Overzicht cryptophone-operaties

Ongeveer vier jaar geleden, in november 2018, verscheen het eerste persbericht op OM.nl over het veiligstellen van berichten die zijn verstuurd met ‘cryptotelefoons’ (ook wel ‘PGP-telefoons’ genoemd).

De beschikbare informatie over cryptotelefoons heb ik in de volgende blogberichten hieronder op een rijtje gezet:

  1. Ennetcom (2016)
  2. PGP Safe (2017)
  3. Ironchat (2017)
  4. EncroChat (2020)
  5. Sky ECC (2020)
  6. ANOM (2021)

(Dit overzicht van 30 december 2021 is geüpdatet op 14 november 2022).

Waarom een overzicht?

Op 15 september 2022 zijn er al meer dan 400 uitspraken beschikbaar op rechtspraak.nl, waarin bewijs uit de cryptotelefoons een belangrijke rol speelt. In de media worden de cryptophone-berichten ook wel een ‘goudmijn aan bewijs’ genoemd en de gegevens vormen een game changer voor de politie. Strafrechtadvocaten trekken vaak de rechtmatigheid van de operaties in twijfel, maar vooralsnog lijkt de verdediging bot te vangen.

De operaties zijn blijkbaar bijzonder belangrijk voor de strafrechtpraktijk en toch is er relatief weinig bekend over de operaties. Ook geniet het nog vrij weinig aandacht van strafrechtwetenschappers.

De grote hoeveelheid jurisprudentie en onduidelijkheid over de ‘wat’, ‘wanneer’ en ‘hoe’-vragen vormde voor mij aanleiding een overzicht te maken (ook voor mijzelf voor toekomstige publicaties). Daarbij heb ik mij gebaseerd op persberichten van het OM, de politie en rechtspraak.

Wat en wanneer

  1. Ennetcom (2016)

Leverancier van cryptotelefoons met apps op een Blackberry telefoon. Oprichters van het bedrijf zijn uiteindelijk veroordeeld voor deelname aan een criminele organisatie, gewoontewitwassen en medeplegen van valsheid in geschrifte. Tijdens de operatie zijn 3,6 miljoen berichten veiliggesteld. De operatie werd bekend gemaakt op 9 maart 2017.

Leverancier van cryptotelefoons met apps op Android en Blackberry toestellen. Tijdens de operatie zijn 700.000 berichten veiliggesteld. De verdenking was aanvankelijk dat de verdachte zich tezamen met anderen als professionele facilitator van versleutelde communicatie schuldig zou hebben gemaakt aan overtreding van witwassen (art. 420bis Sr) en deelneming aan een criminele organisatie (art. 140 Sr). De verdachte wordt uiteindelijk alleen veroordeeld (ECLI:NL:RBROT:2022:363) voor valsheid in geschrifte en ‘begunstiging’. De operatie werd bekend gemaakt op 9 mei 2017.

Leverancier van Wileyfox-telefoons met Ironchat-app er op. Onderzoek gericht op de oprichters van het bedrijf (verdenkingen nog onduidelijk). Tijdens de operatie zijn 258.000 berichten veiliggesteld. De operatie werd bekend op 6 november 2018.

Leverancier van cryptotelefoons met EncroChat (en andere Encro) apps. Redelijk vermoeden dat Encro en de gebruikers zich in georganiseerd verband schuldig maakten aan o.a. witwassen en deelname aan criminele organisaties. Tijdens de operatie zijn 25 miljoen berichten veiliggesteld.  De operatie werd bekend gemaakt op 2 juli 2020.

Leverancier van cryptotelefoons met Sky ECC app. Sky ECC en de daaraan gelieerde (natuurlijke) personen verdacht van deelname aan een criminele organisatie en (gewoonte)witwassen.  Tijdens de operatie zijn honderden miljoenen berichten veiliggesteld.  De operatie werd bekend gemaakt op 9 maart 2021.

ANOM was een zogenoemde ‘store front’, oftewel een zelf opgezette communicatiedienst. De operatie stond onder leiding van de FBI en de Australische Federal Police met het doel om verdachten van criminele organisaties te identificeren. Tijdens de operatie zijn 27 miljoen berichten onderschept. De operatie ving al aan in 2019, maar werd pas na Sky ECC bekend op 8 juni 2021.

Hoe

1.      Ennetcom (2016)
Via een rechtshulpverzoek aan Canada, met machtiging van een Canadese rechter. NL grondslag: 125i Sv. Canadese rechter verbond voorwaarden aan verstrekking en gebruik van gegevens aan Nederlandse opsporingsinstanties.  

Zie ook: B.W. Schermer & J.J. Oerlemans, ‘AI, strafrecht en het recht op een eerlijk proces’, Computerrecht 2020/3 en Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (veroordeling oprichter Ennetcom). (HR uitspraak: HR 28 juni 2022, ECLI:NL:HR:2022:900 en blog).
 
2.      PGP Safe (2017)
Via een rechtshulpverzoek aan Costa Rica, met assistentie van Nederlandse politie. Machtiging voor bevel tot binnentreden, de doorzoeking en de beslaglegging afgegeven door het Gerecht in Strafzaken van het Eerste District San Jose. Aan de verstrekking van de veilig gestelde gegevens zijn geen beperkingen aan Nederland opgelegd.
 
3.      Ironchat (2017)
Gegevensvergaring via een Europees Opsporingsbevel aan het Verenigd Koninkrijk. Na eigen onderzoek vond verstrekking van een kopie van de server (een image) plaats. Grondslag strafvordering voor operatie vooralsnog onduidelijk.
 
4.      EncroChat (2020)
Via JIT en EOB’s. Franse autoriteiten verzamelden gegevens met inzet “interceptietool”.  Extra machtiging voor inzet hackbevoegdheid (126uba Sv) op verdachten met verdenking van betrokkenheid/beramen van het plegen van misdrijven in georganiseerd verband. Beperkingen en vereisten aan onderzoek opgelegd door Nederlandse rechter-commissaris in een machtiging voor het onderzoeken van gegevens van Nederlandse ingezetenen.

Zie ook: B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2.
 
5.      Sky ECC (2020)
Via JIT. Franse autoriteiten vergaren gegevens met inzet “interceptietool”. Door Nederlandse opsporingsambtenaren is technische expertise en/of bijstand geleverd met betrekking tot de ontwikkeling en plaatsing van de tool.

De in Frankrijk vergaarde informatie is aanvankelijk vrijwillig op basis van artikel 26 van het Cybercrimeverdrag gedeeld met het Nederlandse Openbaar Ministerie. Later zijn ook machtigingen Nederlandse rechter-commissaris verleend. De vorderingen en machtigingen zagen op de toepassing van de artikelen 126t lid 1 en 126t lid 6 Sv (onderzoek communicatie door middel van een geautomatiseerd werk bij georganiseerde criminaliteit) en later ook op aanvullende, ondersteunende vorderingen op de voet van artikel 126uba Sv (hackbevoegdheid bij verdenking betrokkenheid beramen/plegen misdrijven in georganiseerd verband).

6. ANOM (2021)

Door een ‘spontane eenzijdige verstrekking van informatie zonder een voorafgaand verzoek van de Nederlandse opsporingsdiensten’.

De Nederlandse opsporingsdiensten zouden niet betrokken zijn geweest bij de verkrijging van de gegevens. Wel heeft de Nederlandse software ontwikkeld waarmee de berichten konden worden geanalyseerd en geduid. Deze software is ook beschikbaar gesteld aan Europol, zodat deze dienst de gegevens kon analyseren en beschikbaar stellen aan andere landen.

WODC-onderzoek ‘Strafvorderlijke gegevensverwerking’ gepubliceerd

Op 25 oktober 2022 is het WODC-onderzoek ‘Strafvorderlijke gegevensverwerking’ gepubliceerd (zie ook de .pdf naar het volledige rapport). Het onderzoek is in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie en Veiligheid uitgevoerd door Fedorova en anderen van de Radboud Universiteit. En full disclosure: ik zat samen met anderen in de begeleidingscommissie van het onderzoek. Dat wil zeggen dat ik advies en feedback heb gegeven op eerdere versies van het rapport.

Hieronder geef ik de kern van het rapport weer en ga ik wat uitgebreider op het onderdeel over toezicht op de huidige praktijk van gegevensverwerking door de politie in opsporingsonderzoeken. Dit laatste heeft mijn bijzondere interesse, omdat ik daar zelf ook onderzoek naar doe.

Inleiding

In het persbericht op wodc.nl wordt de huidige praktijk mooi beschreven:

Door inbeslagname of hacks van grote gegevensdragers heeft de politie steeds vaker toegang tot enorme hoeveelheden persoonsgegevens. Dit biedt kansen voor het digitale opsporingswerk en de vervolging van verdachten van zware misdrijven. Denk aan de miljoenen recent gekraakte (criminele) berichten van Ennetcom, EncroChat of Sky ECC.

Zeker in de huidige gedigitaliseerde maatschappij waarin steeds meer gegevens en geavanceerde data-analyse technologieën voorhanden zijn, heeft de politie steeds meer mogelijkheden om gegevens die reeds in de politiesystemen aanwezig zijn, met elkaar te combineren en zodoende een min of meer volledig beeld van iemands privéleven te krijgen. Daar komt bij dat politie ook steeds vaker grote datasets in handen krijgt waarin nadere zoekslagen kunnen worden uitgevoerd, zonder dat er op het moment van verkrijging reeds een op het individu of een groep toegesneden verdenking sprake hoeft te zijn.

Met name voor grote hoeveelheden, in bulk verkregen gegevens geldt doorgaans dat de gegevens op zichzelf niet zoveel zeggen, maar relevant worden wanneer de politie deze gegevens nader analyseert, visualiseert of in verband brengt met andere gegevens.

Daarmee verplaatst het zwaartepunt van de door de overheid gemaakte privacy-inbreuk van de vergaring van gegevens veeleer naar de (verdere) verwerking van die gegevens. Het verkrijgen van bulkgegevens is volgens de onderzoekers vanuit het recht op privacygevoeliger dan het verkrijgen van gegevens die wel te relateren zijn aan een of meer personen die reeds onderwerp van onderzoek zijn.

Onderzoeksvragen

Uit het onderzoek blijkt dat in het Wetboek van Strafvordering vooral aandacht is voor de inzet van digitale opsporingsbevoegdheden: in welke gevallen, voor welke doelen en met toestemming van welke autoriteit mogen persoonsgegevens worden verzameld? Dat geldt zowel voor het huidige Wetboek van Strafvordering als voor (de plannen voor de) modernisering van het Wetboek van Strafvordering. Aan het verdere gebruik van die gegevens wordt in dat wetgevingstraject veel minder aandacht besteed, terwijl de politie juist door het verdere gebruik een (nieuwe) inbreuk op de privacy van burgers kan maken.

De onderzoekers hebben onderzocht hoe de Wet politiegegevens (Wpg) zich onder andere verhoudt tot het Wetboek van Strafvordering. Ook is nagegaan of het huidige kader wel voldoet aan de eisen die het Europese recht stelt en hebben ze naar het toezicht op de nieuwe politiepraktijk gekeken.

Normering

In de plannen inzake de modernisering van het Wetboek van Strafvordering wordt strikt onderscheid gemaakt tussen enerzijds de normering van de vergaring van gegevens langs de weg van het uitoefenen van strafvorderlijke bevoegdheden en anderzijds de verdere verwerking van gegevens. Plannen voor wijziging van de Wet politiegegevens zijn volgens de onderzoekers overigens op de lange baan geschoven (“Op korte termijn komt er geen nieuwe gegevensverwerkingswet”).

Volgens de onderzoekers valt de keuze in toekomstplannen van het moderniseringsproject Strafvordering om het onderscheid vergaren-verwerking strikt door te voeren, “in ieder geval niet goed te verdedigen”. Zij stellen voor om verwerkingshandelingen die zijn gericht op kennisvermeerdering en een strafvorderlijk doel dienen, in het Wetboek van Strafvordering onder de aandacht te brengen aldaar nader te normeren:

“Te veel normen die voor de uitoefening van digitale opsporingsbevoegdheden van belang zijn, – zoals doelspecificatie, verenigbaar gebruik, verwijdering en transparantie verplichtingen – zijn vooralsnog niet in het gemoderniseerde Sv terecht gekomen, terwijl ze wel van belang voor de opsporing.”

Ook pleiten de onderzoekers voor meer specifieke regels voor strafvorderlijk onderzoek aan bulkgegevens. Daarbij denken zij aan ‘nadere waarborgen in de vorm van een verzwaarde noodzakelijkheidstoets en een relevantietoets door analisten die niet bij het opsporingsonderzoek zijn betrokken’.

Toezicht

De onderzoekers schrijven – ook naar aanleiding van hun analyse van rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM) en het Hof van Justitie (HvJ EU) – dat meer nadruk komt te liggen op (effectief) toezicht bij de ‘verdere verwerking van gegevens’. Ik verwijs en citeer hierbij graag uit paragraaf 6.3.4 uit het rapport:

Het probleem

Het probleem is dat in de huidige toezichtspraktijk door de strafrechter (in rechtszaken) en door de Autoriteit Persoonsgegevens “doorgaans niet (mijn cursivering) uitvoerig wordt gecontroleerd of de Wpg en de daarin vervatte gegevensbeschermingsrechtelijke beginselen zijn nageleefd, nu dergelijke schendingen toch vaak niet tot rechtsgevolg hoeven te leiden. Voorts wordt ook aangenomen dat het niet tot de taak van de strafrechter behoort om de opsporing te controleren. De Autoriteit Persoonsgegevens lijkt deze rol ook niet voor haar rekening te willen nemen, nu deze autoriteit vooral systeemtoezicht houdt en niet op concrete zaken. Het gegevensbeschermingrecht is bovendien niet het enige gezichtspunt dat relevant is bij de normering van de verwerking van gegevens voor strafvorderlijke doeleinden.”

“Door het houden van toezicht wordt niet alleen de norm bevestigd (en eventueel afgedwongen), maar kan de norm – daar waar nodig – nader wordt uitgelegd. (…) In de kern is het probleem dat weliswaar verschillende onafhankelijke en niet-onafhankelijke toezichtsorganen toezicht kunnen houden op de verwerking van gegevens voor strafvorderlijke doeleinden, maar dat vanwege de taakopvatting en verschillende capaciteitsoverwegingen niet daadwerkelijk van effectief toezicht kan worden gesproken. Bij het nadenken over nieuwe systemen of andere inhoudelijk normering, kan een andere reflectie op het toezicht dus niet achterwege blijven.”

De aanbeveling: een nieuwe gespecialiseerde onafhankelijke toezichthouder

“Het verdient aanbeveling een toezichthouder in het leven te roepen die specifiek toezicht kan houden op de verwerking van gegevens voor strafvorderlijke doeleinden. Ook kan een gespecialiseerd toezichthouder voor een breder publiek inzichtelijk maken waar de vragen en dilemma’s liggen zodat daarover een breder maatschappelijke of politieke discussie kan plaatsvinden.”

De onderzoekers identificeren daarvoor twee opties. De eerste optie is een gespecialiseerde toezichthouders voor de gegevensverwerking door de opsporingsautoriteiten in het leven te roepen. De tweede optie is dat: ‘het toezicht binnen het strafvorderlijk kader wordt versterkt door naast het huidige AP en de strafrechter, een toezichthoudend orgaan op te richten naar het voorbeeld van de CTIVD dat toezicht uitoefent op het optreden van de inlichtingen- en veiligheidsdiensten. De CTIVD oefent immers toezicht uit zowel tijdens de uitoefenen van de bevoegdheden als achteraf. Over dit toezicht brengt de CTIVD verslag uit in openbare rapporten.’

“Het voordeel van het in het leven roepen van een met de CTIVD vergelijkbaar orgaan boven een specialistisch gegevensbeschermingsautoriteit, is dat de eerste een bredere taakopdracht kan worden toebedeeld binnen het strafvorderlijk kader, een taak die verder gaat dan die van een waakhondfunctie. Daardoor kan dit toezichthoudende orgaan ook een belangrijke rol vervullen op het gebied van normprecisiering. Dit orgaan zou wat ons betreft bovendien als klankbord kunnen fungeren bij vragen van de politie over de verwerking van gegevens gedurende de opsporing. Zo kan ook buiten de rechter om worden geborgd dat fundamentele rechten voldoende zijn beschermd alsmede dat de opsporing werkbaar blijft.”

En tot slot: over “goed toezicht”

“Goed toezicht wil echter niet zeggen dat elke (verwerkings)handeling vooraf gefiatteerd of achteraf bekeken moet worden; er zijn andere manieren om de vereiste volledigheid van toezicht te realiseren. Waar het momenteel vooral aan lijkt te ontbreken is een onafhankelijk toezichthouder die real-time mee kan kijken bij de uitoefening van digitale opsporingsbevoegdheden en waar nodig kan interfereren (en dat ook doet). Nu wordt bij onderzoek aan bulkgegevens op ad hoc basis de rechter-commissaris betrokken, maar dat lijkt niet een erg effectieve vorm van toezicht of gegevensbescherming te zijn. Immers, vaak is vooraf nog niet precies duidelijk wat men gaat tegenkomen in de bulk van gegevens. In het kader van de Wiv 2017 en de plannen tot hervorming van die regeling, denkt men momenteel na hoe een dergelijk vorm van toezicht gestalte kan krijgen.”

“De trend naar meer ex durante en ex post toezicht is ook in de jurisprudentie van het EHRM te zien, ook al formuleert het EHRM weinig harde eisen. Dat laat onverlet dat er alle aanleiding is om het stelsel van toezicht zoals we dat in Nederland kennen, te verstevigen. Op deze manier kan aan zorgen van burgers tegemoet worden gekomen en kunnen de belangen van de verdachte voldoende worden gewaarborgd.”

Bron: M.I. Fedorova e.a., ‘Strafvorderlijke gegevensverwerking. Een verkennende studie naar de relevante gezichtspunten bij de normering van het verwerken van persoonsgegevens voor strafvorderlijke doeleinden’, Den Haag: WODC / Nijmegen: Radboud University Press 2022.

Cybercrime jurisprudentieoverzicht juli 2022

Hoge Raad acht gegevensverzameling Ennetcom rechtmatig

Op 28 juni 2022 heeft de Hoge Raad een arrest (ECLI:NL:HR:2022:900) gewezen over de rechtmatigheid van de verkrijging van Ennetcom-data en de omgang met deze data in Nederland.

Ennetcom was een Nederlandse dienstverlener voor “pgp” communicatie. Zie in dat kader ook: Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (veroordeling oprichter Ennetcom). Deze dienst maakte het mogelijk om berichten te versturen en te ontvangen op een versleutelde wijze. Voor dit ontvangen en verzenden werd typisch – en ook in de onderhavige zaak – gebruik gemaakt van Blackberry-telefoons die ongeschikt waren gemaakt voor ‘gewoon’ gebruik, in die zin dat er niet mee gebeld, ge-sms’t of gewhatsappt kon worden en er geen foto’s mee konden worden gemaakt (zie HR 8 maart 2022, ECLI:NL:PHR:2022:219, concl. AG Hartveld, r.o. 2.3).

In deze uitgebreide samenvatting (let op: het is geen commentaar of annotatie), ga ik nader op de feitelijkheden, het oordeel van de Hoge Raad over de gegevensverzameling, de uitgebreide overwegingen van het gevolgde advies van AG Harteveld over de verstrekking van Ennetcom-data en het daarop volgende oordeel van de Hoge Raad.

Gegevensverzameling en voorwaarden Canadese rechter

De feiten over de gegevensverzameling worden kort en goed opgesomd in de conclusie van de AG (r.o. 2.5-2.8).

Op 8 april 2016 is aan Canada een rechtshulpverzoek gedaan. Hierbij is een beroep gedaan op het Rechtshulpverdrag dat Nederland en Canada hebben gesloten. Dit verzoek strekte ertoe dat de data op de BES-servers in Toronto zouden worden veiliggesteld door het maken van forensische kopieën van de data op deze servers, en dat alle beschikbare gegevens van deze servers zouden worden overgedragen aan Nederland ten behoeve van nader onderzoek in Nederland. De bevoegdheid die hier naar Nederlands recht aan ten grondslag lag, betrof, althans volgens een zich tussen de stukken bevindende vordering, de doorzoeking ter vastlegging van gegevens als bedoeld in art. 125i Sv.

Op 18 april 2016 – dus één dag na de in deze zaak bewezenverklaarde moord – is het rechtshulpverzoek door de Canadese rechter toegewezen, waarna de volgende dag een doorzoeking heeft plaatsgevonden. Hier zijn, althans opnieuw volgens een zich tussen de stukken van het geding bevindende vordering, zonder tussenkomst van derden door de Canadese politie forensische kopieën van de gevraagde data gemaakt. Tussen deze data bevonden zich niet (alleen) de zogenaamde “keys” om inbeslaggenomen telefoons mee te ontsleutelen, maar ook communicatiegegevens: de inhoud van verstuurde berichten van een grote hoeveelheid gebruikers was opgeslagen op deze servers.

Op 13 september 2016 is door het Ontario Superior Court of Justice een “sending order” uitgevaardigd waarin hij het verzoek tot toezending van de data aan Nederland heeft toegewezen. Uit deze uitspraak blijkt dat in de aanloop naar deze beslissing namens Ennetcom nog bezwaar is aangetekend tegen het verzenden van deze data aan Nederland. Dit bezwaar is door de Canadese rechter gepasseerd. Uit de uitspraak wordt duidelijk dat de Canadese rechter zich realiseert dat de te verzenden data mogelijk een grote hoeveelheid privégegevens van nog onbekend gebleven personen bevatten. Dit leidt ertoe dat hij aan de verzending een aantal voorwaarden verbindt. De gestelde voorwaarden houden onder meer in dat de data in beginsel slechts gebruikt zouden mogen worden bij de berechting van enkele nader genoemde misdrijven en slechts in de vier op dat moment bij de Canadese rechter bekende strafrechtelijke onderzoeken (zie hiervoor onder 2.4).

De Canadese rechter voorzag echter dat het waarschijnlijk zou zijn dat de Ennetcom-data ook in andere Nederlandse strafrechtelijke onderzoeken relevant zou blijken. Voor dergelijke gevallen gelastte hij dat voorafgaand aan gebruik in deze onderzoeken, ter bescherming van de privégegevens van de gebruikers van Ennetcom, steeds voorafgaande toestemming van een Nederlandse rechter (“court”) nodig zou zijn.

Ten behoeve van de onderhavige moordzaak is tweemaal om toestemming gevraagd aan een rechter-commissaris – en deze is ook verkregen, om gebruik te maken van de Ennetcom-data uit Canada (2.9-2.16). Voor het samenstellen van dataset werden andere BlackBerry telefoons gebruikt. De verdachte werd kort na de liquidatie in de nabijheid van de plaats delict aangehouden. Kort na zijn aanhouding werd in een tas twee doorgebroken BlackBerry aangetroffen. Daarnaast werd een telefoon van het slachtoffer in het onderzoek betrokken.

Oordeel gegevensverzameling Hoge Raad

De Hoge Raad acht kortgezegd het verzamelen van de gegevens op basis van een rechtshulpverzoek en met toestemming van een Canadese rechter rechtmatig. Volgens de Hoge Raad mag de officier van justitie ook een machtiging mag vorderen van de rechter-commissaris voor het gebruik van dergelijke gegevens in andere strafrechtelijk onderzoeken. De Hoge Raad verwijst daarbij naar (weliswaar in een enigszins andere context HR 5 april 2022, ECLI:NL:HR:2022:475, r.o. 6.11.3). In de onderhavige zaak betrof het door het OM aanvullen van processtukken, waarbij i.v.m. een voorwaarde zoals gesteld in uitspraak van Canadese rechter, een rechterlijke machtiging diende te worden verkregen voor gebruik van gegevens in een ander onderzoek dan de vier onderzoeken ten behoeve waarvan rechtshulpverzoek aan Canadese rechter.

De Hoge Raad overweegt dat aan Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie; hierna: Richtlijn 2002/58/EG) alleen van toepassing is op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken. In hoger beroep is niet is aangevoerd en ook uit de vaststellingen van het hof niet volgt dat in deze zaak bij het gebruikmaken van de toestellen van Ennetcom en het vastleggen van gegevens op servers in Canada sprake was van zodanige verwerking van persoonsgegevens.

De voeging van “alle Ennetcom-data” als processtuk of het bieden van gelegenheid voor inzage is kortgezegd volgende Hoge Raad ook niet nodig. De Hoge Raad herhaalt in dat kader de overwegingen uit HR:2021:218, met daarin de maatstaf bij de beoordeling van verzoek tot voeging van stukken bij processtukken. De verdediging kan gemotiveerd verzoek doen tot verkrijgen van inzage in specifiek omschreven stukken. Tijdens vooronderzoek kan dergelijk verzoek worden gedaan o.g.v. de in art. 34.2-34.4 Sv geregelde procedure. Na aanvang van onderzoek ter terechtzitting beslist de zittingsrechter of en zo ja, in welke mate en op welke wijze, die inzage kan worden toegestaan.

Overwegingen AG Harteveld over voeging van Ennetcom-data

AG Harteveld overwoog hierover dat “naar Nederlands recht bestaat er zoals bekend geen als zodanig benoemd recht op inzage in of afschrift van ruwe onderzoeksdata. De verdachte kan op de voet van art. 34 Sv de officier van justitie verzoeken om specifiek omschreven stukken bij de processtukken te voegen (lid 1) en daartoe toestemming verzoeken om kennisname van bepaalde stukken (lid 2). De officier van justitie kan dit echter weigeren op de grond dat het geen processtukken zijn, waarvoor getoetst moet worden aan het relevantiecriterium (art. 149a Sv)” (6.3-6.4)

Met betrekking tot relevante EHRM-rechtspraak (met name in de zaken Rook t. Duitsland, Sigurður Einarsson e.a. t. Duitsland), overweegt de AG:

6.12 Uit het voorgaande kunnen naar het mij voorkomt de volgende gezichtspunten worden afgeleid die van belang zijn voor de vraag of de omgang met grote datasets de toets van art. 6 EVRM kan doorstaan. Daarbij is steeds van belang om welk niveau van analyse het gaat.

6.13 Op het eerste niveau gaat het om het onderzoek naar de ruwe, ongefilterde data (de pimaire dataset). Het Europees Hof lijkt de verdediging in beginsel een recht toe te kennen om mee te denken over de wijze waarop die data (de “full collection of data”) wordt onderzocht. In de praktijk kan dit betekenen dat de verdediging zelf trefwoorden kan aandragen waarop zij de data wil laten onderzoeken. In dit stadium mag wat het EHRM betreft echter wel het nodige van de verdediging verwacht worden om te specificeren wat en te motiveren waarom daarnaar gezocht moet worden. Aan verzoeken die neer zouden komen op “fishing expeditions” van de zijde van de verdediging hoeft niet tegemoet te worden gekomen. Ook schrijft het EHRM niet voor dat de verdediging dit onderzoek zelf zou moeten kunnen uitvoeren. De mogelijkheid om aan te geven hoe de data onderzocht moeten worden is in deze fase voldoende. Overigens lijkt mij dat, indien de primaire dataset door bijvoorbeeld het OM reeds is onderzocht op een moment dat de verdediging hier nog bij betrokken kon worden, niets eraan in de weg staat dat dit later wordt ingehaald, in die zin dat de verdediging dan op een later moment alsnog de gelegenheid wordt geboden om dit onderzoek te (laten) doen.

6.14. Op het tweede niveau gaat het om nader onderzoek naar de resultaten van het hierboven bedoelde initiële onderzoek. Dus om de “hits” die het resultaat zijn van het doorzoeken van de data aan de hand van zoektermen (de secundaire dataset). De aldus verworven dataset zal in de regel resultaten bevatten die lang niet allemaal relevant zijn voor de zaak en kan alsnog een grote, moeilijk overzienbare hoeveelheid data bevatten. Het EHRM constateert nochtans dat de verdediging op enige wijze de mogelijkheid moet worden geboden tot het nader (laten) onderzoeken van deze data en dat “any refusal to allow the defence to have further searches of the “tagged” documents carried out would in principle raise an issue under Article 6 § 3(b) with regard to the provision of adequate facilities for the preparation of the defence.” Hoe ernstig dit “issue” zou zijn en in hoeverre dit vatbaar is voor compensatie specificeert het hof niet. Uit de rest van de uitspraak leidt ik in elk geval wel af dat ook in deze fase nog de nodige inspanningen van de verdediging verwacht mogen worden om duidelijk te maken wat zij wil onderzoeken en waarom zij dit wil. Ook valt uit het feit dat het hof redeneert dat er in de zaak Sigurður Einarsson tegen IJsland niet genoeg redenen waren om de verdediging geen toegang te verlenen tot de secundaire dataset (“tagged documents”) op te maken dat die redenen er in andere situaties wel kunnen zijn. Het recht op toegang tot de “tagged” data is dus niet absoluut. Beperkingen aan de toegang, bijvoorbeeld op grond van privacy van andere betrokkenen, blijven in deze fase dus toelaatbaar, maar zullen wel beter uitgelegd moeten worden.

6.15. In de uitspraken van het EHRM klinkt voorts door dat het in deze fase eerder in de rede ligt dat de verdediging in staat wordt gesteld om zelf onderzoek naar de data te (laten) doen. De eis wordt echter niet gesteld dat de verdediging fysiek de beschikking krijgt over de “tagged” datasets, bijvoorbeeld in de vorm van afschrift of digitale kopieën. Wanneer de verdediging de mogelijkheid krijgt tot het doen van onderzoek op bijvoorbeeld het politiebureau of – zoals in Nederland de praktijk lijkt te zijn – bij het NFI, is dat in beginsel voldoende, mits de verdediging maar voldoende tijd krijgt dit onderzoek adequaat te verrichten. Wat precies voldoende tijd is lijkt me af te hangen van de omstandigheden van het geval en dus niet in algemene zin te zeggen, al geeft de beoordeling in de zaak Rook tegen Duitsland wel enig houvast. Wel lijkt uit de rechtspraak van het EHRM te kunnen worden afgeleid dat de verdediging een effectieve mogelijkheid tot het onderzoeken moet worden geboden, waaruit dan weer volgt dat – zoals ook in Nederland gebruik lijkt te zijn – de verdediging gebruik moet kunnen maken van software die geschikt is om de data te onderzoeken. Naar Nederlands recht zou een verzoek tot inzage in en de mogelijkheid tot het doen van onderzoek aan de secundaire dataset kunnen worden ingekleed als een verzoek als bedoeld in art. 34 lid 2 Sv.

6.16. Op het derde niveau gaat het om de dataset die het gevolg is van onderzoek op het tweede niveau. Het betreft dus de data die, na een tweede (al dan niet handmatige) selectie als relevant zijn aangemerkt: de tertiaire dataset. Het gaat hier dus in wezen om de selectie van de data die gevoegd zullen worden bij de processtukken. Deze selectie zal in Nederland in de regel onder verantwoordelijkheid van het officier van justitie geschieden – hij draagt in elk geval de verantwoordelijkheid voor de samenstelling van de processtukken (art. 149a lid 1 Sv) – al heeft de verdediging op de voet van art. 34 lid 1 Sv de mogelijkheid om te verzoeken om voeging van stukken, bijvoorbeeld indien de relevantie hiervan uit het hiervoor bedoelde eigen onderzoek is gebleken. De kennisneming van de data die tot de processtukken gaan behoren kan – behoudens de mogelijkheid van art. 149b of onder uitzonderlijke omstandigheden art. 8 EVRM – niet anders dan tijdelijk (vgl. art. 30 Sv) aan de verdachte en de zittingsrechter worden onthouden. De verdachte kan van deze stukken in beginsel tevens afschrift ontvangen (art. 32 Sv).

6.17. Wanneer ik het voorgaande toepas op de onderhavige zaak leidt dit tot de volgende conclusies. Voor zover het middel rust op de opvatting dat de verdediging het recht zou hebben op kennisneming of zelfs verstrekking van alle Ennetcom-data (de primaire dataset) kan het gelet op het onder 6.13 overwogene niet slagen. Uit hetgeen ter zitting is aangevoerd (zie hiervoor onder 2.16) blijkt voorts niet dat de verdediging op enige wijze heeft gespecificeerd en gemotiveerd wat het in de primaire dataset onderzocht wilde hebben. Het hof hoefde hier dus ook niet nader op te reageren.

Oordeel Hoge Raad

De Hoge Raad overweegt dat het Hof Arnhem-Leeuwarden (ECLI:NL:GHARL:2021:1917) in deze zaak het verzoek afgewezen omdat noodzaak daarvan niet is gebleken. Daarin ligt het oordeel besloten dat deze stukken redelijkerwijs niet van belang kunnen zijn voor de door zittingsrechter te nemen beslissingen. Het Hof heeft hieraan ten grondslag gelegd dat:

  • door verdediging niet is aangevoerd dat de door OM verstrekte stukken onjuist zijn of zodanig onvolledig zijn dat hof niet in staat is vragen genoemd in art. 348 en 350 Sv goed te beantwoorden;
  • door verdediging niet is gemotiveerd dat en, zo ja, waarom sprake zou zijn van onjuistheden of onvolledigheden die betrouwbaarheid van waarheidsvinding in twijfel trekken; en
  • door verdediging geen aanwijzingen zijn genoemd of anderszins zijn gebleken dat enige informatie onrechtmatig is verkregen.

Op grond van dit een en ander heeft het hof kennelijk ook geen aanleiding gezien de verdediging inzage te geven in de verzochte stukken en daarom dat verzoek afgewezen. Voor de afwijzing van dit laatste verzoek is bovendien van belang dat het hof, naar aanleiding van het verweer dat de PGP-gesprekken (die deel uitmaken van de in deze strafzaak wel gevoegde Ennetcom-data) van het bewijs moeten worden uitgesloten, heeft overwogen dat de inhoud van de PGP-gesprekken op een groot aantal onderdelen overeenkomt met en dus bevestiging vindt in de inhoud van andere bewijsmiddelen, dat die gesprekken “de nog ontbrekende puzzelstukjes” opleveren in die zin dat de nieuwe informatie uit die gesprekken past en aansluit bij de al bekende informatie en dat uit de stukken van de zaak blijkt op welke wijze de politie de identiteit van de personen die deelnemen aan de PGP-gesprekken heeft vastgesteld (r.o. 4.5).

Het oordeel van het Hof berust niet op onjuiste rechtsopvatting en is niet onbegrijpelijk (met andere woorden: is juist). Het beroep wordt verworpen.

Hoge Raad: Instagram-account is geen zaak of vermogensrecht

In een arrest (ECLI:NL:HR:2022:687) van 24 mei 2022 oordeelt de Hoge Raad dat een Instagram-account geen ‘voorwerp’ is dat vatbaar is voor verbeurdverklaring.

Uit de wetsgeschiedenis volgt dat slechts zaken en vermogensrechten als voor verbeurdverklaring vatbare ‘voorwerpen’ kunnen worden aangemerkt (r.o. 2.5). Het oordeel van de rechtbank dat een Instagram-account niet als een zaak of vermogensrecht kan worden aangemerkt vindt de Hoge Raad juridisch juist. Dat virtuele objecten die – kort gezegd – waarde vertegenwoordigen en overdraagbaar zijn onder omstandigheden wel als zo’n voorwerp zouden kunnen worden aangemerkt, maakt dat niet anders. De met het aanmaken van een persoonsgebonden Instagram-account geopende mogelijkheid voor de gebruiker om via een site of app beelden of andere gegevens uit te wisselen, is niet met dergelijke objecten gelijk te stellen (r.o. 2.6).

In deze samenvatting ga ik nog iets uitgebreider in op de feitelijkheden en de conclusie van AG Harteveld.

Feitelijkheden en ‘accountovername’ door de Belastingdienst

De klaagster wordt ervan verdacht dat zij via deze Instagram-accounts (valse) merkkleding zou verkopen, dan wel deze accounts zou gebruiken om mensen naar Whatsapp-groepen en andere accounts te leiden waar deze goederen werden aangeboden. In de conclusie van AG Hartveld (ECLI:NL:PHR:2022:218) is overigens te lezen dat namens de Belastingdienst werd bevestigd dat de accounts waren “overgenomen”. In deze zaak is de telefoon van de klaagster doorzocht, waarbij onder meer is gezocht naar de aanwezigheid van foto’s en lijsten van vervalste merkkleding en Whatsapp-gesprekken met potentiële afnemers. Vervolgens was het eveneens mogelijk om – via deze telefoon – toegang tot het beheer van haar Instagram-accounts te verkrijgen. Ruim twee weken later is de inbeslagneming door het OM aan Facebook (thans: Meta) per e-mail toegelicht. In deze e-mail wordt als juridische basis gewezen op onder meer art. 94 Sv in verbinding met art. 125j Sv. Daarin wordt benadrukt dat geen sprake is geweest van ‘hacking’ maar van vrijwillige toestemming (‘voluntary consent’) van de rechthebbende. Na de inbeslagname wilde het OM de accounts verbeurdverklaren, omdat sprake is geweest van strafbare feiten die zijn gepleegd met behulp van deze accounts.

Een zaak?

In de conclusie beargumenteerd AG Harteveld waarom geen sprake is van een zaak of vermogensrecht. Zaken zijn volgens art. 3:2 BW voor menselijke beheersing vatbare stoffelijke objecten. Volgens de AG is het ‘evident’ dat een gebruiksrecht op een Instagram-account geen voor menselijke beheersing vatbaar stoffelijk object is en dus geen zaak in de zin van art. 3:2 BW (r.o. 3.29).

Een vermogensrecht?

De AG gaat er ook uitgebreid op in waarom een Instagram-account geen vermogensrecht is (r.o. 3.28-3.41). Volgens art. 3:6 BW zijn vermogensrechten rechten die, hetzij afzonderlijk hetzij tezamen met een ander recht, overdraagbaar zijn, of ertoe strekken rechthebbende stoffelijk voordeel te verschaffen, ofwel verkregen zijn in ruil voor verstrekt of in het vooruitzicht gesteld stoffelijk voordeel (vgl. HR:2019:1909). De AG overweegt dat ‘aangezien een gebruiksrecht op een Instagram-account geen vorderingsrecht is (noch een beperkt recht), terwijl de wet evenmin iets bepaalt over de overdraagbaarheid van Instagram-accounts, zou zo’n recht slechts overdraagbaar zijn indien deze accounts vatbaar zijn voor eigendom. Omdat een Instagram-account geen zaak is, is eigendom evenwel niet mogelijk (zie art. 5:1 BW).

Het kan ook niet worden gekwalificeerd als een recht dat ertoe strekt de rechthebbende voordeel te verstrekken. Hoewel het op tal van manieren mogelijk is om geld te verdienen met behulp een Instagram-account vloeit dit voordeel niet, althans niet rechtstreeks, voort uit het gebruiksrecht. Hiervoor is het immers nodig dat de gebruiker aanvullende actie onderneemt die los staat van de verbintenis met Instagram, bijvoorbeeld door overeenkomsten met derden te sluiten. Voor zover dus gesproken kan worden van “voordeel” aan de zijde van de gebruiker, is volgens de AG doorgaans het gevolg van de nevenwerking van het gebruiksrecht. Dit is in het algemeen onvoldoende om van een vermogensrecht te kunnen spreken.

Het zijn volgens de AG ook geen ‘rechten die verkregen zijn in ruil voor verstrekt of in het vooruitzicht gesteld voordeel’. Hij overweegt dat gebruikers Instagram niet betalen Instagram in ruil voor een Instagram account, maar zij verstrekken (in plaats daarvan) informatie over zichzelf. Zo krijgt Instagram de mogelijkheid om gericht te (laten) adverteren. Ten slotte over de vraag of het gebruiksrecht op een account ‘op geld waardeerbaar is’, overweegt de AG in r.o. 3.39 het volgende:

“Vóór de gedachte dat gebruiksrechten op Instagram-accounts op geld waardeerbaar zijn spreekt het argument dat de (aanzienlijke) hoeveelheid “volgers” dat aan een account kleeft een zekere waarde vertegenwoordigt omdat het van betekenis is voor de commerciële potentie van het account. Daar staat echter tegenover dat die volgers moeilijk los gezien kunnen worden van de rechthebbende op het account, degene die wordt “gevolgd”. Zonder die persoon (of in het geval van een professioneel account: de professionele entiteit) verliest een gebruiksrecht op een account naar het mij voorkomt in elk geval een groot deel van zijn waarde.

Voor zover het loutere verzamelen van (een aanzienlijke hoeveelheid) volgers al een zekere waarde zou vertegenwoordigen, die zou uitstijgen boven de waarde die samenhangt met de gebruiker van het account, vertoont die waarde een sterke gelijkenis met goodwill. Over goodwill bestaat in de literatuur consensus dat dit niet als vermogensrecht kan worden aangemerkt”

Virtuele objecten kunnen wel zaken zijn

De Hoge Raad sluit hierbij in het arrest op aan. Dat virtuele objecten die waarde vertegenwoordigen en overdraagbaar zijn onder omstandigheden wel als zo’n voorwerp zouden kunnen worden aangemerkt (zie o.a. het Runescape-arrest (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251)), maakt dat niet anders (r.o. 2.6).

Alternatieven naast verbeurdverklaring

Ten slotte wijst de AG er in conclusie nog op de wet andere mogelijkheden biedt om accounts op sociale media – of daarop gedeelde informatie – ontoegankelijk te maken dan wel te laten vernietigen. Daarbij kan gedacht worden aan een beroep op de ‘Gedragscode notice-and-take-down’ en artikel 126o en 126p Sv. Voor deze laatste bevoegdheid tot een ontoegankelijkheidsmaking is ook een machtiging van een rechter-commissaris is vereist.

Wijzigen van saldo cadeaukaart is geen computervredebreuk

De rechtbank Noord-Holland heeft op 28 juni 2022 een verdachte vrijgesproken (ECLI:NL:RBNHO:2022:5561) van computervredebreuk, maar veroordeeld voor diefstal en oplichting. De verdachte krijgt een gevangenisstraf opgelegd van 30 dagen, waarvan 27 dagen voorwaardelijk en een proeftijd van 1 jaar. De overwegingen omtrent computervredebreuk en diefstal met de vraag of de voucher een ‘goed’ is, zijn lezenwaardig.  

De verdachte heeft op 27 december 2018 samen met de medeverdachte ontdekt dat de cadeaukaartcodes die zij van Albert Heijn kregen te dupliceren waren. Dat was mogelijk door tegelijk dezelfde code op meerdere apparaten of meerdere openstaande tabbladen naar de website te sturen en zo tegelijk meerdere vouchers te verkrijgen. Op sommige momenten lukte het om zo met één code tien vouchers te krijgen. De medeverdachte heeft van twee collega’s cadeaukaarten overgekocht om dit te kunnen doen.

Kort daarna ontdekten zij dat met een ‘brute force attack’ op het tekstveld van de website, waarbij door een programma willekeurige cijfercombinaties worden geprobeerd, cadeaukaartcodes gevonden konden worden, waarmee de website kon worden benaderd. Deze brute force attack hebben zij aanvankelijk uitgevoerd met het programma ‘Burp Suite’. Na ontdekking is de medeverdachte ontslagen bij Albert Heijn.

Als reactie op de brute force attacks is de website verder beveiligd met onder meer een blokkade van IP-adressen die meerdere keren werden gebruikt en een tweestapsverificatie. Daarbij moest een telefoonnummer worden ingevoerd waar een code naartoe werd gestuurd die weer op de website moest worden ingevoerd. De verdachte en de medeverdachte zijn in de loop van februari en maart 2019 op zoek gegaan naar manieren om deze beveiligingen te omzeilen. De verdachte heeft een PHP-script geschreven om brute force attacks uit te kunnen blijven voeren. Hierbij hadden zij de beschikking over 10.000 verschillende IP-adressen. Daarnaast hebben ze gebruik gemaakt van een grote hoeveelheid verschillende simkaarten. In totaal zijn 700 vouchers verzilverd ter waarde van ongeveer € 17.500,-.

De rechtbank overweegt of sprake is van computervredebreuk. Zij gaat er daarbij vanuit dat de ‘activiteiten op een actieve website’ activiteiten op de achterliggende server impliceren. Bij de overweging of sprake is van (wederrechtelijk) binnendringen, stelt de rechtbank allereerst vast dat geen sprake is geweest van de in de tenlastelegging omschreven feitelijke gedraging “inloggen dan wel toegang verkrijgen tot de website door middel van codes”. Uit het dossier blijkt dat de website van Albert Heijn vrij toegankelijk was; er hoefde niet ingelogd te worden. Nadat men op de website een voucher had uitgezocht, hoefde pas een code ingevoerd te worden. Er zijn onvoldoende aanknopingspunten in het dossier die houvast bieden voor de vaststelling dat zij toegang hebben verkregen tot het geautomatiseerde werk met de daarop opgeslagen afgeschermde gegevens. Er is weliswaar sprake geweest van het gebruik van een valse sleutel, als bedoeld in art. 138ab lid 1 Sr, maar de strafbepaling kan volgens de rechtbank niet zo worden gelezen dat deze handelwijze als zodanig reeds het zich verschaffen van toegang oplevert.

Ten aanzien van het betoog van de verdediging dat een voucher geen goed is als bedoeld in art. 310 Sr, overweegt de rechtbank als volgt. Onder het begrip ‘goed’ valt elk goed dat vatbaar is om voor de bezitter (economische of anderszins) waarde te hebben. Dit kunnen ook niet-stoffelijke objecten zijn, als het gaat om een object dat naar zijn aard geschikt is om aan de beschikkingsmacht van een ander te worden onttrokken. Het begrip ‘beschikkingsmacht’ wordt in de jurisprudentie onder meer geduid als het hebben van ‘feitelijke en exclusieve heerschappij’ over het goed (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251 (Runescape)).

De digitale aard van de voucher, bestaande uit een reeks cijfers, staat er op zichzelf niet aan in de weg om het aan te merken als goed. Een voucher vertegenwoordigt een concreet vastgestelde economische waarde en is daarnaast overdraagbaar. Ook behoorden de vouchers toe aan Ahold Delhaize of al aan diens werknemers. De rechtbank overweegt dat om van diefstal te kunnen spreken, is niet noodzakelijk dat vaststaat aan wie een goed toebehoorde, maar dát het aan iemand toebehoorde. De rechtbank concludeert dat sprake is van diefstal, omdat de verdachte en/of één van zijn medeverdachten actief een aantal handelingen heeft verricht, die ‘de grondtrekken hebben van winkelen in een virtuele winkel’. De feitelijke en exclusieve heerschappij van de voucher is hiermee overgegaan naar de verdachte en/of zijn medeverdachten. De rechtbank is dan ook van oordeel dat de verdachte, tezamen en in vereniging met zijn medeverdachte(n), de vouchers heeft weggenomen.

Themanummer over cryptophones

In mei 2022 is een themanummer over cryptophones verschenen in het Tijdschrift voor Bijzonder Strafrecht en Rechtshandhaving (TBS&H). Het themanummer bevat hele actuele en relevante bijdragen (zie het overzicht hieronder).

In het artikel die ik samen met Bart Schermer heb geschreven bieden we een overzicht en analyse van de EncroChat-jurisprudentie (tot en met februari 2022). Daarnaast heb ik een annotatie geschreven over de veroordeling van de oprichter van Ennetcom.

Veel bijdragen zijn van collega’s van de Universiteit Utrecht. Met speciale dank voor de inspanningen van Dave van Toor die het themanummer heeft gecoördineerd!

Inhoudsopgave:

D.A.G. van Toor, ‘Het enkele gebruik van cryptophones als basis voor procesrechtelijke concepten’, TBS&H 2022/2.1

B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2

S. Royer & R. Vanleeuw, ‘Cryptofoons, privacyvriendelijke applicaties en het vermoeden van onschuld’, TBS&H 2022/2.3

D.A.G. van Toor, ‘Het gebruik van resultaten uit de Encro­Chat-­hack in de Duitse strafrechtspleging’, TBS&H 2022/2.4

L.W. Verbeek & T. Beekhuis, ‘Executieve jurisdictie: het (grote) obstakel in grensoverschrijdende opspo­ringsonderzoeken naar (gebruikers van) cryptoaanbieders?’, TBS&H 2022/2.5

M.M. Egberts, ‘De reikwijdte van het inzagerecht en ‘equality of arms’ in het licht van grote datasets, Hansken en toekomstige ontwikkelingen’, TBS&H 2022/2.6

M. Galič, ‘Bulkbevoegdheden en strafrechtelijk onderzoek. Lessen uit de jurisprudentie van het EHRM voor de normering van grootschalige data-analyse’, TBS&H 2022/2.7

Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (Oprichter van cryptotelefoonaanbieder Ennetcom veroordeeld)

Cybercrime jurisprudentieoverzicht november 2021

Ontoegankelijkheidsmaking Telegram-kanaal

Op 8 oktober 2021 heeft een rechter-commissaris van de rechtbank Den Haag een beschikking gewezen over het ontoegankelijk maken van een Telegram-kanaal. De beslissing kreeg veel media-aandacht (zie bijvoorbeeld dit bericht en dit bericht) (niet altijd juridisch juist overigens door een onduidelijk persbericht, zie ook de blogs van Ius Mentis).

De rechter-commissaris wijst het verzoek op grond van art. 181 jo 125p Sv toe en verleent aan de officier van justitie een machtiging tot het bevel aan een medewerker van de politie om via de telefoon van de verdachte de gegevens in drie Telegram-groepen ontoegankelijk te maken. Onder meer de verdachte is eigenaar en beheerder van deze Telegram-groepen. Volgens de rechter-commissaris is aannemelijk geworden dat, vanwege de in de vordering beschreven omstandigheden, de aanbieder niet meewerkt aan een vordering.

Het ‘ontoegankelijkheidsmakingsbevel’ in artikel 125p Sv is met de Wet computercriminaliteit III gewijzigd. Het idee is volgens de memorie van toelichting wel dat het bevel pas wordt ingezet als de elektronische communicatiedienstverlener geen opvolging geeft aan een verzoek op vrijwillige basis actie te ondernemen (Kamerstukken II 2015/16, 34372, nr. 3, p. 57). De rechter-commissaris overweegt dat in het artikel staat dat een aanbieder van een communicatiedienst maatregelen moet nemen om die gegevens ontoegankelijk te maken, terwijl deze vordering ertoe strekt dat een opsporingsambtenaar dat doet. Toch acht de rechter-commissaris dat verschil niet wezenlijk en gaat hij of zij tot een ‘analoge toepassing’ van artikel 126p Sv over, zodat tot de beëindiging en voorkoming van ernstige strafbare feiten kan worden overgegaan.

Hier gaat het om Telegramkanalen waarbij een persoon in verband wordt gebracht met satanisch-pedofiele misdrijven. De verdachte is veroordeeld alle gedane uitlatingen binnen 48 uur te verwijderen en verwijderd te houden. In de Telegram-groep worden echter vergelijkbare berichten en video’s verspreid. Het voortzetten van de strafbare feiten acht de rechter-commissaris in strijd met de openbare orde. De vordering strekt ertoe dat dat wordt voorkomen. Wel erg kort overweegt de rechter-commissaris dat ‘naar het oordeel van de rechter-commissaris is daarmee aan de eisen van proportionaliteit en subsidiariteit voldaan’.

Hof Den Haag legt meer beperkingen op bij doorzoeken smartphones

In een arrest (ECLI:NL:GHDHA:2021:1873) van 26 augustus 2021 over grootschalige oplichting via Markplaats en computervredebreuk, verfijnt het Hof Den Haag het Smartphone-arrest van de Hoge Raad van 4 april 2017 (ECLI:NL:HR:2017:584).

Indien het onderzoek van de gegevens op een digitale gegevensdrager zo verstrekkend is dat op voorhand is te voorzien dat een min of meer compleet beeld kan worden verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van die gegevensdrager, dan dient de rechter-commissaris – die de inbeslaggenomen gegevensdragers voor onderzoek overdraagt aan een opsporingsdienst – te bepalen of er beperkingen aan dat onderzoek moeten worden verbonden.

“Bij die beslissing en bij het bepalen van aard en omvang van die eventuele beperkingen zullen factoren als de ingrijpendheid van de inbreuk op de persoonlijke levenssfeer van de gebruiker van de betreffende gegevensdragers door het onderzoek en de proportionaliteit en subsidiariteit van de te verrichten onderzoekshandelingen in relatie tot de aard en omvang van de verdenking waarop het onderzoek betrekking heeft een rol kunnen spelen. Daarbij kan onder meer worden gedacht aan beperkingen betreffende het aantal te onderzoeken gegevensdragers, beperkingen betreffende de te onderzoeken gegevens (zoals afbeeldingen, communicatie, internetgedrag et cetera) en beperkingen betreffende de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd of op de betreffende digitale-gegevensdrager terecht zijn gekomen. Ook kan worden gekozen voor fasering van toegestane onderzoekshandelingen doordat de rechter-commissaris eventueel tussentijds beslist tot uitbreiding of (verdere) beperking van het toegestane onderzoek.”

In het onderhavige geval heeft een dergelijke toetsing niet kenbaar plaatsgevonden. In de eerste fase is op 24 februari 2016 hoofdzakelijk een aantal Skype-gesprekken onderzocht, maar deze waren niet gericht op de verdachte, waardoor niet onrechtmatig is gehandeld jegens hem. In de tweede fase zijn op 13 april 2016 de hiervoor weergegeven digitale gegevensdragers onderzocht louter ter vaststelling van de identiteit van de gebruiker daarvan. Bij gebreke van andere mogelijkheden voor die vaststelling dan het onderzoeken van een beperkt aantal gegevens op de verschillende digitale gegevensdragers had de rechter-commissaris hiervoor toestemming mogen geven, zodat het hof dit onderzoek niet onrechtmatig acht. Nadien zijn alle gegevensdragers uitvoerig onderzocht. Gegeven de zeer forse omvang van de strafbare feiten waarop het tegen de verdachte ingestelde onderzoek betrekking had en de vrijwel uitsluitend digitale aard van die strafbare feiten en daarmee ook van de mogelijke aanwijzingen van betrokkenheid van de verdachte daarbij, had de rechter-commissaris ook hiervoor toestemming mogen geven, zodat het hof ook dit onderzoek niet onrechtmatig acht.

Ten aanzien van de inbeslaggenomen BTC 0,549 gelast het hof de teruggave aan verdachte. Het hof stelt vast dat dit geldbedrag is aangetroffen in een ‘wallet’ op een Asus laptop. De vraag die de verdediging aan het hof voorlegt is welke waarderingsgrondslag dient te worden gehanteerd om de tegenwaarde van de bitcoins in euro’s te berekenen. Tot een dergelijke waardebepaling is de rechter niet bevoegd. Bij arrest van heden in de zaak van een medeverdachte heeft het hof de teruggave van de Asus laptop aan verdachte gelast. Wanneer de last tot teruggave betrekking heeft op een voorwerp dat reeds is vervreemd – en aldus teruggave daarvan feitelijk niet meer mogelijk is –, dan is art. 119, lid 2, Sv ingevolge art. 353, lid 3, Sv van overeenkomstige toepassing. De omstandigheid dat art. 119, leden 1 en 2, Sv van overeenkomstige toepassing is, brengt mee dat de last tot teruggave is gericht tot de bewaarder van het voorwerp. In geval het voorwerp tegen baat is vervreemd, zal de bewaarder vervolgens overgaan tot uitbetaling van de verkregen opbrengst.

De verdachte wordt in hoger beroep veroordeeld voor 21 maanden gevangenisstraf.

Oprichter Ennetcom B.V. veroordeeld

De rechtbank Rotterdam heeft op 21 september 2021 een oprichter van Ennetcom B.V. veroordeeld (ECLI:NL:RBROT:2021:9085) voor deelname aan een criminele organisatie, gewoontewitwassen, medeplegen van valsheid in geschrift en verboden munitie- en wapenbezit. Daarbij heeft de bestuurder een flinke gevangenisstraf opgelegd gekregen van 54 maanden. De uitspraak is interessant en relevant, omdat het veel verweren van de verdediging bevat die ook in toekomstige EncroChat- en SkyECC-zaken gaan spelen. Het voert te ver in dit bericht op alle verweren in te gaan. Daarom worden de nieuwe en interessante verweren uitgelicht. Zie ook dit nieuwsbericht in het Parool over de zaak.

De verdediging heeft haar stelling dat het Openbaar Ministerie de data slechts heeft gekopieerd om inzage te verkrijgen in alle inhoudelijke communicatie van gebruikers van telefoons en daarmee sprake is van misbruik van bevoegdheden ‘detournement de pouvoir’ volgens de rechtbank niet voldoende onderbouwt. De rechtbank is daarom van oordeel dat de dataset niet door middel van machtsmisbruik of in strijd met fundamentele rechtsbeginselen is verkregen. Het opsporingsonderzoek richtte zich volgens het Openbaar Ministerie op de verdachte rechtspersoon en op de rol van de medeverdachte. Teneinde die strafrechtelijke hypothese te onderzoeken, is het onderzoek gericht op de geldstromen en de digitale infrastructuur van de entiteiten; de servers daaronder begrepen. Voor de verdenking en vervolging van witwassen is het immers van belang dat komt vast te staan dat (een groot deel van) de klanten van de verdachte in de criminaliteit actief zijn en dat dus de omzet van de verdachte direct of indirect afkomstig is uit (enig) misdrijf. Daar komt volgens de rechtbank bij dat de door de verdediging gestelde schending van grondrechten van onbekende derden en het gegeven dat de communicatie van de medeverdachte in andere onderzoeken terecht is gekomen, geen van alle schending opleveren van enig concreet belang van de verdachte rechtspersoon in deze zaak.

De verdediging heeft aangevoerd dat artikel 125i Sv onvoldoende grondslag biedt voor de verkrijging van de data. Het doel van de inzet was immers de verkrijging van onder meer inhoudelijke communicatie tussen de gebruikers en hun contacten. De rechtbank overweegt dat artikel 125la Sv voorschrijft dat in de vast te leggen gegevens die worden aangetroffen bij een doorzoeking op grond van artikel 125i Sv en vergt bovendien een machtiging van de rechter-commissaris. Deze voorwaarden bieden, analoog aan het briefgeheim, extra bescherming aan de verzenders en ontvangers van berichten, die ervan uit mogen gaan dat hun berichten tijdens het ‘transport’ niet zomaar mogen worden gelezen. De rechtbank acht ook artikel 125la Sv van toepassing. Bij het aantreffen van de e-mails mocht de politie dus slechts kennisnemen van de inhoud daarvan voor zover deze klaarblijkelijk van de verdachte rechtspersoon afkomstig waren, voor hem bestemd waren, op hem betrekking hebben of tot het begaan van het strafbare feit hebben gediend, ofwel klaarblijkelijk met betrekking tot die gegevens het strafbare feit is gepleegd. Bovendien was een machtiging van een rechter-commissaris noodzakelijk voorafgaand aan kennisname van de inhoud van de berichten. Het staat vast dat de officier van justitie een dergelijke machtiging niet heeft gevraagd. De rechtbank volstaat met de constatering dat dat sprake is van een vormverzuim, mede omdat de verdachte rechtspersoon niet in haar verdedigingsbelangen geschaad, anders dan dat belastende berichten en notities in het dossier zijn gebruikt.

Het verweer dat de verdediging niet in de gelegenheid is gesteld om de data-analyse inhoudelijk te controleren, verwerpt de rechtbank, omdat de verdediging meer dan eens keren is uitgenodigd om specifiek te benoemen welke data men wenste in te zien, dan wel onder toezicht toegang tot de volledige data te krijgen. De rechtbank onderkent dat het verkrijgen en onderzoeken van dergelijke grote datasets een bedreiging kan vormen van het recht op gelijke proceskansen. De rechtbank is het ook eens met de verdediging dat zij in het kader van het recht op een eerlijk proces (en dus gelijke proceskansen) moet kunnen controleren of de door Hansken geproduceerde resultaten betrouwbaar zijn. Daartoe mag van de verdediging echter wel worden verwacht dat zij concreet maakt op welke punten deze controle – al dan niet door een deskundige – moet plaatsvinden en dat heeft de verdediging nagelaten.

Veroordeling voor GGD-datadiefstal

Op 14 september 2021 heeft de rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2021:4419) voor computervredebreuk, vanwege het binnendringen in het CoronIT-systeem, het overnemen van de gegevens van 98 personen en vervolgens tegen betaling beschikbaar stellen van die gegevens via Snapchat, Instagram, Facebook en Telegram. Het CoronIT-systeem is ontwikkeld voor de GGD ten behoeve van het maken van testafspraken, het uitvoeren van bron- en contactonderzoek omtrent Covid-19 besmettingen en het inplannen van afspraken voor vaccinaties. Via Telegram, Snapchat en Whatsapp heeft de verdachte ook gegevens gedeeld met derden. De verdachte heeft hiervoor €50,- aan Bitcoin ontvangen. De verdachte wordt door de rechters veroordeeld tot een gevangenisstraf van 10 maanden, waarvan 5 maanden voorwaardelijk met een proeftijd van 2 jaar.

Zeer interessant is de overweging omtrent computervredebreuk. De verdachte had uit hoofde van zijn werk voor de GGD rechtmatig toegang tot het CoronIT-systeem, en vrije toegang tot de personeelsgegevens. Daarom is het de vraag of sprake is van wederrechtelijk binnendringen in een geautomatiseerd werk. De rechtbank overweegt dat met de strafbaarstelling in artikel 138ab van het Wetboek van Strafrecht aansluiting is gezocht bij de bestaande strafbaarstelling betreffende de huisvredebreuk. Een wachtwoord kan daarbij worden aangemerkt als een sleutel die de gebruiker toegang geeft tot het systeem of tot een deel daarvan. Wanneer de autorisatie die verleend is voor delen van het geautomatiseerde werk wordt overschreden, kan een sleutel, door het onbevoegd gebruik maken daarvan, een valse sleutel worden. Aan de verdachte was deze toegang tot het CoronIT-systeem verschaft om, uitsluitend in het kader van de uitoefening van zijn werk enkel en alleen de gegevens in te zien van de personen met wie hij via de test- en vaccinatielijn contact had. De verdachte heeft een cursus gevolgd waarin werd uitgelegd hoe hij moest omgaan met persoonsgegevens en heeft een geheimhoudingsverklaring getekend. De gegevens van personen die niet via de test- en vaccinatielijn met verdachte in contact werden gebracht, behoefde en behoorde verdachte niet in te zien. Hieruit volgt volgens de rechtbank dat de verdachte weliswaar was geautoriseerd, maar onbevoegd ter zake van de gegevens van de personen die hij op eigen initiatief heeft opgezocht, zich opzettelijk en wederrechtelijk de toegang heeft verschaft tot het CoronIT-systeem. De verdachte wist dat hij zich in een beveiligd systeem bevond en heeft doelbewust de beveiliging van dat systeem doorbroken, met een ander doel dan het uitvoeren van zijn werkzaamheden. Daarmee is opzettelijk en wederrechtelijk een geautomatiseerd werk binnengedrongen met behulp van een valse sleutel. Dat betekent dan ook dat verdachte zich schuldig heeft gemaakt aan computervredebreuk, zoals omschreven in artikel 138ab Sr.

Voor de onderbouwing van dit standpunt verwijst de rechtbank naar het arrest van het Hof Den Bosch 4 mei 2020, ECLI:NL:GHSHE:2020:1514 en de conclusie van AG Spronken bij de Hoge Raad van 31 augustus 2021, ECLI:NL:PHR:2021:777. De Advocaat-Generaal toont in rechtsoverweging 5.30 de zelfreflectie dat

“de reikwijdte van het wederrechtelijk binnendringen zoals strafbaar gesteld in art. 138ab lid 1 Sr potentieel erg groot wordt. Immers een werknemer die uit nieuwsgierigheid grasduint in de voor hem met wachtwoord toegankelijke systemen zal dat (op basis van interne regels) al snel onbevoegd kunnen doen, omdat dit niet altijd (strikt) noodzakelijk is voor de functie-uitoefening. Ook indien de gegevens alleen worden bekeken en niet overgenomen zal reeds sprake zijn van het overtreden van het bepaalde in art. 138ab lid 1 Sr (het binnendringen).”

Zoals subsidiair ook ten laste is gelegd kon mogelijk ook het opzettelijk en wederrechtelijk overnemen van niet-openbare gegevens uit een geautomatiseerd werk (artikel 138c Sr) worden bewezen. Deze bepaling is ook bedoeld voor gevallen waarin de dader rechtmatige toegang heeft tot de gegevens, maar deze wederrechtelijk overneemt (Kamerstukken II 2015/16, 34372, nr. 3, p. 64). Voor dit een artikel staat een lagere gevangenisstraf dan voor computervredebreuk. Als de gegevens vervolgens ter beschikking worden gesteld (via WhatsApp) bijvoorbeeld zou overigens ook sprake kunnen zijn van het delict ‘heling van gegevens’ (139g Sr), maar dat is in deze zaak niet ten laste gelegd.

Veroordeling grooming virtuele minderjarige

De rechtbank Gelderland veroordeelde op 13 september 2021 een 62-jarige verdachte voor grooming van een virtueel meisje van 14 jaar (ECLI:NL:RBGEL:2021:4859). Hij krijgt een gevangenisstraf van 4 maanden opgelegd met een proeftijd van drie jaar en een werkstraf van 200 uur. Sinds de Wet computercriminaliteit III is ook het grooming van een virtuele creatie van een persoon die de leeftijd van zestien jaren nog niet heeft bereikt strafbaar.

Een getuige heeft verklaard dat ze lid was geworden van de groep ‘Pedofiel ontmaskerd.nl’ en daarom een account heeft gemaakt op Chatplaza (in dat kader vond ik dit nieuwsbericht over dat ‘pedohunten’ nu minder voorkomt interessant). Een van de personen die op het bericht reageerde en verder vroeg, was de verdachte. De verdachte vroeg haar om verder te praten op ‘KIKplaza.’ Via KIK heeft ze verdachte zeker drie keer verteld dat ze 14 jaar was en verdachte vertelde dat hij 51 of 61 jaar was. Eerst gingen de gesprekken over school en dagelijkse dingen, maar al snel vroeg hij naar dominantie en sprak hij over vastbinden. Hij wilde een afspraak maken in het bos om te zoenen, knuffelen en strelen. Die afspraak kwam tot stand doordat verdachte zei dat ze elkaar moesten zien. Zij had naar hem gemaild dat dat kon omdat haar moeder niet thuis zou zijn. Aan de hand daarvan hebben ze afgesproken. Dat was op 27 november 2020 in Apeldoorn.

Anders dan de raadsman is de rechtbank van oordeel dat bewezen kan worden verklaard dat de verdachte een ontmoeting met een virtueel persoon heeft voorgesteld. Dit volgt naar het oordeel van de rechtbank uit de hiervoor aangehaalde berichten, waarin de verdachte meermalen vraagt naar en zinspeelt op een daadwerkelijke ontmoeting en zo steeds de gelegenheid creëert om een ontmoeting te laten plaatsvinden. Uit de expliciet seksuele inhoud van het chatverkeer tussen verdachte en de virtuele persoon dat voorafging aan deze afspraak, trekt de rechtbank verder de conclusie dat verdachte deze afspraak heeft gemaakt met het oogmerk om seksuele of ontuchtige handelingen met het virtuele meisje te plegen. Dat, zoals verdachte ter zitting heeft verklaard, hij alleen met haar wilde gaan wandelen, vindt de rechtbank gelet op de inhoud van de berichten niet geloofwaardig.

Jurisprudentieoverzicht cybercrime maart-april-mei 2021

Ook in hoger beroep veroordeling in TorRAT-zaak

Op 30 maart 2021 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2021:587) voor gewoontewitwassen en deelnemen aan een criminele organisatie waarvan de verdachte de leider was. Het hof heeft een gevangenisstraf opgelegd van 19 maanden en de vorderingen van de benadeelde partijen (banken) zijn gedeeltelijk toegewezen.

De verdachte heeft samen met de medeverdachten rekeninghouders van twee banken benadeeld. Via “spamruns” werden duizenden mails verstuurd naar mkb-rekeninghouders in de zakelijke sector. In de mails zat een link naar een (ogenschijnlijk) openstaande factuur of ander (PDF-)bestand. Dat was in werkelijkheid een programma dat in het geval van aanklikken ongemerkt kwaadaardige software, in casu “TorRAT-malware”, op de computers van de gebruikers achterliet. Bij het gebruik van internetbankieren paste de malware het bankrekeningnummer, de naam van de begunstigde en de omschrijving van de betaling aan, zonder dat dit voor de gebruiker van die computer (direct) zichtbaar was. Op deze wijze werden betalingen door de TorRAT-malware omgeleid naar de bankrekeningen naar money mules (personen die hun rekening, bankpas en pincode, al dan niet vrijwillig, ter beschikking hadden gesteld voor gebruik door anderen). Het zeer uitgebreide arrest is met name lezenswaardig vanwege de nog niet eerder vertoonde gedetailleerde technische overwegingen over de werking van TorRAT (compleet met screenshots van de softwarecode, zoals:

(voor het eerst volgens mij!)

Ook de wijze waarmee met de malware geld kon worden verdiend, wordt uitgebreid beschreven. Zie ook mijn annotatie in Computerrecht 2016/175 over deze zaak in eerdere instantie.

Het Hof Den Haag licht toe dat TorRAT bestond uit twee elementen, de software zelf en configuratiebestanden. Voor de toerekeningsvraag was het onderzoek aan deze configuratiebestanden door een deskundige van het NFI in het bijzonder van belang. Het hof was van oordeel dat de genoemde transacties konden worden toegerekend aan TorRAT.

Na installatie van de software op een computer als gevolg van het klikken op een link in een spammail zocht de aldus geïnfecteerde computer contact met een C&C-server. Uniek aan TorRAT was dat deze C&C-server zich veelal bevond in een Tor-netwerk (ook bekend als het darkweb of darknet). De C&C-server voorzag TorRAT regelmatig van nieuwe configuratiebestanden.

Het hof is van oordeel dat de dadergroep van de verdachte en zijn medeverdachten met toepassing van de TorRAT-malware een groot aantal transacties heeft beïnvloed. Het hof heeft per (cluster van) transacties aangegeven welke feiten en omstandigheden hebben geleid tot de vaststelling of deze wel of niet aan de TorRAT-malware kunnen worden toegerekend. Voor deze vorm is gekozen nadat de verdediging volgens het hof terecht aanvoerde dat niet duidelijk is geworden aan de hand van welke criteria de transacties zijn aangemerkt als frauduleuze transacties die via TorRAT zijn veroorzaakt. Daarvoor is de hulp van een deskundige van het NFI ingeroepen.

De betalingen die door de TorRAT-malware werden omgeleid naar de bankrekeningen van daartoe geworven zogeheten money mules. De geldbedragen werden vervolgens zo snel mogelijk aan het zicht van de banken en politie en justitie onttrokken door deze — al dan niet met tussenkomst van een tweedelijns-money mule waar het geld naar werd doorgeboekt — zo snel mogelijk contant te maken middels een contante geldopname of om te zetten in bitcoins. De omgezette bedragen werden op deze wijze witgewassen.

Met betrekking tot de verdenking van deelname aan een criminele organisatie is het hof tot het oordeel gekomen dat de verdachte en zijn medeverdachten behoorden tot een samenwerkingsverband (waarbinnen zij aliassen gebruikten en communiceerden via TorMail) en zich schuldig hebben gemaakt aan gedragingen die strekten tot of rechtstreeks verband hadden met een crimineel oogmerk. De inhoud van de Tormails speelde een belangrijk bewijsrol in deze zaak. Het hof is van oordeel dat de verdachte binnen dat samenwerkingsverband een leidinggevende rol vervulde, dat door de duurzaamheid en gestructureerde vorm daarvan als criminele organisatie wordt gekwalificeerd.

Vrijspraak vanwege verklaring maken van screenshot via Shodan

Op 2 april 2021 heeft de rechtbank Midden-Nederland een verdachte vrijgesproken (ECLI:NL:RBMNE:2021:1330) van computervredebreuk. De verdachte werd computervredebreuk (art. 138ab Sr) en het opnemen van gegevens (art. 139c Sr) ten laste gelegd. De verdachte zou namelijk de beveiliging van een NAS (Network Attached Storage) door middel van de ‘remote desktop protocol’ hebben doorbroken en gegevens hebben opgenomen door een screenshot te maken van de inbox van een mailprogramma.

De verdachte verklaarde dat hij via Shodan, een zoekmachine dat kwetsbaarheden in aan het internet gekoppelde geautomatiseerde werken blootlegt, het screenshot van de mailbox van de aangever was tegengekomen. De verdachte heeft de aangever vervolgens gewaarschuwd voor een beveiligingslek in zijn computer door hem een e-mailbericht te sturen met het gevonden screenshot als bijlage. De rechtbank kan de door verdachte geschetste gang van zaken niet uitsluiten. Uit de stukken in het dossier en het verhandelde ter terechtzitting blijkt niet dat het verhaal van verdachte onaannemelijk is. Nu redelijke twijfel bestaat of verdachte de feiten zoals tenlastegelegd heeft begaan, spreekt de rechtbank de verdachte van de ten laste gelegde feiten vrij.

Veroordeling in hoger beroep basis van bewijs uit Ennetcom-gegevens

Het Hof Arnhem-Leeuwarden veroordeelde op 3 maart 2021 (ECLI:NL:GHARL:2021:1918) een verdachte tot een gevangenisstraf van 22 jaar voor moord en verboden vuurwapenbezit. De advocaat van de verdachte voerde aan dat de PGP-berichten die waren verkregen via Ennetcom uitgesloten moesten worden van bewijs, omdat deze niet rechtmatig waren verkregen.

Het Hof verwerpt het verweer en overweegt als volgt. Het Superior Court of Justice in Toronto heeft op 13 september 2016 het door de Nederlandse autoriteiten ingediende rechtshulpverzoek behandeld, dat strekte tot het ten behoeve van nader onderzoek in Nederland veiligstellen en overdragen van communicatie dat zich bevond op de Ennetcom-servers (hierna: Ennetcom-gegevens). De Canadese rechter heeft de beslissing of deze gegevens gebruikt mogen worden in andere onderzoeken neergelegd bij de Nederlandse autoriteiten, maar wel bepaald dat daartoe een rechterlijke machtiging is vereist en het gebruik van de Ennetcom-gegevens beperkt tot onderzoek en vervolging van bepaalde strafbare feiten (waaronder moord).

De officier van justitie heeft de rechter-commissaris ex art. 181 jo art. 126ng lid 2 Sv, verzocht te bepalen dat het onderzoek 09Seter dringend vordert dat onderzoek wordt verricht aan de Ennetcom-gegevens en te bepalen dat relevante gegevens toegevoegd zouden worden aan het procesdossier 09Ster. De rechter-commissaris heeft dit verzoek toegewezen en de uitvoering van het onderzoek op grond van art. 177 Sv door tussenkomst van de officier van justitie verwezen aan het onderzoeksteam 09Ster. Vervolgens heeft de officier van justitie op grond van gegevens die zijn voortgekomen uit Ennetcom-gegevens in het onderzoek 26Marengo de rechter-commissaris verzocht om toestemming te geven deze gegevens over te dragen aan de advocaat-generaal in het onderhavige onderzoek 09Ster, omdat deze gegevens betrekking zouden hebben op de moord op het slachtoffer. De rechter-commissaris heeft hiervoor toestemming gegeven, en overwogen dat de berichten rechtmatig zijn verkregen uit het onderzoek 026Marengo waarvoor de rechter-commissaris eerder toestemming heeft gegeven. Gelet op het voorgaande concludeert het hof dat het verkrijgen van de data op rechtmatige wijze is geschied.

Over de betrouwbaarheid van het bewijs overweegt het hof dat het recht van de verdachte om in gelegenheid te worden gesteld om methoden en resultaten van onderzoek te betwisten, naar deze niet samen valt met een ongeclausuleerd recht om deze te controleren, en dat de verdediging niet gemotiveerd heeft aangegeven waarom de betrouwbaarheid van de waarheidsvinding in twijfel zou moeten worden getrokken. Verder merkt het hof nog op dat de vaststelling van de identiteit van de verdachte niet louter berust op de conclusie van de politie, maar dat die vaststelling berust op de weergave van de PGP-gesprekken in verband met andere bewijsmiddelen.

Veroordelingen op basis van bewijs uit EncroChat-gegevens

Vorig jaar kwam in het nieuws dat de Nederlandse en Franse politie tientallen miljoenen berichten van de versleutelde chatdienst EncroChat wisten te kraken en over te nemen. Afgelopen maanden verschenen uitspraken waar deze ‘EncroChats’ een belangrijke bewijsrol spelen. De interessantste uitspraken staat hieronder op een rijtje.

De rechtbank Oost-Brabant veroordeelde (ECLI:NL:RBOBR:2021:1272) op 25 maart 2021 een verdachte voor het voorhanden van een verboden vuurwarpen ter voorbereiding van de moord op een of meer personen. Over de rechtmatigheid van het gebruik van EncroChats als bewijs overweegt de rechtbank dat de rechter-commissaris van de rechtbank Rotterdam in het onderzoek 26Lemont in het proces-verbaal van bevindingen van 20 september 2020 voor het gebruik van de EncroChats in toekomstige, andere onderzoeken voorwaarden heeft gesteld en criteria gegeven. Een van die voorwaarden is dat het gebruik van die chats slechts mogelijk is na een schriftelijk verzoek daartoe en na verkregen schriftelijke toestemming van een rechter-commissaris. De toestemming wordt alleen verleend als sprake is van “ernstige, het maatschappelijk verkeer ontwrichtende strafbare feiten, gepleegd in georganiseerd verband”. In een enkel geval is op het vereiste van een voorafgaande schriftelijke toestemming een uitzondering toegelaten. In die gevallen was sprake van zeer spoedeisende situaties en/of “threat to life”-zaken waarin acuut ingrijpen noodzakelijk was. In die gevallen is telefonisch toestemming gevraagd en verkregen van de rechter-commissaris, waarna schriftelijke bevestiging dan wel toevoeging aan de lijst van bekende onderzoeken volgde.

De rechtbank overweegt dat de onderzoeken waarin gegevens uit 26Lemont zijn verwerkt, in twee categorieën zijn op te delen. Kort gezegd komt het erop neer dat bij de eerste machtiging door de rechter-commissaris al een lijst is aangeleverd met onderzoeken waarin mogelijk sprake zou zijn van gebruik van EncroChat. Die lijst is door getoetst de rechter-commissaris getoetst op de zwaarte van de strafbare feiten waar die onderzoeken zich op richten en akkoord bevonden. Voor andere onderzoeken, en daartoe behoort het onderhavige onderzoek tegen de verdachte, heeft de rechter-commissaris voorwaarden benoemd waaronder gegevens kunnen worden gedeeld. Dat moet worden voorgelegd de rechter-commissaris en dan moet toestemming worden verkregen voor het delen van de informatie met die andere ‘vervolgonderzoeken’. Het moet, buiten onderzoek naar misdrijven met een terroristisch oogmerk, gaan om onderzoek naar strafbare feiten die in hun aard, in georganiseerd verband gepleegd of beraamd, een ernstige inbreuk maken op de rechtsorde, of zaken waarin acuut ingrijpen noodzakelijk was gelet op de gerede vrees voor het leven en/of voor ernstige gezondheidsschade voor personen. Hieraan kan worden getoetst en bij eventuele tekortkomingen is het reguliere kader van artikel 359a Sv van toepassing.

De raadsman stelt dat de EncroChat-data in het onderzoek Ellemeet onrechtmatig zijn verkregen, omdat aan de rechter-commissaris geen toestemming is gevraagd om in dit onderzoek de EncroChats te mogen gebruiken. Zou die toestemming wel gevraagd zijn, dan is met het oog op de hiervoor genoemde criteria niet voorstelbaar dat die toestemming zou zijn verleend. De verdediging voert aan dat het ontbreken van toestemming met zich meebrengt dat sprake is van een onherstelbaar vormverzuim in de zin van artikel 359a Sv.

De rechtbank overweegt dat de betreffende gegevensbestanden met informatie uit het (recente) verleden waren vastgelegd op de servers van EncroChat. Zowel in Frankrijk als in Nederland is deze telecomaanbieder aangemerkt als verdachte. Om bestanden van dat bedrijf te verkrijgen heeft het Nederlandse Openbaar Ministerie aan de rechter-commissaris een vordering ex artikel 126uba lid 1 sub a, b, c en d Sv (de hackbevoegdheid) voorgelegd en daartoe toestemming verkregen. Daarmee heeft het verkrijgen van de gegevens een wettelijke grondslag. Na het ter beschikking komen van de gegevens vallen de gegevens onder de bewaar- en vernietigingsregimes van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens, zodat ook voor het bewaren en verwerken van de gegevens een afdoende wettelijke grondslag bestaat.

De rechtbank deelt niet de opvatting dat de ePrivacyrichtlijn (2002/58) van toepassing zou zijn, omdat die kortgezegd ziet op het opvragen van gegevens door autoriteiten. De opsporingshandelingen zouden ook onder de uitzondering in artikel 15 van de richtlijn vallen. De rechtbank overweegt ook dat ‘de verdere achtergrond van EncroChat, de verkrijging van data in Frankrijk en het delen van de informatie met het onderzoeksteam 26Lemont, niet valt binnen het vooronderzoek in de zaak tegen verdachte en er evenmin reden is te veronderstellen dat het gebruik van de resultaten van de onderzoeken naar EncroChat in de strafzaak tegen de verdachte niet in overeenstemming is met het recht op een eerlijk proces als bedoeld in artikel 6 lid 1 EVRM. De verweren zijn daarmee verworpen.

De rechtbank Overijssel maakt op 29 maart 2021 veel minder woorden vuil aan de rechtmatigheid van het verkregen bewijs uit de EncroChats. In deze zaak (ECLI:NL:RBOVE:2021:1307) werd een verdachte veroordeeld voor zijn betrokkenheid bij een groot drugslab in Heiloo.

De rechtbank overweegt simpelweg dat ‘gelet op het interstatelijke vertrouwensbeginsel de rechtbank geen reden ziet om te twijfelen aan de rechtmatigheid en de inzet van de gehanteerde opsporingsmiddelen in het Franse opsporingsonderzoek. Bovendien zijn de Franse rechterlijke machtigingen getoetst door de rechter-commissaris in Nederland, waarbij geen onrechtmatigheden zijn vastgesteld. Derhalve is de rechtbank van oordeel dat artikel 8 EVRM in onderhavig geval niet is geschonden.’

In een laatste, zeer uitgebreid, vonnis (ECLI:NL:RBZWB:2021:1556) op 31 maart 2021 biedt de Rechtbank Zeeland-West-Brabant interessante bewijsoverwegingen t.a.v. het uitlezen van telefoons en de rechtmatigheid van het gebruik van de EncroChats.

Interessant zijn nog de standpunten van de officier van justitie in deze zaak over het maken van een proces-verbaal bij het uitlezen van telefoons: ‘de officier van justitie heeft zich op het standpunt gesteld dat de betreffende gegevensdragers met toestemming van de officier van justitie zijn doorzocht. Dat hoeft niet op schrift te staan. Het verstrekken van alles wat in de telefoons wordt aangetroffen gebeurt zelden, alleen wat relevant is wordt in het dossier opgenomen. Door de verdediging is onvoldoende onderbouwd dat er bewust ontlastende informatie is achtergehouden.’

De rechtbank overweegt dat een medeverdachte tijdens een verhoor de toegangscode van zijn mobiele telefoon gegeven en – wederom zonder aanwezigheid van zijn raadsman – het wachtwoord van Wickr en toestemming heeft gegeven aan de politie om in zijn telefoon te kijken gegeven. Bij zijn aanhouding op 13 november 2019 gebeurde hetzelfde. Vervolgens is volgens de verdediging de telefoon van met toestemming van de officier van justitie gekopieerd en werden de gegevens ervan inzichtelijk en doorzoekbaar gemaakt. Hierdoor is volgens de verdediging sprake van een schending van artikel 6 EVRM (Salduz), waarbij de rechtbank begrijpt dat dit het recht van medeverdachte betreft.

De rechtbank overweegt dat de Schutznorm ten aanzien van de medeverdachte niet van toepassing is ingevolge de uitspraak Günner van het EHRM. De rechtbank meent dat bij de eerste zoekslag in de telefoon van de medeverdachte sprake was van een beperkte inbreuk op de persoonlijke levenssfeer, omdat ‘enkel (een deel van) de fotogalerij (ten aanzien van een bepaalde datum en gebeurtenis) en de Whatsapp (wederom specifiek ten aanzien van het al dan niet sturen van een bepaalde foto) is bekeken’.

Over een tweede onderzoek aan de telefoon overweegt de rechtbank dat een ‘meer dan beperkte inbreuk op de persoonlijke levenssfeer is gemaakt’, omdat de telefoons met het programma Cellebrite zijn gekopieerd, veiliggesteld en inzichtelijk gemaakt, en doorzocht op Whatsapp, Wickr, Snapchat, Instagram en notities. Het onderzoek aan de mobiele telefoons was de directe aanleiding voor de doorzoeking van de woning van (de ouders van) verdachte. Het onderzoek was gericht op het achterhalen van navigatie-gegevens, communicatie op social media, contactpersonen, foto’s op telefoon danwel foto’s in een cloud, voor zover de informatie gerelateerd kon zijn aan de handel in verdovende middelen. De rechtbank is van oordeel dat daarom ook ten aanzien van de onderzoeken aan deze telefoons niet gezegd kan worden dat daarmee sprake is van een schending van de artikelen 6 en 8 EVRM.

De rechtbank overweegt de inhoud van een brief van het Landelijk Parket over de juridische grondslag van het gebruik van bewijsmateriaal van de PGP-telefoons van klanten van EncroChat. Daarin is te lezen dat ‘op grond van een Frans strafrechtelijk onderzoek zijn het bedrijf EncroChat en de natuurlijke personen die daaraan gelieerd zijn onderzocht. Tijdens dit onderzoek in Frankrijk zijn strafvorderlijke bevoegdheden ingezet. Er is door middel van een interceptiemiddel inzicht en informatie verkregen over de communicatie die is gedeeld op het EncroChat-forum. De Franse politie heeft onder gezag van de Franse officier van justitie, na machtiging van een Franse rechter, het interceptiemiddel ingezet. Omdat in Nederland een soortgelijk strafrechtelijk onderzoek is opgestart, is een Joint Investigation Team (hierna: JIT) opgericht door Nederland en Frankrijk. Het JIT richt zich op onderzoek van de verdenking rondom EncroChat en de personen die hiervan gebruik maken. In de JIT-overeenkomst is, zoals gebruikelijk, overeengekomen dat alle informatie en bewijsmiddelen die ten behoeve van het JIT worden vergaard worden gevoegd in een gezamenlijk onderzoeksdossier.’

Ik vind de brief toch opmerkelijk gezien de tegenstrijdige berichtgeving in NRC over de inzet van een technisch hulpmiddel dat mede is ontwikkeld door Nederland en het feit dat de een aanvraag is gedaan voor de inzet van de hackbevoegdheid in Nederland (waartoe onder voorwaarden een machtiging is verstrekt, zoals in de uitspraak hierboven is te lezen). De rechtbank overweegt hier indirect over dat ‘in tegenstelling tot hetgeen de verdediging betoogt, is de grondslag voor het verwerken en opslaan van de data uit 26Lemont in onderhavige zaak niet gelegen in de artikelen 126uba juncto 126 Sv, maar in artikel 126dd Sv. Deze bepaling ziet op het delen van informatie van het ene strafrechtelijke onderzoek met het andere’.

Ook overweegt de rechtbank simpelweg dat ‘ten aanzien van onderzoekshandelingen waarvan de uitvoering plaatsvindt onder verantwoordelijkheid van de buitenlandse autoriteiten van een andere EVRM lidstaat, het de taak is van de Nederlandse strafrechter ertoe beperkt te waarborgen dat de wijze waarop van de resultaten van dit onderzoek in de strafzaak tegen de verdachte gebruik wordt gemaakt, geen inbreuk maakt op zijn recht op een eerlijk proces, zoals bedoeld in artikel 6, eerste lid, EVRM. Het behoort niet tot de taak van de Nederlandse strafrechter om te toetsen of de wijze waarop dit onderzoek is uitgevoerd, strookt met de dienaangaande in het desbetreffende buitenland geldende rechtsregels.’ De rechtbank acht de privacy-inmenging ‘niet-ingrijpend’ voor de verdachte, omdat ‘door middel van de encrochats van verdachte alleen chatgesprekken van een relatief korte periode onderzocht zijn’.

Internetoplichting

De rechtbank Noord-Holland heeft op 16 maart 2021 een verdachte veroordeeld (ECLI:NL:RBNNE:2021:888) voor (internet)oplichting en witwassen. De verdachte heeft zich samen met een ander schuldig gemaakt aan het witwassen van twee geldbedragen. Deze geldbedragen waren afkomstig uit een geldbedrag van ruim 1 miljoen euro, dat in één nacht is buitgemaakt door phishing. De verdachte heeft slechts een deel van de buit ontvangen, te weten bedragen van € 6.780,22 en € 3.300,22.

De verdachte heeft met zijn mededader katvangers benaderd, die vervolgens hun bankpassen en pincodes aan verdachte en zijn mededader hebben afgegeven. Door middel van deze bankpassen en pincode zijn nog in diezelfde nacht delen van dat bedrag overgemaakt op bankrekeningen van katvangers en is een groot deel daarvan contant opgenomen bij geldautomaten.

Daarnaast heeft verdachte zich gedurende vijf maanden schuldig gemaakt aan Marktplaatsoplichting en computervredebreuk, gekwalificeerde diefstal, een poging tot oplichting, het beheren van tikkie-panels en phishing-sites en het voorhanden hebben van gehackte emailadressen met wachtwoorden, die grotendeels waren gekoppeld aan Marktplaatsaccounts.

Na het contact op Markplaats vroeg hij het contact voor te zetten via WhatsApp vroeg hij zijn slachtoffers om via een malafide betaallink 1 eurocent over te maken. Via die betaallink kwamen zij op een phishingwebsite die nauwelijks te onderscheiden was van de website van hun bank. Bij doorzoeking van de woning werd op de laptop van verdachte nog een actieve phishingsite aangetroffen. Slachtoffers die op zo’n phishing-site hun gegevens invulden, gaven daarmee verdachte toegang tot hun digitale bankomgeving. Daarna maakte hij geldbedragen van hun bankrekeningen over naar rekeningen van ‘geldezels’. Ook schreef hij via de gehackte bankrekening bedragen over van de spaarrekening naar de lopende rekening. De buitgemaakte bedragen kreeg verdachte vervolgens weer in handen via zijn geldezels. De verdachte had de beschikking over vele bankpassen en pincodes van die geldezels.

Bij het vervalste sms-bericht van de Belastingdienst met de tekst:

Belastingdienst} Uw openstaande schuld EUR 1471,00 is na meerdere herinneringen niet voldaan. Op 29 april 2020 zal de gerechtsdeurwaarder overgaan tot conservatoir beslag. U kunt de beslagprocedure voorkomen door direct het gehele bedrag te voldoen via iDeal: http://frama.link/.uHrKGHtJ

Daarmee werden de ontvangers bewogen om met spoed een ‘achterstallig bedrag’ te betalen via een bijgevoegde betaallink. Als zij dat deden, dan waren zij het betaalde bedrag kwijt.

Bij de impersonatiefraude (‘vriend-in-nood-fraude’) deed verdachte zich via WhatsApp voor als een familielid of vriend in betalingsnood. Verdachte zond zijn slachtoffers een Tikkie-link, waarmee zij konden betalen. Slachtoffers verloren zo aanzienlijke bedragen.

Daarnaast heeft verdachte via zijn iPhone een ‘sms-bom’ verzonden, waarbij sms-berichten werden gestuurd naar 555 telefoonnummers. In die sms-berichten werd voorgewend dat Menzis verzocht om een openstaande rekening te betalen, omdat anders de deurwaarder beslag zou komen leggen. Daarna volgde een nep-betaallink, waarmee verdachte toegang kon krijgen tot de digitale bankomgeving van de ontvangers.

De betaallinks en chatgesprekken met slachtoffers zijn terug te leiden tot telefoons die verdachte in gebruik had. Dit geldt ook voor het verzenden van de sms-bom die onder feit 2 ten laste is gelegd. Tijdens de tapperiode is gebleken dat verdachte als administrator ingelogd was op het beheerpanel van de actieve phishingsite. Ook heeft de vriendin van verdachte verklaard dat hij de fraudes alleen pleegde en daarbij gebruik maakte van meerdere telefoons, waaronder de hare. In het dossier en noch ter zitting zijn voldoende verifieerbare aanwijzingen gevonden voor een nauwe en bewuste samenwerking of gezamenlijke uitvoering met mededaders. De rechtbank spreekt de verdachte daarom van enkele andere ten laste gelegde feiten vrij.

De rechtbank acht de houding van verdachte zorgelijk en zij rekent hem de feiten ernstig aan. Ook heeft hij een strafblad voor eerder gepleegde vermogensdelicten. De reclassering heeft gerapporteerd dat verdachte de status van veelpleger heeft. Hij heeft geen werk, geen inkomen, hoge schulden, hij gebruikte drugs en had een negatief sociaal netwerk. Ook is hij licht verstandelijk beperkt. Verdachte is in het verleden onvoldoende ontvankelijk gebleken voor behandeling. Het recidiverisico wordt hoog geacht. Gelet op de ernst van de feiten en de straffen die rechtbanken in soortgelijke zaken opleggen, legt de rechtbank een gevangenisstraf op van  42 maanden met aftrek van het reeds ondergane voorarrest.

Vrijspraak bezit van kinderpornografie en teruggave van gegevens

Op 25 maart 2021 heeft de rechtbank Zeeland-West-Brabant een verdachte vrijgesproken (ECLI:NL:RBZWB:2021:1421) van het in bezit hebben van kinderpornografisch materiaal. In 2016 is verdachte veroordeeld wegens het bezit van kinderpornografische bestanden op zijn computer. Deze computer is destijds in beslag genomen. Van de foto’s op die computer, waaronder ook privé-foto’s, is door verdachte een back-up gemaakt en verdachte heeft verklaard dat die back-up door zijn stiefvader op de nieuwe computer van verdachte is gezet. De verdachte heeft verklaard dat de kinderpornografische bestanden op de Toshiba computer voor hem niet zichtbaar waren.

In dit soort zaken moet opzet op het bezit van kinderpornografisch materiaal bewezen worden. Het dossier bevat geen nadere logistieke data over de aangetroffen bestanden, zoals wanneer de bestanden op de computer zijn gezet, wanneer ze zijn verwijderd of in de prullenbak geplaatst en wanneer de bestanden voor het laatst zijn geopend. Ook zijn er zijn geen zoektermen aangetroffen die verband zouden kunnen houden met kinderporno. Gelet op deze stand van zaken kan niet worden uitgesloten dat de verklaring van verdachte dat de bestanden afkomstig moeten zijn van de back-up van zijn vorige computer klopt en niet kan worden bewezen dat de verdachte welbewust kinderpornografische afbeeldingen in zijn bezit heeft gehad.

In deze zaak is de computer in beslaggenomen en zijn alle gegevens op de harde schijf aan het verkeer onttrokken. Maar onttrekking aan het verkeer van de in beslag genomen computer zonder beperking, zou betekenen dat de andere (niet strafbare) bestanden verloren gaan, terwijl niet kan worden vastgesteld dat het ongecontroleerd bezit daarvan in strijd is met de wet of het algemeen belang. Daarbij is van doorslaggevend belang dat dit onder andere onvervangbare foto’s van de overleden vader van verdachte betreft, die van grote waarde voor verdachte zijn.

De conclusie is dan ook dat de andere gegevens ter beschikking van de verdachte moet worden gesteld en in zoverre zal een last worden gegeven tot teruggave aan de verdachte. Het is aan het openbaar ministerie om te besluiten op welke feitelijke wijze dit plaatsvindt. De rechtbank geeft daarvoor een paar handvatten. De eerste is de 80 kinderpornografische bestanden wissen zodat dat het terughalen van deze bestanden niet meer mogelijk is. Na het wissen van de 80 bestanden kan de computer dan worden teruggegeven. de tweede optie is dat de verdachte een (lege) gegevensdrager aanlevert, waarop de politie de gegevens van de computer minus de 80 kinderpornografische bestanden kopieert.

Over de bijzondere voorwaarde van controle in kinderpornozaken

Het Hof Amsterdam veroordeelde (ECLI:NL:GHAMS:2021:626) op 4 maart 2021 een verdachte tot een gevangenisstraf van 21 maanden, waarvan 18 maanden voorwaardelijk, met een proeftijd van 3 jaar, voor het gewoonte maken van onder meer verspreiden en in bezit hebben van kinderpornografisch materiaal.

In het arrest formuleert het Hof Amsterdam een gedragsvoorwaarde die strekt tot controle van gegevensdragers. Het is daarbij van belang dat de controle beperkt is door het toezicht te beperken tot

“het toezicht op de naleving van de hiervoor genoemde bijzondere voorwaarde en niet mag strekken of toe leiden een min of meer compleet beeld te krijgen van verdachtes persoonlijke leven. Bij de uitvoering van het onderzoek kan gebruik worden gemaakt van een computerprogramma dan wel een ander technisch hulpmiddel dat is gericht op de onderkenning van seksueel getint of kinderpornografisch materiaal.”

Het Hof Den Haag heeft in het arrest van 9 februari 2021 (ECLI:NL:GHDHA:2021:193) nadere (rand)voorwaarden geformuleerd waaraan de controle van de gegevensdragers van de verdachte dient te voldoen.

AI, strafrecht en het recht op een eerlijk proces

Voor het themanummer ‘AI en Recht’ van het tijdschrift Computerrecht, hebben Bart Schermer en ik een artikel geschreven over AI, strafrecht en het recht op een eerlijk proces (.pdf).

Het artikel bespreekt eerst de zogenoemde ‘Ennetcom-casus’ en gaat daarna in op de inzet van kunstmatige intelligentie voor het (geautomatiseerd) nemen van strafvorderlijke beslissingen.

Ennetcom

In 2016 heeft het Nederlandse Team High Tech Crime een grote hoeveelheid gegevens (7 Terabyte) in beslag genomen van ‘Ennetcom’, een bedrijf dat werd verdacht van witwassen. Het Nederlandse bedrijf Ennetcom leverde diensten op het gebied van versleutelde communicatie. Tijdens een doorzoeking bij het bedrijf BitFlow Technologies Inc. in Canada (op basis van een rechtshulpverzoek) zijn 3,6 miljoen versleutelde berichten in beslag genomen die zijn verstuurd via zo’n 40.000 smartphones van naar schatting 19.000 klanten.

Klanten konden met speciale BlackBerry-telefoons, voorzien van specifieke software, versleutelde tekstberichten en notities versturen. De encryptiesleutels waren opgeslagen op de ‘Blackberry Enterprise Servers’ van Ennetcom. Deze servers bevonden zich bij BitFlow Technologies Inc. in Toronto, Canada. Na een rechtshulpverzoek van Nederland en een machtiging van een rechter-commissaris aan de Canadese autoriteiten zijn op 19 april 2016 de encryptiesleutels op de servers veilig gesteld zodat daarmee de berichten konden worden ontsleuteld door de Nederlandse opsporingsautoriteiten.

Het Nederlands Forensisch Instituut (NFI) heeft software ontwikkeld waarmee zeer grote hoeveelheden gegevens snel en diepgaand geanalyseerd kunnen worden. Datasets zijn snel te doorzoeken om zo verbanden te leggen tussen verschillende attributen, zoals gebruikersnamen, bijnamen, telefoonnummers en e-mailadressen. Hierdoor kunnen rechercheurs en analisten vele malen sneller en effectiever werken in een opsporingsonderzoek. De software, genaamd ‘Hansken’, is ook ingezet voor de analyse van de Ennetcom-data.

Verdachten worden in strafzaken geconfronteerd met belastend bewijs dat afkomstig is uit een grootschalige data-analyse met het Hansken systeem. In het artikel leggen wij uit dat het recht op een eerlijk proces in artikel 6 EVRM het deelrecht kan worden afgeleid dat de verdachte toegang moet hebben tot gegevens die tegen hem worden gebruikt in belastende en ontlastende zin. De verdediging moet daarbij de mogelijkheid hebben de gegevens met betrekking tot de verdachte te bestuderen en te betwisten. Het openbaar ministerie heeft volgens ons ook tot op zekere hoogte ook zelf een verantwoordelijkheid de technische mogelijkheden aan de verdediging te bieden om de gegevens in een strafproces te bestuderen en te betwisten.

De inrichting van een ‘data room’, waarbij de gegevens die betrekking hebben op de verdachte veilig en relatief eenvoudig kunnen worden geraadpleegd, betreft een voorstel die wij doen om aan het recht invulling te geven. In de toekomst zullen nog veel zaken volgen waarbij verdachten geconfronteerd worden met het resultaat van een grootschalige data-analyse die zijn veilig gesteld in andere strafzaken.

AI en geautomatiseerde besluitvorming

Naast geavanceerde data-analyse of data mining kan ook kunstmatige intelligentie worden toegepast in het kader van de opsporing en vervolging. Zo zijn er onder de noemer predictive policing tal van experimenten binnen de politie die er op gericht zijn om met behulp van kunstmatige intelligentie crimineel gedrag te voorspellen. Daarnaast kan kunstmatige intelligentie worden ingezet voor het nemen of ondersteunen van strafvorderlijke beslissingen door de officier van justitie, rechter-commissaris en rechter.

In het tweede deel gaan wij na in hoeverre de inzet van kunstmatige intelligentie raakt aan de beginselen van een eerlijk proces bij het geautomatiseerd nemen van strafvorderlijke beslissingen.

In het artikel leggen wij uit dat het in het bijzonder bij geautomatiseerde besluitvorming van belang is dat de motivering van de besluitvorming deugdelijk is. Dit betekent dat de gekozen toepassingen transparant, uitlegbaar en controleerbaar zijn.

Hoe deugdelijk de motivering van algoritmische besluitvorming in de praktijk moet zijn, is echter nog onduidelijk. Grofweg zijn er in de context van het strafrecht twee problemen met betrekking tot een voor deugdelijke motivering noodzakelijke transparantie van algoritmes, te weten 1) complexiteit, en 2) de angst voor manipulatie/misbruik. In het artikel gaan we verder in op deze problemen en leggen wij uit hoe met deze problemen kan worden omgegaan.

Gaming the system?

Met betrekking tot het tweede probleem is de angst dat kwaadwillenden het systeem gaan manipuleren of beïnvloeden om tot voor hen gunstige uitkomsten te komen (gaming the system). Inzicht in algoritmische besluitvorming kan daarmee de effectiviteit van de opsporing ondermijnen.

Het kabinet lijkt in haar bijlage bij een Kamerbrief uit oktober 2019 over algoritmes in de opsporing het transparantiebeginsel uit te zonderen door hen in een aparte categorie te plaatsen. In een meer recente beantwoording van Kamervragen over het gebruik van AI bij de politie wordt in punt 76 herhaald dat:

het voor de politie in voorkomende gevallen noodzakelijk is om (delen van) de gegevensverwerking niet inzichtelijk te maken. Dit kan nodig zijn om te voorkomen dat personen zich kunnen onttrekken aan een effectieve taakuitoefening door de politie. Inzicht in de gebruikte analysemethode kan immers aanleiding zijn om het gedrag bewust zodanig aan te passen dat men in de gegevensanalyse buiten zicht blijft. Daarnaast kan geheimhouding nodig zijn omdat inzicht in de gegevensverwerking raakt aan de nationale veiligheid

(deze antwoorden op Kamervragen zijn na het artikel gepubliceerd en daarom niet meegenomen in het artikel zelf).  

Conclusie

Wij waarschuwen dat het voornemen van het kabinet om algoritmische besluitvorming in de opsporing niet te onderwerpen aan de eisen van transparantie en uitlegbaarheid zorgelijk zijn, omdat zij een bedreiging vormen voor de equality of arms en het recht op een eerlijk proces.

Ook in de opsporing moet een concrete invulling worden gegeven aan het recht op een eerlijk proces bij grootschalige data-analyes en het gebruik van algoritmes voor algoritmische besluitvorming. De komende jaren zullen we zien wat van deze invulling terecht komt. 

Bart Schermer & Jan-Jaap Oerlemans

Cybercrime jurisprudentieoverzicht – augustus 2019

Posted on 11/08/2019 op Oerlemansblog

“Een webshop voor drugs!”

Met een vonnis “nieuwe stijl” heeft de rechtbank Rotterdam op 16 juli 2019 een verdachte veroordeeld (ECLI:NL:RBROT:2019:5630) voor drugshandel via het darkweb en het aanwezig hebben van de illegale handelsvoorraad. De verdachte heeft naar schatting meer dan 500 kg drugs verkocht en miljoenen omzet gehad. De bedenker, organisator en leidinggevende van het “bedrijf” krijgt zeven jaar gevangenisstraf opgelegd. In een afzonderlijk ontnemingsvonnis wordt bovendien ruim 1 miljoen euro afgenomen.

Het vonnis in deze zaak is op een nieuwe manier opgebouwd. Direct wordt een samenvatting van de zaak gegeven en de lezer kan aan de hand van een leeswijzer snel naar het hoofdstuk gaan waar de interesse naar uitgaat.

Als voorbeeld van deze nieuwe stijl is de nieuwe kop ‘Illustratie’ in het vonnis aardig om te lezen:

“Een webshop voor drugs! De overeenkomsten in de bedrijfsvoering tussen legale internetgiganten en de darkwebwinkel in hard- en softdrugs van de verdachte dringen zich op. Ook in zijn ‘internetbedrijf’ met meerdere ‘medewerkers’ was het iedere dag raak met online bestellingen, inpakken, verzending, levering, planning en voorraadbeheer. Het assortiment was groot. Bijna iedere populaire drug en zelfs grondstoffen voor drugs waren met één klik te bestellen en met PostNL zo bij je in huis. Ongewild en ongemerkt werd PostNL zo een internationale distributeur van Nederlandse drugs.

Nieuw arrest over doorzoeken van gegevens op smartphone

In een nieuw arrest (ECLI:NL:HR:2019:1079) over de rechtmatigheid van onderzoek aan een smartphone van 9 juli 2019 herhaalt de Hoge Raad het beoordelingskader over onderzoek aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken uit het smartphone-arrest (ECLI:NL:HR:2017:584).

In deze zaak was de gehele inhoud van de mobiele telefoon van de verdachte en de bij die telefoon behorende SD-kaart gekopieerd en veiliggesteld voor nader onderzoek. Tijdens het daaropvolgende onderzoek zijn alle foto’s en video’s onderzocht. Het Hof Arnhem-Leeuwarden vond dat “de politie selectief is geweest in het onderzoek aan de telefoon”, maar de Hoge Raad gaat daar niet in mee en acht dit oordeel onvoldoende gemotiveerd. Het verweer dat vervolgens tot bewijsuitsluiting moet worden overgegaan, volgt de Hoge Raad niet en verwerpt dit verweer.

Persoonlijk vind ik het nogal wiedes dat een onderzoek aan ‘alle foto’s en video’s’ niet “selectief” is en meer dan geringe inbreuk op het recht op privacy met zich meebrengt. Maar goed, de waardeoordelen van rechters m.b.t. het recht op privacy en onderzoek aan smartphones verbazen mij helaas wel vaker..

Bewijs van Google en telecommunicatie

In een opmerkelijke moordzaak is een vrouw op 11 juli door de rechtbank Noord-Nederland veroordeeld (ECLI:NL:RBNNE:2019:2986) voor de moord op haar man. De zaak is interessant, omdat de zaak sterk leunt op digitaal bewijs afkomstig uit de mobiele telefoon van de verdachte en het slachtoffer. Journalist Huib Modderkolk heeft over deze zaak een leuk artikel in de Volkskrant geschreven.

De verdachte heeft zich schuldig gemaakt aan moord op haar echtgenoot, vader van hun drie jonge kinderen. Het slachtoffer is doelbewust naar een weiland gelokt waar hij is doodgeslagen met een hard voorwerp. Uit de bewijsoverwegingen blijkt uit onder andere telecomgegevens en de gebruikersactiviteiten en locatiegegevens van het Google-account van de verdachte, dat zij op het moment van de moord vlakbij het delict worden gelokaliseerd (een weiland ter hoogte van de Bûterwei). Uit de gegevens van het Google-account van het slachtoffer kon een telecomdeskundige precies het moment afleiden waarbij de mobiele telefoon in beweging was en later tot stilstand kwam (vermoedelijk door de klap met het een hard voorwerp), bij het weiland waar het slachtoffer later is gevonden.

De verdachte heeft het slachtoffer met voorbedachte rade van het leven heeft beroofd. Zij heeft volgens een vooropgezet plan het slachtoffer naar de Bûterwei laten komen, zij heeft hem daar ontmoet en is met hem het weiland ingelopen, waar hij vervolgens op gewelddadige wijze om het leven is gebracht. De rechtbank veroordeelt de verdachte tot de gevorderde gevangenisstraf van 20 jaar.

Rechtbank laat opnieuw gebruik Ennetcom-data toe

De rechtbank Gelderland heeft op 26 juli 2019 een verdachte 15 jaar gevangenisstraf opgelegd voor moord. De uitspraak (ECLI:NL:RBGEL:2019:2833) is interessant, omdat in deze zaak (wederom) wordt geoordeeld dat de politie en het openbaar ministerie gebruik mogen maken van bewijs op de server van ‘Ennetcom’, waarop verstuurde berichten met ‘PGP-telefoons’ zijn bewaard waarvan criminelen veel gebruik maakten. In deze duidelijke uitspraak overweegt de rechtbank iets uitgebreider welke wettelijke regeling voorhanden is.

De rechtbank stelt ‘met de verdediging en de officieren van justitie vast dat het Wetboek van Strafvordering, noch enige andere wet, een procedure kent tot het afgeven van een machtiging, zoals door de Canadese rechter wordt geëist’ voor het onderzoeken van de gevorderde gegevens. De Canadese rechter had eenvoudig gezegd als voorwaarde bij het verstrekken van de gegevens aan Nederland opgenomen dat als de gegevens ook voor andere opsporingsonderzoeken worden gebruikt, daarvoor een Nederlandse rechter een machtiging moet geven. Het openbaar ministerie heeft ervoor een gekozen de rechter-commissaris deze mogelijkheid te geven op grond van artikel 181 jo artikel 179 Sv. Voor de inhoudelijke toetsing van de vordering heeft de rechter-commissaris aansluiting gezocht bij artikel 126ng Sv, de bepaling die een vordering van opgeslagen gegevens bij aanbieders van elektronische communicatieaanbieders mogelijk maakt. De rechtbank gaat hiermee akkoord, mede omdat zulke zware voorwaarden gelden voor de inzet van de bijzondere opsporingsbevoegdheid en deze als waarborg fungeren.

De verdediging stelt dat de rechten van de verdediging in het kader van een recht op een eerlijk proces in de zin van artikel 6 EVRM niet voldoende worden gerespecteerd, omdat zij (1) niet alle informatie over de gebruikte technieken hebben ontvangen, (2) de belangrijkste getuige over de technische aspecten niet heeft kunnen bevragen en (3) een ‘wezenlijke informatieachterstand’ had bij het horen van verbalisanten en getuigen.

De rechtbank reageert hierop door voorop te stellen dat ‘verdediging geen onbeperkt recht heeft op het ontvangen van alle informatie waarom zij verzoekt. Slechts die informatie die relevant is voor enige in de strafzaak te nemen beslissing moet in het dossier worden gevoegd’. De rechten van de verdediging zouden wel voldoende zijn nagekomen, omdat naast het strafdossier ook relevante stukken uit het desbetreffende onderzoek ‘26DeVink’ zijn verstrekt, alle beschikbare Ennetcom-data over de door de politie aan verdachte toegeschreven e‑mailaccounts op cd-rom hebben verstrekt en de verdediging in de gelegenheid is gesteld zelf onderzoek te doen in de datasets.

Veroordeling bommelding Amsterdam CS en bezit hacksoftware

Het Hof Amsterdam heeft op 23 juli 2019 een verdachte veroordeeld (ECLI:NL:GHAMS:2019:2749) voor valse bommelding op het Centraal Station van Amsterdam, bedreiging, creditcardfraude (voor slechts 40 euro) en het voorhanden hebben van hacksoftware. De minderjarige verdachte krijgt voorwaardelijke gevangenisstraf en een taakstraf opgelegd en houdt daarmee de opgelegde straf van de rechtbank Amsterdam in stand. Het Hof overweegt daarbij de valse bommelding onnodig veel politiecapaciteit heeft gekost en gevoelens van angst en onveiligheid inde maatschappij heeft veroorzaakt.

In de onderliggende uitspraak van de rechtbank Amsterdam (ECLI:NL:RBAMS:2019:117) zijn meer interessante feiten te vinden. De verdachte heeft via een gehackt Facebookaccount de volgende melding geplaatst:

“Vandaag om 1 uur zal Amsterdam Centraal niet meer staan en zullen alle mensen die er bij waren niet meer onder ons zijn. NOS Politie Amsterdam er zullen vershillende (sic!) explosieven tot ontploffing worden gebracht.”

Via het Facebookaccount kon het IP-adres worden achterhaald waarvandaan het bericht was geplaatst. De naam en adresgegeven van de abonneehouder bij KPN zijn gevorderd en op basis van die informatie heeft huiszoeking plaatsgevonden. Via het Facebookaccount kon het IP-adres achterhaald worden, waar vanaf het bericht was geplaatst. De naam en adresgegeven van de abonneehouder bij KPN zijn gevorderd en op basis van die informatie heeft een huiszoeking plaatsgevonden.

Op de harde schijf van de verdachte is het programma ‘Havij’ gevonden, een zogenoemd ‘SQL-injectietool’ waarmee de zwakheden in databases van websites zijn op te sporen. Boeiend is om te lezen dat op een Lenovo-laptop een IP-adres is gevonden in een snapshot-bestand van de applicatie ‘Virtual Box Virtual Machine’ en in de verwijderde bestanden geïnstalleerde software aangetroffen van onder meer programma’s waarmee anonieme VPN-verbindingen opgezet kunnen worden, programma’s waarmee een virtual machine kan worden benaderd, en het programma Havij. De stelling dat een andere dan de verdachte van de laptop gebruik maakte acht de rechtbank, zonder nadere motivering, vond rechtbank onaannemelijk.

Het waren “de Russen”

Op 30 juli 2019 heeft de rechtbank Oost-Brabant een verdachte veroordeeld (ECLI:NL:RBOBR:2019:4412) voor bedreiging, oplichting, valsheid in geschrift en computervredebreuk. De verdachte heeft twee bedrijven voor ruim 560.000 euro opgelicht. De zaak is vooral interessant vanwege het spraakmakende (hack)verweer van de verdachte.

Via het computersysteem van het bedrijf heeft de verdachte de gegevens in facturen aangepast. Daarna werd een bedrag van €561.578,81 euro op verdachtes bankrekening gestort, terwijl het slachtoffer in de veronderstelling verkeerde dat zij dit bedrag aan een ander bedrijf overmaakte. De verdachte heeft dit geldbedrag vervolgens naar meerdere op zijn naam gestelde bankrekeningen overgemaakt. Vanaf die rekeningen heeft hij een deel van dit bedrag naar bankrekeningen van in totaal 26 personen doorgesluisd. Het ging hierbij telkens om een bedrag van om en nabij € 10.000,-. De verdachte had deze personen van tevoren benaderd en gevraagd of hij tegen een vergoeding geld kon laten storten op hun bankrekeningen. De derden mochten dan € 1.000,- à 1.500,- van het bedrag houden en het overige moesten zij van de rekening halen en contant aan verdachte teruggeven. Deze modus operandi is voldoende om van een verhullingshandeling in de zin van witwassen te spreken.

De verdediging beweert dat twee Russen de handelingen hebben verricht en hem op verzoek geld hebben overgemaakt. Ook zouden de Russen advies hebben gegeven over het doorsluizen van het geld. De verdachte heeft ook verklaard dat hij in tussentijd zijn huis aan deze mannen heeft verhuurd. De mannen maakten gebruik van zijn laptops en van zijn wifi-code. De rechtbank vindt het verweer “in meer of mindere mate niet aannemelijk”. Het is aan de verdachte om redengevende feiten en omstandigheden aan te voeren. De betrokkenheid van de Russen bij de feiten is op geen enkele wijze onderbouwd door de verdachte. Bovendien, zo is de rechtbank van oordeel, wijzen alle feiten en omstandigheden in het dossier er juist op dat de verdachte het ten laste gelegde heeft begaan én dat hij hier alleen verantwoordelijk voor is. Met betrekking tot het feit van witwassen acht de rechtbank wel bewezen dat verdachte dit feit tezamen en in vereniging met anderen heeft gepleegd. Echter, niet met “de Russen” waar de verdediging op doelt. De rechtbank verwijst daarbij overigens niet het maatgevende arrest van de Hof Den Haag over het hackverweer in ECLI:NL:GHDHA:2018:3529.

De verdachte krijgt vier jaar gevangenisstraf opgelegd, waarvan 1 jaar voorwaardelijk met een proeftijd van drie jaren.

12 maanden cel voor witwassen van Bitcoins

De rechtbank Zeeland-West-Brabant heeft op 28 juni 2019 een verdachte veroordeeld (ECLI:NL:RBZWB:2019:2897 en ECLI:NL:RBZWB:2019:2898) voor het medeplegen van witwassen van bitcoins ter waarde van ruim 100.000 euro. De verdachte heeft met behulp van een ‘Bitcoinkaart’ bijna 85.000 euro gepind.

Uit de uitspraak met een medeverdachte is af te leiden dat de bitcoins zijn omgezet naar courante valuta en vervolgens zijn gepind en uitgegeven. Uit de transactiegegevens van de Bitcoinkaart is gebleken dat er in totaal 158 geslaagde geldopnames zijn uitgevoerd. Zowel de verdachte als de medeverdachte worden op camerabeelden van pinautomaten herkend terwijl er opnames worden gedaan met de Bitcoinkaart. Ook blijkt uit onderzoek dat transacties met deze bitcoins – direct dan wel indirect – via ‘Bitcoinmixers’ of ‘darkweb marketplaces’ plaatsvonden.

De verklaring van de verdachte dat het geld afkomstig was uit donaties via online advertenties acht de rechtbank volslagen onaannemelijk. De verdachte heeft deze verklaring eveneens onvoldoende verifieerbaar gemaakt. Hij krijgt een gevangenisstraf opgelegd van 12 maanden.

Veroordeling voor ‘ontucht buiten echt’, laster, bedreiging en bezit van kinderporno

Het Hof Den Bosch heeft op 5 juli 2019 een verdachte veroordeeld (ECLI:NL:GHSHE:2019:2360) voor ontucht, laster, bedreiging en bezit van kinderporno. De verdacht krijgt een straf opgelegd van. De zaak is interessant, omdat ontucht (met een minderjarige) wordt bewezen zonder dat er lichamelijk contact is geweest. Het Hof acht ‘ontucht buiten echt’ bewezen, omdat er sprake is van ‘enige voor het plegen van ontucht met die minderjarige relevante interactie tussen verdachte en die minderjarige’. Het Hof verwijst daarbij naar HR 30 november 2004, ECLI:NL:HR:2004:AQ0950 en HR 22 maart 2011, ECLI:NL:HR:2011:BP1379.

In dit geval deed de verdachte zich voor op Instagram als een 17-jarige jongen en zocht daarbij contact met een 13-jarig meisje. Hij is zelf begonnen met naaktfoto’s versturen en heeft op listige wijze het slachtoffer overtuigd om drie naaktfoto’s naar hem te sturen. Deze foto’s zijn op zijn telefoon aangetroffen.

In deze omstandigheden waarbij de verdachte ook actief seksueel getinte gedragingen van de minderjarige verlangt en/of door uitlatingen of al dan niet seksuele gedragingen van hemzelf, de ontuchtige gedragingen bevordert of aanmoedigt, is naar het oordeel van het Hof Den Bosch dan ook sprake van handelingen die – gelet op de sociaal-ethische opvattingen over deze handelingen, gepleegd in de context zoals het hof die heeft vastgesteld – zijn aan te merken als het ‘buiten echt’ plegen van ontucht met een minderjarige als bedoeld in artikel 247 Wetboek van Strafrecht.