Enkele hoofdstukken uit de tweede editie van het Basisboek Cybercriminaliteit stel ik, na afloop van de embargoperiode van één jaar, nu in open access beschikbaar. Het gaat om de hoofdstukken ‘Verschijningsvormen van cybercriminaliteit in enge zin’ (.pdf), Verschijningsvormen van gedigitaliseerde criminaliteit (.pdf) en ‘Cybercriminaliteit en opsporing’ (.pdf).
In de tweede druk hebben we gekozen voor twee afzonderlijke hoofdstukken over cybercriminaliteit: één voor elke categorie. Onderaan deze pagina staat de inhoudsopgave van de hoofdstukken, voor een indruk krijgt van de behandelde onderwerpen.
Het studieboek wordt veel gebruikt in criminologie- en strafrechtopleidingen aan verschillende Nederlandse universiteiten en hogescholen. Heeft u vragen of opmerkingen over het boek, of wilt u wijzen op een onvolkomenheid? Dan hoor ik dat graag per e-mail (zie mijn medewerkerspagina).
De overige hoofdstukken in het boek behandelen onder andere criminologische theorieën en cybercriminaliteit, daders en slachtoffers van cybercriminaliteit, en interventiestrategieën. Deze hoofdstukken zijn niet open access beschikbaar, maar het volledige boek is onder andere verkrijgbaar via Boom.nl.
Inhoudsopgaven hoofdstukken
Hoofdstuk 3 – Verschijningsvormen van cybercriminaliteit in enge zin
Jan-Jaap Oerlemans, Wytske van der Wagen & Marleen Weulen Kranenbarg
3.1 Inleiding
3.2 Strafbaarstelling van cybercriminaliteit in enge zin
3.3 Hacken (computervredebreuk)
3.3.1 Strafbaarstelling
3.3.2 Ethisch hacken
3.4 Malware
3.4.1 Info-stealers
3.4.2 Ransomware
3.4.3 Banking malware
3.4.4 Strafbaarstelling
3.5 Botnet
3.5.1 Strafbaarstelling
3.6 Ddos-aanval
3.6.1 Strafbaarstelling
3.7 De rol van social engineering bij cybercriminaliteit
3.8 Toekomstige ontwikkelingen
3.8.1 Meer invloed van statelijke actoren
3.8.2 Het Internet der Dingen
3.9 Tot besluit
3.10 Discussievragen
3.11 Kernbegrippen
Citeerwijze:
J.J. Oerlemans, W. van der Wagen & M. Weulen Kranenbarg, ‘Verschijningsvormen van cybercriminaliteit in enge zin’, p. 69-104 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.
Hoofdstuk 4 – Verschijningsvormen van gedigitaliseerde criminaliteit
Jan-Jaap Oerlemans, Anne de Hingh & Wytske van der Wagen
4.1 Inleiding
4.2 De verschillende lagen van het internet: het clear, deep en dark web
4.3 Online handelsplaatsen
4.3.1 Handelsplaatsen op het clear web
4.3.2 Handelsplaatsen op het dark web
4.3.3 Handelsplaatsen op communicatie-apps
4.3.4 Strafbaarstelling
4.4 Witwassen met virtuele valuta
4.4.1 Regulering
4.4.2 Strafbaarstelling
4.5 Internetoplichting
4.5.1 Strafbaarstelling
4.6 Online zedendelicten
4.6.1 Beeldmateriaal van seksueel misbruik van minderjarigen
4.6.2 Sexting
4.6.3 Misbruik van seksueel beeldmateriaal
4.6.4 Sextortion
4.6.5 Online grooming en sexchatten
4.7 Online uitingsdelicten
4.7.1 Uitingsdelicten en de vrijheid van meningsuiting
4.7.2 Strafbaarstelling van uitingen
4.7.3 Het verwijderen van strafbaar materiaal
4.8 Toekomstige ontwikkelingen
4.8.1 AI en gedigitaliseerde criminaliteit
4.8.2 Criminaliteit in virtual reality- en mixed reality werelden
4.9 Tot besluit
4.10 Discussievragen
4.11 Kernbegrippen
Citeerwijze:
J.J. Oerlemans, A.E. de Hingh, W. van der Wagen, ‘Verschijningsvormen van gedigitaliseerde criminaliteit’, p. 105-164 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.
Hoofdstuk 9 – Cybercriminaliteit en opsporing
Jan-Jaap Oerlemans & Mojdeh Kobari
9.1 Inleiding 287
9.2 Het opsporingsonderzoek en de normering van opsporingsmethoden
9.2.1 De organisatie van opsporing naar cybercriminaliteit in Nederland
9.2.2 De politie
9.2.3 Openbaar Ministerie
9.2.4 Rechterlijke macht
9.2.5 Het strafvorderlijk legaliteitsbeginsel en de IRT-affaire
9.2.6 Stelsel van normering van bijzondere opsporingsbevoegdheden
9.3 Het IP-adres als digitaal spoor
9.3.1 Het opsporingsproces bij een IP-adres als spoor
9.3.2 Het vorderen van gegevens
9.3.3 Digitaal bewijs en onderzoek op gegevensdragers
9.3.4 Regels voor de inbeslagname en onderzoek op gegevensdragers
9.3.5 De netwerkzoeking
9.4 Opsporingsmethoden en de uitdaging van anonimiteit
9.4.1 Anonimiseringstechnieken
9.4.2 Publiek toegankelijke bronnen
9.4.3 Undercoverbevoegdheden
9.5 Opsporingsmethoden en de uitdaging van versleuteling
9.5.1 Versleuteling in opslag
9.5.2 Versleuteling in transport
9.5.3 De hackbevoegdheid
9.6 Jurisdictie en grensoverschrijdende digitale opsporing
9.6.1 Wetgevende jurisdictie
9.6.2 Handhavingsjurisdictie en rechtshulp
9.6.3 Unilaterale digitale opsporing
9.7 Verstoring en de brede bestrijding van cybercriminaliteit
9.8 Tot besluit
9.9 Discussievragen
9.10 Kernbegrippen
Citeerwijze:
J.J. Oerlemans & M. Kobari, ‘Cybercriminaliteit en opsporing’, p. 287-343 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.
7,5 jaar geleden, in maart 2017, verscheen het eerste persbericht op OM.nl over het veiligstellen van berichten die zijn verstuurd met ‘cryptotelefoons’ (ook wel ‘PGP-telefoons’ genoemd) van Ennetcom met de titel ‘Versleutelde berichten: schat aan criminele informatie‘. Sindsdien zijn er negen cryptcommunicatiediensten ontmanteld en gegevens van deze telefoons (met name de berichten gekoppeld aan de verzenders en ontvangers) zijn veiliggesteld. De gegevens wordt geanalyseerd en gebruikt als bewijs in opsporingsonderzoeken.
Deze ‘cryptophone-operaties’ heb ik in de onderstaande tijdlijn gevat:
Hieronder volgt verder een overzicht van de cryptophone-operaties op basis van blogberichten.
De cryptophone-operaties zijn bijzonder belangrijk voor de strafrechtpraktijk en toch is er net na de operaties relatief weinig bekend over het verloop daarvan. In de media worden de cryptophone-berichten ook wel een ‘goudmijn aan bewijs’ genoemd en de gegevens vormen een game changer voor de politie. Strafrechtadvocaten trekken vaak de rechtmatigheid van de operaties in twijfel, maar vooralsnog lijkt de verdediging bot te vangen. Op 13 april 2023 maakte de Landelijke Eenheid ook bekend dat de politie inmiddels 1 miljard “criminele chats” in handen heeft. Duidelijk is wel dat dit om “bulkdata” gaat en dit de brandstof levert voor de nieuwe strategie van “datagedreven opsporing” van de politie en het Openbaar Ministerie.
Voor een presentatie heb ik in oktober 2024 de gepubliceerde uitspraken van rechtbanken (in eerste aanleg dus) op rechtspraak.nl waar in strafzaken een cryptotelefoon wordt genoemd op een rijtje gezet en in onderstaande tabel en diagram geplaatst.
Let op: dit is een indicatie van het aantal veroordelingen en verdeling tussen de cryptotelefoons. Uiteraard zijn er minder uitspraken van meer recente operaties en het komt vaak voor dat meerdere telefoons in één zaak genoemd worden. Neem de cijfers dus met een korreltje zout.
De grote hoeveelheid jurisprudentie en onduidelijkheid over de ‘wat’, ‘wanneer’ en ‘hoe’-vragen vormde voor mij aanleiding dit overzicht te maken (ook voor mijzelf voor toekomstige publicaties). Daarbij heb ik mij gebaseerd op persberichten van het OM, de politie en rechtspraak. Voor iedere operatie liggen de feiten en grondslagen waarop de gegevens zijn verzameld weer anders. In een enkele operatie zijn er serieuze overwegingen over de betrouwbaarheid van de gegevens meegeven. Het is daarom belangrijk steeds af te vragen en na te gaan met welke cryptophone-operatie we in casu te maken hebben.
Hieronder volgt een kort antwoord op deze vragen met links naar de desbetreffende blogs over de operaties.
Ennetcom was een Nederlandse dienstverlener voor versleutelde “PGP” communicatie. De app werd geïnstalleerd op een Blackberry telefoons. De oprichters van het bedrijf zijn uiteindelijk veroordeeld voor deelname aan een criminele organisatie, gewoontewitwassen en medeplegen van valsheid in geschrifte. Tijdens de operatie zijn 3,7 miljoen berichten veiliggesteld. De operatie werd bekend gemaakt op 9 maart 2017.
PGP Safe was de merknaam voor een cryptotelefoon. De software werd geïnstalleerd op Blackberry toestellen. Tijdens de operatie zijn 700.000 berichten veiliggesteld, waarvan er destijds ruim 337.000 ontsleuteld en leesbaar werden gemaakt. Het OM richtte zich aanvankelijk op de leveranciers (‘resellers’) van PGP-cryptotelefoons (met wisselend succes). De operatie werd bekend gemaakt op 9 mei 2017.
IronChat was een app dat geïnstalleerd op Wileyfox-telefoons of Samsung-telefoons (Android). De telefoons technisch zo zijn ingericht dat er geen gebruik gemaakt kan worden van de camera, microfoon of wifi. Bij deze telefoons werd gebruik gemaakt van van end-to-end encryptie door middel van het zogenaamde OTR (Off-The-Record) protocol. Ook was het mogelijk chats of de gehele inhoud van de telefoon op commando te wissen. Het onderzoek richtte zich zowel op de leveranciers als gebruikers van de telefoons. Tijdens de operatie zijn 258.000 berichten veiliggesteld. De operatie werd bekend op 6 november 2018.
EncroChat was een communicatieaanbieder van telefoons, waarmee middels de Encrochat applicatie versleutelde chats, bestaande uit tekstberichten en afbeeldingen, konden worden verzonden en ontvangen en waarmee onderling gebeld kon worden. Gebruikers kochten een telefoontoestel, zoals een Android telefoon, waarop de EncroChat applicaties vooraf geïnstalleerd waren in combinatie met een abonnement om de service te kunnen gebruiken. Geschat wordt dat er wereldwijd destijds tussen de 55.000-60.000 EncroChat telefoons werden gebruikt, waarvan circa 12.000 Nederlandse gebruikers waren en circa 3000 Franse gebruikers. Tijdens de operatie zijn circa 115 miljoen berichten veiliggesteld. De operatie werd bekend gemaakt op 2 juli 2020.
Sky ECC is de naam van het bedrijf dat een versleutelde berichtendienst aanbood. De telefoons werden aangeboden door het bedrijf ‘Sky Global’. Een Sky ECC-toestel is een mobiele telefoon die voorgeprogrammeerd is op iPhones, Google Pixels, Blackberry’s en Nokia’s en met een abonnement ter beschikking werd gesteld. Met de telefoon was het mogelijk versleuteld met elkaar te communiceren. In 2021 had het bedrijf wereldwijd 170.000 gebruikers. Tijdens de operatie zijn naar verluid 1 miljard berichten veiliggesteld, waarvan 500 miljoen ontsleuteld konden worden. De operatie werd bekend gemaakt op 9 maart 2021.
ANOM was een zogenoemde ‘store front’, oftewel een zelf opgezette communicatiedienst door opsporingsautoriteiten. De operatie stond onder leiding van de FBI en de Australische Federal Police met het doel om verdachten van criminele organisaties te identificeren. Tijdens de operatie zijn 27 miljoen berichten onderschept. De operatie werd bekend gemaakt op 8 juni 2021.
Exclu is een type cryptotelefoon, die het mogelijk maakt berichten, foto’s, notities, gesproken memo’s, chatconversaties en video’s met andere Exclu-gebruikers uit te wisselen. Exclu had volgens naar schatting 3000 gebruikers, waarvan 750 Nederlandstaligen. De politie en het Openbaar Ministerie konden vijf maanden de berichten van Exclu-gebruikers meelezen. De operatie werd op vrijdag 3 februari 2023 bekend gemaakt.
De app Ghost bood de een keuze in drie versleutelstandaarden voor versleutelde communicatie en de optie om berichten op de telefoon te vernietigen als een code werd verstuurd. Slechts enkele duizenden personen maakten gebruik van de software, dat draaide op zijn eigen infrastructuur in verschillende landen. De operatie werd op 18 september 2024 bekend gemaakt.
MATRIX werd door de politie gezien als de als de opvolger van voorgangers als ANOM, Sky ECC en EncroChat. De cryptocommunicatiedienst bood een heel ecosysteem aan applicaties aan, waaronder de mogelijkheid om te (video)bellen, transacties bij te houden en geanonimiseerd te internetten. De dienst in een app aangeboden op met name Google Pixel telefoons. MATRIX had minstens 8000 gebruikers wereldwijd. Gedurende en aantal maanden zijn 2,3 miljoen berichten onderschept. Op 4 december 2024 is de operatie bekend gemaakt.
Hoe?
1. Ennetcom (2016) In totaal is 6 Terabyte aan gegevens veiliggesteld bij het Nijmeegse telecombedrijf Ennetcom op een server in Nederland en van een server in Toronto (Canada). Door de Canadese politie zijn de gegevens gekopieerd. Na analyse van de data bleken de kopieën 3,7 miljoen berichten en 193.000 notities te bevatten. Daarnaast bevatte de server de private sleutels van de gebruikers van de klanten van de verdachte. Een Canadese rechter stelde de dataset na een rechtshulpverzoek ter beschikking aan Nederland.
2. PGP Safe (2017) Na een rechtshulpverzoek is een doorzoeking uitgevoerd bij een datacentrum in Costa Rica. Tussen 9 mei 2017 te 18.00 uur en 11 mei 2017 te 09.00 uur zijn bestanden gekopieerd. De BlackBerry Enterprise Server (BES)-infrastructuur bevond zich in twee serverkasten waarvan er één sinds 2012 en één sinds 2016 aan PGP-safe was verhuurd. Het onderzoek is beperkt tot de serverkast die was verhuurd sinds 2012. In overleg met de Costa Ricaanse autoriteiten is bij het veiligstellen prioriteit gegeven aan de zich op die server bevindende virtuele machines met cryptografisch sleutelmateriaal en aan de virtuele machines met emailberichten. De datadragers, waarnaar de data zijn gekopieerd, zijn door de Costa Ricaanse autoriteiten verpakt en overgedragen aan de Nederlandse autoriteiten.
3. Ironchat (2017) Het betrokken Nederlandse bedrijf maakte gebruik van een telecomserver in het Verenigd Koninkrijk. Middels een Europees Onderzoeksbevel (EOB) kreeg het onderzoeksteam de beschikking over een kopie (een ‘image’) van de server van het Nederlandse bedrijf. In het Verenigd Koninkrijk werd zelfstandig onderzoek gedaan naar de versleutelde berichten die via deze server waren verzonden. Van 3 oktober 2018 tot 2 november 2018 werd overgegaan tot het ‘live intercepteren en decrypten van de server’. De Britse autoriteiten hebben toestemming gegeven voor het gebruik van de dataset in opsporingsonderzoeken in Nederland en de gegevens overgedragen.
4. EncroChat (2020) Via JIT en EOB’s in een complex verhaal. Franse autoriteiten verzamelden gegevens met inzet hacking tool en door interceptie op de servers van 1 april 2020 tot 20 juni 2020. Ook zijn images van de servers beschikbaar gesteld door Frankrijk aan Nederland. Nederland zou betrokkenheid hebben gehad in de ontwikkeling van de tool en/of decryptie van de gegevens.
5. Sky ECC (2020) Via JIT en EOB’s in een complex verhaal. Nederlandse technici hebben binnen het JIT een techniek ontwikkeld om een kopie te maken van het werkgeheugen van één van de SkyECC-servers zonder dat die offline zou gaan. De interceptie en kopieën van gegevens hebben gefaseerd plaatsgevonden. Naar verwachting heeft het grootste deel van de interceptie plaatsgevonden vanaf de toestemming door een Franse rechter vanaf 18 december 2020 tot 9 maart 2021, de dag dat de operatie publiek werd.
Door een ‘spontane eenzijdige verstrekking van informatie zonder een voorafgaand verzoek van de Nederlandse opsporingsdiensten’ door de Verenigde Staten van Amerika aan Nederland. De operatie betrof een samenwerking tussen de Verenigde Staten en Australië. Ook stemde een derde land – Litouwen – in met het aanvragen van een rechterlijke machtiging zoals daar vereist was om een iBot server voor de Anom-berichten aldaar te kopiëren en de FBI van de kopie te voorzien conform een rechtshulpverzoek. In oktober 2019 verkreeg het derde land een rechterlijke machtiging.
Vanaf 21 oktober 2019 begon de FBI de serverinhoud van het derde land te verkrijgen. Sinds dat moment heeft de FBI de inhoud van de iBotserver in het derde land op basis van het rechtshulpverzoek bekeken. Ze hebben de berichten indien nodig vertaald en meer dan 20 miljoen berichten van 11.800 toestellen van 90 landen wereldwijd gecatalogiseerd. De top vijf van landen waar de toestellen gebruikt worden betreft Duitsland, Nederland, Spanje, Australië en Servië.
De Nederlandse opsporingsdiensten zouden niet betrokken zijn geweest bij de verkrijging van de gegevens. Wel heeft de Nederlandse software ontwikkeld waarmee de berichten konden worden geanalyseerd en geduid. Deze software is ook beschikbaar gesteld aan Europol, zodat deze dienst de gegevens kon analyseren en beschikbaar stellen aan andere landen.
In Duitsland stond een server bij Cyberbunker en die server is veilig gesteld. Tijdens de operatie is ook de hackbevoegdheid ingezet ten behoeve van een opsporingsonderzoek naar de betrokkenheid naar misdrijven die worden gepleegd in georganiseerd verband. Daardoor kon de politie gedurende vijf maanden de berichten van Exclu-gebruikers meelezen. Bij beschikking van 25 augustus 2022, daarna vijf keer verlengd, heeft de rechter-commissaris machtiging verleend voor het hacken van de server van Exclu in Duitsland. Deze beschikkingen en de verlengingen daarvan werden steeds gevolgd door Europese onderzoeksbevelen (EOB’s) gericht aan de bevoegde Duitse autoriteiten.
Het platform is in Australië sinds 2022 in het vizier gekomen van de Australian Federal Police (AFP). Nadat internationale partners zich ook richten op Ghost gingen ze samenwerken in een Operational Taks Force (OTF) bij Europol. De Australische autoriteiten hebben de Ghost telefoons via een update hebben geïnfecteerd met software (dus gehackt) en daarmee toegang kregen tot gegevens op de telefoons. Verder is nog veel onduidelijk.
De politie meldt dat zij ruim 2,3 miljoen berichten wisten te onderscheppen en een aantal maanden lang konden meelezen. De infrastructuur bestond naar verluid uit meer dan 40 servers, verspreid over meerdere landen, met de belangrijkste servers in Frankrijk en Duitsland. De dienst werd vanuit Spanje aangestuurd door de hoofdverdachte met een Litouwse nationaliteit. De operationele details blijven vooralsnog onbekend.
De Vaste commissie voor Binnenlandse Zaken van de Tweede Kamer houdt zich momenteel bezig met de beoordeling van de voorgenomen wijzigingen op de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). De voorgenomen wijzigingen staan in de hoofdlijnennotitie zijn hoofdzakelijk gebaseerd op de aanbevelingen van de Commissie Jones-Bos, die in 2020 haar – wat premature – evaluatie uitvoerde en in 2021 publiceerde.
Op verzoek van deze commissie hebben wij een zogenoemde factsheet (.pdf) geschreven voor het samenwerkingsverband ‘Parlement & Wetenschap’. In september 2024 hebben wij deze factsheet toegelicht aan de rapporteurs van de commissie: Barbara Kathmann (GroenLinks-PvdA) en Jesse Six Dijkstra (NSC). Deze blog geeft onze factsheet in verkorte vorm weer.
1. Problematiek uitvoering van bulkinterceptie en de hackbevoegdheid
Onze hoofdboodschap is dat de Tijdelijke cyberwet reeds enkele urgente knelpunten in de uitvoering van bijzondere bevoegdheden beoogt op te lossen, maar deze oplossingen niet altijd voldoende duidelijk regelt. Dit is met name zo met betrekking tot de reikwijdte van de rechtmatigheidstoets van de Toetsingscommissie Inzet Bevoegdheden (TIB). De problematiek bij bulkinterceptie op de kabel en de uitvoering van de hackbevoegdheid wordt gekenmerkt door een verschil in interpretatie over de reikwijdte van de toetsing door de TIB bij de inzet van deze bevoegdheden. De Tijdelijke cyberwet verlegt onder meer de voorafgaande toets te naar meer dynamisch toezicht tijdens de uitvoering van deze bevoegdheden. Eerder hebben wij afzonderlijk van elkaar ook betoogd dat dit een goede balans kan opleveren tussen voldoende slagkracht voor de diensten en voldoende waarborgen voor de bescherming van fundamentele rechten.
Het is volgens ons de vraag of de Tijdelijke cyberwet de eerder gesignaleerde knelpunten geheel kan wegnemen. Er bestaat nog steeds onduidelijkheid over het criterium van ‘zo gericht mogelijk’ bij bulkinterceptie, evenals over de reikwijdte van de toetsing door de TIB bij – bijvoorbeeld – de toetsing van technische risico’s bij de inzet van de hackbevoegdheid. Ook blijft onduidelijk of de TIB in het kader van de toets geclausuleerde toestemming mag geven met voorwaarden die zien op de verdere gegevensverwerking, zoals bewaartermijnen voor bulkdatasets of het delen van gegevens met buitenlandse inlichtingen- en veiligheidsdiensten.
Wij zijn ons ervan bewust dat het gebrek aan een effectieve inzet van kabelinterceptie voor een deel is te verklaren door tekorten in IT-capaciteit en achterstanden of uitvoeringsproblemen bij de diensten zelf. Voldoende huisvesting en capaciteit voor de toezichthouders zijn ook cruciaal. Wij realiseren ons terdege dat met wetgeving niet alle problemen kunnen worden opgelost, en dat organisatorische knelpunten ook een rol spelen. Desondanks is voldoende duidelijkheid over taakstellingen van alle betrokken partijen vereist. De voortdurende discussies over kwesties als het gerichtheidsvereiste, klaarblijkelijk ook tussen de TIB en de CTIVD onderling, moeten ophouden. Daarbij is meer afstemming en samenwerking vereist, onder een gedeelde verantwoordelijkheid (zie ook paragraaf 3 onder Toezicht).
2. Bulkdatasets
In de hoofdlijnennotitie worden prima uitgangspunten benoemd voor de omgang met bulkdatasets. Daarbij geldt het devies: ‘bulk is bulk’, ongeacht hoe de data zijn verworven, en is het voornemen om een uniforme regeling voor bulkdatasets te creëren. Daarnaast wordt een stap aan het toestemmingsproces toegevoegd, waarbij de bulkbehoefte voorafgaand aan het toestemmingsverzoek wordt voorgelegd aan de minister.
De hoofdlijnennotitie voorziet desondanks in een differentiatie voor bepaalde bulkdatasets die via de informantenbevoegdheid geraadpleegd kunnen worden. Zoals eerder is betoogd, is het noodzakelijk de informantenbevoegdheid te herzien en een duidelijke en voorzienbare regeling te creëren voor (al dan niet geautomatiseerde) toegang van de AIVD en de MIVD tot gegevens van andere (overheids)instanties. De regeling in de Tijdelijke cyberwet is onvoldoende, omdat bulkdatasets óók kunnen worden verzameld met algemene bevoegdheden, zoals de informantenbevoegdheid, en uit OSINT. Daarnaast kunnen bulkdatasets worden verkregen van buitenlandse inlichtingen- en veiligheidsdiensten in het kader van internationale samenwerking. De Tijdelijke cyberwet is hierop niet van toepassing. Het is goed dat de diensten een eigen tussentijdse regeling aanhouden, maar dit zou bij wet geregeld moeten worden.
3. Toezicht
De hoofdlijnennotitie biedt verschillende scenario’s met betrekking tot het toezichtstelsel. Gezien de discussies en ontwikkelingen in aanloop naar de Tijdelijke cyberwet lijken deze scenario’s al enigszins achterhaald. Met de Tijdelijke cyberwet heeft de wetgever duidelijk gekozen voor meer dynamisch toezicht, met name om de knelpunten van de statische voorafgaande toets tegen te gaan (zie paragraaf 2). Duidelijk is ook dat voor bepaalde bevoegdheden, zoals bulkinterceptie en de hackbevoegdheid, voorafgaande onafhankelijke toetsing noodzakelijk is. De verdere gegevensverwerking en de naleving van andere artikelen in de Wiv 2017 moeten door een onafhankelijk orgaan getoetst worden. Betrokkenen moeten de mogelijkheid hebben een klacht in te dienen, die vervolgens door een onafhankelijk orgaan dient te worden behandeld, en waar bindende beslissingen op kunnen volgen.
Volgens ons wijzen alle pijlen naar het creëren van één toezichthouder die – in aparte kamers – zowel een voorafgaande toets uitvoert, als achteraf toezicht houdt (scenario 3 uit de hoofdlijnennotitie). De Tijdelijke wet laat zien dat de uitvoering van toezicht met end-to-end safeguards ook afstemming vereist tussen de TIB en de CTIVD. De beide toezichthouders hebben zelf in jaarverslagen te kennen gegeven op te willen gaan in één ‘Autoriteit Nationale Veiligheid’. Het moet daarbij mogelijk zijn dat zij staatsgeheime informatie met elkaar delen. In een systeem van checks & balances is de beroepsmogelijkheid op beslissingen van de TIB en bindende oordelen van de CTIVD bij de afdeling bestuursrechtspraak van de Raad van State een welkome aanvulling. Het is echter te vroeg om een appreciatie van dit nieuwe systeem in het kader van de Tijdelijke wet te geven, aangezien er nog geen jurisprudentie ligt.
Uit bovenstaande paragrafen volgt onze aanbeveling dat de ervaringen met de Tijdelijke cyberwet via een volgende evaluatie mee te nemen in een nieuw wetgevingsproces.
4. Grijsgebieden
Ten slotte is het dreigingsbeeld in de afgelopen jaren sterk veranderd. Nieuwe cyberdreigingen – wij noemen in onze factsheet desinformatie en cyberspionage – en ondermijnende criminaliteit worden nu door de AIVD opgepakt. Het is echter maar de vraag in hoeverre al deze dreigingen in gelijke mate de nationale veiligheid raken, en daarmee tot het taakgebied van de diensten zijn te rekenen. Het terugkerende punt is dat veel onduidelijkheid bestaat over de rollen en verantwoordelijkheden van de diensten bij deze nieuwe dreigingen.
Het is ons bijvoorbeeld onvoldoende duidelijk in hoeverre de AIVD, het Nationaal Cyber Security Centrum en andere onderdelen van het ministerie van Justitie en Veiligheid gegevens met elkaar mogen uitwisselen over de (cyber)dreigingen die de nationale veiligheid raken. Afgelopen zomer hebben de AIVD en de MIVD in samenwerking met de Nationale Politie bijvoorbeeld een ‘Russische offensieve cybercampagne verstoord’. Maar dat roept vragen op, zoals: welke bevoegdheden zijn daarvoor ingezet, welke gegevensuitwisseling heeft plaatsgevonden, is dat volgens de regels gegaan, wie is daar verantwoordelijk voor, en hoe wordt daar onafhankelijk en effectief toezicht op gehouden? Dit zijn vragen die niet tot een noemenswaardig parlementair debat hebben geleid, en volgens ons opheldering verdienen.
Wij signaleren soortgelijke grijsgebieden waar het gaat om criminaliteit die de democratische rechtsorde ondermijnt. Dit wordt wel als taakgebied op de website van de AIVD vermeld, maar is niet terug te vinden in de toelichting op de openbare versie van de Geïntegreerde Aanwijzing van 2023-2026. Het begrip ‘ondermijnende criminaliteit’ is op zichzelf al problematisch, omdat uit onderzoek blijkt dat niet duidelijk is wat met het begrip wordt bedoeld.
Kortom, meer duidelijkheid over de rollen en verantwoordelijkheden van de diensten bij deze nieuwe dreigingen is noodzakelijk. Daarbij moet ook antwoord komen op de vraag of de diensten actief gegevens verzamelen over deze dreigingen door de inzet van bijzondere bevoegdheden, om ook niet-traditionele afnemers, zoals bedrijven, handelingsperspectief te bieden. Mogelijk leidt een debat – en nopen de antwoorden op deze vragen – tot verdere aanpassingen van een nieuwe Wet op de inlichtingen- en veiligheidsdiensten.
Bron: AFP, ‘Operation Kraken’, YouTube, 18 september 2024
Op 18 september 2024 hebben buitenlandse politieorganisaties de cryptocommunicatiedienst ‘Ghost’ ontmanteld.
Cryptocommunicatiedienst Ghost
Ghost stond volgens Europol vooral bekend vanwege zijn ‘geavanceerde’ beveiligingsmaatregelen. Gebruikers konden de tool aanschaffen zonder persoonsgegevens af te geven. De tool bood een keuze in drie versleutelstandaarden en de optie om berichten op de telefoon te vernietigen als een code werd verstuurd.
Slechts enkele duizenden personen maakten gebruik van de software, dat draaide op zijn eigen infrastructuur in verschillende landen. De servers bevonden zich in Frankrijk en IJsland (en in Zweden volgens de persconferentie), de eigenaren in Australië (deze zijn daar ook opgepakt) en de financiële ‘assets’ in de Verenigde Staten.
In september 2024 waren 51 verdachten gearresteerd, waarvan 38 in Australië en 11 in Ierland. De Australian Federal Police (AFP) meldt dat 50 ‘threaths to life’-incidenten voorkomen, een aantal drugslabs zijn ontmanteld en ongeveer 1 miljoen in cash is in beslag genomen. In Australië maakten volgens de AFP ‘outlaw motercycle gangs’, ‘middle eastern organised crime groups’, ‘Italian organised crimes’ en ‘Korean organised crime’ gebruik van de dienst voor drugshandel en moordopdrachten. Zij verdenken honderden verdachten, waaronder zeer bekenden bij de politie. In Italië is ook een bekende verdachte van de mafia opgepakt.
Internationale politieoperatie en resultaten
Negen politieorganisaties, hebben in samenwerking met Europol de dienst opgerold en gegevens verzameld. Europol benadrukt haar rol met de wat onduidelijke zin: “Due to the complexity of this data-driven investigation, a number of teams at Europol were involved with specialised technical skills, including cyber-related.”
In maart 2022 werd bij Europol een Operationele Taskforce (OTF) opgericht met instanties uit Australië, Canada, Frankrijk, Ierland, Italië, Nederland, Zweden en de Verenigde Staten. Deze taskforce heeft de wereldwijde technische infrastructuur in kaart gebracht, de belangrijkste leveranciers en gebruikers van het platform geïdentificeerd, het criminele gebruik ervan gemonitord en de gecoördineerde acties uitgevoerd om het platform te sluiten. In januari 2024 is ook een JIT opgezet tussen Franse en Amerikaanse autoriteiten.
Verloop Operation Kraken en hack
Het is vooralsnog onduidelijk hoe de operatie is verlopen, die in Australië ‘Operation Kraken’ werd genoemd. In het persbericht van de AFP en bovenstaande YouTube video over de persconferentie wordt enige duidelijkheid gegeven.
Ghost is al ongeveer negen jaar (dus in 2015) ontwikkeld. In Australië waren 376 telefoons actief. Het platform is in Australië sinds 2022 in het vizier gekomen van de Australian Federal Police (AFP). Nadat internationale partners zich ook richten op Ghost gingen ze samenwerken in het OTF.
Interessant is dat de Australische autoriteiten de Ghost telefoons via een update hebben geïnfecteerd met software (dus gehackt) en daarmee toegang kregen tot gegevens op de telefoons. In het AFP bericht staat daarover het volgende:
“While the AFP worked within the taskforce, it also established Operation Kraken after developing a covert solution to infiltrate Ghost.
The administrator regularly pushed out software updates, just like the ones needed for normal mobile phones.
But the AFP was able to modify those updates, which basically infected the devices, enabling the AFP to access the content on devices in Australia.”
Versplintering van de markt
Europol legt zelf op hun website uit dat het landschap van versleutelde communicatie is steeds gefragmenteerder geworden, als gevolg van recente acties met betrekking tot cryptocommunicatienetwerken (zie ook mijn pagina Overzicht cryptophone operaties).
Criminele actoren wenden zich nu tot verschillende minder gevestigde of op maat gemaakte communicatiemiddelen die verschillende gradaties van veiligheid en anonimiteit bieden. Zo zoeken ze naar nieuwe technische oplossingen en maken ze ook gebruik van populaire communicatietoepassingen om hun methoden te diversifiëren. Deze strategie helpt deze actoren te voorkomen dat hun volledige criminele operaties en netwerken op één enkel platform worden blootgesteld, waardoor het risico op onderschepping wordt verkleind.
Het landschap van versleutelde communicatie blijft dus zeer dynamisch en gesegmenteerd, hetgeen de rechtshandhaving volgens Europol voor voortdurende uitdagingen stelt. Bijna ironisch – gezien de meer dan een miljard verzamelde versleutelde berichten en meer dan 6500 arrestaties uit voorgaande cryptophone operaties – wordt door Europol in het persbericht daarom (wederom) een oproep gedaan tot toegang tot versleutelde berichten bij communicatiediensten.
Bron: dit is een met AI gegenereerde afbeelding door WordPress
Dit bericht is geüpdatet op 7 maart 2025
Exclu is een type cryptotelefoon, die het mogelijk maakt berichten, foto’s, notities, gesproken memo’s, chatconversaties en video’s met andere Exclu-gebruikers uit te wisselen. Exclu had volgens een persbericht van Openbaar Ministerie naar schatting 3000 gebruikers, waarvan 750 Nederlandstaligen. In het persbericht van Eurojust is te lezen dat een server in Duitsland stond.
De politie en het Openbaar Ministerie konden vijf maanden de berichten van Exclu-gebruikers meelezen. Hierbij waren onder meer zeven politie-eenheden, de FIOD en Rijksrecherche betrokken. Op vrijdag 3 februari 2023 is de berichtendienst ontmanteld. Daarbij vonden 79 doorzoekingen plaats, werden 200 telefoon in beslag genomen en vonden 42 aanhoudingen plaats in onder meer Nederland, Duitsland en België. Onder de aangehouden personen zijn zowel gebruikers, als ook eigenaren en beheerders van de dienst Exclu.
Cyberbunker
In mediaberichten (zoals in het Parool) is verder te lezen dat Exclu rond 2015 is ontwikkeld door Herman Johan X.. De Nederlandse ict’er runt in Duitsland een computercentrum in een voormalige Navo-bunker (‘Cyberbunker’ genoemd). In het artikel van het Parool is te lezen dat toen de datakabel van de server in september 2022 werd verwisseld, de politie vijf maanden de berichten kon meelezen.
Dit achtergrondartikel over cyberbunker van Tweakers.net is ook lezenwaardig. Daar is in te lezen dat X. door de Duitse rechtbank is veroordeeld tot vijf jaar en negen maanden gevangenisstraf wegens het vormen van en deelnemen aan een criminele organisatie waar hij aan het hoofd stond. De rechtbank oordeelde dat X en medeverdachten zich niet schuldig hadden gemaakt aan medeplichtigheid aan de strafbare feiten die zijn gepleegd op de illegale marktplaatsen die op de servers in de bunker werden gehost. Inmiddels is volgens Der Spiegel een nieuw strafbaar feit aan het Duitse wetboek van strafrecht toegevoegd, die gaat over ‘strafrechtelijke aansprakelijkheid voor het exploiteren van criminele handelsplatforms op internet’. Het is een strafbaar feit om ‘een handelsplatform op internet te exploiteren dat tot doel heeft het plegen van illegale handelingen mogelijk te maken of te bevorderen’.
Onderzoek ’26Samber’ en ’26Lytham’
De cryptophone-onderzoeken met betrekking tot Exclu hebben de namen ‘26Samber’ en ‘26Lytham’. Het onderzoek 26Samber, dat startte in september 2020, richt zich op de aanbieders van het platform Exclu. Het onderzoek 26Lytham is op 28 april 2022 gestart en richt zich op de gebruikers van Exclu van wie wordt vermoed dat zij in georganiseerd verband misdrijven plegen.
De doelstelling van onderzoek 26Lytham is het identificeren van de NN-gebruikers van Exclu. Deze informatie wordt vervolgens uitgegeven aan ‘titel IVa-doelonderzoeken’, oftewel gebruikt ten behoeve van andere opsporingsonderzoeken. De rechtbank Zeeland-West-Brabant leidt in ECLI:NL:RBZWB:2024:8122 uit de verantwoordingsstukken over onderzoek 26Lytham af dat dit onderzoek is aangevangen met het doel om de identiteit te achterhalen van de NN-gebruikers van Exclu. Op basis van die doelstelling is berichtenverkeer tussen de gebruikers van Exclu onderschept en ontsleuteld. Omdat de server van Exclu zich op dat moment in Duitsland bevond, heeft voor de interceptie van de berichtenstroom en het verkrijgen van de sleutels een hack plaatsgevonden op de server. De Duitse politiële autoriteiten zijn daartoe overgaan, nadat Nederland hiertoe een verzoek heeft gedaan.
Het Duitse Landeskriminalamt (LKA) Rheinland-Pfalz startte in juni 2020 ook een onderzoek naar Exclu. In het persbericht staat hierover: ‘in goede samenwerking kon Nederland in Duitsland onderzoek doen met oog op het verkrijgen van bewijsmateriaal voor haar onderzoek’. Onderzoek Nuntius betreft een Duitse strafzaak, onder kenmerk 3StR 306/22, waarop het Bundesgerichtshof in Karlsruhe op 12 september 2023 uitspraak heeft gedaan. Dit is een verwijzing naar de ‘Cyberbunker-uitspraak’.
In een tussentijdse beslissing in hoger beroep (ECLI:NL:GHDHA:2025:274) van 21 januari 2025 verduidelijkt het gerechtshof Den Haag de rol van de Nederlandse opsporingsinstanties in het Exclu-onderzoek
Het hof overweegt hierover dat uit de bewoordingen van het EOB, inzake de machtiging ex artikel 126uba Sv van de rechter-commissaris van 26 augustus 2022, volgt dat aan de Duitse autoriteiten is verzocht om Nederlandse opsporingsambtenaren toestemming te verlenen om vanaf Nederlands grondgebied binnen te dringen in een zich in Duitsland bevindende Exclu-berichtenserver. Tevens is verzocht om technische bijstand te mogen verlenen bij de plaatsing en monitoring van het interceptiemiddel. Daarnaast staat in het EOB vermeld dat de ontsleuteling van de Exclu-berichten in Nederland zal plaatsvinden. Het hof constateert op basis van het dossier dat de Nederlandse politie (team DIGIT) de in het Exclu-communicatieprotocol toegepaste versleuteling heeft geanalyseerd en ongedaan heeft gemaakt.
De advocaat-generaal heeft uitdrukkelijk erkend dat Nederlandse opsporingsambtenaren in het Exclu-onderzoek zelfstandig opsporingshandelingen hebben verricht. Hij heeft hun rol zelfs als ‘leidend’ bestempeld. Het dossier bevat een grote hoeveelheid stukken, waaronder vorderingen tot machtiging ex artikel 126uba Sv, beslissingen van de rechter-commissaris, bevelen van de officier van justitie, EOB’s en processen-verbaal van politie, waarin gedetailleerd wordt omschreven welke onderzoekshandelingen zijn verricht. Het gerechtshof overweegt daarop dat de onderzoekshandelingen onder de verantwoordelijkheid van de Duitse autoriteiten hebben plaatsgevonden. Het hof acht het vertrouwensbeginsel ook in deze omstandigheden onverkort van toepassing.
Machtiging voor het tappen van de server en inzet hackbevoegdheid
In een uitspraak (ECLI:NL:RBGEL:2024:4183) van de rechtbank Gelderland van 4 juli 2024 staat dat op 22 juli 2022 een rechter-commissaris een machtiging verleent voor het voor het tappen van Exclu-verkeer van de Duitse server. Deze machtiging is daarna zes keer verlengd. In de eerste beschikking wordt verwezen naar de daaraan voorafgaande vordering met het proces-verbaal van verdenking van 20 juli 2022. In het proces-verbaal van verdenking wordt beschreven dat de Exclu applicatie via geselecteerde “resellers” wordt verkocht waarbij uitsluitend contant of via bitcoin wordt betaald, terwijl geen enkele identificatie plaatsvindt. De Exclu applicatie heeft kenmerken zoals “panic button”, “icon change” en “dummy applicaties” waarmee kennelijk het gebruik van Exclu wordt beoogd te verhullen.
In de tweede beschikking, van 25 augustus 2022, heeft de rechter-commissaris een machtiging verleend voor het hacken van de server van Exclu in Duitsland (ex. artikel 126uba Sv) (zie ECLI:NL:RBZWB:2024:8122). Deze machtiging is vijf keer verlengd. Aan de tweede beschikking is een vordering voorafgegaan, met daarbij het proces-verbaal met kenmerk 26Lytham-00053 en verwijzing naar het eerder overgelegde proces-verbaal van verdenking met kenmerk 26Lytham-0026. Deze beschikkingen en verlengingen zijn steeds opgevolgd door Europese onderzoeksbevelen, gericht aan de bevoegde Duitse autoriteiten.
Voorwaarden machtiging inzet hackbevoegdheid
In de beschikking van 25 augustus 2022 werden aan de verleende machtiging de volgende voorwaarden verbonden (zie ECLI:NL:RBGEL:2024:4183). De vergaarde informatie slechts mag worden doorzocht op vast te leggen zoeksleutels, terwijl de met die zoeksleutels geselecteerde informatie eerst aan de rechter-commissaris moet worden voorgelegd om de inhoud, omvang en relatie tot de vermoedelijk gepleegde of te plegen strafbare feiten te controleren. Pas daarna mag het beschikbaar komen aan het openbaar ministerie of de politie ten behoeve van (opsporings-)onderzoeken. Bovendien is aan de machtiging de absolute randvoorwaarde verbonden dat de vergaarde informatiecommunicatie slechts ter beschikking mag worden gesteld voor onderzoeken naar strafbare feiten als bedoeld in artikel 67 Sv eerste lid in georganiseerd verband gepleegd of beraamd en die gezien hun aard of de samenhang met andere misdrijven die in dat georganiseerde verband worden beraamd of gepleegd een ernstige inbreuk op de rechtsorde maken, dan wel misdrijven met een terroristisch oogmerk.
Hackbevoegdheid en betrouwbaarheid van bewijs
In de eerder aangehaalde uitspraak (ECLI:NL:RBGEL:2024:4183) van de rechtbank Gelderland overweegt de rechtbank over de betrouwbaarheid van het bewijs het volgende. Gelet op het arrest van de Hoge Raad van 13 juni 2023, ECLI:NL:HR:2023:913 mag de rechtbank voor de Exclu-data in de strafzaak tegen verdachte, die door tappen van berichten en hacken van de server onder verantwoordelijkheid van de Duitse autoriteiten is verkregen, behoudens concrete aanwijzingen voor het tegendeel, van de betrouwbaarheid van het onder verantwoordelijkheid van de Duitse autoriteiten verrichte onderzoek, uitgaan.
Zowel over de Encrochat-data als de Exclu-data is een NFI rapportage opgemaakt waarin de deskundige verklaart dat er geen redenen gevonden zijn om te twijfelen aan de correctheid van de berichten uit het technisch hulpmiddel, behalve de fout met de omgedraaide bellende en gebelde tegenpartij. De datasets zijn weliswaar niet volledig in die zin dat zij niet alle ooit met de accounts verzonden of ontvangen berichten bevatten, maar dat kan verklaard worden door de automatische wisfunctie en/of het handmatig wissen van berichten. De gegevens van Exclu zijn voor 99,6 % volledig, waarbij het verschil met 100% komt door het ontbreken van interceptie-gegevens op 3 januari 2023 tussen 13:16 en 14:51 uur. Een aantal berichten is dubbel veiliggesteld, maar deze discrepantie heeft geen invloed op het gebruik van de gegevens verkregen uit de interceptie van de Exclu-berichten dienst. De verdediging draagt onvoldoende concrete aanwijzingen aan over de onbetrouwbaarheid van de Exclu-data. Het enkele noemen van een verkeerde toeschrijving van een bericht aan een bepaald account in een ander onderzoek volstaat daartoe volgens de rechtbank niet.
Geheimhouders
In het persbericht van Exclu staat ditmaal expliciet een oproep aan geheimhouders om zich te melden:
“Gebruikers van Exclu die zich kunnen beroepen op het wettelijk verschoningsrecht, zoals advocaten, notarissen, artsen of geestelijken, kunnen dit melden. Zij dienen hun gebruikersgegevens te delen met de politie via geheimhouders@OM.nl. De politie zal dit controleren en indien gegrond, de gegevens verwijderen. Op dit moment kan niemand meer gebruikmaken van de diensten van Exclu.”
Deze blog wordt geüpdatet als nieuwe informatie over de operatie via de rechtspraak bekend wordt. Op 30 augustus 2024 is dit bericht voor het laatst geüpdatet.
Hoge Raad: het woord website kwalificeert niet als geautomatiseerd werk
De Hoge Raad heeft op 19 maart 2024 in een arrest (ECLI:NL:HR:2024:455) bevestigd dat de woorden ‘website van [huisartsenpost]’ niet kan worden begrepen als een ‘een inrichting die de functionaliteit van website in stand houdt’, of als aanduiding van “gedeelte van” geautomatiseerd werk (in de zin van art. 80sexies Sr (oud)).
In de onderhavige zaak heeft het hof Den Haag (ECLI:NL:GHDHA:2022:1551) de woorden “website van [huisartsenpost]” opgevat als een aanduiding in de tenlastelegging van het geautomatiseerd werk waarop is binnengedrongen of waarvan een gedeelte is binnengedrongen. Daarbij heeft hof overwogen dat die website als zodanig “feitelijk slechts bestaat uit samenstel van gegevens, geen fysieke vorm heeft en derhalve karakter van ‘inrichting’ ontbeert”.
Het hof Den Haag heeft de verdachte vrijgesproken, omdat de (in cassatie niet bestreden) dergelijke website op zichzelf niet als geautomatiseerd werk kan worden aangemerkt. De uitleg die hof heeft gegeven aan de tenlastelegging met het daarin voorkomend begrip “(gedeelte van) een geautomatiseerd werk”, welk werk bestond uit “website van [huisartsenpost]” is, mede in licht van wat is vooropgesteld en ontbreken van concrete aanduiding op welke daar bedoelde inrichting de tenlastelegging op ziet, niet onverenigbaar met bewoordingen van tenlastelegging en moet in cassatie worden geëerbiedigd.
De klacht dat “website van [huisartsenpost]” in tenlastelegging moet worden begrepen als een inrichting die de functionaliteit van website in stand houdt, of als aanduiding van “gedeelte van” geautomatiseerd werk, faalt daarom.
Veroordeling voor grootschalige bankmedewerkerfraude
Op 12 maart 2024 heeft de rechtbank Amsterdam een verdachte veroordeeld voor drie jaar gevangenisstraf, waarvan een jaar voorwaardelijk, vanwege grootschalige en jarenlange internationale bankmedewerkerfraude, phishing en witwassen (ECLI:NL:RBAMS:2024:1419).
De verdachte veroordeelt voor:
Het – samen met anderen – stelen van geldbedragen van rekeninghouders van de ING Bank/Rabobank/Regiobank met gebruikmaking van onder valse voorwendselen en/of diefstal verkregen (inlog)gegevens, pincodes en/of bankpassen in de periode van 29 januari 2021 tot en met 21 november 2022 te Amsterdam (zaaksdossiers Anydesk en [X];
Het samen met anderen bewegen van rekeninghouders tot afgifte van geldbedragen (totaal € 24.989,34) door zich onder valse naam voor te doen als bankmedewerker en de rekeninghouders onder valse voorwendselen, namelijk problemen met hun bankrekening(en), het programma Anydesk te laten installeren en een externe (remote) verbinding laten accepteren, waarna de computers van deze rekeninghouders werden binnengedrongen en de verdachte en/of zijn mededaders vervolgens toegang hadden tot (inlog)gegevens en bankpas(sen) van de rekeninghouders in de periode van 13 november 2022 tot en met 21 november 2022 te Amsterdam;
Het voorhanden hebben van meerdere phishinglinks, phishingpanels, software voor het geautomatiseerd doorgeven van gegevens, leads(lijsten), targetlijsten en (bulk)sms-berichten, in de periode van 1 mei 2021 tot en met 13 december 2022 te Amsterdam, waarvan verdachte wist dat die bestemd waren tot het plegen van oplichting, diefstal, afpersing of verduistering (zaaksdossier [naam 1] en zaaksdossier Phishing panels en leads);
Het voorhanden hebben van 41 servers en/of phishingpanels en/of programma’s/software voor het geautomatiseerd doorgeven van gegevens, telkens met de bedoeling om (inlog)gegevens af te vangen en/of te verkrijgen die toegang geven tot een of meerdere bankrekeningen in de periode van 14 maart 2021 tot en met 13 december 2022 te Amsterdam;
Gewoontewitwassen van meerdere geldbedragen (totaal € 790.011,05) in de periode van 1 augustus 2021 tot en met 5 juli 2023 te Amsterdam (Algemeen dossier en zaaksdossier witwassen).
De politie heeft ook onderzoek gedaan naar bankrekeningen op naam van anderen (money mules), waarvan wordt vermoed dat verdachte daar beschikking over had en die gebruikt werden om crimineel geld wit te wassen, net als vervolgonderzoek naar de bekende bankrekeningen van verdachte en zijn cryptovermogen. Gelet op de eerdere overwegingen waarin de rechtbank de diefstallen, de oplichtingen en het voorhanden hebben van phishing panels, leads en technische hulpmiddelen bewezen acht, en gelet op de hoogte van de geldbedragen die niet kunnen worden verklaard uit legale inkomsten of vermogenscomponenten van verdachte, is er een gerechtvaardigd witwasvermoeden. Dat betekent dat van verdachte een verklaring over de herkomst van het geld mag worden verlangd. Voor zover het bewijsoordeel van de rechtbank in weerwil is van de verklaring van verdachte en/of de betwisting van het witwasbedrag door de verdediging, gaat de rechtbank daar in de uitspraak op in.
De rechtbank overweegt dat de verdachte is op jonge leeftijd begonnen met deze feiten en is ondanks een eerdere veroordeling ermee doorgegaan. Uit de aangiftes is af te leiden dat de slachtoffers te goeder trouw waren. Dit vertrouwen heeft verdachte in grove mate beschadigd. Bovendien gaat het in veel gevallen om mensen op leeftijd. Deze mensen hebben doorgaans in hun leven jarenlang hard gewerkt en gespaard om op hun oude dag nog te kunnen genieten van hun pensioen. Verdachte en zijn mededaders hebben het structureel zonder aarzeling op deze doelgroep gemunt. De verdachte zat diep in een groot crimineel netwerk waarin hij gemakkelijk aan target- en leadslijsten kon komen. Hij verrichte niet alleen strafbare handelingen voor zichzelf, maar deed dat ook als vriendendienst voor anderen. Zo was hij naar eigen zeggen goed in het vrijmaken van buitgemaakt geld, maar ook in andere zaken, zoals het vervalsen van identiteitsdocumenten en facturen en het misleiden van de bank en cryptobedrijven.
De rechtbank overweegt ook – met de gebruikelijke sterke bewoordingen – dat het witwassen van criminele gelden ‘een bedreiging van de legale economie vormt en de integriteit van het financiële en economische verkeer aantast. Het heeft een corrumperende invloed op het normale handelsverkeer en is daarmee ook een bedreiging voor de samenleving’. Witwassen bevordert het plegen van delicten, omdat door het wegsluizen van crimineel geld en/of het verschaffen van een schijnbaar legale herkomst van criminele gelden de opsporing van de onderliggende misdrijven wordt bemoeilijkt en zonder witwassen het genereren van illegale winsten een stuk minder lucratief zou zijn. De rechtbank vindt het verder extra kwalijk dat verdachte reeds eerder is veroordeeld en in twee proeftijden liep.
De rechtbank veroordeelt verdachte voor het (mede)plegen van meerdere diefstallen met valse sleutel, oplichtingen, voor het voorhanden hebben van voorwerpen en gegevensdragers die geschikt zijn om deze feiten mee te plegen met het oogmerk dat die feiten werden gepleegd (art. 139d en 234 Sr) en voor gewoontewitwassen voor een bedrag van € 762.812,42.
Digitaal bewijs bij gewapende roofoverval
De rechtbank Noord-Holland heeft op 29 april 2024 enkele verdachten veroordeeld voor een roofoverval. De uitspraak (ECLI:NL:RBNHO:2024:4337) is interessant vanwege de interessante overwegingen omtrent digitaal bewijs, namelijk een analyse van reisbewegingen van mobiele telefoon en cryptotransacties.
De verdachte heeft zich samen met anderen schuldig gemaakt aan een uiterst professioneel ogende en goed voorbereide gewapende overval. Er zijn voorverkenningen geweest en het slachtoffer is toen hij nietsvermoedend naar zijn auto liep om naar zijn werk te gaan, opgewacht door meerdere daders met zwarte sjaals voor hun mond, waarbij de ene dader een vuurwapen op zijn hoofd richtte, een tweede zijn koffer afpakte en de derde zijn autosleutel. Het slachtoffer is vervolgens door de daders gedwongen om achterin zijn eigen auto te gaan zitten. Tijdens het rijden zijn de polsen van het slachtoffer met tie-rips aan elkaar gebonden.
De verdachte werd onder bedreiging van het vuurwapen gedwongen zijn telefoons af te geven. Ook moest hij de pincodes voor zijn telefoon en zijn KuCoin-app – een app waarin cryptoportemonnees (“wallets”) beheerd kunnen worden – aan de mannen vertellen. De daders hebben hierna ruim 859 Monero aan cryptovaluta afgeboekt, met een waarde van op dat moment € 186.507,39. Het slachtoffer is ruim een uur van zijn vrijheid beroofd geweest en is uiteindelijk alleen en zonder telefoons achtergelaten in zijn auto.
In de bewijsmotivering staat dat celmateriaal was aangetroffen op de jas en de kabelbinders van het slachtoffer dat hoogstwaarschijnlijk aan de daders toebehoorden. Verder speelde nadrukkelijk als bewijs mee: (a) bewijsmiddelen met betrekking tot de telefoonnummers van de verdachten, (b) bewijsmiddelen met betrekking tot reisbewegingen van en onderlinge contacten tussen vermeende dadertelefoons, (c) bewijsmiddelen met betrekking tot een link tussen een vermeende dadertelefoon en het slachtoffer en (d) bewijsmiddelen met betrekking tot cryptotransacties.
Dit heeft geleid tot onderstaande tabel, waarbij de aangehaalde plaatsen steeds betekenen dat het betreffende telefoonnummer een zendmast in die plaats aanstraalt.
Verklaring [slachtoffer] / camerabeelden
Reisbewegingen [telefoonnummer 6] 6
Reisbewegingen [telefoonnummer 7] 7
Reisbewegingen [telefoonnummer 8] 8
06:25 tot 06:39 uur – Berkhout
06:26 uur – Berkhout
06:51 uur – Berkhout
07:08 uur – [slachtoffer] loopt naar zijn auto, geparkeerd in Hoorn
07:11 uur – de auto van [slachtoffer] rijdt weg van parkeerplaats in Hoorn
07:11 tot 07:16 uur – Hoorn
07:11 uur – Berkhout
07:17 uur – Berkhout
07:17 uur – Hoorn
07:22 uur – Scharwoude
07:23 uur – Berkhout
07:23 uur – Scharwoude
07:23 – Scharwoude
± 07:26 uur – één van de daders stapt uit de auto (exacte locatie onbekend)
07:26 uur – Oosthuizen
07:27 uur – De Goorn
07:35 uur – Purmerend
07:35 uur – Wijdewormer
07:34 uur – Purmerend
08:09 uur – Zuidoostbeemster
08:09 uur – Oosthuizen
08:15 uur – de andere twee daders zijn ook uitgestapt en laten de auto en [slachtoffer] achter in Middelie
08:15 uur – Purmerend
08:15 uur – Uithoorn
De rechtbank concludeert dat de drie telefoons op 1 oktober 2021 tussen 06:25 uur en 07:35 uur min of meer dezelfde reisbewegingen maken. Er zijn geen registraties van deze nummers meer na 1 oktober 2021 om 08:15 uur. De nummers zijn niet op naam gesteld.
Ook heeft de politie onderzoek gedaan naar de bankrekeningen de verdachten, is informatie opgevraagd bij KuCoin en andere cryptoplatforms, en is de inbeslaggenomen telefoon van de verdachte onderzocht. Op die telefoon zijn foto’s aangetroffen van zogenoemde ‘seed phrases’. Met gebruik van deze seed phrases kon onder meer een wallet die op de Monero blockchain draaide, hersteld worden. Daaruit blijkt dat de verdachten en tweemedeverdachten kort na de overval op het slachtoffer Monero ontvingen in hun – zeer recent geopende – cryptowallets.
De combinatie van deze bewijsmiddelen leidt tot vaststelling van de schuld van de verdachte. De verdachte in de onderhavige uitspraak wordt veroordeeld tot een gevangenisstraf voor de duur van 48 maanden. Ook krijgt het slachtoffer een vergoeden van de gelede schade van € 197.035,39, bestaande uit € 187.035,39 als vergoeding voor de materiële en € 10.000,00 als vergoeding voor de immateriële schade. De rechtbank overweegt daarbij als strafvermeerderende omstandigheid dat de overval grote financiële en psychische gevolgen heeft gehad voor het slachtoffer.
Geen teruggave versleutelde telefoon
De rechtbank Zeeland-West-Brabant publiceerde op 19 april 2024 een interessante beslissing gewezen (ECLI:NL:RBZWB:2024:2634) over een inbeslaggenomen telefoon van een verdachte in een grootschalig onderzoek waarbij hij in verband wordt gebracht met een Exclu-account op een cryptotelefoon.
De raadkamer van de rechtbank overweegt over het klaagschrift van de klager (de bovengenoemde verdachte), het volgende.
Volgens vaste jurisprudentie van de Hoge Raad sinds HR 28 september 2010, ECLI:NL:HR:2010:BL2823, NJ 2010/654, r.o. 2.8 en 2.9, dient de rechter, in geval van een klaagschrift tegen een op grond van artikel 94 Sv gelegd beslag:
a. te beoordelen of het belang van strafvordering het voortduren van het beslag vordert, en zo neen,
b. de teruggave van het inbeslaggenomen voorwerp te gelasten aan de beslagene, tenzij een ander redelijkerwijs als rechthebbende ten aanzien van dat voorwerp moet worden beschouwd.
In dit laatste geval moet het klaagschrift van de beslagene ongegrond worden verklaard en kan, mits de hiervoor bedoelde ander zelf een klaagschrift heeft ingediend, de teruggave aan die rechthebbende worden gelast. Het belang van strafvordering verzet zich tegen teruggave indien het veiligstellen van de belangen waarvoor artikel 94 Sv de inbeslagneming toelaat, het voortduren van het beslag nodig maakt.
De rechtbank is van oordeel dat het belang van strafvordering zich verzet tegen teruggave van de telefoon. Zij overweegt daarbij dat politie en justitie begrijpelijkerwijs geïnteresseerd zijn in de telefoon van klager. Tot op heden is het de politie namelijk niet gelukt om alle gegevens op de telefoon te ontsleutelen. Klager heeft geweigerd de code van de telefoon te verstrekken.
Uit het proces-verbaal van bevindingen met nummer 1009 blijkt dat het met de huidige methoden en technieken niet mogelijk is gebleken om de gegevens op het toestel inzichtelijk te maken en dat het bij eventuele toekomstige pogingen noodzakelijk is dat de politie over de telefoon kan beschikken.
Daarnaast is de rechtbank van oordeel dat, mede gelet op het voornoemde, het belang van strafvordering niet in strijd komt met de beginselen van proportionaliteit en subsidiariteit. Dat de klager zijn telefoon nodig heeft voor zijn onderneming en om zijn bankzaken te regelen maakt dit oordeel niet anders. Gelet op de huidige technologische mogelijkheden – bijvoorbeeld via iCloud – is het niet ondenkbaar dat klager op een andere wijze beschikking krijgt over de gegevens en documenten die hij op de telefoon had opgeslagen. Daarom is het klaagschrift ongegrond.
Vormfouten bij hackbevoegdheid leidt niet tot sancties
Op 15 april 2024 wees de rechtbank Overijssel een interessante uitspraak (ECLI:NL:RBOVE:2024:2048), waar op de toepassing van de hackbevoegdheid wordt ingegaan. De rechtbank stelt op basis van het dossier vast dat de bevoegdheden ex artikel 126m, 126l en 126nba Sv zijn ingezet, telkens na machtiging van de rechter-commissaris. Aan elk van deze bevelen ligt een proces-verbaal ten grondslag met (aanvullende) informatie die, bezien in onderling verband en samenhang, met de eerdere informatie voldoende grond vormt voor de verdenking van in ieder geval overtreding van de Opiumwet, feiten die gezien hun aard of de samenhang met andere feiten een ernstige inbreuk op de rechtsorde opleveren. De rechtbank is van oordeel dat de rechter-commissaris in al die gevallen in redelijkheid tot zijn oordeel omtrent de afgegeven machtigingen heeft kunnen komen.
Het standpunt van de verdachte ten aanzien van artikel 126nba Sv dat het opsporingsmiddel geen geschikt en goedgekeurd technisch hulpmiddel betreft, vindt voor wat betreft het niet gekeurd zijn van het opsporingsmiddel naar het oordeel van de rechtbank steun in de processen-verbaal aanvragen en bevelen onderzoek geautomatiseerd werk (artikel 126nba). Volgens artikel 21, tweede lid, van het Besluit onderzoek in een geautomatiseerd werk (hierna: Bogw) is dit toegestaan. Zoals vereist in het tweede lid heeft de officier van justitie in de bevelen vermeldt dat het onderzoeksbelang dringend vordert dat (een) technisch(e) hulpmiddel(en) als bedoeld in artikel 21, tweede lid, Bogw wordt/worden ingezet. Het derde lid van artikel 21 Bogw vereist dat wanneer er gebruik wordt gemaakt van een niet gekeurd technisch hulpmiddel, de officier van justitie de uitkomst van de keuring of herkeuring na afloop van het gebruik vermeldt in de processtukken. Het vierde lid van artikel 21 Bogw maakt afwijking van het derde lid mogelijk. In dat geval vermeldt de officier van justitie in de processtukken dat toepassing is gegeven aan dit artikel lid en vermeldt hij welke aanvullende waarborgen zijn getroffen om de betrouwbaarheid, integriteit en herleidbaarheid van de met het technisch hulpmiddel vastgelegde gegevens te garanderen. De rechtbank stelt vast dat geen van de in het derde en vierde lid van artikel 21 Bogw vereiste vermeldingen in de processtukken staan. De rechtbank is van oordeel dat er op dit punt sprake is van een vormverzuim.
De verdachte heeft enkel benoemd dat het technisch hulpmiddel niet gekeurd is en dat om die reden het openbaar ministerie niet-ontvankelijk dient te worden verklaard. Hiermee voldoet het verweer van verdachte niet aan de vereisten die de Hoge Raad stelt voor een geslaagd verweer in de zin van artikel 359a Sv (zie HR 30 maart 2004, ECLI:NL:HR:2004:AM2533). De Hoge Raad eist dat duidelijk en gemotiveerd aan de hand van de factoren zoals genoemd in artikel 359a, tweede lid, Sv tot uitdrukking wordt gebracht tot welk rechtsgevolg het door hem aangevoerde vormverzuim zou moeten leiden. De verdachte heeft niet gesteld welk belang het geschonden voorschrift dient, wat de ernst van het verzuim is en welk nadeel daardoor is veroorzaakt. De rechtbank verwerpt dan ook om die reden het verweer.
In een tweede zaak waarin de hackbevoegdheid wordt ingezet, heeft de raadvrouw verweren gevoerd over de rechtmatigheid van het inzetten van de bevoegdheid op grond van artikel 126nba Sv in het buitenland en het uitlezen van bepaalde telefoons van verdachte in Nederland.
De rechtbank Overijssel is in deze zaak (ECLI:NL:RBOVE:2024:1255) van oordeel dat niet gebleken is dat de bevoegdheid als bedoeld in artikel 126nba Sv gebruikt is op momenten dat verdachte zich buiten Nederlands grondgebied bevond. Voor zover dit wel het geval zou zijn geweest, overweegt de rechtbank dat de zogenoemde ‘Schutznorm’ verhindert dat verdachte een beroep zou kunnen doen op bewijsuitsluiting. Een eventuele inbreuk op de soevereiniteit van de staat binnen wiens grenzen is opgetreden, betreft geen belang van verdachte, maar het belang van de betreffende staat. De vraag of door de Nederlandse opsporingsambtenaren bij het verrichten van opsporingshandelingen in het buitenland het toepasselijke verdragsrecht en Unierecht is nageleefd, is in het kader van de strafzaak tegen de verdachte in zoverre niet relevant (met verwijzing naar HR 13 juni 2023, ECLI:NL:HR:2023:913).
Eerste veroordeling naar aanleiding van de Exclu-operatie
Op 9 oktober 2023 heeft de rechtbank Overijssel voor het eerst een uitspraak (ECLI:NL:RBOVE:2023:3929) gedaan naar aanleiding van de operatie naar de cryptotelefoon ‘Exclu’.
De rechtbank vermeld dat op 28 april 2022 onder gezag van het Landelijk Parket op grond van artikel 126o Sv – in samenwerking met Duitsland – een opsporingsonderzoek is gestart onder de naam ‘26Lytham’. In artikel 126o Sv staat de hackbevoegdheid vermeld die de politie onder leiding van het OM mag inzetten in opsporingsonderzoeken naar misdrijven die worden gepleegd of beraamd in georganiseerd verband. Het onderzoek richtte zich op gebruikers van de versleutelde communicatie onder het merk Exclu.
In de uitspraak staat duidelijk de aanleiding van het opsporingsonderzoek. Het onderzoek Lytham26 heeft geleid tot het aantreffen van een ‘hit’ aan de hand van het gebruik van een vastgestelde zoeksleutel, namelijk het woord ‘stemp’ van ‘stempel’. Het was verbalisanten ambtshalve bekend dat blokken cocaïne worden voorzien van een logo die er met een stempel in wordt gedrukt. Binnen de communicatie omtrent blokken cocaïne wordt vaak het logo gebruikt om aan te duiden over welke blokken het gaat. Ook bleek dat een afbeelding gelijkend op een blok cocaïne werd verzonden door de gebruiker van het Exclu-account.
Daarop is een nader onderzoek ingesteld naar (onder meer) deze gebruiker. Tijdens dit onderzoek ontstond het vermoeden dat Exclu-account betrokken was bij de handel in cocaïne, gelet op de gesprekken die werden gevoerd met meerdere tegencontacten. De door dit opsporingsonderzoek verkregen informatie heeft geleid tot de verdenking dat sprake was van een criminele drugsorganisatie waaraan verdachte onder een alias deelnam.
De uitspraak bevat ook interessante overwegingen over de identificatie van de verdachte. De verdachte is vervolgens geïdentificeerd aan de hand van zijn IP-adres. Uit nader onderzoek van de chats die zijn verstuurd door Exclu-ID bleek dat het account veelvuldig gebruikt maakte van een vast IP-adres. Uit de opgevraagde gegevens uit het ‘CIOT-systeem’ was dit IP-adres gekoppeld aan het adres waar de verdachte destijds stond ingeschreven. Over de identificatie van de verdachte overweegt de rechtbank verder dat de verdachte een Exclu-app op zijn telefoon had geïnstalleerd en dat bijvoorbeeld details in foto’s met drugs overeenkwamen met details in de woning van de verdachte (een badkamertegel).
De rechtbank concludeert dat uit de Exclu-chats blijkt dat verdachte met anderen heeft gecommuniceerd over de voorraad cocaïne, de aflevering van cocaïne en de hoeveelheid geld die daarmee werd verdiend. De woning van de verdachte werd gebruikt als een zogeheten ‘stash’-locatie, een soort doorsluispand waar verdovende middelen en geld worden gebracht, bewaard en weggebracht. Ook was hij zelf betrokken bij het afleveren van drugs en beheerde hij het geld.
De rechtbank veroordeelt de 38-jarige verdachte tot een gevangenisstraf van vijf jaar voor het medeplegen van het opzettelijk handelen in harddrugs.
7 jaar cel voor illegale handel met cryptovaluta en drugsdelicten
De rechtbank Oost-Brabant heeft op 15 september 2023 een 42-jarige man veroordeeld (ECLI:NL:RBOBR:2023:4543) voor witwassen door middel van handel in cryptocurrency, valsheid in geschrifte en enkele drugsdelicten. Hij verhandelde illegaal in cryptovaluta van in totaal ruim 11 miljoen dollar (!) en regelde onder andere drugstransporten met XTC.
De verdachte werd in maart 2020 aangehouden in het kader van een ander drugs- en witwasonderzoek. Bij het doorzoeken van zijn woning trof de politie in het plafond van de badkamer verschillende notitieboekjes aan. Daar trof de politie ‘mnenomic phrases’ aan. Een mnenomic phrase is een herstelzin of woordenreeks, bestaande uit 12 tot 24 woorden, voor het openen of herstellen van een cryptovaluta wallet. Deze woordenreeks is vergelijkbaar met de pincode van een bankrekening en betreft een zeer persoonlijke code. Alleen deze code verschaft toegang tot een desbetreffende cryptovaluta wallet. Een van de bij verdachte aangetroffen mnenomic phrases (hierna ook wel private key) verschaft toegang tot een wallet met cryptovaluta ter waarde van ruim $3,5 miljoen. Hieruit kwam vast te staan dat hij tussen januari 2017 en maart 2022 als tussenpersoon cryptovaluta over de hele wereld verhandelde.
In totaal vonden in een periode van vijf jaar, 780 transacties plaats op de tenlastegelegde cryptovaluta wallets van diverse cryptovaluta met een totale inkomende waarde van ruim $11 miljoen. Per transactie ontving de verdachte een zeer hoge commissie, namelijk 4 tot 6 procent van het verhandelde bedrag. Een gebruikelijke werkwijze was dat grote sommen contact geld aan de verdachte werden overhandigd, en hij dit cash geld vervolgens omzette in cryptovaluta. Daarnaast had verdachte geen wetenschap van de identiteit van de personen met wie hij handelde. In de chatgesprekken wordt gebruik gemaakt van ‘codenamen’, ook door verdachte, en voor de overdacht van gelden, wordt gebruik gemaakt van een nummer/token waardoor de identiteit van de betrokken personen niet bekend wordt. De verdachte heeft geen administratie van zijn transacties bijgehouden, ondanks dat dit vaak over zeer grote bedragen per transactie gaat.
Daar komt bij dat er één van de cryptowallets transacties hebben plaatsgevonden waarvan bijna de helft van de transacties afkomstig is van een ‘darknet’ respectievelijk van ‘mixing’, aldus de rechtbank. Dit wordt volgens de rechtbank als middel gebruikt om potentieel identificeerbare of ‘besmette’ cryptovaluta met andere te mengen om de oorspronkelijke bron te verhullen. De verdachte had zelf in die periode nauwelijks legale inkomsten of vermogen. Vanaf 2018 ontving hij geen salaris meer en zijn bankrekening werd grotendeels gevoed door onverklaarbare contante stortingen. Daarnaast past zijn uitgavepatroon niet bij de legale inkomsten van de verdachte. Zo trof de politie een behoorlijke hoeveelheid luxegoederen aan in zijn woning, maakte hij regelmatig vliegreizen en kocht hij onroerend goed in Spanje met contant geld. Hij kon voor dit alles geen plausibele verklaring geven. Dit alles tezamen betekent dat de verdachte zich jarenlang schuldig maakte aan gewoontewitwassen.
Veroordeling voor online handelsfraude
De rechtbank Rotterdam veroordeelde (ECLI:NL:RBROT:2023:6492) op 13 juli 2023 een verdachte voor grootschalige en langdurige online handelsfraude door middel van verschillende webshops en het witwassen van geldbedragen (mede) afkomstig uit die online handelsfraude. Aan de verdachte is online handelsfraude als bedoeld in artikel 326e Sr ten laste gelegd. Hier is nog weinig jurisprudentie over en daarom het signaleren waard.
Van online handelsfraude is kort gezegd sprake als de verdachte een beroep of gewoonte maakt van het via het internet verkopen van goederen of diensten tegen betaling met het oogmerk om zonder volledige levering van die goederen de betaling te ontvangen.
De rechtbank overweegt dat de verdachte met behulp van de in de tenlastelegging genoemde websites, luxe kleding, schoenen en accessoires heeft aangeboden met het oogmerk om geld te ontvangen, terwijl hij wist dat hij niet kon leveren. Uitzendingen van Opgelicht?! hebben er mede toe geleid dat de politie onderzoek is gaan doen. Op de zitting is veel te doen geweest over de hoeveelheid klanten die aangiften hebben gedaan. De raadsman heeft terecht opgemerkt dat het dossier soms slordig is en dat hij niet kan controleren of de lijsten en tabellen in het dossier kloppen. Maar de rechtbank heeft geen reden om te twijfelen aan de overzichten van de aangiften en de klachten die zijn gemaakt door de politie, waaruit blijkt dat tussen 13 juni 2019 en 15 juni 2020 in totaal ongeveer 115 keer aangifte is gedaan tegen de verdachte terwijl daarnaast 56 en 27 personen tegenover de politie hebben verklaard niets of verkeerde goederen te hebben ontvangen na een bestelling bij een van de websites op de tenlastelegging. Met de raadsman heeft de rechtbank vastgesteld dat in de gehele ten laste gelegde periode de verdachte waarschijnlijk ruim 850 verkopen heeft gedaan.
Verder gaan de door de verdachte overgelegde screenshots en ‘track and trace’-codes over bestellingen van kleding en schoenen en over leveringen. Dit wekt op zijn minst de indruk van handelsactiviteiten. Ten slotte zijn er acht ‘moneytransfers’ verricht. Anders dan de officier van justitie heeft gesteld, maakt dit aannemelijk dat de verdachte dan misschien niet de beste internetondernemer is geweest, maar wel dat er gedurende een zekere periode daadwerkelijk sprake is geweest van reguliere online handel.
Om het feit van artikel 326e Sr te begaan is het geen noodzakelijke voorwaarde dat de koper heeft betaald. Het gaat erom dat de verdachte goederen aanbiedt met het oogmerk om de betaling te ontvangen terwijl hij weet, in de zin van onvoorwaardelijk opzet, dat hij niet kan leveren. Dat moment doet zich naar het oordeel van de rechtbank in elk geval voor telkens als de verdachte na 17 september 2019 goederen aanbiedt en een koper vervolgens een bestelling plaatst op een van de websites van de verdachte.
De rechtbank overweegt nog dat media-aandacht, door onder andere het programma Oplichting?!, een negatieve impact op de verdachte en zijn privéleven heeft gehad, maar niet in die mate dat dit tot strafvermindering zou moeten leiden. Terecht heeft de raadsman bezwaar gemaakt tegen het vastleggen van de aanhouding van een verdachte op (bewegend) beeld. Immers, niet onmiddellijk duidelijk is welk (publiek) belang daarmee wordt gediend. Bij het faciliteren van het filmen en vervolgens uitzenden van dergelijke politieacties is dan ook voorzichtigheid en terughoudendheid geboden.
Naar het oordeel van de rechtbank is door de verdediging echter onvoldoende geconcretiseerd dat en hoe door het filmen en vervolgens uitzenden van de aanhouding van de verdachte en de verdere media-aandacht voor de zaak het recht op een eerlijk proces in het gedrang zou zijn gekomen. Niet gebleken is dat het recht op een eerlijk proces van de verdachte bij deze rechtbank en meer in het bijzonder de onschuldpresumptie daadwerkelijk is aangetast. De rechtbank legt de verdachte twee jaar gevangenisstraf op.
Op 31 augustus 2023 heeft de Inspectie Justitie en Veiligheid haar nieuwe verslag (.pdf) gepubliceerd over haar toezicht op de hackbevoegdheid over het jaar 2022. In dit blogbericht volgt een korte samenvatting van resultaten die ik interessant vond. In het lijvige rapport (79 pagina’s) staan voor de liefhebbers mogelijk meer relevante details.
Aantallen en ‘black box’
In 2022 is in 31 zaken de hackbevoegdheid ingezet. Het algemeen beeld van de Inspectie is dat de hackbevoegdheid in 2022 voornamelijk is ingezet voor onderzoeken gericht op mobiele telefoons. Bij het overgrote deel hiervan heeft het team binnen de reikwijdte van het bevel gewerkt. Daarvan is in 25 zaken met commerciële software gewerkt. De politie heeft geen inzicht in de werking hiervan. Voor zowel de politie als de Inspectie is deze software een ‘black box’. Het kenmerk van een black box is dat de resultaten zichtbaar zijn, maar voor de gebruiker niet bekend is hoe de software precies werkt en of deze software gebruik maakt van onbekende kwetsbaarheden. Wel heeft team DIGIT in 2022 twee onbekende kwetsbaarheden gemeld bij het meldpunt van het Nationaal Cyber Security Center.
De politie heeft in een addendum bij het contract procedurele afspraken gemaakt met de commerciële leverancier, waaronder het beperken van toegang door de leverancier tot de verzamelde gegevens. Deze afspraken zijn echter niet technisch afdwingbaar en controleerbaar. De politie kan niet uitsluiten dat de geïnfecteerde geautomatiseerde werken in verbinding staan met een server van de leverancier. De Inspectie kan daardoor niet uitsluiten dat de leverancier toegang heeft tot verzamelde gegevens, terwijl volgens wettelijke regels alleen speciaal aangewezen politiemedewerkers toegang mogen hebben.
Geen herkenning geheimhouderscommunicatie
Ook zijn bij het ‘Digital Intrusion Team’ (DIGIT) van de Landelijke Eenheid van de Nationale Politie geen processen, werkinstructies en ondersteunende systemen ingericht om geheimhouderinformatie te herkennen. Het gaat dan bijvoorbeeld om gesprekken tussen de verdachte en een advocaat. Volgens de wettelijke regels moet in elk geval het systeem van nummerherkenning worden ingericht als de hackbevoegdheid wordt ingezet om gesprekken af te luisteren.
Conclusie
De Inspectie waarschuwt dat “het nu tijd is dat er verandering komt in de opvolging door de politie“. De politie moet volgens hen “op korte termijn aantoonbaar en zonder voorbehoud invulling geven aan alle vigerende regels en deze naleven“.
Tegelijkertijd vindt de Inspectie het van belang dat de minister een standpunt inneemt over een mogelijke aanpassing van het wettelijk kader ‘zodat duidelijk wordt in welke mate mogelijke knelpunten bij de praktische uitvoerbaarheid van de hackbevoegdheid zoals die nu door de politie worden ervaren, in het wettelijk kader worden weggenomen’.
WODC-rapport over de hackbevoegdheid in het buitenland
Op dezelfde dag publiceerde het WODC een interessant rapport over de inzet van de hackbevoegdheid in vergelijking met het buitenland. Daarbij is met name in gegaan op de keuring, de verplichtingen omtrent documentatie en logging en het toezicht op de vergaande bevoegdheid. Het is nuttig de rapporten in samenhang met elkaar te lezen.
Keuring
De onderzoekers concluderen dat in verschillende landen in Europa de kwaliteit van de gegevens op een andere manier controleert dan Nederland dat doet. Geen enkel land kent een keuring door een onafhankelijke keuringsdienst waarbij deze keuringsdienst voorafgaand aan een inzet, aan de hand van een uitgebreid keuringsprotocol, de technische hulpmiddelen dient te onderzoeken.
Logging
Ten aanzien van het documenteren en loggen van uitvoeringshandelingen geldt dat in vrijwel alle landen een vorm van documentatie vereist is. Dit betekent dat op zijn minst een proces-verbaal moet zijn opgesteld waarin alle handelingen staan gedocumenteerd. Sommige landen gaan een stap verder, omdat daar alle handelingen moeten worden gelogd.
Toezicht
Naast een keuring is ook toezicht belangrijk in het kader van de kwaliteit van de gegevens. Het toezicht op de uitvoering van de bevoegdheid door een onafhankelijke instantie is in het buitenland beperkt (de zittingsrechter buiten beschouwing gelaten).
Voor Australië, Denemarken, Noorwegen, het Verenigd Koninkrijk en Zweden geldt dat een vorm van toezicht plaatsvindt op de uitvoering van de bevoegdheid door een onafhankelijke instantie. Daarnaast bestaat in Duitsland een instantie die, vanwege haar technische expertise, adviseert over de inzet en ontwikkeling van technische hulpmiddelen. Frankrijk kent een specifieke instantie die verantwoordelijk is voor het ontwerp, de aansturing en de implementatie van technische hulpmiddelen die gebruikt worden voor de hackbevoegdheid.
In België en Frankrijk vindt gedurende de inzet van de bevoegdheid rechterlijk toezicht plaats. De rechter die toestemming verleent voor de inzet van de bevoegdheid houdt daarbij ook toezicht op de uitvoering van de bevoegdheid.
Mogelijkheden voor Nederland
De onderzoekers hebben ook enkele landen meer diepgaand bestudeerd en komen tot drie scenario’s die mogelijk een aanvulling kunnen bieden op de wijze waarop in Nederland met technische hulpmiddelen bij de hackbevoegdheid wordt omgegaan.
Beleidsreactie minister
Op 7 december 2023 heeft demissionair minister Yeşilgöz een Kamerbrief over de hackbevoegdheid verstuurd. De brief volgde op de evaluatie van het WODC, de rapportage van de procureur-generaal bij de Hoge Raad, en de verslagen van de Inspectie Justitie en Veiligheid.
Naar aanleiding van deze stukken benoemd de minister enkele aanstaande wets- en beleidsaanpassingen. De meeste daarvan moeten nog worden uitgewerkt. Zo wordt het voorstel gedaan om het uitgangspunt dat alleen goedgekeurde hulpmiddelen worden ingezet, te wijzigen door aanpassing van het Besluit onderzoek in geautomatiseerd werk. Als een middel niet is goedgekeurd, kan de officier van justitie bepalen of aanvullende verificatiemaatregelen moeten worden genomen om bijvoorbeeld de bewijswaarde van het middel te waarborgen. De achtergrond hiervan is ten dele dat keuring in de praktijk niet altijd mogelijk is, omdat leveranciers van commerciële software hun broncode niet delen. Verder wordt ‘toegewerkt naar systeemtoezicht op de naleving van de wet- en regelgeving die geldt voor de binnendringbevoegdheid’. Het ministerie zal ook enkele wetsaanpassingen voorbereiden om ‘op locatie’ de hackbevoegdheid in te zetten (na bijvoorbeeld het binnetreden van een woning) en de lijst met misdrijven waarvoor de hackbevoegdheid mag worden ingezet uit te breiden.
De minister zal – via de Inspectie Justitie en Veiligheid – blijven rapporteren over de hoeveelheid opsporingsonderzoeken waarin de binnendringbevoegdheid en commerciële software is ingezet. Overigens worden de activiteiten van de Inspectie worden in de Kamerbrief getypeerd als ‘zwaar’, ‘intensief’ en ‘hoogwaardig’, maar wordt niet ingegaan op kritiek uit de wetenschap met betrekking tot de onafhankelijkheid, de effectiviteit en het gefragmenteerde karakter van het toezicht in het strafrecht. Eén keer wordt gerefereerd naar een opmerking in een rapport van het WODC over het idee van een aparte externe toezichthouder. Daarover stelt de minister dat het beleggen van toezicht bij een alternatieve instantie niet past in het Nederlands wettelijk kader
In deze blog geef ik een overzicht van de feiten met betrekking tot de EncroChat-operatie. Tijdens deze operatie Frans-Nederlandse operatie zijn 115 miljoen (!) berichten verzameld en later geanalyseerd ten behoeve van de opsporing. De Nederlandse politie sprak (in 2021) over zo’n 25 miljoen berichten (wellicht het aantal berichten van cryptotelefoons in Nederland). Geschat wordt dat er wereldwijd destijds tussen de 55.000-60.000 EncroChat telefoons werden gebruikt, waarvan circa 12.000 Nederlandse gebruikers waren en circa 3000 Franse gebruikers.
Deze blog is een aantal keer geüpdatet n.a.v. nieuwe feiten in jurisprudentie. De meeste feiten zijn gebaseerd op een uitspraak van 25 juni 2021 van de rechtbank Rotterdam (ECLI:NL:RBROT:2021:6113), een uitspraak van 12 april 2022 van de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2022:1389) en de onderstaande persconferentie (via YouTube) van Frankrijk, Nederland en Europol op 28 juni 2023 (zie daarover ook dit artikel van ComputerWeekly).
EncroChat was een communicatieaanbieder van telefoons, waarmee middels de Encrochat applicatie versleutelde chats, bestaande uit tekstberichten en afbeeldingen, konden worden verzonden en ontvangen en waarmee onderling gebeld kon worden.
Door middel van de EncroChat-applicatie konden de EncroChat gebruikers alleen onderling en één-op-één communicatie voeren. Er konden dus geen groepsgesprekken worden gevoerd. De onderlinge communicatie kon tot stand komen nadat een gebruiker zijn ‘username’ stuurde naar een andere gebruiker, met het verzoek om toegevoegd te worden aan diens contactenlijst. De ander moest dit verzoek eerst accepteren voordat onderlinge communicatie mogelijk was. Gebruikers konden elkaars username opslaan in hun contactenlijst onder een zelfgekozen omschrijving (‘nickname’). Er kon dus slechts gecommuniceerd worden met contacten in de contactenlijst; niet met overige EncroChat gebruikers ook al was daarvan de EncroChat-gebruikersnaam bekend.
Een chat kon bestaan uit tekstberichten en foto’s. De berichten verliepen in principe na een vooraf ingestelde tijd, ook wel burn-time of beveiligde verwijdertijd genoemd. Deze tijd was door de gebruiker aan te passen, standaard stond hij ingesteld op zeven dagen. Tevens kon er vanuit de chat een ‘VoIP’ spraakgesprek gevoerd worden.
Een EncroChat-telefoon kon door de gebruiker volledig worden gewist. Dit werd ook wel ‘panic-wipe’ genoemd. Gebruikers kochten een telefoontoestel waarop de EncroChat applicaties vooraf geïnstalleerd waren in combinatie met een abonnement om de service te kunnen gebruiken. De kosten voor de ‘Android BQ Aquaris X2 en X3’-cryptophones bedroegen ongeveer €1.000,- en €1.500,- voor een abonnement van zes maanden.
Start EncroChat-operatie
De Franse Gendarmerie begon haar onderzoek naar EncroChat in 2017 naar aanleiding van inbeslaggenomen cryptophones van verdachten die betrokken waren bij georganiseerde misdaad. Daarbij kwamen de Franse autoriteiten erachter dat de EncroChat servers gehost werden bij ‘OVH’ in Roubaix, Frankrijk. In Frankrijk werd het bedrijf EncroChat eind 2018 al onderzocht vanwege (o.a.) deelname aan een criminele organisatie met als doel het plegen van misdrijven of vergrijpen waarop tien jaar gevangenisstraf staat.
Op 10 februari 2020 werd in Nederland een opsporingsonderzoek gestart onder de naam ’26Lemont’, welk onderzoek voortkwam uit een langer lopend onderzoek genaamd Bismarck. 26Lemont richtte zich op de verdenking tegen het bedrijf Encrochat en op de NN-gebruikers (onbekende gebruikers) van Encrochat telefoons die zich bezighielden met diverse vormen van georganiseerde criminaliteit. Al in de eerste maanden van 2020 is overleg gevoerd door politie en justitie uit verschillende landen met als doel te komen tot een gecoördineerde aanpak bij de vervolging van het bedrijf Encrochat, de daaraan gelieerde personen, en de gebruikers van deze dienst. Op 1 april 2020 hebben de Franse en Nederlandse onderzoeksteams een JIT opgericht, welke JIT-overeenkomst op 10 april 2020 is ondertekend.
De hack en interceptie
Op 22 januari 2020 hebben de Franse autoriteiten in een “Schedule of Conduct” aan de Engelse autoriteiten meegedeeld dat zij in de eerste fase (‘stage 1’) een ‘implant’ (een hack tool) zouden inzetten op alle EncroChat toestellen wereldwijd via een update vanaf de server in Frankrijk. In het verslag van Computerweekly n.a.v. de persconferentie is te lezen dat de Franse inlichtingendienst buitenland ‘Direction générale de la Sécurité extérieure’ (DGSE) de software implant heeft ontworpen en geleverd. Het legde gegevens op de telefoons vast, waaronder IMEI-gegevens, gebruikersnamen, adresboeken, wachtwoorden, opgeslagen chatberichten, afbeeldingen, locatiegegevens (‘geodata’) en notities.
Vervolgens werd in fase 2 (‘stage 2’) de communicatie (verstuurde berichten) verzameld. Op 30 januari 2020 heeft een Franse onderzoeksrechter een machtiging verleend om een interceptietool in te zetten. Deze machtiging is telkens verlengd en de verdenking die ten grondslag lag aan de aanvraag om de interceptietool in te zetten betrof onder andere drugshandel/-smokkel, witwassen en wapenhandel/-bezit. Uit een Frans proces-verbaal blijkt dat deze interceptietool is ontworpen door de ‘Service Technique National de Captation Judiciaire’ (STNCJ), een dienst die gerechtigd is dergelijke middelen te ontwerpen en kon worden ingezet door de ‘Service Central de Renseignement Criminel’ (SCRCGN) van de Franse Gendarmerie.
Vervolgens heeft de Franse Gendarmerie de EncroChat data verzameld vanaf 1 april 2020 om 17:15 uur tot en met 26 juni 2020 omstreeks 17:00 uur. De Franse Gendarmerie heeft op basis van “geodata” oftewel locatiegegevens, de gegevens vervolgens gedeeld met het land van herkomst, die daar – onder bepaalde voorwaarden – verder geanalyseerd en verwerkt konden worden voor strafrechtelijke onderzoeken naar de gebruikers. Het Franse onderzoeksteam bewaarde deze data gedurende deze periode op computersystemen in Frankrijk en heeft vervolgens de Nederlandse politie toegang gegeven tot de data over een beveiligde verbinding met die computersystemen. Deze informatie-uitwisseling vond zijn basis in de overeenkomst die is gesloten in het kader van de samenwerking in een Joint Investigation Team (JIT).
Daarnaast heeft het Franse onderzoeksteam op 4 verschillende momenten, te weten januari 2019, oktober 2019, februari 2020 en juni 2020, een kopie gemaakt van de EncroChat infrastructuur en de informatie die op dat moment beschikbaar was op de verschillende servers. Deze informatie is ook gedeeld met Nederland, zowel in het onderzoek Bismarck dat al eerder liep, als in het kader van het JIT. Dit heeft eveneens veel informatie opgeleverd. Geen inhoudelijke berichten, maar wel veel metadata, zoals back-ups van de notitie-app, administratieve gegevens, IP adressen, overzicht van users en databases met wachtwoorden.
Europol heeft ook een ‘Operational Task Force’ (OTF) met de codenaam ‘Emma’ opgericht, om de 115 miljoen EncroChat-berichten te analyseren. Het betrof 1.3TB (terabytes) aan gegevens en zij hebben 700 ‘intelligence packages’ geleverd aan in totaal 123 landen.
Rol en gebruik data Nederlandse politie
Van 1 april 2020 omstreeks 18:00 uur tot 29 juni 2020 om 13:15 uur heeft de Nederlandse politie de EncroChat data gekopieerd over de beveiligde verbinding naar het onderzoeksnetwerk van de Nederlandse politie. Hierbij werd een wijze van kopiëren gebruikt waarbij met een zo klein mogelijke vertraging de nieuwe EncroChat data werden gekopieerd en waarbij met hashwaardes werd geverifieerd dat de data die werd weggeschreven na verzending over een computernetwerk, identiek is aan de data die werd gelezen in de bron.
De Nederlandse opsporingsdiensten beschikten daarmee ook over een enorme hoeveelheid data. Die data kan volgens de rechtbank Amsterdam (ECLI:NL:RBAMS:2022:1276) worden onderverdeeld in drie subcategorieën:
metadata (accountnamen, IMEI-nummers etc.), verkregen op verschillende momenten en verschillende periodes bestrijkend, waaronder de live periode van 1 april 2020 tot 20 juni 2020 (‘serverdata’);
‘live’ binnengekomen inhoudelijke communicatie uit de periode 1 april 2020 tot 20 juni 2020 (‘telefoondata’);
inhoudelijke communicatie van vóór 1 april 2020, meegekomen met het binnenhalen van de data (eveneens ‘telefoondata’).
De dataset is door de Nederlandse politie met behulp van algoritmes en zoektermen geanalyseerd en onderzocht. Deels in het kader van reeds bekende onderzoeken die op de hiervoor genoemde lijst stonden die de rechter-commissaris had goedgekeurd. Deels op basis van in categorieën ingedeelde zoektermen. In andere jurisprudentie – ECLI:NL:RBDHA:2022:4504 – wordt bijvoorbeeld genoemd dat via ‘IMSI-scans’ bleek dat sommige verdachten PGP-telefoons gebruikten. Doordat de IMEI-nummers van deze toestellen in het onderzoek ‘Echinops’ waren vastgelegd, konden deze worden gematcht met de lijst van IMEI-nummers in onderzoek 26Lemont.
Resultaten van de operatie
De resultaten van de operatie (ten tijde van april 2021) worden in een jaarrapport van 2020 in de volgende mooie ‘infographic’ getoond:
Tijdens de persconferentie in Lille op 28 juni 2023 vertelden de autoriteiten dat als gevolg van de operatie meer dan 6500 mensen zijn gearresteerd en meer dan 900 miljoen aan vermogen in beslag is genomen. Zie onderstaande infographic:
Steeds vraagt de verdediging in de jurisprudentie om meer informatie over de verzameling van de gegevens bij een Frans bedrijf in Frankrijk, terwijl rechters steevast verwijzen naar het internationaal vertrouwensbeginsel en het bewijs niet onder Nederlands recht op rechtmatigheid wordt getoetst (zie bijvoorbeeld Rb. Rotterdam 24 juni 2021, ECLI:NL:RBROT:2021:6050).
Op 13 juni 2023 heeft de Hoge Raad bevestigd (ECLI:NL:HR:2023:913) ervan moet worden uitgegaan dat het onderzoek door de buitenlandse autoriteiten rechtmatig – dat wil zeggen: in overeenstemming met het buitenlandse recht – is verricht. De Nederlandse rechter is alleen verplicht nader in te gaan op de betrouwbaarheid van de resultaten als – al dan niet naar aanleiding van wat de verdediging heeft aangevoerd – concrete aanwijzingen voor het tegendeel bestaan. Dit geldt ook als het onderzoek in JIT-verband is uitgevoerd.
De Hoge Raad oordeelt ook dat het uitgangspunt is dat het dat het door de buitenlandse autoriteiten verkregen materiaal betrouwbaar moet worden geacht. Als er echter concrete aanwijzingen voor het tegendeel bestaan, dan is de rechter gehouden de betrouwbaarheid van die resultaten te onderzoeken. Die aanwijzingen kunnen voortkomen uit een specifiek verweer.
Vanwege de voorzienbare inbreuk die de interceptie van de EncroChat-data op de persoonlijke levenssfeer van de Nederlandse gebruikers van deze dienst zou hebben, heeft het Openbaar Ministerie ervoor gekozen om, mogelijk ten overvloede, in Nederland een rechterlijke toetsing te vorderen die strikt genomen het Nederlandse Wetboek van Strafvordering niet als zodanig kent. Deze manier van werken keurt de Hoge Raad wel goed in (ECLI:NL:HR:2023:913).
Bij de rechter-commissaris is een vordering ingediend om een machtiging om op 13 maart 2020 een machtiging te verlenen voor de inzet van de hackbevoegdheid op personen die betrokken zijn bij georganiseerde misdaad (art. 126uba Sv) te geven teneinde de informatie betreffende de Nederlandse gebruikers te mogen analyseren en gebruiken. De rechter-commissaris heeft op 27 maart 2020 onder voorwaarden de gevorderde machtiging verleend voor een periode van maximaal vier weken en op grond van deze machtiging heeft de officier van justitie op 1 april 2020 een bevel 126uba Sv afgegeven. Deze machtiging (met instandhouding van de gestelde voorwaarden) en het bevel zijn beide meerdere malen verlengd.
In een uitspraak van de rechtbank Gelderland van 8 december 2021 (ECLI:NL:RBGEL:2021:6584) was (bij mijn weten voor het eerst) meer te lezen over de machtiging. Voor het gebruik van de berichten is een (Nederlandse) rechter-commissaris om een machtiging gevraagd voor de inzet van de hackbevoegdheid (artikel 126uab Sv) en het opnemen van telecommunicatie (artikel 126t Sv). In het ‘proces-verbaal aanvraag’ wordt gesteld dat het redelijk vermoeden bestaat dat de EncroChat-gebruikers zich in georganiseerd verband schuldig maken aan (het medeplegen van) één of meer van de volgende misdrijven:
witwassen;
deelnemen/leiding geven aan een criminele organisatie;
Opiumwet delicten;
wapenhandel;
(poging) tot moord/doodslag;
gijzeling en/of wederrechtelijke vrijheidsberoving; en
afpersing en/of diefstal met geweld.
Daarbij werden de volgende drie doelen nagestreefd:
het identificeren van de NN-gebruikers;
onderzoek doen naar de criminele samenwerkingsverbanden waarvan zij deel uitmaken;
bewijs verzamelen over door deze criminele samenwerkingsverbanden gepleegde en/of nog te plegen misdrijven.
De EncroChat-data mocht worden doorzocht met behulp van een lijst met trefwoorden die gerelateerd zijn aan te onderzoeken feiten of verdachten. De rechter-commissaris overwoog expliciet dat het onderzoek geen fishing expedition mocht worden. De rechter-commissaris heeft de vordering vervolgens toegewezen onder de volgende zeven voorwaarden (verkort weergegeven):
de wijze waarop is binnengedrongen in het geautomatiseerde werk wordt vastgelegd, als er geen gebruik wordt gemaakt van een reeds goedgekeurd middel;
een beschrijving van de gebruikte software die beschikbaar is voor onderzoek, als er geen gebruik wordt gemaakt van een reeds goedgekeurd middel;
de integriteit van de opgeslagen informatie wordt gegarandeerd;
het onderzoek moet reproduceerbaar zijn, en gebruik moet worden gemaakt van zoeksleutels (woordenlijsten);
voorkomen moet worden dat communicatie tussen cliënten en verschoningsgerechtigden wordt opgenomen;
de met zoeksleutels vergaarde informatie moet binnen twee weken ter toetsing aan de rechter-commissaris worden aangeboden en pas daarna aan het openbaar ministerie en de politie ter beschikking worden gesteld voor het opsporingsonderzoek;
de machtiging wordt voor een beperkte duur van vier weken verleend en kan enkel middels een vordering worden verlengd. De rechter-commissaris kan de machtiging vroegtijdig beëindigen, als de tussentijdse toets daartoe aanleiding zou geven.
Als de EncroChat-gegevens worden gedeeld met andere onderzoeken, moet daarvoor eerst toestemming moet worden gevraagd aan de rechter-commissaris waarna de officier(en) in de zaak 26Lemont op grond van artikel 126dd Sv de informatie mag delen met de zaaksofficier van dat betreffende onderzoek.
Overigens acht de rechtbank de inbreuk op de privacy van een EncroChat-gebruikers bij het doorzoeken van de EncroChats beperkt (!), omdat:
bij het doorzoeken van de EncroChat-data gebruik is gemaakt van vooraf door de rechter-commissaris goedgekeurde zoeksleutels gericht op de opsporing van ernstige criminele activiteiten en
gelet op de aard van de communicatie via PGP-telefoons als o.a. EncroChat, slechts een (beperkt) beeld wordt gekregen van iemands criminele activiteiten, er wordt geen min of meer volledig beeld gekregen van bepaalde aspecten van het privéleven van de gebruiker.
Ook opvallend, maar niet per se verassend, is de overweging van de rechtbank over vormverzuimen die mogelijk hebben plaatsgevonden bij overtreding van de Wet politiegegevens (Wpg):
“De rechtbank heeft op 28 april 2021 al besloten dat de Wpg geen belangrijk strafvorderlijk voorschrift is. De verdediging heeft dan ook geen belang bij een toetsing aan de voorschriften van de Wpg. Deze toetsing is immers niet van belang voor de vragen die de rechtbank in het kader van de artikelen 348 en 350 Sv dient te beantwoorden, noch een vraag die beantwoord moet worden bij de toetsing of sprake is van een eerlijk proces als bedoeld in artikel 6 EVRM.”
In opdracht van het WODC heeft de NHL Stenden Hogeschool in samenwerking met de Open Universiteit en de Politieacademie op 11 april 2023 een rapport gepubliceerd over de rol van encryptie in de opsporing. Dit blogbericht is gebaseerd op het persbericht en samenvatting van het rapport.
De onderzoekers stellen dat encryptie in opsporingsonderzoeken gemeengoed geworden. Dat is voor een belangrijk deel te wijten aan mobiele telefoons die in beslag worden genomen in opsporingsonderzoeken. Op die telefoons zit vrijwel altijd een vorm van encryptie. Andere vormen van encryptie waarmee de opsporing zich geconfronteerd ziet, zijn versleutelde chatdiensten, vergrendelde devices anders dan mobiele telefoons (bijvoorbeeld laptops), versleutelde e-maildiensten en cryptotelefoons. Bij sommige typen criminaliteit komt encryptie vaker voor dan bij andere. Encryptie komt het meest voor bij georganiseerde (drugs)criminaliteit, cybercrime en kinderporno.
Om toegang te krijgen tot versleutelde informatie, heeft de opsporing ruwweg twee mogelijkheden: 1. encryptie omzeilen en 2. encryptie kraken. Beide kunnen veel capaciteit vergen, maar dat is niet altijd het geval. Het stellig kwantificeren van ‘de benodigde tijd’ was binnen de grenzen van het onderzoek niet haalbaar. Omzeilen kan door het vinden van de sleutel, het raden van de sleutel, het afdwingen van de sleutel, het exploiteren van een lek in de encryptiesoftware, het verkrijgen van toegang tot leesbare tekst als het apparaat in gebruik is en door het lokaliseren van een kopie van de leesbare tekst. Voor het technisch kraken – ofwel toegang krijgen tot een computersysteem met behulp van forensische hulpmiddelen – is adequate soft- en hardware nodig. Het kraken wordt volgens respondenten veelal uitbesteed aan een andere partij of afdeling, zoals het NFI. In geval van een internationale samenwerking kan Europol een rol vervullen. In hoeverre het kraken lukt, hangt af van het toegepaste cryptografische algoritme en de sleutellengte. Daarbij geldt in algemene zin: hoe langer de sleutel hoe lastiger te kraken.
Omtrent het inzetten van opsporingsbevoegdheden bepaalt het OM bijvoorbeeld of capaciteit en tijd van de Nationale Politie of het NFI wordt ingezet om versleutelde data te kraken. De opsporing beschikt verder over het decryptiebevel (art. 126nh lid 1 Sv) en de hackbevoegdheid (artt. 126nba, 126uba en 126zpa Sv). Hiervan wordt weinig gebruik gemaakt, omdat deze bevoegdheden alleen onder strikte voorwaarden mogen worden ingezet. Daarnaast is de opsporing bij rechtshulpverzoeken afhankelijk van onder andere wet- en regelgeving of opgevraagde data (tijdig) geleverd worden en of ze bruikbaar zijn voor het opsporingsonderzoek. Toch betekent het niet kunnen omzeilen of kraken van encryptie niet het einde van een opsporingsonderzoek. Soms werken de verdachten mee door data te ontsleutelen en de politie kan voor het bewijs ook andere wegen bewandelen. Denk daarbij aan metadata, bijvoorbeeld via telefoons die op een bepaald tijdstip in de buurt van een bepaalde telefoonpaal zijn.
Wanneer het lukt om encryptie te kraken, kan dit het opsporingsonderzoek vaak juist versnellen. De waarde van ontsleutelde data wordt bovendien gezien als zuiverder dan bijvoorbeeld (getuigen)verklaringen. Tevens is het beeld over criminele samenwerkingsverbanden vollediger is geworden na decryptie van communicatie van cryptotelefoniediensten, in plaats van globaal en fragmentarisch in de situatie voor en/of zonder encryptie. Bovendien, op het moment dat achter de encryptie gekomen kan worden (de fase van decryptie), ligt er potentieel een schat aan data waarmee de opsporing haar voordeel kan doen.
Het is niet vast te stellen hoeveel zaken er niet worden opgelost of hoeveel tijd verloren gaat door encryptie. Ook kon niet worden vastgesteld hoeveel zaken er extra worden opgelost of hoeveel tijd er wordt gewonnen dankzij gekraakte encryptie. De opsporing is daarvoor een te complex geheel van feiten, toevalligheden en omstandigheden. De onderzoekers stellen wel de vraag wat encryptie écht anders maakt voor het opsporingswerk. Het beschermen en verkrijgen van informatie is altijd al onderdeel van het zogenoemde kat-en-muisspel tussen politie en criminelen. Uiteindelijk, zo stellen de onderzoekers, vraagt digitalisering van politie en haar partners meebewegen en aanpassen aan wat er op hen af komt.
jjoerlemans.com 