data at the Netherlands Forensic Institute and can use the same software as law enforcement authorities use to search and analyse the EncroChat data themselves. They can also request the data, which could then be provided to the defence in a readable format.

Conclusion

In conclusion, legal practitioners can learn from the Dutch experience with criminal cases following from the EncroChat operation. Especially arguments of defence attorneys relating to the right to a fair trial and the way Dutch practice dealt with these questions are noteworthy.

The following three lessons can be learned:

Defence attorneys will demand more transparency about the way the evidence is collected following the EncroChat operation. Some details about the operation may be kept secret, but must be counterbalanced. In the Netherlands, additional warrants with specific safeguards must be obtained to create a subset of the collected data. This data can then be used in a new criminal investigation. We argue this should be viewed a good practice.

Defence attorneys will question the reliability of the evidence. The public prosecution service and law enforcement authorities should prepare for this argument and explain why the particular EncroChat data that is used in a criminal investigation is reliable. In addition, we recommend that other sources of evidence are used besides EncroChat data. Multiple sources of evidence may validate each other and strengthen the case.

The defence has a right to access data that is used as evidence against a suspect. In the Netherlands, the defence now has the practical means to access this data and the right to argue why they should have access to a larger dataset. The defence is also facilitated in accessing the data in readable format. In our view, the public prosecution office and judiciary should prepare for requests of defence attorneys to access EncroChat data and States should invest in an infrastructure to facilitate these requests.

J.J. Oerlemans and D.A.G. van Toor

This blog is a cross-post from ‘Montaigne Blog‘.