Jurisprudentieoverzicht cybercrime maart-april-mei 2021

Ook in hoger beroep veroordeling in TorRAT-zaak

Op 30 maart 2021 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2021:587) voor gewoontewitwassen en deelnemen aan een criminele organisatie waarvan de verdachte de leider was. Het hof heeft een gevangenisstraf opgelegd van 19 maanden en de vorderingen van de benadeelde partijen (banken) zijn gedeeltelijk toegewezen.

De verdachte heeft samen met de medeverdachten rekeninghouders van twee banken benadeeld. Via “spamruns” werden duizenden mails verstuurd naar mkb-rekeninghouders in de zakelijke sector. In de mails zat een link naar een (ogenschijnlijk) openstaande factuur of ander (PDF-)bestand. Dat was in werkelijkheid een programma dat in het geval van aanklikken ongemerkt kwaadaardige software, in casu “TorRAT-malware”, op de computers van de gebruikers achterliet. Bij het gebruik van internetbankieren paste de malware het bankrekeningnummer, de naam van de begunstigde en de omschrijving van de betaling aan, zonder dat dit voor de gebruiker van die computer (direct) zichtbaar was. Op deze wijze werden betalingen door de TorRAT-malware omgeleid naar de bankrekeningen naar money mules (personen die hun rekening, bankpas en pincode, al dan niet vrijwillig, ter beschikking hadden gesteld voor gebruik door anderen). Het zeer uitgebreide arrest is met name lezenswaardig vanwege de nog niet eerder vertoonde gedetailleerde technische overwegingen over de werking van TorRAT (compleet met screenshots van de softwarecode, zoals:

(voor het eerst volgens mij!)

Ook de wijze waarmee met de malware geld kon worden verdiend, wordt uitgebreid beschreven. Zie ook mijn annotatie in Computerrecht 2016/175 over deze zaak in eerdere instantie.

Het Hof Den Haag licht toe dat TorRAT bestond uit twee elementen, de software zelf en configuratiebestanden. Voor de toerekeningsvraag was het onderzoek aan deze configuratiebestanden door een deskundige van het NFI in het bijzonder van belang. Het hof was van oordeel dat de genoemde transacties konden worden toegerekend aan TorRAT.

Na installatie van de software op een computer als gevolg van het klikken op een link in een spammail zocht de aldus geïnfecteerde computer contact met een C&C-server. Uniek aan TorRAT was dat deze C&C-server zich veelal bevond in een Tor-netwerk (ook bekend als het darkweb of darknet). De C&C-server voorzag TorRAT regelmatig van nieuwe configuratiebestanden.

Het hof is van oordeel dat de dadergroep van de verdachte en zijn medeverdachten met toepassing van de TorRAT-malware een groot aantal transacties heeft beïnvloed. Het hof heeft per (cluster van) transacties aangegeven welke feiten en omstandigheden hebben geleid tot de vaststelling of deze wel of niet aan de TorRAT-malware kunnen worden toegerekend. Voor deze vorm is gekozen nadat de verdediging volgens het hof terecht aanvoerde dat niet duidelijk is geworden aan de hand van welke criteria de transacties zijn aangemerkt als frauduleuze transacties die via TorRAT zijn veroorzaakt. Daarvoor is de hulp van een deskundige van het NFI ingeroepen.

De betalingen die door de TorRAT-malware werden omgeleid naar de bankrekeningen van daartoe geworven zogeheten money mules. De geldbedragen werden vervolgens zo snel mogelijk aan het zicht van de banken en politie en justitie onttrokken door deze — al dan niet met tussenkomst van een tweedelijns-money mule waar het geld naar werd doorgeboekt — zo snel mogelijk contant te maken middels een contante geldopname of om te zetten in bitcoins. De omgezette bedragen werden op deze wijze witgewassen.

Met betrekking tot de verdenking van deelname aan een criminele organisatie is het hof tot het oordeel gekomen dat de verdachte en zijn medeverdachten behoorden tot een samenwerkingsverband (waarbinnen zij aliassen gebruikten en communiceerden via TorMail) en zich schuldig hebben gemaakt aan gedragingen die strekten tot of rechtstreeks verband hadden met een crimineel oogmerk. De inhoud van de Tormails speelde een belangrijk bewijsrol in deze zaak. Het hof is van oordeel dat de verdachte binnen dat samenwerkingsverband een leidinggevende rol vervulde, dat door de duurzaamheid en gestructureerde vorm daarvan als criminele organisatie wordt gekwalificeerd.

Vrijspraak vanwege verklaring maken van screenshot via Shodan

Op 2 april 2021 heeft de rechtbank Midden-Nederland een verdachte vrijgesproken (ECLI:NL:RBMNE:2021:1330) van computervredebreuk. De verdachte werd computervredebreuk (art. 138ab Sr) en het opnemen van gegevens (art. 139c Sr) ten laste gelegd. De verdachte zou namelijk de beveiliging van een NAS (Network Attached Storage) door middel van de ‘remote desktop protocol’ hebben doorbroken en gegevens hebben opgenomen door een screenshot te maken van de inbox van een mailprogramma.

De verdachte verklaarde dat hij via Shodan, een zoekmachine dat kwetsbaarheden in aan het internet gekoppelde geautomatiseerde werken blootlegt, het screenshot van de mailbox van de aangever was tegengekomen. De verdachte heeft de aangever vervolgens gewaarschuwd voor een beveiligingslek in zijn computer door hem een e-mailbericht te sturen met het gevonden screenshot als bijlage. De rechtbank kan de door verdachte geschetste gang van zaken niet uitsluiten. Uit de stukken in het dossier en het verhandelde ter terechtzitting blijkt niet dat het verhaal van verdachte onaannemelijk is. Nu redelijke twijfel bestaat of verdachte de feiten zoals tenlastegelegd heeft begaan, spreekt de rechtbank de verdachte van de ten laste gelegde feiten vrij.

Veroordeling in hoger beroep basis van bewijs uit Ennetcom-gegevens

Het Hof Arnhem-Leeuwarden veroordeelde op 3 maart 2021 (ECLI:NL:GHARL:2021:1918) een verdachte tot een gevangenisstraf van 22 jaar voor moord en verboden vuurwapenbezit. De advocaat van de verdachte voerde aan dat de PGP-berichten die waren verkregen via Ennetcom uitgesloten moesten worden van bewijs, omdat deze niet rechtmatig waren verkregen.

Het Hof verwerpt het verweer en overweegt als volgt. Het Superior Court of Justice in Toronto heeft op 13 september 2016 het door de Nederlandse autoriteiten ingediende rechtshulpverzoek behandeld, dat strekte tot het ten behoeve van nader onderzoek in Nederland veiligstellen en overdragen van communicatie dat zich bevond op de Ennetcom-servers (hierna: Ennetcom-gegevens). De Canadese rechter heeft de beslissing of deze gegevens gebruikt mogen worden in andere onderzoeken neergelegd bij de Nederlandse autoriteiten, maar wel bepaald dat daartoe een rechterlijke machtiging is vereist en het gebruik van de Ennetcom-gegevens beperkt tot onderzoek en vervolging van bepaalde strafbare feiten (waaronder moord).

De officier van justitie heeft de rechter-commissaris ex art. 181 jo art. 126ng lid 2 Sv, verzocht te bepalen dat het onderzoek 09Seter dringend vordert dat onderzoek wordt verricht aan de Ennetcom-gegevens en te bepalen dat relevante gegevens toegevoegd zouden worden aan het procesdossier 09Ster. De rechter-commissaris heeft dit verzoek toegewezen en de uitvoering van het onderzoek op grond van art. 177 Sv door tussenkomst van de officier van justitie verwezen aan het onderzoeksteam 09Ster. Vervolgens heeft de officier van justitie op grond van gegevens die zijn voortgekomen uit Ennetcom-gegevens in het onderzoek 26Marengo de rechter-commissaris verzocht om toestemming te geven deze gegevens over te dragen aan de advocaat-generaal in het onderhavige onderzoek 09Ster, omdat deze gegevens betrekking zouden hebben op de moord op het slachtoffer. De rechter-commissaris heeft hiervoor toestemming gegeven, en overwogen dat de berichten rechtmatig zijn verkregen uit het onderzoek 026Marengo waarvoor de rechter-commissaris eerder toestemming heeft gegeven. Gelet op het voorgaande concludeert het hof dat het verkrijgen van de data op rechtmatige wijze is geschied.

Over de betrouwbaarheid van het bewijs overweegt het hof dat het recht van de verdachte om in gelegenheid te worden gesteld om methoden en resultaten van onderzoek te betwisten, naar deze niet samen valt met een ongeclausuleerd recht om deze te controleren, en dat de verdediging niet gemotiveerd heeft aangegeven waarom de betrouwbaarheid van de waarheidsvinding in twijfel zou moeten worden getrokken. Verder merkt het hof nog op dat de vaststelling van de identiteit van de verdachte niet louter berust op de conclusie van de politie, maar dat die vaststelling berust op de weergave van de PGP-gesprekken in verband met andere bewijsmiddelen.

Veroordelingen op basis van bewijs uit EncroChat-gegevens

Vorig jaar kwam in het nieuws dat de Nederlandse en Franse politie tientallen miljoenen berichten van de versleutelde chatdienst EncroChat wisten te kraken en over te nemen. Afgelopen maanden verschenen uitspraken waar deze ‘EncroChats’ een belangrijke bewijsrol spelen. De interessantste uitspraken staat hieronder op een rijtje.

De rechtbank Oost-Brabant veroordeelde (ECLI:NL:RBOBR:2021:1272) op 25 maart 2021 een verdachte voor het voorhanden van een verboden vuurwarpen ter voorbereiding van de moord op een of meer personen. Over de rechtmatigheid van het gebruik van EncroChats als bewijs overweegt de rechtbank dat de rechter-commissaris van de rechtbank Rotterdam in het onderzoek 26Lemont in het proces-verbaal van bevindingen van 20 september 2020 voor het gebruik van de EncroChats in toekomstige, andere onderzoeken voorwaarden heeft gesteld en criteria gegeven. Een van die voorwaarden is dat het gebruik van die chats slechts mogelijk is na een schriftelijk verzoek daartoe en na verkregen schriftelijke toestemming van een rechter-commissaris. De toestemming wordt alleen verleend als sprake is van “ernstige, het maatschappelijk verkeer ontwrichtende strafbare feiten, gepleegd in georganiseerd verband”. In een enkel geval is op het vereiste van een voorafgaande schriftelijke toestemming een uitzondering toegelaten. In die gevallen was sprake van zeer spoedeisende situaties en/of “threat to life”-zaken waarin acuut ingrijpen noodzakelijk was. In die gevallen is telefonisch toestemming gevraagd en verkregen van de rechter-commissaris, waarna schriftelijke bevestiging dan wel toevoeging aan de lijst van bekende onderzoeken volgde.

De rechtbank overweegt dat de onderzoeken waarin gegevens uit 26Lemont zijn verwerkt, in twee categorieën zijn op te delen. Kort gezegd komt het erop neer dat bij de eerste machtiging door de rechter-commissaris al een lijst is aangeleverd met onderzoeken waarin mogelijk sprake zou zijn van gebruik van EncroChat. Die lijst is door getoetst de rechter-commissaris getoetst op de zwaarte van de strafbare feiten waar die onderzoeken zich op richten en akkoord bevonden. Voor andere onderzoeken, en daartoe behoort het onderhavige onderzoek tegen de verdachte, heeft de rechter-commissaris voorwaarden benoemd waaronder gegevens kunnen worden gedeeld. Dat moet worden voorgelegd de rechter-commissaris en dan moet toestemming worden verkregen voor het delen van de informatie met die andere ‘vervolgonderzoeken’. Het moet, buiten onderzoek naar misdrijven met een terroristisch oogmerk, gaan om onderzoek naar strafbare feiten die in hun aard, in georganiseerd verband gepleegd of beraamd, een ernstige inbreuk maken op de rechtsorde, of zaken waarin acuut ingrijpen noodzakelijk was gelet op de gerede vrees voor het leven en/of voor ernstige gezondheidsschade voor personen. Hieraan kan worden getoetst en bij eventuele tekortkomingen is het reguliere kader van artikel 359a Sv van toepassing.

De raadsman stelt dat de EncroChat-data in het onderzoek Ellemeet onrechtmatig zijn verkregen, omdat aan de rechter-commissaris geen toestemming is gevraagd om in dit onderzoek de EncroChats te mogen gebruiken. Zou die toestemming wel gevraagd zijn, dan is met het oog op de hiervoor genoemde criteria niet voorstelbaar dat die toestemming zou zijn verleend. De verdediging voert aan dat het ontbreken van toestemming met zich meebrengt dat sprake is van een onherstelbaar vormverzuim in de zin van artikel 359a Sv.

De rechtbank overweegt dat de betreffende gegevensbestanden met informatie uit het (recente) verleden waren vastgelegd op de servers van EncroChat. Zowel in Frankrijk als in Nederland is deze telecomaanbieder aangemerkt als verdachte. Om bestanden van dat bedrijf te verkrijgen heeft het Nederlandse Openbaar Ministerie aan de rechter-commissaris een vordering ex artikel 126uba lid 1 sub a, b, c en d Sv (de hackbevoegdheid) voorgelegd en daartoe toestemming verkregen. Daarmee heeft het verkrijgen van de gegevens een wettelijke grondslag. Na het ter beschikking komen van de gegevens vallen de gegevens onder de bewaar- en vernietigingsregimes van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens, zodat ook voor het bewaren en verwerken van de gegevens een afdoende wettelijke grondslag bestaat.

De rechtbank deelt niet de opvatting dat de ePrivacyrichtlijn (2002/58) van toepassing zou zijn, omdat die kortgezegd ziet op het opvragen van gegevens door autoriteiten. De opsporingshandelingen zouden ook onder de uitzondering in artikel 15 van de richtlijn vallen. De rechtbank overweegt ook dat ‘de verdere achtergrond van EncroChat, de verkrijging van data in Frankrijk en het delen van de informatie met het onderzoeksteam 26Lemont, niet valt binnen het vooronderzoek in de zaak tegen verdachte en er evenmin reden is te veronderstellen dat het gebruik van de resultaten van de onderzoeken naar EncroChat in de strafzaak tegen de verdachte niet in overeenstemming is met het recht op een eerlijk proces als bedoeld in artikel 6 lid 1 EVRM. De verweren zijn daarmee verworpen.

De rechtbank Overijssel maakt op 29 maart 2021 veel minder woorden vuil aan de rechtmatigheid van het verkregen bewijs uit de EncroChats. In deze zaak (ECLI:NL:RBOVE:2021:1307) werd een verdachte veroordeeld voor zijn betrokkenheid bij een groot drugslab in Heiloo.

De rechtbank overweegt simpelweg dat ‘gelet op het interstatelijke vertrouwensbeginsel de rechtbank geen reden ziet om te twijfelen aan de rechtmatigheid en de inzet van de gehanteerde opsporingsmiddelen in het Franse opsporingsonderzoek. Bovendien zijn de Franse rechterlijke machtigingen getoetst door de rechter-commissaris in Nederland, waarbij geen onrechtmatigheden zijn vastgesteld. Derhalve is de rechtbank van oordeel dat artikel 8 EVRM in onderhavig geval niet is geschonden.’

In een laatste, zeer uitgebreid, vonnis (ECLI:NL:RBZWB:2021:1556) op 31 maart 2021 biedt de Rechtbank Zeeland-West-Brabant interessante bewijsoverwegingen t.a.v. het uitlezen van telefoons en de rechtmatigheid van het gebruik van de EncroChats.

Interessant zijn nog de standpunten van de officier van justitie in deze zaak over het maken van een proces-verbaal bij het uitlezen van telefoons: ‘de officier van justitie heeft zich op het standpunt gesteld dat de betreffende gegevensdragers met toestemming van de officier van justitie zijn doorzocht. Dat hoeft niet op schrift te staan. Het verstrekken van alles wat in de telefoons wordt aangetroffen gebeurt zelden, alleen wat relevant is wordt in het dossier opgenomen. Door de verdediging is onvoldoende onderbouwd dat er bewust ontlastende informatie is achtergehouden.’

De rechtbank overweegt dat een medeverdachte tijdens een verhoor de toegangscode van zijn mobiele telefoon gegeven en – wederom zonder aanwezigheid van zijn raadsman – het wachtwoord van Wickr en toestemming heeft gegeven aan de politie om in zijn telefoon te kijken gegeven. Bij zijn aanhouding op 13 november 2019 gebeurde hetzelfde. Vervolgens is volgens de verdediging de telefoon van met toestemming van de officier van justitie gekopieerd en werden de gegevens ervan inzichtelijk en doorzoekbaar gemaakt. Hierdoor is volgens de verdediging sprake van een schending van artikel 6 EVRM (Salduz), waarbij de rechtbank begrijpt dat dit het recht van medeverdachte betreft.

De rechtbank overweegt dat de Schutznorm ten aanzien van de medeverdachte niet van toepassing is ingevolge de uitspraak Günner van het EHRM. De rechtbank meent dat bij de eerste zoekslag in de telefoon van de medeverdachte sprake was van een beperkte inbreuk op de persoonlijke levenssfeer, omdat ‘enkel (een deel van) de fotogalerij (ten aanzien van een bepaalde datum en gebeurtenis) en de Whatsapp (wederom specifiek ten aanzien van het al dan niet sturen van een bepaalde foto) is bekeken’.

Over een tweede onderzoek aan de telefoon overweegt de rechtbank dat een ‘meer dan beperkte inbreuk op de persoonlijke levenssfeer is gemaakt’, omdat de telefoons met het programma Cellebrite zijn gekopieerd, veiliggesteld en inzichtelijk gemaakt, en doorzocht op Whatsapp, Wickr, Snapchat, Instagram en notities. Het onderzoek aan de mobiele telefoons was de directe aanleiding voor de doorzoeking van de woning van (de ouders van) verdachte. Het onderzoek was gericht op het achterhalen van navigatie-gegevens, communicatie op social media, contactpersonen, foto’s op telefoon danwel foto’s in een cloud, voor zover de informatie gerelateerd kon zijn aan de handel in verdovende middelen. De rechtbank is van oordeel dat daarom ook ten aanzien van de onderzoeken aan deze telefoons niet gezegd kan worden dat daarmee sprake is van een schending van de artikelen 6 en 8 EVRM.

De rechtbank overweegt de inhoud van een brief van het Landelijk Parket over de juridische grondslag van het gebruik van bewijsmateriaal van de PGP-telefoons van klanten van EncroChat. Daarin is te lezen dat ‘op grond van een Frans strafrechtelijk onderzoek zijn het bedrijf EncroChat en de natuurlijke personen die daaraan gelieerd zijn onderzocht. Tijdens dit onderzoek in Frankrijk zijn strafvorderlijke bevoegdheden ingezet. Er is door middel van een interceptiemiddel inzicht en informatie verkregen over de communicatie die is gedeeld op het EncroChat-forum. De Franse politie heeft onder gezag van de Franse officier van justitie, na machtiging van een Franse rechter, het interceptiemiddel ingezet. Omdat in Nederland een soortgelijk strafrechtelijk onderzoek is opgestart, is een Joint Investigation Team (hierna: JIT) opgericht door Nederland en Frankrijk. Het JIT richt zich op onderzoek van de verdenking rondom EncroChat en de personen die hiervan gebruik maken. In de JIT-overeenkomst is, zoals gebruikelijk, overeengekomen dat alle informatie en bewijsmiddelen die ten behoeve van het JIT worden vergaard worden gevoegd in een gezamenlijk onderzoeksdossier.’

Ik vind de brief toch opmerkelijk gezien de tegenstrijdige berichtgeving in NRC over de inzet van een technisch hulpmiddel dat mede is ontwikkeld door Nederland en het feit dat de een aanvraag is gedaan voor de inzet van de hackbevoegdheid in Nederland (waartoe onder voorwaarden een machtiging is verstrekt, zoals in de uitspraak hierboven is te lezen). De rechtbank overweegt hier indirect over dat ‘in tegenstelling tot hetgeen de verdediging betoogt, is de grondslag voor het verwerken en opslaan van de data uit 26Lemont in onderhavige zaak niet gelegen in de artikelen 126uba juncto 126 Sv, maar in artikel 126dd Sv. Deze bepaling ziet op het delen van informatie van het ene strafrechtelijke onderzoek met het andere’.

Ook overweegt de rechtbank simpelweg dat ‘ten aanzien van onderzoekshandelingen waarvan de uitvoering plaatsvindt onder verantwoordelijkheid van de buitenlandse autoriteiten van een andere EVRM lidstaat, het de taak is van de Nederlandse strafrechter ertoe beperkt te waarborgen dat de wijze waarop van de resultaten van dit onderzoek in de strafzaak tegen de verdachte gebruik wordt gemaakt, geen inbreuk maakt op zijn recht op een eerlijk proces, zoals bedoeld in artikel 6, eerste lid, EVRM. Het behoort niet tot de taak van de Nederlandse strafrechter om te toetsen of de wijze waarop dit onderzoek is uitgevoerd, strookt met de dienaangaande in het desbetreffende buitenland geldende rechtsregels.’ De rechtbank acht de privacy-inmenging ‘niet-ingrijpend’ voor de verdachte, omdat ‘door middel van de encrochats van verdachte alleen chatgesprekken van een relatief korte periode onderzocht zijn’.

Internetoplichting

De rechtbank Noord-Holland heeft op 16 maart 2021 een verdachte veroordeeld (ECLI:NL:RBNNE:2021:888) voor (internet)oplichting en witwassen. De verdachte heeft zich samen met een ander schuldig gemaakt aan het witwassen van twee geldbedragen. Deze geldbedragen waren afkomstig uit een geldbedrag van ruim 1 miljoen euro, dat in één nacht is buitgemaakt door phishing. De verdachte heeft slechts een deel van de buit ontvangen, te weten bedragen van € 6.780,22 en € 3.300,22.

De verdachte heeft met zijn mededader katvangers benaderd, die vervolgens hun bankpassen en pincodes aan verdachte en zijn mededader hebben afgegeven. Door middel van deze bankpassen en pincode zijn nog in diezelfde nacht delen van dat bedrag overgemaakt op bankrekeningen van katvangers en is een groot deel daarvan contant opgenomen bij geldautomaten.

Daarnaast heeft verdachte zich gedurende vijf maanden schuldig gemaakt aan Marktplaatsoplichting en computervredebreuk, gekwalificeerde diefstal, een poging tot oplichting, het beheren van tikkie-panels en phishing-sites en het voorhanden hebben van gehackte emailadressen met wachtwoorden, die grotendeels waren gekoppeld aan Marktplaatsaccounts.

Na het contact op Markplaats vroeg hij het contact voor te zetten via WhatsApp vroeg hij zijn slachtoffers om via een malafide betaallink 1 eurocent over te maken. Via die betaallink kwamen zij op een phishingwebsite die nauwelijks te onderscheiden was van de website van hun bank. Bij doorzoeking van de woning werd op de laptop van verdachte nog een actieve phishingsite aangetroffen. Slachtoffers die op zo’n phishing-site hun gegevens invulden, gaven daarmee verdachte toegang tot hun digitale bankomgeving. Daarna maakte hij geldbedragen van hun bankrekeningen over naar rekeningen van ‘geldezels’. Ook schreef hij via de gehackte bankrekening bedragen over van de spaarrekening naar de lopende rekening. De buitgemaakte bedragen kreeg verdachte vervolgens weer in handen via zijn geldezels. De verdachte had de beschikking over vele bankpassen en pincodes van die geldezels.

Bij het vervalste sms-bericht van de Belastingdienst met de tekst:

Belastingdienst} Uw openstaande schuld EUR 1471,00 is na meerdere herinneringen niet voldaan. Op 29 april 2020 zal de gerechtsdeurwaarder overgaan tot conservatoir beslag. U kunt de beslagprocedure voorkomen door direct het gehele bedrag te voldoen via iDeal: http://frama.link/.uHrKGHtJ

Daarmee werden de ontvangers bewogen om met spoed een ‘achterstallig bedrag’ te betalen via een bijgevoegde betaallink. Als zij dat deden, dan waren zij het betaalde bedrag kwijt.

Bij de impersonatiefraude (‘vriend-in-nood-fraude’) deed verdachte zich via WhatsApp voor als een familielid of vriend in betalingsnood. Verdachte zond zijn slachtoffers een Tikkie-link, waarmee zij konden betalen. Slachtoffers verloren zo aanzienlijke bedragen.

Daarnaast heeft verdachte via zijn iPhone een ‘sms-bom’ verzonden, waarbij sms-berichten werden gestuurd naar 555 telefoonnummers. In die sms-berichten werd voorgewend dat Menzis verzocht om een openstaande rekening te betalen, omdat anders de deurwaarder beslag zou komen leggen. Daarna volgde een nep-betaallink, waarmee verdachte toegang kon krijgen tot de digitale bankomgeving van de ontvangers.

De betaallinks en chatgesprekken met slachtoffers zijn terug te leiden tot telefoons die verdachte in gebruik had. Dit geldt ook voor het verzenden van de sms-bom die onder feit 2 ten laste is gelegd. Tijdens de tapperiode is gebleken dat verdachte als administrator ingelogd was op het beheerpanel van de actieve phishingsite. Ook heeft de vriendin van verdachte verklaard dat hij de fraudes alleen pleegde en daarbij gebruik maakte van meerdere telefoons, waaronder de hare. In het dossier en noch ter zitting zijn voldoende verifieerbare aanwijzingen gevonden voor een nauwe en bewuste samenwerking of gezamenlijke uitvoering met mededaders. De rechtbank spreekt de verdachte daarom van enkele andere ten laste gelegde feiten vrij.

De rechtbank acht de houding van verdachte zorgelijk en zij rekent hem de feiten ernstig aan. Ook heeft hij een strafblad voor eerder gepleegde vermogensdelicten. De reclassering heeft gerapporteerd dat verdachte de status van veelpleger heeft. Hij heeft geen werk, geen inkomen, hoge schulden, hij gebruikte drugs en had een negatief sociaal netwerk. Ook is hij licht verstandelijk beperkt. Verdachte is in het verleden onvoldoende ontvankelijk gebleken voor behandeling. Het recidiverisico wordt hoog geacht. Gelet op de ernst van de feiten en de straffen die rechtbanken in soortgelijke zaken opleggen, legt de rechtbank een gevangenisstraf op van  42 maanden met aftrek van het reeds ondergane voorarrest.

Vrijspraak bezit van kinderpornografie en teruggave van gegevens

Op 25 maart 2021 heeft de rechtbank Zeeland-West-Brabant een verdachte vrijgesproken (ECLI:NL:RBZWB:2021:1421) van het in bezit hebben van kinderpornografisch materiaal. In 2016 is verdachte veroordeeld wegens het bezit van kinderpornografische bestanden op zijn computer. Deze computer is destijds in beslag genomen. Van de foto’s op die computer, waaronder ook privé-foto’s, is door verdachte een back-up gemaakt en verdachte heeft verklaard dat die back-up door zijn stiefvader op de nieuwe computer van verdachte is gezet. De verdachte heeft verklaard dat de kinderpornografische bestanden op de Toshiba computer voor hem niet zichtbaar waren.

In dit soort zaken moet opzet op het bezit van kinderpornografisch materiaal bewezen worden. Het dossier bevat geen nadere logistieke data over de aangetroffen bestanden, zoals wanneer de bestanden op de computer zijn gezet, wanneer ze zijn verwijderd of in de prullenbak geplaatst en wanneer de bestanden voor het laatst zijn geopend. Ook zijn er zijn geen zoektermen aangetroffen die verband zouden kunnen houden met kinderporno. Gelet op deze stand van zaken kan niet worden uitgesloten dat de verklaring van verdachte dat de bestanden afkomstig moeten zijn van de back-up van zijn vorige computer klopt en niet kan worden bewezen dat de verdachte welbewust kinderpornografische afbeeldingen in zijn bezit heeft gehad.

In deze zaak is de computer in beslaggenomen en zijn alle gegevens op de harde schijf aan het verkeer onttrokken. Maar onttrekking aan het verkeer van de in beslag genomen computer zonder beperking, zou betekenen dat de andere (niet strafbare) bestanden verloren gaan, terwijl niet kan worden vastgesteld dat het ongecontroleerd bezit daarvan in strijd is met de wet of het algemeen belang. Daarbij is van doorslaggevend belang dat dit onder andere onvervangbare foto’s van de overleden vader van verdachte betreft, die van grote waarde voor verdachte zijn.

De conclusie is dan ook dat de andere gegevens ter beschikking van de verdachte moet worden gesteld en in zoverre zal een last worden gegeven tot teruggave aan de verdachte. Het is aan het openbaar ministerie om te besluiten op welke feitelijke wijze dit plaatsvindt. De rechtbank geeft daarvoor een paar handvatten. De eerste is de 80 kinderpornografische bestanden wissen zodat dat het terughalen van deze bestanden niet meer mogelijk is. Na het wissen van de 80 bestanden kan de computer dan worden teruggegeven. de tweede optie is dat de verdachte een (lege) gegevensdrager aanlevert, waarop de politie de gegevens van de computer minus de 80 kinderpornografische bestanden kopieert.

Over de bijzondere voorwaarde van controle in kinderpornozaken

Het Hof Amsterdam veroordeelde (ECLI:NL:GHAMS:2021:626) op 4 maart 2021 een verdachte tot een gevangenisstraf van 21 maanden, waarvan 18 maanden voorwaardelijk, met een proeftijd van 3 jaar, voor het gewoonte maken van onder meer verspreiden en in bezit hebben van kinderpornografisch materiaal.

In het arrest formuleert het Hof Amsterdam een gedragsvoorwaarde die strekt tot controle van gegevensdragers. Het is daarbij van belang dat de controle beperkt is door het toezicht te beperken tot

“het toezicht op de naleving van de hiervoor genoemde bijzondere voorwaarde en niet mag strekken of toe leiden een min of meer compleet beeld te krijgen van verdachtes persoonlijke leven. Bij de uitvoering van het onderzoek kan gebruik worden gemaakt van een computerprogramma dan wel een ander technisch hulpmiddel dat is gericht op de onderkenning van seksueel getint of kinderpornografisch materiaal.”

Het Hof Den Haag heeft in het arrest van 9 februari 2021 (ECLI:NL:GHDHA:2021:193) nadere (rand)voorwaarden geformuleerd waaraan de controle van de gegevensdragers van de verdachte dient te voldoen.

Overzicht Inlichtingen en Recht – oktober 2020

In dit nieuwe overzicht over ‘Inlichtingen en recht’ wordt periodiek een overzicht gegeven van relevante rapporten, Kamerstukken en jurisprudentie over inlichtingen, nationale veiligheid en recht. Het doel is de kern van de stukken te vatten en op deze wijze de nodige kennis te verschaffen aan geïnteresseerden.

Deze klus doe ik samen Sophie Harleman. Zij is vanaf 1 september 2020 als promovenda door de Universiteit Utrecht aangesteld in het kader van mijn leerstoel ‘Inlichtingen en Recht’. Mr. S.A.M. Harleman is verbonden aan het Montaigne Centrum voor Rechtsstaat en Rechtspleging en het Willem Pompe Instituut voor Strafrechtwetenschappen van de Universiteit Utrecht.

Voortgangsrapportage IV over de implementatie Wiv 2017

In onderstaande blogpost ga ik (Sophie) in op de belangrijkste constateringen van de CTIVD in de laatste en vierde voortgangsrapportage over de Wiv 2017. De CTIVD concludeert dat de implementatie van de Wiv 2017 nog niet volledig is afgerond.

Een kernpunt van de rapportage is dat de CTIVD de achterstand in het implementatieproces van de Wiv 2017 te wijten acht aan onvoldoende aandacht voor de implementatie van de wet bij de totstandkoming. In hun beleidsreactie geven de ministers van BZK en Defensie aan het hiermee eens te zijn. Desalniettemin vinden zowel de ministers als de CTIVD dat de diensten een goede koers hebben ingezet. Een belangrijke rol speelt daarbij de verdere verankering van de zorgplicht op de kwaliteit van de gegevensverwerking. De AIVD heeft het zorgplichtstelsel volgens de CTIVD nu op orde, waardoor het risico voor die dienst wordt bijgesteld van beperkt naar geen. Voor de MIVD wordt het risico bijgesteld van gemiddeld naar beperkt. De diensten hebben volgens het rapport echter nog onvoldoende bereikt als het gaat om de vertaalslag van wet naar praktijk. Voor de speciale bevoegdheid van onderzoeksopdrachtgerichte interceptie (“OOG-I”) is de vertaalslag overigens niet te beoordelen, nu die bevoegdheid nog niet is ingezet.

Voor wat betreft de relevantiebeoordeling oordeelt de CTIVD dat een risico op onrechtmatigheden blijft bestaan door een grote vrijheid voor ontwikkelaars om op decentraal niveau oplossingen te zoeken en systemen in te richten. De kritiek van de CTIVD is niet onopgemerkt gebleven. Huib Modderkolk spreekt bijvoorbeeld van ‘zorgen bij de toezichthouder’.

Meer specifiek onderscheidt de CTIVD in de vierde en laatste voortgangsrapportage de volgende (knel)punten die nadere aandacht behoeven in het kader van de wetsevaluatie:

  • Datareductie

De CTIVD acht het in zijn geheel of grotendeels relevant beoordelen van bulkdatasets door de diensten onrechtmatig. De Wiv 2017 biedt hiervoor geen ruimte. De CTIVD is van mening dat de aard van de gegevensset doorslaggevend behoort te zijn. Bulkdatasets, ongeacht of deze zijn verkregen door OOG-I, vereisen in het licht daarvan bijzondere wettelijke waarborgen. In Toezichtsrapport 70 en 71 gaat de CTIVD verder in op het verzamelen van bulkdatasets met de hackbevoegdheid. Volgens de CTIVD is er sprake van een onrechtmatigheid bij het zo spoedig mogelijk beoordelen op relevantie van bulkdatasets. Er blijft een gemiddeld risico bestaan op onrechtmatig handelen voor de AIVD als het gaat om relevantiebeoordeling. De verdere risico’s blijven volgens de toezichthouder beperkt. Voor de MIVD geldt een hoog risico voor de wijze waarop onomkeerbare vernietiging plaatsvindt. Het risico m.b.t. de relevantiebeoordeling wordt verlaagd van hoog naar gemiddeld. Wat betreft het relevantiebegrip en de termijn stelt de CTIVD het risico voor de MIVD vast op beperkt.  Opvallend is dat de ministers van BZK en Defensie het oordeel van de CTIVD dat de relevantiebeoordeling van bulkdatasets onrechtmatig is uitgevoerd, niet delen. Het is daarom goed, aldus de beleidsreactie van de ministers, dat de evaluatiecommissie dit onderwerp betrekt bij de evaluatie van de Wiv 2017.

  • Geautomatiseerde data-analyse (GDA)

Ook bij geautomatiseerde data-analyse verloopt het implementatieproces volgens de CTIVD moeizaam. De algemene bevoegdheid van GDA (neergelegd in artikel 60 Wiv 2017) kan zonder waarborgen toegepast worden op het verzamelen of verkrijgen van bulkdatasets met toepassing van andere bevoegdheden dan OOG-I. De toezichthouder vindt dat een onderscheid naar eenvoudige of complexe vormen van GDA niet leidend mag zijn. Ook acht de CTIVD van belang dat de geautomatiseerde analyse van metadata (m.u.v. OOG-I) in de Wiv 2017 niet met aanvullende waarborgen is omgeven, terwijl uit jurisprudentie van het EHRM en van het HvJ EU blijkt dat metadata-analyse een zwaarwegende inmenging op het recht op privacy inhoudt (respectievelijk uit Big Brother Watch e.a. en Tele2 Sverige AB/Watson). Voldoende waarborgen zijn daarbij dus wel degelijk nodig. Desalniettemin verlaagt de CTIVD het risico voor GDA-60 van hoog naar gemiddeld. Het risico voor GDA-50 blijft op gemiddeld staan.

  • Internationale samenwerking

De toezichthouder vindt de niet-afgeronde inhoudelijke aanpassing van wegingsnotities (een schriftelijke verantwoording van een beslissing tot samenwerking met buitenlandse diensten) in combinatie met onverminderde samenwerking met buitenlandse diensten risicovol. Daarnaast onderscheidt de CTIVD een belangrijk zorgpunt bij het delen van bulkdatasets met buitenlandse diensten, gezien het gebruik van een ruimere toepassing van de reeds genoemde relevantiebeoordeling. In dit licht behoeft de definiëring van de begrippen ‘geëvalueerde’ en ‘ongeëvalueerde’ nadere aandacht bij de wetsevaluatie.

De CTIVD sluit af met de opmerking dat zij met deze rapportage een bijdrage wil leveren aan de wetsevaluatie, en dat zij onderwerpen die relevant zijn voor de evaluatie ook buiten deze rapportage zal aandragen bij de evaluatiecommissie.

Sophie Harleman

CTIVD-rapport over de hackbevoegdheid

De CTIVD heeft op 22 september 2020 twee toezichtsrapporten gepubliceerd. Rapport nr. 70 gaat over het verzamelen van bulkdatasets met de hackbevoegdheid door de AIVD en de MIVD. Rapport nr. 71 gaat over het verzamelen en verder verwerken van passagiersgegevens van luchtvaartmaatschappijen door de AIVD en MIVD. Bulkdatasets zijn gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De belangrijkste conclusies van het rapport ver de hackbevoegdheid zijn dat van de zestien onderzochte operaties, in drie van de door de AIVD aangevraagde operaties gegevens zijn verzameld nadat een toestemmingsverzoek door de Toetsingscommissie Inzet Bevoegdheden (TIB) is afgewezen. Dit is onrechtmatig. Snel na deze constatering zijn de datasets door de AIVD vernietigd. Veel dingen gingen goed, zoals het opruimen van de ‘technische hulpmiddelen’ in de systemen en het (voor zover mogelijk) aantekening houden door de gezamenlijke uitvoerende afdeling ‘Computer Network Exploitation’ (CNE).

De CTIVD constateert ook dat de toets in art. 27 Wiv 2017 – dat gegevens zo spoedig mogelijk op relevantie moeten worden beoordeeld – in de praktijk niet goed uitvoerbaar is. De diensten hebben in de onderzoeksperiode in een aantal gevallen bulkdatasets gedeeltelijk of integraal relevant verklaard, ondanks dat het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden. De CTIVD geeft aan dat door deze handeling de gegevens nu ‘in het betekenisregime zitten’ zonder definitieve vernietigingstermijn. De CTIVD beschouwt deze wijze van relevantiebeoordeling als een ‘kunstgreep om de bewaartermijn van de datasets in kwestie te verlengen, het is immers onrechtmatig om datasets met voor het merendeel niet-relevante gegevens relevant te verklaren’.

In de beleidsreactie onderstrepen de beide ministers de noodzaak van het gebruik van bulkdatasets door de diensten. Hoewel hoogst ongebruikelijk, geven de ministers aan waarvoor de gegevens in de bulkdatasets gebruikt zijn: voor het onderkennen van locaties van Nederlandse uitreizigers in (voormalig) ISIS-gebied (onder andere van wie het Nederlanderschap is ingetrokken), voor onderzoek naar de inzet van ‘Improvised Explosive Devices’ (IED’s) tegen Nederlandse militairen, voor onderzoek van de vermoedelijke betrokkenheid van de Iraanse dienst bij liquidaties in Nederland en voor het vaststellen van de identiteit van de personen betrokken bij zenuwgasaanvallen in Syrië in 2016/2017.

Het is ook ongebruikelijk dat de ministers het oneens zijn met twee conclusies en aanbevelingen in het rapport. Het onrechtmatigheidsoordeel over de relevantieverklaring en het advies tot vernietiging over te gaan van bepaalde bulkdatasets wordt ‘niet opgevolgd’. Zij achten de vernietiging ‘onverantwoord’. In de tussentijd passen de AIVD en de MIVD interne aanvullende waarborgen toe, zoals een strikt autorisatieregime en herbeoordeling voor het bewaren van de gegevens.

Jan-Jaap Oerlemans

CTIVD-rapport over passagiersgegevens

Op 22 september 2020 heeft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) ook rapport nr. 71 over de verzameling en verdere verwerking van passagiersgegevens van luchtvaartmaatschappijen gepubliceerd. In de onderzoeksperiode van 1 januari 2019 tot 1 september 2019 stonden in de database van de AIVD de gegevens van miljoenen personen. Het betreft daarmee ook een bulkdataset; gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De ‘Advanced Passenger Information’-database wordt door de Koninklijke Marechaussee (Kmar) aangelegd na verstrekking van API-gegevens door luchtvaartmaatschappijen op grond van de EU-richtlijn 2004/82/EG (API-richtlijn). API-gegevens zijn bijvoorbeeld gegevens over nationaliteit, volledige naam, geboortedatum, geslacht, vluchtnummer en het eerste instappunt (zie ook Stb. 2012, 688). De KMar verwerkt de gegevens ten behoeve van haar eigen taaktuitvoering; de uitvoering van de grenscontrole. De AIVD verzamelt de API-gegevens van de KMar op ‘structurele en geautomatiseerde wijze’ op grond van een algemene bevoegdheid, in dit geval de informantenbevoegdheid (artikel 39 Wiv 2017). De gegevens worden bijvoorbeeld verwerkt in het kader van onderzoeken naar organisaties en personen die een bedreiging voor de nationale veiligheid vormen. Daarnaast worden de gegevens gebruikt in veiligheidsonderzoeken.

De CTIVD concludeert in het rapport dat de Wiv 2017 de ruimte geeft de bulkdataset aan passagiersgegevens structureel en geautomatiseerd te verzamelen met de informantenbevoegdheid. Ook mogen de gegevens verder worden verwerkt, onder andere door middel van ‘geautomatiseerde data-analyse’. Daarnaast zijn andere dingen onrechtmatig, zoals het niet-uitvoeren van een schriftelijke toets op noodzakelijkheid, proportionaliteit en subsidiariteit voor de verzameling van de gegevens en niet toepassen van het eigen beleid ‘Werken met grote datasets’ door de AIVD en de MIVD. Ook merkt de toezichthouder op dat de diensten toegang kunnen krijgen tot PNR-gegevens op basis van de PNR-richtlijn 2016/681/EU. Dat betreft een grotere set aan gegevens, omdat het vluchten binnen de EU betreft en – naast API-gegevens – gaat over gegevens over de reservering, contactgegevens, betaalgegevens en bagage-informatie.

Vanwege de grootte van de dataset vraagt de CTIVD in het rapport zich af of een dergelijke invulling van de informantenbevoegdheid voldoende voorzienbaar is voor de burger. De toezichthouder geeft mee in de Wet op de inlichtingen- en veiligheidsdiensten een specifieke regeling op te nemen voor het verzamelen en verder verwerken van bulkdatasets.

Jan-Jaap Oerlemans

Wetsvoorstel Zerodays

Het initiatiefvoorstel Zerodays van het lid Verhoeven is in behandeling bij de Tweede Kamer. Zerodays zijn fouten in software die nog onbekend zijn bij de maker van de software (de maker heeft nul dagen gehad om het gat te dichten). Deze zerodays kunnen gebruikt worden om de werking van de betreffende software te manipuleren, oftewel te hacken. De initiatiefnemer van het voorstel is van mening dat de huidige regeling rondom zerodays niet werkt. De Raad van State staat in haar advies overigens duidelijk negatief tegenover het wetsvoorstel.

Het wetsvoorstel is in juni 2020 gewijzigd. Er is met de wijziging een behandeltermijn van vier weken voor onbekende kwetsbaarheden ingevoegd. Ook moet het orgaan ter beoordeling van kwetsbaarheden informatie verzamelen over de potentiële gevolgen van het openhouden van een kwetsbaarheid voor de samenleving, alvorens een onbekende kwetsbaarheid te beoordelen. Op 23 september 2020 is het gewijzigde voorstel plenair behandeld. Door de leden Buitenweg en Middendorp zijn verscheidene moties ingediend. Op 13 oktober 2020 is de stemming over het wetsvoorstel voor de derde keer uitgesteld.

Op 12 oktober 2020 is een tweede nota van wijziging ingediend het lid Verhoeven, de initiatiefnemer. Hij is van mening dat het initiële voorstel om te voorzien in beoordelingsorgaan voor kwetsbaarheden, bestaande uit verschillende ministeries en organisaties, teveel weerstand oproept. De wijzigingsnota ziet dan ook op het weglaten van een dergelijk orgaan. Wel moet er voor alle overheidsorganen een goed afwegingskader komen voor de inzet van onbekende kwetsbaarheden. Ook mogen bedrijven waarvan de Nederlandse overheid hacksoftware koopt, volgens het initiatiefvoorstel geen zaken doen met landen die op de EU of VN sanctielijsten staan. Voor inlichtingendiensten geldt dat zij dit moeten meenemen in hun weging bij aankoop van dergelijke software.

Privacyorganisatie Bits of Freedom heeft zich overigens op Twitter al afgevraagd of de wijziging inhoudt dat de politie nu zelf de afweging kan maken omtrent zerodays, in plaats van dat een (semi-) onafhankelijk commissie dit doet. Ook het gewijzigde voorstel roept dus vast op verschillende fronten weerstand op. Het blijft voorlopig afwachten.

Sophie Harleman

Wijzigingswet Wiv 2017

Het wetsvoorstel ‘Wijzigingswet Wiv 2017’ is op 9 juni 2020 aangenomen in de Tweede Kamer. De wet betreft onder meer een wijziging ten aanzien van het gerichtheidsvereiste. Het gerichtheidsvereiste houdt volgens de memorie van toelichting op het wetsvoorstel in: ‘in hoeverre bij de verwerving sprake is van het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus’ (Kamerstukken II 2018/19, 35242, 3, p. 4-5). De te vergaren gegevens moeten daarbij worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object.

De gewijzigde Wiv 2017 biedt deze extra waarborg voor bescherming van fundamentele rechten, omdat het vereiste, door het toe te voegen aan artikel 26 Wiv 2017, gaat gelden voor alle bevoegdheden , in plaats van slechts voor de bijzondere bevoegdheden in de Wiv 2017. Ook ziet een wijziging op het delen van ongeëvalueerde gegevens met buitenlandse diensten. De meldplicht aan de CTIVD wordt uitgebreid tot elke verstrekking van ongeëvalueerde gegevens aan een buitenlandse dienst, ongeacht de bevoegdheid waarmee deze zijn verworven. Op 15 juli 2020 is het voorlopig verslag (.pdf) over het wetsvoorstel verschenen. De leden van de fractie van GroenLinks, PvdA, PV en PvdD hebben vragen gesteld over het wetsvoorstel. Hieronder bespreek ik (Sophie) kort enkele door de fractieleden opgeworpen vragen.

GroenLinks en de PvdA vragen zich af in hoeverre de regering meent dat zij met het wetsvoorstel tegemoetkomt aan de zorgen die blijken uit de uitslag van het referendum. Daarnaast vragen leden van de GroenLinks-fractie zich af op welke wijze de positie van journalisten, advocaten en medici in het wetsvoorstel is verbeterd n.a.v. de consultatiereacties en het advies van de Raad van State. De leden van de PVV-fractie is benieuwd of de regering kan duiden hoe er met dit voorstel precies tegemoet wordt gekomen aan de zorgen in de samenleving, onder andere over de bescherming van advocaten en journalisten.

Als het gaat over samenwerkingsverbanden met andere diensten, willen de leden van de GroenLinks-fractie graag weten of de wegingsnotitie en het afwegingskader dat daarbij hoort, gedeeld kan worden met de Eerste Kamer. Daarnaast hebben zij verdere vragen over de samenwerkingsverbanden en over de mogelijkheid van het verstrekken van ongeëvalueerde gegevens aan diensten van landen waarmee geen samenwerkingsrelatie bestaat (zoals is neergelegd in artikel 64 van de Wiv 2017). Een specifieke vraag van de fractie is bijvoorbeeld: Is het mogelijk dat data wordt gedeeld met diensten die gebruik maken van gezichtsherkenningstechnologie of technologie van Clearview AI? Ook stellen zij vragen over het vergaren van informatie buiten onderzoeksopdrachtgerichte intercepties en de toetsing daarvan. De leden van de PvdA-fractie en de PvdD-fractie zitten met soortgelijke vragen over de uitwisseling van geëvalueerde gegevens. Door de PvdD fractieleden wordt de vraag gesteld waarom in deze context de bescherming ten aanzien van verschoningsgerechtigden (journalisten en advocaten) niet explicieter is gemaakt.

De leden van de PVV-fractie stellen in deze context de opvallende vraag of de regering nader kan onderbouwen waarom het mogelijk niet kunnen verstrekken van ongeëvalueerde gegevens aan andere diensten überhaupt een onaanvaardbaar risico voor de nationale veiligheid zou zijn.

Wat betreft het gerichtheidscriterium stellen de leden van de PvdA-fractie de vraag of de regering voorziet dat het criterium ‘zo gericht mogelijk’ in de toekomst nog nader wordt gespecificeerd. Verder zijn de leden benieuwd welke juridische voorzieningen de regering treft om de ‘zo gericht mogelijke’ behandeling van door informanten verkregen bulkdata af te dwingen. De leden van de PvdD-fractie vragen zich af waarom het gerichtheidscriterium, niet in de wet is opgenomen. Tot slot hebben ook de leden van de PVV-fractie verscheidene vragen over de eisen die aan het gerichtheidscriterium worden gesteld.

Het is interessant te bezien hoe de regering in de memorie van antwoord op deze vragen in zal gaan. Na verschijning van de memorie van antwoord zal dit bericht geupdate worden.

Sophie Harleman

Uitspraken HvJ EU over dataretentie

Op 6 oktober 2020 heeft het Hof van Justitie van de Europese Unie (HvJ EU) verscheidene arresten gewezen over het in bulk verstrekken van communicatiegegevens aan inlichtingen- en veiligheidsdiensten. Het betreft de zaken Privacy International (C-623/17) en samengevoegde zaken La Quadrature du Net and Others (C-511/18), French Data Network and Others (C-512/18) en Ordre des barreaux francophones et germanophone and Others (C-520/18).

De afgelopen jaren heeft het Hof van Justitie van de Europese Unie zich in verscheidene zaken uitgesproken over het opslaan van en toegang tot persoonsgegevens op het gebied van elektronische communicatie. Een opvallende uitspraak van het Hof is de Tele2 Sverige (C-203/15) uitspraak, waarin het Hof besliste dat lidstaten niet van aanbieders van elektronische communicatienetwerken en – diensten (hierna: providers) konden verlangen op een ongerichte en algemene wijze verkeers- en locatiegegevens te bewaren (zogenoemde metadata). In de uitspraken van het Hof van 6 oktober 2020 speelt, net als in Tele2 Sverige, de Europese richtlijn betreffende privacy en elektronische communicatie (Richtlijn 2002/58/EG) een centrale rol. Deze richtlijn ziet specifiek op de verwerking van persoonsgegevens door elektronische communicatiediensten.

Het Hof beslist in Privacy International allereerst dat zowel nationale wetgeving die providers verplicht verkeers- en locatiegegevens vast te houden, als wetgeving die ze verplicht de gegevens te overhandigen aan de inlichtingen- en veiligheidsdiensten, onder de reikwijdte van de richtlijn valt (par. 49).

Vervolgens buigt het Hof zich over de vraag of de richtlijn nationale wetgeving uitsluit die een overheidsinstantie de mogelijkheid verschaft van providers te eisen dat zij algemene en ongerichte verkeers- en locatiegegevens overdragen aan de inlichtingen- en veiligheidsdiensten, als deze overdracht als doel heeft de nationale veiligheid te waarborgen. Deze vraag is van belang gelet op artikel 4, lid 2 van het Verdrag betreffende de Europese Unie, dat o.a. luidt: “Met name de nationale veiligheid blijft de uitsluitende verantwoordelijkheid van elke lidstaat.”

Verkeers- en locatiegegevens mogen volgens artikel 5 van de privacy en elektronische communicatierichtlijn niet zonder toestemming worden opgeslagen of verstrekt aan derden, ook niet aan inlichtingen- of veiligheidsdiensten. De uitzondering op deze regel is neergelegd in artikel 15, lid 1 van de richtlijn: het mag wel wanneer er sprake is van een noodzakelijke, subsidiaire en proportionele maatregel in een democratische samenleving, die als doel heeft de nationale veiligheid en openbare veiligheid te waarborgen, criminaliteit te voorkomen en te bestrijden, of misbruik van het elektronische communicatienetwerk tegen te gaan.

Het Hof benadrukt dat het waarborgen van nationale veiligheid als doel zwaarder weegt dan de andere doelen die in artikel 15 van de richtlijn geformuleerd zijn (par. 75). Het gaat bij nationale veiligheid met name om het beschermen van essentiële functies en fundamentele belangen van de staat en de maatschappij. Daarbij moet ook worden gedacht aan het voorkomen en bestraffen van ontwrichtende activiteiten, zoals terrorisme (het Hof verwijst hierbij naar par. 135 van La Quadrature du Net and Others en de gevoegde uitspraken).

Het Hof stelt vast dat er in onderhavige zaak sprake is van wetgeving die ongerichte en algemene toegang tot verkeers- en locatiegegevens mogelijk maakt. Ook als er geen bewijs bestaat dat personen iets te maken hebben met het gestelde doel de nationale veiligheid te waarborgen, kunnen hun verkeers- en locatiegegevens overgedragen worden (par. 80).  Dergelijke wetgeving gaat volgens het Hof de grenzen van wat strikt noodzakelijk is te buiten, en kan niet worden geacht noodzakelijk te zijn in een democratische samenleving (par. 81).

Het Hof is dan ook van oordeel dat artikel 15, lid 1 van de Richtlijn, gelezen in het licht van artikel 4, lid 2 VEU en artikel 7, 8, 11 en 52, lid 2 van het Handvest van de Grondrechten van de Europese Unie, nationale wetgeving uitsluit die het mogelijk maakt dat overheidsinstanties van een provider algemene en ongerichte overdracht van verkeers- en locatiegegevens aan de inlichtingen en veiligheidsdiensten verlangt, ook als dit als doel heeft de nationale veiligheid te waarborgen (par. 82).

Het Hof benadrukt in de gevoegde zaken C-511/18, C-512/18 en C-520/18 echter, dat wetgeving die providers verplicht tot het vasthouden van gegevens voor een bepaalde tijd, en indien dit strikt noodzakelijk is, niet in strijd is met de richtlijn. Er moet dan wel sprake zijn van een serieuze dreiging voor de nationale veiligheid, die oprecht, aanwezig en voorzienbaar is (par. 137). Ook moet een dergelijke maatregel onderhevig zijn aan toetsing door een rechtbank of door een onafhankelijk bestuursorgaan dat bindende besluiten kan nemen (par. 139).

Het in real-time verzamelen van verkeers- en locatiegegevens dient volgens het Hof beperkt te zijn tot personen van wie het vermoeden bestaat dat zij betrokken zijn bij terroristische activiteiten. Ook hier geldt dat een voorafgaande controle door een rechter of onafhankelijk bestuursorgaan vereist is en dat de maatregel enkel is toegestaan voor zover dit strikt noodzakelijk is (par. 183-192).

Tot slot trekt het hof nog de conclusie dat het Unierecht niet de ongerichte en algemene retentie van IP-adressen uitsluit, mits dit als doel heeft de nationale veiligheid te waarborgen, serieuze criminaliteit tegen te gaan of de openbare veiligheid te beschermen. Ook hier geldt dat dit slechts voor een beperkte periode is toegestaan en dat de maatregel strikt noodzakelijk dient te zijn (par. 168).

Volgens deze recente uitspraken van het Hof is het ongericht verzamelen van telefoon- en internetgegevens dus strijdig met Europese privacyregels, ook wanneer dit gebeurt in het kader van het waarborgen van nationale veiligheid. Het is opvallend dat het Hof tot deze beslissing komt, gezien de tekst van artikel 4, lid 2 VEU. 

Sophie Harleman

Veroordeling tot 17-jaar gevangenisstraf voor voorbereiden van aanslag

Op 8 oktober 2020 heeft de rechtbank Rotterdam zes mannen veroordeeld (ECLI:NL:RBROT:2020:8905) voor het voorbereiden van een grote terroristische aanslag in Nederland. Daartoe heeft de verdachte deelgenomen aan een terroristische organisatie en heeft hij training gevolgd. De zaak heeft veel media-aandacht gekregen (zie ook dit NOS-bericht en de video).

In de uitspraak is de lezen hoe de verdachten met z’n vijven zijn een aanslag wilden plegen op een festival en dat zij ook een grote auto met behulp van een afstandsbediening tot ontploffing willen brengen in een andere stad, mogelijk vanuit Amsterdam.

De zaak kwam aan het rollen door een ambtsbericht van 26 april 2018 van de AIVD. In dit ambtsbericht werd melding gemaakt van het feit dat de verdachte (met de hoogst opgelegde gevangenisstraf) voorbereidingen trof om met een groep personen veel slachtoffers te maken door een terroristische aanslag te plegen op een groot evenement in Nederland. Hij was op zoek naar aanslagmiddelen voor meerdere personen en iemand die hierin kon faciliteren. Direct na ontvangst van dit ambtsbericht werd een groot opsporingsonderzoek, genaamd ‘26Orem’, gestart.

De verdediging voert aan dat sprake is van uitlokking van de verdachten en overtreding van het beginsel van ‘détournement de pouvoir’ door de AIVD. Volgens de verdediging is sprake van misbruik van bevoegdheden door de AIVD. De inlichtingendienst heeft haar bevoegdheden ingezet ten behoeve van strafvorderlijke doeleinden, waarbij belangrijke strafvorderlijke waarborgen opzij werden gezet. De verdediging kan volgens de rechtbank niet onderbouwen waarom sprake zou zijn van uitlokking.

Over de mate van controle door de strafrechter op AIVD onderzoek en de toetsing van de bruikbaarheid in het strafproces, verwijst de rechtbank naar het arrest (ECLI:NL:HR:2006:AV4122) van de Hoge Raad in de zaak ‘Eik’ uit 2006 met de volgende overweging:

“Een onderzoek door een inlichtingen- en veiligheidsdienst vindt plaats buiten de verantwoordelijkheid van de politie en het openbaar ministerie. De wetgever heeft de toetsing van de rechtmatigheid van het handelen van de AIVD toebedeeld aan de CTIVD. Dat daarmee de rechtmatigheidstoets aan de strafrechter onttrokken is en art. 359a Sv niet van toepassing is, neemt niet weg dat in een strafprocedure waarin van een inlichtingen- en veiligheidsdienst afkomstig materiaal voor het bewijs wordt gebruikt, moet zijn voldaan aan de eisen van een eerlijk proces. De strafrechter moet toetsen of dat het geval is. Onder omstandigheden mogen de resultaten van het door een inlichtingen- en veiligheidsdienst ingesteld onderzoek niet tot het bewijs worden gebezigd, bijvoorbeeld indien het optreden van de betrokken dienst een schending van de aan een verdachte toekomende fundamentele rechten heeft opgeleverd die van dien aard is dat daardoor geen sprake meer is van fair trial als bedoeld in art. 6 EVRM.”

De rechtbank overweegt dat er sterke aanwijzingen zijn dat er een verband is tussen de inzet van (niet politiële) infiltranten en de AIVD. Bij gebreke aan nadere transparantie gaat de rechtbank ervan uit dat de desbetreffende persoon of personen die met de verdachte contact heeft/hebben gehad gerelateerd zijn aan de AIVD. Deze infiltranten zijn contact met de verdachte blijven onderhouden. Ondanks dat de infiltranten in hun e-mails de verdachte lijken te steunen bij de uitvoering van zijn plannen, religieuze opvattingen met hem uitwisselen, bij hem erop aandringen nieuwe e-mailadressen aan te maken en contact op te nemen en te onderhouden met ‘hun broeder (de politie-infiltrant)’, is er volgens de rechtbank geen sprake van (het verbod op) uitlokking. De verdachte is door de politie-infiltrant niet tot handelingen gebracht waarop zijn opzet niet al tevoren was gericht

De handelingen onder verantwoordelijkheid van de AIVD hebben echter wel aan bijgedragen dat de verdachte met de politie-infiltrant in contact is gekomen en gebleven en zij lijken hem te hebben beïnvloed bij het vasthouden aan een bepaald doelwit voor een aanslag, ook op momenten dat de verdachte leek af te dwalen of meer tijd nodig leek te hebben. Dit handelen van de AIVD tijdens het opsporingsonderzoek is een vorm van niet-toegestane beïnvloeding. Een dergelijke vorm van niet controleerbare en niet transparante bemoeienis brengt naar het oordeel van de rechtbank het waarborgen van een eerlijk proces in gevaar. De rechtbank verbindt hier een sanctie aan, namelijk drie jaar strafvermindering voor de verdachte.

De rechtbank acht de verdachte schuldig aan de voorbereiding van een grote terroristische aanslag op willekeurige burgers en politie in Nederland. Zij hebben gezamenlijk deelgenomen aan een terroristische organisatie en een training gevolgd met het oog op het plegen van een terroristisch misdrijf. De verdachte en de medeverdachten waren voornemens eind 2018 met een voertuig een (zware) bomaanslag te plegen en elders een festival binnen te dringen ‘schietend als een gek op mensen’ met Kalasjnikovs. De verdachte en de medeverdachten zouden daarbij ook handgranaten en bomvesten hebben willen gebruiken. De bomvesten zouden gebruikt moeten worden als de politie zou arriveren, zodat ook zij daarmee slachtoffer zouden worden. De verdachte en de medeverdachten hadden namelijk duidelijk kenbaar gemaakt dat zij zelf niet levend in handen van de politie zouden willen vallen. De verdachte heeft grote hoeveelheden (beeld)materiaal aangaande het radicale en extremistische gedachtengoed van de gewapende jihadstrijd voorhanden gehad, zoals dat onder meer door terroristische organisaties als Islamitische Staat (verder: IS) wordt gepubliceerd en verkondigd.

De rechtbank overweegt ook dat deze aanslagen worden gepleegd vanuit een intolerante religieuze ideologie, waarbij wordt geprobeerd het eigen gelijk op gewelddadige wijze aan anderen op te leggen en waarbij de bevolking veelal slachtoffer is en ernstige vrees wordt aangejaagd. Daarbij worden geen middelen en methoden geschuwd. De verdachte en de medeverdachten hebben zowel de burgerbevolking als de politie in Nederland op zware wijze beoogd te treffen met een bloedige aanslag waarbij grote aantallen onschuldige personen het slachtoffer zouden moeten worden. Dankzij tijdig ingrijpen van de Nederlandse overheidsdiensten hebben de verdachte en de medeverdachten hun plannen niet kunnen uitvoeren.

De verdachte wordt veroordeeld voor de hoge gevangenisstraf van 17 jaar. De rechtbank legt tevens een maatregel voor gedragsbeïnvloeding of vrijheidsbeperking op, zoals bedoeld in artikel 38z Sr. Op die manier wordt het mogelijk om de verdachte in aansluiting op de gevangenisstraf onder toezicht te stellen indien dit op dat moment nog noodzakelijk wordt geacht.

Jan-Jaap Oerlemans

Intrekking Nederlanderschap en ongewenstverklaring

Op 11 augustus 2020 heeft de afdeling bestuursrecht van de rechtbank Den Haag een zeer uitvoering vonnis gewezen over de intrekking van Nederlanderschap en ongewenstverklaring van een Syriëganger. Normaal bespreek ik geen uitspraken uit andere rechtsgebieden, maar voor deze rubriek en in dit geval maak ik een uitzondering.

De eiser krijg geen toestemming op grond van art. 8:29 Algemene wet bestuursrecht (hierna: Awb) om de onderliggende stukken te zien voor de intrekking van het Nederlanderschap, waaronder een ambtsbericht van de AIVD. De rechtbank heeft met toepassing van artikel 8:45 lid 1 van de Awb de minister van Binnenlandse Zaken en Koninkrijksrelaties (hierna: de minister), die geen partij is, bij brief van 13 mei 2020 verzocht inzage te geven in de stukken die ten grondslag liggen aan het ambtsbericht. Bij brief van 22 mei 2020 heeft de minister de rechtbank onder verwijzing naar het bepaalde in artikel 8:29, eerste lid, van de Awb medegedeeld dat alleen de rechtbank kennis mag nemen van de onderliggende stukken van het ambtsbericht.

Eiser is in 1982 geboren in Amsterdam, uit ouders met de Marokkaanse nationaliteit. Later is hij Nederlander geworden. Op 25 oktober 2010 is eiser wegens vertrek uit Nederland uitgeschreven uit de brp van de gemeente Amsterdam naar het Register Niet-Ingezetenen. Op 18 oktober 2019 heeft de Algemene Inlichtingen- en Veiligheidsdienst (hierna: AIVD) een individueel ambtsbericht uitgebracht over eiser. Dit ambtsbericht luidt als volgt:

“In het kader van zijn wettelijke taakuitvoering beschikt de Algemene Inlichtingen en Veiligheidsdienst (AIVD) over de volgende betrouwbare informatie met betrekking tot [eiser] , geboren op [geboortedag] 1982 te Amsterdam, BSN [BSN-nummer], die volgens de BRP per 25-10-2010 is uitgeschreven met onbekende bestemming. Betrokkene bevindt zich sinds de zomer van 2012 in Syrië, alwaar hij zich aansloot bij de Islamitische Staat in Irak en al-Sham (ISIS). Vanaf medio 2014 tot maart 2019 wordt hij uitsluitend gelokaliseerd in Syrië in plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS. Na 11 maart 2017 bleef betrokkene in het strijdgebied en verrichtte hij (administratieve) medische werkzaamheden voor ISIS in Syrië. Uit een eerdere relatie heeft betrokkene een minderjarige zoon genaamd [C]. [C] is begin 2014 in Syrië geboren. Een afschrift van dit ambtsbericht wordt verstrekt aan de LOvJ.”

Bij afzonderlijke besluiten van 3 december 2019 heeft het ministerie van Justitie en Veiligheid het Nederlanderschap van eiser ingetrokken op grond van artikel 14, vierde lid, van de Rijkswet op het Nederlanderschap (hierna: RWN) en hem tot ongewenst vreemdeling verklaard in de zin van artikel 67 van de Vreemdelingenwet 2000 (Vw 2000) wegens gevaar voor de nationale veiligheid en in het belang van de internationale betrekkingen van Nederland.

De rechtbank overweegt dat uit de Memorie van Antwoord blijkt dat de aansluiting bij een organisatie zal moeten blijken uit de gedragingen van betrokkene, waarvoor doorgaans een ambtsbericht van de AIVD voorhanden is. Dit ambtsbericht kan gebaseerd zijn op een veelheid van bronnen en van geval tot geval zal moeten worden bepaald wanneer er sprake is van voldoende zekerheid over de feiten (Kamerstukken I 2015-2016, 34 356 (R2064), nr. C, onderdeel 4).

De rechtbank overweegt over het ambtsbericht dat uit het ambtsbericht onder meer blijkt dat eiser zich sinds de zomer van 2012 in Syrië bevindt, alwaar hij zich heeft aangesloten bij de Islamitische Staat in Irak en al-Sham (ISIS), dat hij vanaf medio 2014 tot maart 2019 uitsluitend gelokaliseerd wordt in Syrië op plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS, en dat hij na 11 maart 2017 in het strijdgebied verbleef en (administratieve) medische werkzaamheden verrichtte voor ISIS in Syrië.

De verweerder stelt dat de opgelegde maatregel disproportioneel is. De rechtbank overweegt dat de intrekking van de nationaliteit is weliswaar een zwaar middel is, maar dat het doel van de maatregel -het belang van bescherming van de nationale veiligheid- rechtvaardigt dat hiervan gebruik gemaakt wordt indien aan de eisen voor toepassing van artikel 14, vierde lid, van de RWN is voldaan. Naar het oordeel van de rechtbank is daaraan in het geval van eiseres voldaan. Door de intrekking van het Nederlanderschap en de ongewenstverklaring wordt de legale terugkeer van eiseres naar Nederland en het Schengengebied onmogelijk gemaakt en wordt de feitelijke terugkeer bemoeilijkt doordat eiseres zal worden gesignaleerd als ongewenst vreemdeling in verschillende systemen die kunnen worden geraadpleegd bij grenscontroles en uitgifte van visa. De rechtbank beoordeelt de maatregel als geschikt en passend om het doel te bereiken. De verweerder (het ministerie van justitie en veiligheid) heeft terecht gesteld dat er geen alternatieven zijn die hetzelfde effect hebben als de onderhavige maatregel. De intrekking of vervallenverklaring van een paspoort is geen redelijk alternatief omdat dit, kort gezegd, het recht op terugkeer naar Nederland onverlet laat.

De gemachtigde van eiser vraagt zich verder af hoe het ministerie weet dat het ambtsbericht op voldoende grondslag is gebaseerd. De gemachtigde vraagt zich ook af of wordt voldaan aan de eis van objectiviteit en wijst er op dat de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten, die op 16 juni 2020 een rapport heeft uitgebracht over deze materie, niet geëquipeerd zou zijn een oordeel te geven over individuele ambtsberichten en dat de onderliggende motivering van het standpunt van de landsadvocaat ontbreekt. De verweerder stelt dat uit het ambtsbericht blijkt dat eiser concrete taken ten behoeve van ISIS heeft verricht. Wat de conclusies van de CTIVD betreft, merkt verweerder op dat de CTIVD heeft geoordeeld dat dat de AIVD bij het uitbrengen van de ambtsberichten in het kader van artikel 14, vierde lid, van de RWN in alle gevallen rechtmatig heeft gehandeld, maar dat het bestuursorgaan degene is die de beslissingen neemt op basis van de ambtsberichten. De mogelijkheid om inzage te vragen in de onderliggende stukken als de ambtsberichten onvoldoende duidelijk zijn, is aanwezig. Aangezien het ambtsbericht helder is en voldoende essentiële informatie bevat, is van deze mogelijkheid geen gebruik gemaakt.

De rechtbank overweegt dat het ambtsbericht zoals het er ligt voldoende feitelijke en kenbare informatie bevat. Eiser was ten tijde van belang aangesloten bij een terroristische organisatie die voorkomt op de lijst (ISIS) en heeft concrete werkzaamheden voor de organisatie verricht. Verweerder heeft aan zijn motiveringsplicht voldaan. Er is geen tegenbewijs geleverd. In hetgeen de gemachtigde naar voren heeft gebracht ziet de rechtbank geen aanknopingspunten voor twijfel aan de juistheid van het gestelde in het ambtsbericht. Verweerder heeft terecht geconcludeerd dat eiser een gevaar vormde voor de nationale veiligheid. De rechtbank overweegt voorts dat het rapport van de CTIVD (Toezichtsrapport over het handelen van de AIVD in het kader van de intrekking van het Nederlanderschap in het belang van de nationale veiligheid, nr. 68, vastgesteld op 29 april 2020) geen aanknopingspunten bevat voor het oordeel dat op grond daarvan geen betekenis aan de uitgebrachte ambtsberichten kan worden gehecht. De rechtbank moet beoordelen of in het individuele geval van eiser voldaan is aan de vereisten voor intrekking en of het ambtsbericht daar voldoende grondslag voor biedt. Zoals in het voorgaande is geconcludeerd, is de rechtbank van oordeel dat in het geval van eiser, gelet op de inhoud van het uitgebrachte ambtsbericht, voldaan is aan de vereisten voor intrekking van het Nederlanderschap. Zoals de rechtbank in eerdere vergelijkbare zaken heeft geoordeeld (zie bijvoorbeeld de uitspraak van 14 april 2020, ECLI:NL:RBDHA:2020:5784) acht zij de maatregel noodzakelijk en proportioneel.

Verweerder heeft, onder verwijzing naar verschillende edities van het Dreigingsbeeld Terrorisme Nederland, het rapport ‘Terugkeerders in beeld’ (.pdf) van de AIVD van februari 2017 en eerder gepleegde aanslagen door zogeheten terugkeerders, er op gewezen dat het risico bestaat dat terugkeerders aanslagen plegen en de binnenlandse jihadistische beweging versterken. Ook bestaat het gevaar dat zij anderen rekruteren voor de gewapende strijd. De rechtbank is van oordeel dat, zoals ook de Afdeling in de eerdergenoemde uitspraken van 17 april 2019 heeft overwogen, daarmee de noodzaak van de maatregel in het belang van de bescherming van de nationale veiligheid is aangetoond. Daarnaast heeft de rechtbank geoordeeld dat de intrekking van de nationaliteit weliswaar een zwaar middel is, maar dat naast bestaande maatregelen aan deze -preventieve- maatregel behoefte bestaat gezien het doel ervan, te weten het belang van de bescherming van de nationale veiligheid. De maatregel moet daarom proportioneel worden geacht. De rechtbank overweegt verder dat uit vaste jurisprudentie volgt (zie bijvoorbeeld de uitspraken van 22 april 2015, ECLI:NL:RVS:2015:1278 en 15 mei 2019, ECLI:NL:RVS:2019:1582) dat, indien uit een ambtsbericht van de AIVD op objectieve, onpartijdige en inzichtelijke wijze blijkt welke feiten en omstandigheden aan de conclusie vervat in dit ambtsbericht ten grondslag zijn gelegd en deze conclusie niet onbegrijpelijk is zonder nadere toelichting, voor het bestuursorgaan dat beslist over de verkrijging van het Nederlanderschap geen aanleiding bestaat om de aan dit ambtsbericht ten grondslag liggende stukken in te zien, tenzij de betrokkene concrete aanknopingspunten voor twijfel aan de juistheid of volledigheid van dit ambtsbericht naar voren heeft gebracht. Verder volgt hieruit dat er in beginsel van mag worden uitgegaan dat door de AIVD verricht onderzoek op zorgvuldige wijze heeft plaatsgevonden en dat vermelding van de aan een ambtsbericht van de AIVD ten grondslag liggende bron, dan wel bronnen, achterwege mag blijven wegens de vertrouwelijkheid ervan.

De rechtbank is van oordeel dat het Ministerie van Justitie en Veiligheid op grond van de informatie uit het ambtsbericht bevoegd was tot intrekking van het Nederlanderschap van eiseres over te gaan.

Jan-Jaap Oerlemans

Annotatie over Playpen-zaak

Deze blogpost bevat mijn annotatie (.pdf) in Computerrecht over de veroordeling (Rb. Midden-Nederland 15 oktober 2019, ECLI:NL:RBMNE:2019:4766) van een Nederlandse verdachte die actief was op het kinderpornoforum ‘Playpen’ op het dark web.

Inleiding

Playpen is door de media ook wel bestempeld als “the most ‘notorious darknet child pornography site. De zaak is interessant, omdat het een veroordeling van een Nederlandse verdachte betreft voor het bezit en toegang verschaffen tot kinderpornografisch materiaal en de verspreiding van kinderporno via het forum.

De Nederlandse kinderpornogebruiker is door een Amerikaanse operatie geïdentificeerd, waarbij vermoedelijk computers zijn gehackt en software is gebruikt om bezoekers van het Tor-forum Playpen te de-anomiseren. Dit roept vragen op die in de uitspraak onbeantwoord blijven, zoals:

‘is een dergelijke operatie met de nieuwe hackbevoegdheid ook onder Nederlands recht toegestaan?’

In deze annotatie wordt kort de Amerikaanse operatie uitgelicht. Daarna wordt ingegaan op het oordeel in de uitspraak zelf met betrekking tot het bezit en toegang verschaffen tot kinderpornografisch materiaal en de verspreiding van kinderporno via Playpen. Ter afsluiting wordt ingegaan op de nieuwe mogelijkheden van de hackbevoegdheid, dat per 1 maart 2019 door de implementatie van de Wet computercriminaliteit III in het Wetboek van Strafvordering (Sv) is te vinden.

Achtergrond Operation Pacifier

Playpen betrof een zogenoemde ‘hidden service’, in dit geval een forum dat alleen via Tor bereikbaar was en in de periode van 2014-2015 online was. Op het forum werd (ook prepuberale) kinderpornografie uitgewisseld tussen forumleden. Met gebruik van het Tor systeem kunnen internetgebruikers anoniem internetten, wordt het netwerkverkeer versleuteld en kunnen internetdiensten worden geraadpleegd die niet via het reguliere internet bereikbaar zijn.

Het forum Playpen kreeg veel media-aandacht, omdat de FBI in 2015 in ‘Operation Pacifier’ de bezoekers van het forum de-anonimiseerde. Volgens onderzoeksjournalisten zoals Joseph Cox is dit mogelijk gemaakt, omdat de FBI de website tijdelijk heeft overgenomen en met behulp van een ‘technisch hulpmiddel’ (software) identificerende informatie over de bezoekers van de website heeft vastgelegd, zoals IP-adressen, Mac-adressen en andere technische informatie van de computers van de bezoekers.

Door de operatie waren in mei 2017 al 870 personen opgepakt of veroordeeld, waarvan 368 in de Europese Unie. Bovendien zijn 259 misbruikte kinderen geïdentificeerd of uit hun slachtoffersituatie ontzet. De operatie heeft ook tot kritiek geleid, omdat Amerikaanse autoriteiten ook privé-gegevens van niet-Amerikanen heeft verzameld en daarmee buiten haar jurisdictie zou treden. De FBI zou ook niet transparant genoeg zijn over het gebruik van het technische hulpmiddel in deze strafzaken, hetgeen mogelijk in spanning staat met het recht op het eerlijk proces (zie ook Kate Tummarello, ‘The Fight Against General Warrants to Hack Rages On’, Electronic Frontier Foundation, 9 mei 2017).   

Verstrekking van gegevens aan Europol en buitenlandse opsporingsdiensten

Na de operatie heeft de FBI naar verluidt de identificerende informatie van niet-Amerikaanse bezoekers aan Europol overgedragen. Europol heeft vervolgens vanwege haar coördinerende taak die gegevens doorgegeven aan de verschillende nationale opsporingsautoriteiten binnen de Europese Unie (zie Mark Hendrikman, ‘FBI-onderzoek naar kinderporno op Tor levert meer dan 3000 zaken in Europa op’, Tweakers.net, 24 januari 2016 en het persbericht van Europol, ‘Major online child sexual abuse operation leads to 368 arrests in Europe’ van 5 mei 2017). De Nederlandse autoriteiten vielen hier klaarblijkelijk ook onder. Hoewel de naam van het forum in de uitspraak is geanonimiseerd, blijkt uit Nederlandse berichtgeving dat de verdachte is veroordeeld vanwege zijn activiteiten op het kinderpornoforum Playpen (zie bijvoorbeeld Riks Ozinga, ‘Verdachte in kinderpornozaak krijgt taakstraf en voorwaardelijke celstraf’, RTV Utrecht, 16 oktober 2019).

Vertrouwensbeginsel

Zoals ik eerder in een annotatie bij een andere kinderpornozaak heb opgemerkt, worden vaker dit soort gegevens over kinderpornogebruikers uitgewisseld. Op grond van het vertrouwensbeginsel uit het internationale recht, mag het Openbaar Ministerie er op vertrouwen dat het bewijs op rechtmatige wijze door buitenlandse autoriteiten is vergaard (zie o.a. zie HR 31 januari 2006, ECLI:NL:HR:2006:AU3426). Het bewijs mag daarom in principe worden gebruikt in de Nederlandse strafzaak.

Veroordeling Nederlandse verdachte

De rechtbank Midden-Nederland heeft in de verdachte veroordeeld voor het bezit, toegang verschaffen, en de verspreiding van kinderpornografisch materiaal via een internetforum. De verdachte heeft op twee momenten een ‘thread’ gestart (nieuw onderwerp van discussie op het forum) en vervolgens kinderpornografisch materiaal gedeeld op het besloten forum. In de uitspraak is te lezen dat ‘‘de exacte activiteiten van individuele forumgebruikers alleen konden worden vastgesteld over de periode van 20 februari 2015 tot en met 5 maart 2015’’.

De rechtbank gaat mee met het verweer van de verdediging van de verdachte dat daarmee nog geen sprake is van het gewoonte maken van de verspreiding tot kinderpornografisch materiaal. De rechtbank acht aldus de verspreiding van kinderpornografisch materiaal bewezen, maar niet het gewoonte maken daarvan (waar een hogere straf op straf op staat) (zie rechtsoverweging 4.3).

De verdachte heeft wel een gewoonte gemaakt van het bezit van kinderpornografie. In het door de politie in beslag genomen materiaal, bevonden zich in totaal 103.132 foto’s en 243 video’s. In een willekeurige selectie van ‘ongeveer 25%’ daarvan, zijn 16.453 foto’s en 172 video’s beoordeeld als kinderpornografisch. De bekennende verdachte heeft verklaard dat hij 2 à 3 keer per week kinderpornografische sites bezocht en dat als hij afbeeldingen ging downloaden, dat het er tussen de 20 en 100 per keer waren. Gelet op het aantal aangetroffen kinderpornografische afbeeldingen en de frequentie waarmee verdachte het kinderpornografisch materiaal heeft gedownload, is de rechtbank van oordeel dat verdachte een gewoonte heeft gemaakt van het in het bezit hebben van kinderpornografisch materiaal (zie r.o. 4.3).

Strafmaat

De rechtbank voert een uitgebreide strafoverweging (zie r.o. 8.3). Het overweegt daarbij in het nadeel van de verdachte dat hij zich een lange periode schuldig heeft gemaakt aan het in bezit hebben van pornografisch materiaal, de grote hoeveelheid afbeeldingen die bij verdachte zijn aangetroffen en de (jonge) leeftijd van de minderjarigen die op de aangetroffen afbeeldingen stonden.

In het voordeel van verdachte neemt de rechtbank mee dat de verdachte volledig heeft meegewerkt aan het onderzoek, spijt heeft van zijn gedragingen en in behandeling is. Het recidiverisico wordt door de reclassering, op basis van gesprekken met zijn behandelaar, ingeschat als laag. De rechtbank legt de verdachte een gevangenisstraf op van één jaar, waarvan 364 dagen voorwaardelijk, met een proeftijd van drie jaar. De verdachte krijgt verder een taakstraf van 240 uur.

Toepassing hackbevoegdheid op een forum als Playpen?

Nu rest de vraag of een dergelijke operatie zoals de FBI heeft uitgevoerd ook onder Nederlands recht mogelijk is. Uiteraard kan deze vraag alleen worden beantwoord aan de hand van de omstandigheden van het geval. Echter, als ratio van de nieuwe hackbevoegdheid in artikel 126nba Sv is door de wetgever specifiek meegegeven dat de inzet van de hackbevoegdheid het mogelijk maakt om verdachten te identificeren die actief zijn op Tor en zich met kinderpornografie bezighouden (Kamerstukken II 2015/16, 34372, nr. 3, p. 20).

Op grond van artikel 126nba lid 1 sub a Sv kan de Nederlandse politie met de inzet van de hackbevoegdheid onder strenge voorwaarden op afstand binnendringen in computers, zoals een webserver van een forum en de computer van een verdachte, en vervolgens gegevens vastleggen ter identificatie van die verdachte. De ‘Aanwijzing voor de internationale aspecten van de inzet van de bevoegdheid ex art. 126nba Sv’ geeft allerlei factoren mee die een officier van justitie in overweging moet nemen als hij of zij een rechter-commissaris om toestemming vraagt de hackbevoegdheid in te zetten, waarbij mogelijk computers in het buitenland worden binnengedrongen.

Kort gezegd valt te beargumenteren dat een dergelijke operatie doorgang mag vinden, vanwege het feit dat een webserver en de bezoekers via Tor in beginsel ‘niet redelijkerwijs’ te lokaliseren zijn en het zeer ernstige feiten zijn met mogelijk Nederlandse daders en slachtoffers (zie ook Kamerstukken II 2015/16, 34372, nr. 3, p. 47 met specifiek het gebruik van Tor als voorbeeld).

Tot slot

De veroordelingen in binnen- en buitenland naar aanleiding van Operation Pacifier laat ook zien dat het bewijs afkomstig van de hackbevoegdheid kan standhouden, ondanks bezwaren van advocaten en privacybelangenorganisaties.

Een interessante vraag daarbij is ten slotte nog in hoeverre de politie openheid van zaken moet geven van de toepassing van de hackbevoegdheid en het gebruikte technische hulpmiddel. In Nederland staat in artikel 126nba lid 2 sub d Sv dat “een aanduiding van de aard en functionaliteit van het technische hulpmiddel” moet worden verstrekt. Ook schrijft het ‘Besluit onderzoek in een geautomatiseerd werk’ allerlei technische vereisten en logging voor (zie Stb. 2018, 340 voor het Besluit onderzoek in een geautomatiseerd werk en de toelichting daarop).

De verdediging kan in het kader van het recht op een eerlijk proces zoveel als mogelijk nagaan op welke wijze het bewijsmateriaal is vergaard en op zekere hoogte de betrouwbaarheid van het vergaarde bewijs ter discussie stellen (zie als mogelijke voorloper de ‘Aydin C.-zaak’, Rb. Amsterdam 16 maart 2017, ECLI:NL:RBAMS:2017:1627, Computerrecht 2017/103, m.nt. J.J. Oerlemans). Het zijn zeker aspecten waar de rechtspraak in de toekomst ervaring mee opdoet als de hackbevoegdheid wordt toegepast en het resultaat daarvan in opsporingsonderzoeken als bewijs wordt gebruikt.

Citeertitel: Rb. Midden-Nederland 15 oktober 2019, ECLI:NL:RBMNE:2019:4766, Computerrecht 2020/9, m.nt. J.J. Oerlemans.

Hoofdstukken uit ‘Strafrecht en ICT’ in open access beschikbaar

In januari 2019 verscheen het boek ‘Strafrecht en ICT’ van Bert-Jaap Koops en mij. Het boek betreft een studieboek en naslagwerk. We hebben goede reacties uit de praktijk gekregen.

Nu de embargoperiode van Sdu voorbij is, mag ik de belangrijkste hoofdstukken online zetten. Hieronder staan de links met een indicatie van de inhoud.

Materieel strafrecht en ICT
Het hoofdstuk biedt een overzicht van de strafbepalingen, wetsgeschiedenis en jurisprudentie over computercriminaliteit. Het hoofdstuk heeft de volgende inhoud:

  • Computervredebreuk en wederrechtelijk overnemen van gegevens
  • Afluisteren, aftappen en opnemen van communicatie
  • Verstoring van computergegevens
  • Verstoring van computersystemen
  • Misbruik van technische hulpmiddelen
  • Klassieke vermogensdelicten
  • Valsheid in geschrifte
  • Oplichting
  • Computergerelateerde zedenmisdrijven
  • Uitingsdelicten
  • Auteursrechtschendingen
  • Blik op de toekomst

Formeel strafrecht en ICT
Dit hoofdstuk behandeld alle relevante opsporingsbevoegdheden die worden in gezet in opsporingsonderzoeken naar cybercrime. Dit is de inhoudsindicatie:

  • Het opsporingsonderzoek
  • Doorzoeking, inbeslagname en onderzoek van gegevens in computers
  • Het vorderen van gegevens
  • De telecommunicatietap
  • Direct afluisteren
  • Stelselmatige observatie en locatiebepaling
  • Hacken als opsporingsbevoegdheid
  • Vergaren van publiekelijk toegankelijke online gegevens
  • Online undercover opsporingsmethoden
  • Digitaal bewijs
  • Blik op de toekomst

Grensoverschrijdende digitale opsporing

Dit hoofdstuk gaat over jurisdictie, het Cybercrimeverdrag, andere belangrijke verdragen en de grensoverschrijdende toepassing van opsporingsbevoegdheden. De inhoud is als volgt:

  • Jurisdictie en rechtshulp
  • Het Cybercrimeverdrag en internationale samenwerking in digitale opsporing
  • Grensoverschrijdende toepassing van bevoegdheden  
  • U.S. Cloud Act
  • Tweede Protocol bij het Cybercrimeverdrag (concept
  • EU-voorstellen voor digitale bewijsgaring

Aanwijzing grensoverschrijdende inzet hackbevoegdheid

Posted on 11/04/2019 op Oerlemansblog

Op 26 februari 2019 is de “Aanwijzing voor de internationale aspecten van de inzet van de bevoegdheid ex art. 126nba Sv” gepubliceerd (Stcrt. 2019, 10277). De aanwijzing geeft regels voor de toepassing van de hackevoegdheid (artikel 126nba Sv), omdat mogelijk via internet geautomatiseerde werken kunnen worden benaderd  die zich in het buitenland bevinden.

In de aanwijzing staat een rechtshulpverzoek het uitgangspunt voor het plegen van opsporingshandelingen buiten Nederland. In een rechtshulpverzoek moet de officier een verzoek doen de gezochte gegevens te vorderen en/of (zelfstandig) veilig te stellen op basis van de daarvoor in dat land geldende wettelijke grondslagen. Indien op het moment waarop aan de rechter-commissaris machtiging voor de inzet van de bevoegdheid van artikel 126nba Sv gevraagd wordt, bekend is dat de gegevens niet in Nederland zijn opgeslagen, wordt dat in de aanvraag vermeld. Hiermee is in een dergelijke situatie verzekerd dat het aspect van de inbreuk op de soevereiniteit van een andere staat onderwerp vormt van een expliciete afweging door de officier van justitie en de rechter-commissaris.

Als met een redelijke inspanning niet kan worden vastgesteld wat de locatie van geautomatiseerd verwerkte gegevens is, wordt gehandeld alsof de gegevens in Nederland zijn opgeslagen. Daarvan kan blijkens de aanwijzing ook sprake zijn als niet langer kan worden gewacht op een reactie of er geen reactie van het land is te verwachten op een rechtshulpverzoek. Ook kan hiervan bijvoorbeeld sprake zijn bij het gebruik van anonimiseringssoftware of opslag in de cloud. Met een ingewikkelde formulering wordt de redelijke inspanning beschreven met: ‘de tijd en moeite voor het vaststellen van een specifieke geografische locatie in een reële verhouding tot de noodzakelijkheid van onverwijld optreden, de tijdsdruk en de doorlooptijd van het onderzoek’. In de aanwijzing wordt een interne procedure bij het Openbaar Ministerie beschreven die moet worden gevolgd.

Afwegingscriteria

Als afwegingscriteria voor de (mogelijke) grensoverschrijdende inzet staan in de aanwijzing: (a) ernst of onmiddellijkheid van de gevolgen van de aanval of dreiging; (b) aard en ernst van het strafbare feit; (c) vluchtigheid van de gegevens of informatie die wordt gezocht, en of die moet worden veiliggesteld, danwel ontoegankelijk moet worden gemaakt; (d) mate van betrokkenheid van de Nederlandse rechtsorde en de gevolgen daarvoor (inclusief slachtofferbelangen) (e) de aard van de te verrichten opsporingshandelingen: afhankelijk van de mate van ingrijpendheid, mate van inbreuk op de privacy van de verdachte, mate van inbreuk op privacy van slachtoffers die middels het geautomatiseerde werk wordt gemaakt en (f) risico’s voor het geautomatiseerde werk, d.w.z. technische risico’s en een inschatting van de mogelijke schade voor derden.

Als tijdens de onderzoekshandelingen blijkt dat deze gericht zijn op gegevens die zich op het territorium van een specifieke andere staat bevinden, wordt zo snel mogelijk alsnog een rechtshulpverzoek gedaan aan de desbetreffende staat voor het gebruik van deze gegevens en het onderzoek of besloten de onderzoekshandelingen te stoppen. De uitzondering daarop is dat het belang van het onderzoek groter wordt geacht dan de mogelijke schending van de soevereiniteit van die andere staat of staten. Dat brengt mee dat de officier van justitie in alle gevallen aan de rechter-commissaris meldt wat bekend is over de locatie van de gegevens. Dat geldt dus ook in het geval dat er niets bekend is over de locatie van de gegevens.

Kort commentaar

De overwegingen en instructies in de richtlijn zijn niet verassend, omdat de wetsgeschiedenis over de Wet computercriminaliteit III soortgelijke overwegingen aangeeft. Wat mij betreft komt in de aanwijzing nu duidelijker naar voren dat de grensoverschrijdende inzet ook toelaatbaar wordt geacht als de reactie op een verzoek te lang zich laat wachten, of geen reactie van het land is te verwachten. Ook bleek in de wetsgeschiedenis nog het uitgangspunt te zijn dat het desbetreffende land altijd wordt geïnformeerd over de inzet van de hackbevoegdheid als de locatie bekend wordt, terwijl nu – als ik het goed begrijp – een uitzondering van toepassing kan zijn als ‘het belang van het onderzoek groter wordt geacht dan de mogelijke schending van de soevereiniteit van die andere staat of staten’.

Ik blijf benieuwd hoe internationaal strafrechtjuristen hierover denken die niet zozeer gespecialiseerd zijn in IT-recht, dus ik houd mij aanbevolen voor publicaties of reacties op het onderwerp.

De Wiv 2017: een technologisch gedreven wet

Posted on op Oerlemansblog

Vorige week is een artikel gepubliceerd van Mireille Hagens en mijzelf over de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). Het artikel gaat in op de bijzondere bevoegdheden van onderzoeksopdrachtgerichte interceptie, de hackbevoegdheid, de informantenbevoegdheid en het verzamelen van gegevens op internet. Ook worden belangrijke wijzigingen met betrekking tot toezicht en enkele waarborgen in de wet toegelicht. Hieronder volgt een korte toelichting op de achtergrond en het doel van het artikel.

Achtergrond

Het landschap waarin inlichtingen- en veiligheidsdiensten opereren is in de afgelopen 15 jaar door technologische ontwikkelingen drastisch veranderd. Aan de ene kant betekende dit een beperking van de mogelijkheden van de AIVD en de MIVD, met name met betrekking tot het onderscheppen van de inhoud van communicatie met de bevoegdheden die ze hadden onder de Wet op de inlichtingen- en veiligheidsdienst 2002. Daarin was immers niet voorzien in de bevoegdheid tot bulkinterceptie van de kabel. Aan de andere kant biedt de andere (digitale) context nieuwe mogelijkheden met de bestaande bevoegdheden. Daarmee kunnen immers grotere hoeveelheden (persoons)gegevens worden verkregen. Daarbij kan gedacht worden aan de hackbevoegdheid, de bevoegdheid op vrijwillige basis gegevens te verkrijgen (informantenbevoegdheid) en het verzamelen van gegevens op internet. De verkregen gegevens konden vervolgens met steeds geavanceerder technieken worden geanalyseerd.

Veranderingen in de Wiv

Deze technische ontwikkelingen zijn een belangrijke drijfveer geweest voor de wijzigingen die in de Wiv 2017 zijn vastgelegd. Als tegenwicht voor – onder andere – het mogelijk maken van de nieuwe bevoegdheid tot onderzoeksopdrachtgerichte interceptie op de kabel (ook wel bulkinterceptie genoemd), zijn nieuwe waarborgen en een versterking van het toezicht in de wet gecreëerd. Daarbij kan worden gedacht aan de instelling van de Toetsingscommissie Inzet Bevoegdheden (TIB) en meer waarborgen omtrent het verwerken van gegevens, zoals de introductie van een zorgplicht voor de kwaliteit van gegevensverwerking en het vereiste van een ‘zo gericht mogelijke inzet’. Deze wijzigingen zijn ook deels ingegeven door de jurisprudentie van het Europees Hof van de Rechten van de Mens en aanbevelingen uit toezichtsrapporten van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD).

Artikel

In ons artikel bespreken we de bevoegdheden die een andere dimensie door digitalisering hebben gekregen en de belangrijkste wijzigingen met betrekking tot toezicht en waarborgen in de wet. Daarbij hebben wij ook de laatste ontwikkelingen met betrekking tot de nieuwe Wiv uit april van dit jaar meegenomen die het kabinet heeft aangekondigd als resultaat van de negatieve uitslag van het raadgevend referendum over de nieuwe Wiv op 21 maart 2018. Ook in de toekomst zullen wij ons bezighouden met het schrijven over de Wiv 2017.

Jan-Jaap Oerlemans & Mireille Hagens

Wet computercriminaliteit III aangenomen

Posted on 26/06/2018 op Oerlemansblog

De Wet computercriminaliteit III is vandaag (26 juni 2018) ook door de Eerste Kamer aangenomen! De wet is op 21 september 2018 in het Staatsblad gepubliceerd (Stb. 2018, nr. 322) en treed op 1 maart 2019 in werking (Stb. 2019, nr. 67).

In mei 2013 berichtte ik voor het eerst over de conceptversie van de Wet computercriminaliteit III en in het najaar van 2017 schreef ik een overzichtsartikel (.pdf) over het wetsvoorstel. Sindsdien is het wetsvoorstel slechts op detailpunten gewijzigd. Deze wet is – zoals zoveel wetten – niet perfect. Toch ben ik blij dat de wet is aangenomen en een noodzakelijke update van het Wetboek van Strafrecht en Strafvordering wordt doorgevoerd.

Toezeggingen op het laatste moment

In het nadere memorie van antwoord voor de Eerste Kamer bevestigt minister Grapperhaus dat de Wet computercriminaliteit III na twee jaar wordt geëvalueerd. Jaarlijks zullen statistieken van het gebruik van binnendringingssoftware openbaar gemaakt worden. De vele regels die nu van toepassing zijn op het gebruik van ‘binnendringingssoftware’ noopt ook tot de vraag of de wetgeving nog wel werkbaar is. Ook deze vraag wordt in de evaluatie meegenomen.

Een wijziging aan het wetsvoorstel dat wordt meegenomen is dat de logginsplicht in het besluit met betrekking tot de uitvoering van de hackbevoegdheid is uitgebreid naar voorbereidende fase van het onderzoek: het binnendringen in het geautomatiseerde werk. De logging bestaat onder meer uit het (automatisch) vastleggen van het beeldscherm en de toetsaanslagen van de opsporingsambtenaar van een technisch team, de communicatie tussen de technische infrastructuur van de politie en het geautomatiseerde werk, de gebruikte scripts, softwareversies en het journaal van de opsporingsambtenaar.

Toezicht achteraf

Tijdens het wetstraject is door diverse auteurs en maatschappelijke organisaties kritiek geuit op de toezicht achteraf op de uitvoering van de nieuwe hackbevoegdheid. Grapperhaus legt uit dat ondanks deze kritiek het toezicht belegd blijft bij de Inspectie Justitie en Veiligheid. Dit toezicht ziet vooral op het nakomen van de vele voorgeschreven procedures van de hackbevoegdheid, maar niet op de rechtmatigheid van de inzet, waaronder de proportionaliteit van de inzet van het middel. “Magistratelijk toezicht”, naast het toezicht vooraf, wordt niet als nodig en als ‘passend in het systeem’ gezien. Toch heeft de minister tijdens de behandeling van de wet in de Eerste Kamer toegezegd in de evaluatie te toetsen of het stelsel van systeemtoezicht op de hackbevoegdheid voldoende is.

Oversight of hacking power and take down order

Posted on 12/10/2017 op Oerlemansblog

The Computer Crime Act III is now under consideration for approval by the Dutch Senate. The act extends the criminalisation of certain behaviour, such as grooming of persons that appear to be 18 year old and younger, the unauthorised gathering of non-public data and offering that stolen data online. Perhaps more importantly, the Computer Crime Act III authorises Dutch law enforcement authorities, with permission from an investigative judge, to make content containing serious crimes inaccessible (such as child abuse materials or jihadist propaganda) and to access computers remotely for evidence gathering purposes (a so-called hacking power).

Hacking power

The proposed power to hack computers seeks to provide a solution to the increasing challenges of anonymity, encryption and cloud computing in cybercrime investigations. By using this special investigative power, law enforcement officials can access computers remotely and gather evidence at its source, thereby circumventing problems such as the encryption of data. The instrument can only be used under the most stringent conditions, such as a warrant from an investigative judge and a limitation to serious crimes.

After law enforcement officials gain remote access to a computer system, they can be authorised to observe the behaviour of a person by turning on a GPS signal, microphone or video camera. Law enforcement officials can also remotely copy relevant data for evidence purposes in a criminal investigation. A particularly far-reaching power is to make a computer or data inaccessible. This may result in disabling a botnet infrastructure or encrypting child abuse images remotely.

Take down order

The proposed take down order provides an instrument for law enforcement authorities to make web content inaccessible. If online service providers or individuals publishing criminal materials do not disable the content voluntarily, a takedown order can be issued. Fortunately, the use of the instrument is restricted to serious crimes and a warrant from a judge is required. However, the take down order can go as far as ordering a hosting provider to take down a particular website (when possible) and even compelling an internet access provider to disable content. This last application of a takedown order boils down to an internet filter. Does this leave us in a few year with a black list of websites that must be filtered by Dutch internet access providers?

Oversight

In my article about the Computer Crime Act III (.pdf in Dutch), I discuss the changes the act will bring to the Dutch Penal Code and Code of Criminal Procedure. Although I do acknowledge the necessity of hacking as an investigative power to gather evidence in criminal investigations involving serious crimes, I worry about the proposed powers to make computers or data accessible.

The problem is that the cybercriminals behind this criminal behaviour often reside on foreign territory and hide behind anonymisation techniques. These cybercriminals will often not be tried in a Dutch court. I wonder how many times a botnet will be disrupted by taking it down, or websites will be shut down or even filtered, without a trial during which a judge can determine whether those acts by law enforcement officials were conducted lawfully.

Therefore, I argued (and with me some Members of Parliament, scholars and several civil rights organisations) that we need an independent supervisory authority. This authority, perhaps modelled on the UK Investigatory Powers Commissioner’s Office, should be issued with the task of overseeing the legitimacy of operations involving these far-reaching special investigative powers. It is not likely such an authority will be created as part of the Computer Crime Act III, but perhaps the new Dutch cabinet should consider legislation to create such an authority.

This is cross-post from LeidenLawBlog.

Aftrap Wet computercriminaliteit III

Posted on 02/05/2013

Vandaag (2 mei 2013) heeft minister Opstelten het wetsvoorstel Computercriminaliteit III gepubliceerd. In deze blog post wil ik kort mijn eerste observaties bij het conceptwetsvoorstel geven. Daarbij ga ik vooral in op de hackbevoegdheden en behandel kort het voorgestelde NTD-bevel en decryptiebevel.

De toelichting (.pdf) op het voorstel is 87 pagina’s, dus een blog post kan nooit alle belangrijke details eruit halen. In de snelheid zou ik ook best dingen verkeerd geïnterpreteerd of ingeschat kunnen hebben, dus verbeter mij in dat geval a.u.b. of schrijf zelf iets. Ook heb ik de wettelijke bepalingen nog niet in detail geanalyseerd. Dit is dus geen wetenschappelijk artikel dat geschikt is om te citeren. Ik hoop slechts dat ik de inhoud van het voorstel duidelijker kan maken en mensen aan het denken zet over het voorstel.

Overigens vind ik op het eerste gezicht de uitgebreide Memorie van Toelichting goed in elkaar zitten. De toelichting is overzichtelijk en er worden heldere voorbeelden gegeven. Ook zijn de waarborgen bij de bevoegdheden uitgebreid beschreven. Er zitten wel een paar slordigheidsfoutjes in de toelichting (b.v. “Truecript” i.p.v. “Truecrypt” en “hoer” i.p.v. “hoe” ). Het is mij niet duidelijk of het een zogenaamde internetconsultatie betreft, waarbij het een conceptwetsvoorstel betreft die pas later naar de Tweede Kamer wordt verstuurd (dit dacht ik in eerste instantie namelijk wel). Misschien verschijnt het later nog wel op internetconsultatie.nl. Maar goed, met betrekking tot de inhoud:

Noodzaak voor de nieuwe bevoegdheden

Het voorstel zal naar eigen zeggen de opsporingsbevoegdheden in evenwicht brengen met de stand van de technologie. In het conceptswetsvoorstel worden uitgebreid drie ontwikkelingen beschreven die van invloed zijn op de opsporingspraktijk en volgens de regering tot creatie van de nieuwe bevoegdheden nopen. Dit zijn: (1) De versleuteling van elektronische gegevens, (2) het gebruik van draadloze netwerken en (3) het gebruik van Cloudcomputingdiensten (zie p. 8-12).

Het probleem van versleuteling ziet enerzijds op versleuteling van informatie op gegevensdragers zelf met programma’s zoals Truecrypt, waarbij opsporingsinstanties achteraf niet meer de informatie kunnen uitlezen. Anderzijds ziet het op versleuteling van gegevens bij communicatie, waarbij de informatie die over een internettap komt niet meer zichtbaar is. Dat is bijvoorbeeld het geval wanneer standaard versleuteling aanstaat bij elektronische communicatiediensten zoals Twitter en Gmail en wanneer via Skype wordt gecommuniceerd. De normale tapbevoegdheid biedt ook onvoldoende soelaas volgens de toelichting, omdat aanbieders van diensten soms (a) zelf niet in staat zijn te onstleutelen (als voorbeeld wordt Skype gegeven), (b) de aanbieder niet onder de definitie valt, of (c) gevestigd is in het buitenland.  In de toelichting wordt uitvoerig verwezen naar mijn artikel over de ‘mogelijkheden en beperkingen van de internettap’ in Justitiële Verkenningen uit 2012.

Gerelateerd aan de verminderende mogelijkheden om communicatie te onderscheppen is de toename van gebruik van verschillende draadloze netwerken. Een internettap kan namelijk maar op één IP adres worden gezet. Omdat mensen dikwijls gebruik maken van verschillende (mobiele) netwerken wordt in dat geval maar een deel van het netwerkverkeer afgetapt. Daar komt bij dat volgens de Minister over tap veel verkeer voorbijkomt, ook van personen “waarin de politie niet is in geïnteresseerd” . De redenering is ongeveer dat door een computer te hacken en spyware te plaatsen de overheid veel gerichter zou kunnen tappen en de communicatie via die bepaalde computer kunnen onderscheppen. Bovendien zou de spyware kunnen worden gebruikt ter identificatie van de gebruiker(s) van het geautomatiseerde werk. Dat wordt door de opstellers van de toelichting op het wetsvoorstel als een groot voordeel wordt gezien, omdat daarmee gerichter kan worden afgeluisterd. Overigens doet de brief voorkomen dat een internettap helemaal niet zo nuttig meer is, omdat de inhoud van de communicatie vaak niet meer mee komt. Naar mijn mening zijn de verkeersgegevens (waaronder de IP adressen van de computers die worden aangezocht) wel nog steeds erg nuttig zijn in een (digitaal) opsporingsonderzoek.

Over de problematiek van Cloudcomputing bij de opsporing is eerder een uitgebreid rapport (.pdf) van Koops verschenen. Omdat mensen in toenemende mate gegevens niet meer op hun computers, maar op servers van buitenlandse (cloud)dienstaanbieders opslaan, bieden de huidige bevoegdheden voor de vergaring van gegevens van computers op een locatie in Nederland volgens Opstelten onvoldoende mogelijkheden. Daar komt bij de dat de verdachte opmerkt als er een doorzoeking wordt gedaan en het bewijs wordt verzameld en dat kan “strijdig zijn in het belang van het onderzoek”, aldus de Memorie van Toelichting. Een belangrijk punt is dat sommige cloudaanbieders niet op grond van de bestaande bevoegdheden gedwongen kunnen worden een tap ten uitvoer te leggen of mee te werken aan een vorderen van gegevens. Expliciet wordt in de toelihcting het voorbeeld gegeven van “bullet proof hosting providers”  die vaak “anoniem, en vaak in resell constructies, illegale activiteiten ontplooien” en vaak “veelal in een land is gevestigd, waarmee Nederland niet of nauwelijks een rechtshulprelatie mee onderhoudt”. “Afscherming van de gegevens voor politie en justitie vormt een essentieel element van het bedrijfsmodel van deze aanbieders”.  Om die reden heeft de opsporing behoefte aan de mogelijkheid om heimelijk toegang te kunnen verkrijgen tot gegevens die in de cloud zijn opgeslagen, zonder dat de verdachte of de aanbieder daarbij is betrokken. Omdat van diensten uit het buitenland gebruik wordt gemaakt is het volgens de toelichting (grof gezegd) in veel gevallen een te grote belemmering om fysiek toegang te krijgen tot de plaats van waar de gegevens zich bevinden, terwijl dit technische wel goed mogelijk zou zijn. Bovendien zou het onder omstandigheden wenselijk zijn om – zelfs als de locatie wél duidelijk is – een technisch hulpmiddel (voor interceptie van netwerkverkeer of een doorzoeking van de gegevens) heimelijk te plaatsen.

Meer concreet worden de volgende hackbevoegdheden voorgesteld. Steeds wordt eerst verondersteld dat een computer wordt gehackt alvorens de andere methoden worden vastgesteld. De toelichting zegt dan ook: “de essentie van de voorgestelde bevoegdheid van onderzoek in een geautomatiseerd is dat op afstand heimelijk een geautomatiseerde werk wordt onderzocht, zonder dat de verdachte daar kennis van krijgt” (p. 14). Zie ook mijn analyse  van hacken als opsporingsbevoegdheid uit 2011.

De variaties op hacken als opsporingsmethode:

1.             Hacken teneinde de identiteit of locatie van de dader vast te stellen

Opstelten wil een opsporingsmethode voorstellen waarbij “als het ware sprake is van een virtuele plaatsopneming of inkijkoperatie, waarbij de aanwezigheid van gegevensbestanden of van gegevens in het geautomatiseerde werk of de gegevensdrager wordt vastgesteld”. Concreet kan daarbij gedacht worden aan:

–  het binnendringen van een router zodat kan worden achterhaald wat het identificerende kenmerk van de laptop van de verachte is zodat de toepassing van onderzoekshandelingen of de inzet van opsporingsbevoegdheden selectiever kan plaatsvinden.

– het binnendringen van een computer, waarvan alleen het Tor-adres bekend is, om het IP-adres vast te stellen teineinde een bevel tot het aftappen en opnemen van communiatie aan de aanbieder te kunnen afgeven.

– het binnendringen van een smartphone van een persoon, die crimineel contacten onderhoudt met een verdachte, om zijn identiteit vast te stellen.

– het in kaart brengen van de software die in het geautomatiseerde werk aanwezig is.

In het voorstel wordt aangegeven dat het ook kan gaan om het “vaststellen van e-mail berichten of e-mail berichten die inzage geven in de communicatie met andere personen over het beramen of plegen van ernstige strafbare feiten”. Tegelijkertijd wordt ook eerder aangegeven dat het vorderen van gegevens eerder moet worden overwogen bij aanbieders waarbij dat wel mogelijk is. De hackbevoegdheden vormen een ‘aanvulling’ op de bestaande bevoegdheden om bewijs bij webmail te vergaren door te tappen of gegevens te vorderen (p. 14). Het is mij onduidelijk gebleven of het ‘inkijken in webmail accounts’ of andere ‘online accounts’ (bijvoorbeeld van een forum of sociale netwerkdiensten zoals Facebook en Twitter) expliciet tot de mogelijkheden behoort. En als dat mogelijk is, onder welke omstandigheden.

Ook is het opvallend dat in het wetsvoorstel als voorbeelden van geautomatiseerde werken (computers) die gehackt kunnen worden slechts privécomputers, smartphones, een router (één keer genoemd) en servers (waarop bijvoorbeeld de infrastructuur ten behoeve van botnets draait) worden genoemd, terwijl de categorie “geautomatiseerd werk” in theorie veel groter is. Bits of Freedom riep al andere tweeps op om voorbeelden te geven van geautomatiseerde werken die eventueel gehackt voor bewijsdoeleinden konden worden en kwam zodoende al met autonavigatie, auto’s zelf en de slimme energiemeter. De tekst van de artikelen zelf sluit hacks van deze apparaten niet uit.

2.             Overnemen van gegevens

Met deze opsporingsmethode wordt bijvoorbeeld gedoeld op het vastleggen van afbeeldingen van kinderpornografie op een computer of van het verzamelen van informatie van “besloten communities”, “als de aanbieder niet kan worden vastgesteld of bereikt”.

Als voorbeeld wordt in de toelichting genoemd dat gegevens overgenomen kunnen worden uit een versleutelde harde schijf door middel van een ‘keylogger’, die de toetsaanslagen op een toetsenbord vastlegt. Ook kunnen gegevens worden overgenomen als die elders in de cloud liggen als de cloudaanbieder niet kan worden vastgesteld of onbereikbaar is. Dit laatste roept mij de vraag op of bij Amerikaanse cloudaanbieders die in de regel wel mogelijkheden bieden om bij hen gegevens te vorderen toepassing van de hackbevoegdheid en het overnemen van gegevens in dat geval wel of niet mogelijk is. De tekst van de toelichting suggereert later dat het wellicht mogelijk is te hacken (en gegevens over te nemen) als de heimelijke methode de voorkeur heeft.

3.             Ontoegankelijk maken van gegevens

Hierbij wordt zeer nadrukkelijk het voorbeeld van het onklaar maken van botnets genoemd (p. 17 van het voorstel). Het zou dan dienen als “voorlopige maatregel”. Maar goed, als het niet tot een rechtszaak in Nederland komt of hier bij een rechtbank over de maatregel wordt geklaagd is het meer een permanente maatregel lijkt mij. Ik denk dat ook gedacht kan worden aan het ontoegankelijk maken van kinderporno, zoals destijds in de Tor operatie is gebeurd. Het is de vraag of het straks ook voor andere misdrijven op Tor mogelijk zou zijn en of dat wenselijk is.

4.             Heimelijk aftappen en opnemen van communicatie

In het voorstel wordt uitgelegd dat het heimelijk aftappen ook ziet op het aftappen van communicatie bij aanbieders waarbij de aanbieder soms móét meewerken (de taplast). Op p. 19 wordt de situatie beschreven waarbij de opsporingsautoriteiten dat heimelijk willen doen, maar ik begrijp niet wat hier precies mee wordt bedoeld. Wellicht kan iemand anders dat uitleggen?

De tweede situatie ziet op het plaatsen van spyware (ook wel “policeware” genoemd) om op die manier communicatie heimelijk af te tappen. Daarbij gaat het volgens de toelichting vooral op het plaatsen van keyloggers om toetsaanslagen af te vangen en het aanzetten van een microfoon om een gesprek heimelijk af te luisteren. Maar let op: later worden ook andere functionaliteiten van de spyware toegelicht, “waarbij gedacht kan worden aan functionaliteiten als het opnemen van geluid, het maken van screenshots, het vastleggen van toetsaanslagen of het doorzoeken van bepaalde bestandmappen.” Afhankelijk van het bereiken doel zou in het bevel moeten worden vastgelegd welke functionaliteiten worden ingeschakeld (p. 28). Interessant is dat ook dat nadrukkelijk wordt genoemd dat het ook de mogelijkheid biedt “om communicatie op te nemen op een locatie die voor de opsporing niet goed bereikbaar is. (..) Dit kan eveneens een uitkomst bieden in de gevalleen waarin de locatie van de communicatie niet bekend is” (cursief toegevoegd). Ziet dat vooral op het aftappen van gegevens op computers in het buitenland?

Zie ook mijn blogbericht dat vanochtend is gepubliceerd op de LeidenLawBlog over het gebruik van spyware in de VS. In de Amerikaanse machtiging werd overigens door de FBI gewoonweg alle mogelijke functionaliteiten van de spyware noodzakelijk geacht..

5.             Stelselmatig observeren

Deze bevoegdheid was voor mij een verassing in het wetsvoorstel, omdat ik het nog niet eerder in Kamerstukken ben tegengekomen. De redenering is dat als de GPS van bijvoorbeeld een smartphone wordt aangezet de gedragingen en bewegingen zodanig in de gaten worden gehouden dat dit hetzelfde is als het stelselmatig observeren van een individu, waarvoor een bijzondere opsporingsbevoegdheid voor is vereist. Die redenering lijkt mij juist.

Volgens de toelichting zou deze optie een uitkomst bieden in de gevallen waarin de observatie met behulp van een observatieteam niet tot resultaat leidt of het van belang is dat de verdachte wordt aangehouden, maar zijn verblijfplaats niet bekend is.

Waarborgen voor hacken als opsporingsmethode

De toelichting op de waarborgen bij toepassing van de opsporingsmethoden is uitvoerig en daar ben ik blij mee. Terecht wordt erkend dat de methoden stuk voor stuk een ernstige inbreuk op (onder andere) het recht op privacy vormen en daar een gedetailleerde regeling voor noodzakelijk is. Een hackbevel zou voor maximale duur van 4 weken kunnen worden ingezet met telkens de mogelijkheid om het om de 4 weken te verlengen.

Opvallend vond ik ook de voorwaarde dat alvorens de opsporingsmethoden mogen worden toegepast, het door de Centrale Toetsings Commissie moet worden goedgekeurd (p. 29). Dat is nu bijvoorbeeld ook het geval bij toepassing van de bijzondere opsporingsbevoegdheid van infiltratie. Ik denk dat dit een sterke rem op het aantal keer dat het wordt toegepast zal trekken. Ook gezien het feit dat (volgens mij) infiltratietrajecten in de regel slechts een handjevol keren per jaar worden goedgekeurd.

Het gebruik van de hacksoftware moet voldoen aan de normen van het Besluit technische hulpmiddelen strafvordering, dat in verband met de voorstelde bevoegdheden moet worden aangepast (p. 28). Het technische hulpmiddel zou dan worden geprepareerd voor de inzet in het contret geval en onder meer de functie bevatten waarbij het functioneren van het hulpmiddel wordt vastgelegd, dat in de toelichting op het voorstel “logging” wordt genoemd. Ook moet het hulpmiddel “een zekere mate van voorspelbaarheid vertonen en moeten de authenticiteit en integriteit van de gegevens die door middel van het technische hulpmiddel worden vergaard, zijn gewaarborgd”.

Ook moet er een proces-verbaal, zoals verplicht is gesteld in art. 152 van het Wetboek van Strafvordering, worden opgemaakt.

Rechtsmacht

Een controversieel onderdeel van het wetsvoorstel is de toelichting op de extraterritoriale toepassing van de hackbevoegdheden (p. 34-37). Ik vind het wel veel beter toegelicht dan in de brief over de hackbevoegdheden aan het eind van vorig jaar, maar blijf het wel een complex verhaal vinden.

De redenering in de toelichting komt er volgens mij op neer dat indien Nederland de bevoegdheid heeft om rechtsmacht aan te nemen (bijvoorbeeld omdat een misdrijf vanuit het buitenland op ons territorium wordt gepleegd) er dan de bevoegdheid bestaat om opsporingshandelingen te verrichten (op grond van artikel 359a Sv). Zie: “Op grond van dit artikel kan worden opgetreden buiten het rechtsgebied van een rechtbank, binnen de grenzen van het volkenrecht en het internationale recht”, volgens de toelichting. Eerder heb ik samen met Conings in een artikel betoogd dat hier het probleem ligt, omdat er een algemeen verbod geldt om opsporingshandelingen zonder toestemming op het territorium van een andere staat uit te voeren. Bovendien viel volgens ons uit literatuur af te leiden dat een doorzoeking via internet op een geautomatiseerde werk internationaal rechtelijk gezien niet door de beugel kon, maar in de praktijk het wel voorkomt en een zekere acceptatie van staten hierbij viel te bespeuren.

In de Memorie van Toelichting wordt deze rechtspraktijk bevestigd. Door een werkgroep van de Raad van Europa van het Cybercrimeverdrag wordt bevestigd dat er “vanwege de technologische ontwikkelingen, de toenemende complexiteit en het internationale karakter van computercriminaliteit een toenemende behoefte is aan verstrekking van de bevoegdheden” ( aldus p. 36 van de Memorie van Toelichting). “Geconstateerd wordt dat opsporingsdiensten van veel staten zich in de praktijk toegang verschaffen tot gegevens die zijn opgeslagen in geautomatiseerde werken die zich op het grondgebied van andere staten bevinden, ten behoeve van het veiligstellen van elektronisch bewijs. Dit vloeit meestal voort uit het feit dat de opsporende staat niet zeker weet op welk grondgebied de gegevens zich bevinden.” Belangrijk is dat ook wordt opgemerkt dat ‘de praktijk volgens de Transborder Group geen grondslag vindt in (artikel 32 sub b van) het Cybercrimeverdrag’.

Toch wordt in de Memorie van Toelichting volgehouden dat de voorstellen volledig in lijn zijn met “het volkenrecht en internationaal recht”. Daar heb ik wel moeite mee. De motivatie is eigenlijk: ‘het is noodzakelijk, want het kan niet anders’ (“De noodzaak tot onverwijld optreden maakt dit onvermijdelijk en ook volkenrechtelijk goed verdedigbaar” (p. 37)). En tja, misschien is dat ook wel goed te verdedigen en voldoende motivatie. Als voorbeeld van een situatie waarbij dit goed te verdedigen zou zijn is volgens de toelichting wanneer van Tor gebruik wordt gemaakt en er sprake is van cloud computing. Naar mijn mening is het echter bij populaire cloud diensten prima duidelijk waar de gegevens achterhaalt (gevorderd) kunnen worden, namelijk de veelal Amerikaanse aanbieders zelf, eventueel onder de regels van de Verenigde Staten. Wel is het mijns inziens voorstelbaar dat de locatie van een botnetinfrastructuur achter allerlei lagen van anonismering (door middel van proxies en VPN verbindingen) ligt en daardoor ‘redelijkerwijs niet is te achterhalen’. Dit nog afgezien van het feit dat zelfs als die locatie wel bekend is de hostingprovider wellicht simpelweg niet meewerkt met de opsporingsdienst en de route van rechtshulpverzoeken geen zin heeft.

Ten tweede wordt geschreven dat: “Ook in het geval er bij de politie wel wetenschap bestaat van de feitelijke locatie van de gegevens kan – binnen de grenzen van artikel 539a Sv en onder de voorwaarden van (extra) territoriale rechtsmacht – zelfstandig worden opgetreden” (zie p. 35 van de toelichting). Die redenering en de noodzaak begrijp ik wat minder, behalve dat opsporingsautoriteiten de angst hebben dat als het niet heimelijk wordt vergaard er niet effectief bewijs kan worden verzameld binnen een opsporingsonderzoek. Toch zou het op dit punt wat mij betreft wel wat explicieter mogen worden gemaakt wanneer daarvan sprake is. Nu blijft Opstelten nog heel vaag en wordt opgemerkt (en als argument gebruikt?) dat het “sterk zal afhangen van de aard van de feitelijke handeling onder welke omstandigheden het volkenrecht zich verzet tegen zelfstandig optreden van de handhavende staat” en “ook andere staten meer ruimte zien voor zelfstandig optreden als het gaat om opsporingshandelingen met betrekking tot gegevens”. Misschien wordt in deze situatie gedacht aan bijvoorbeeld Gmail gegevens (zie ook deze blog daarover) van Nederlandse ingezetenen, maar dat is slechts speculatie.

Afgesloten wordt met de mededeling dat een Aanvullend Protocol op het Cybercrime Verdrag kan worden voorzien in aanvullende regelgeving voor situaties waarin gegevens in verschillende jurisdicties zijn opgeslagen of waarin de fysieke locatie van de gegevens niet bekend is (cursief toegevoegd). Blijkbaar wil de Nederlandse regering dat niet afwachten (wat ik enigszins begrijpelijk vindt, omdat het maar de vraag is of deze harmonisatie gaat lukken en er urgentie is om toch grensoverschrijdend bewijsmateriaal uit computers te kunnen vergaren), maar het is wel een beetje een loze overweging op deze manier.

Overigens neemt bovenstaande analyse bepaalde zorgen niet weg. Want hoe kunnen burgers er nu op vertrouwen, dat overheden alleen onder de voorwaarden zoals in hun eigen wetgeving is bepaald in hun computers kan worden ingebroken voor het vergaren van bewijs? Dat kunnen ze niet lijkt mij, omdat staten het blijkbaar mogelijk achten onder hun eigen straf-processuele regels grensoverschrijdend toegang kunnen verschaffen tot computers en verdere opsporingshandelingen te kunnen plegen. Ik vermoed dat op grond van het reciprociteitsprincipe, andere staten ook onder omstandigheden zouden kunnen inbreken op computersystemen in Nederland. Ook een belangrijke vraag vind ik hoe bedrijven nu met deze interpretatie en eventuele nieuwe bevoegdheden moeten omgaan. Moeten ze een eventuele hack door buitenlandse opsporingsdiensten behandelen als een beveiligingsincident? En heeft het voor hen zin om eventueel aangifte van hacking te doen? Ik ben dus benieuwd of bedrijven (denk aan Microsoft, Google, Facebook, Twitter en Linkedin, ISPs en hosting bedrijven (ook i.v.m. het NTD-bevel zie hieronder)) zich nog laten horen over dit voorstel.

Decryptiebevel

Over het voorstel voor een decryptiebevel heb ik eerder een korte blog geschreven en heeft Koops een uitgebreid onderzoek (.pdf) naar gedaan. Een belangrijke vraag van het decryptiebevel is wat mij betreft welke systemen precies ontsleuteld zouden moeten worden. Gaat het daarbij om het afgeven van wachtwoorden van bijvoorbeeld ook smartphones en online accounts? Het decryptiebevel wordt in het voorstel alleen mogelijk gemaakt bij bij kinderporno en terrorisme. Gaat dit bevel nu ook langs de Centrale Toetsings Commissie? Ik vond het in ieder geval goed dat in de toelichting wordt aangegeven dat een decryptiebevel aan de verdachte achteraf “doorgaans niet wenselijk is” en het “in zijn algemeenheid de voorkeur verdient om te kiezen voor een onderzoek in een geautomatiseerd werk om de gegevens vast te leggen waarmee de versleuteling ongedaan gemaakt kan worden” (p. 53). Anderen vinden wellicht een decryptiebevel minder vergaand. In ieder had Koops zijn voorkeur in het rapport (voorzichtig) uitgesproken voor een decryptiebevel boven het plaatsen van spyware.

Hoewel het voorstel uitvoerig wordt toegelicht (p. 49-68) mis ik toch een belangrijk element dat in het onderzoek van Koops naar voren kwam. Volgens mij concludeerde hij dat het decryptiebevel met een straf van ten hoogste 3 jaar, slechts mogelijk is in gevallen waarbij het Openbaar Ministerie kan bewijzen dat er strafbaar materiaal (kinderporno of bewijs van een terroristisch misdrijf) op de gegevensdragers wordt aangetroffen. Dat kan volgens hem bijvoorbeeld soms worden bewezen met behulp van een internettap. Ik concludeerde daaruit dat slechts in een heel beperkt aantal gevallen mogelijk is. Maar in de toelichting lijkt aan die voorwaarde te worden voorbij gegaan. Het is daarom des te meer de vraag of de voorgestelde regeling niet een ontoelaatbare inbreuk maakt op het recht om niet mee te werken aan je eigen veroordeling (afgeleid uit artikel 6 EVRM). Het zou ook kunnen dat het daar niet mee in strijd is; het is simpelweg onduidelijk, omdat er geen jurisprudentie op dit precieze onderwerp voorhanden is.

NTD-bevel

Het Notice and Take Down bevel uit het conceptwetsvoorstel versterking computercriminaliteit uit 2010 doet weer zijn intreden! Destijds had ik daar dit artikel en deze blog over geschreven. De belangrijkste conclusies daaruit waren dat een machtiging van een rechter-commissaris bij een NTD-bevel op zijn plaats zou zijn en de bestuurlijke boete op niet-nakoming van het bevel uiterst merkwaardig was. Gelukkig is nu wel een machtiging van een R-C vereist en is de bestuurlijke boete komen te vervallen.

Het is de bedoeling dat een dergelijk bevel alleen wordt afgegeven als er geen succesvol beroep kan worden gedaan op de Notice and Take Down gedragscode. Daarnaast wordt benadrukt dat het bevel ook kan worden afgegeven aan beheerders van een website en hostingproviders die eventueel de gedragscode niet hebben ondertekend (zie p. 45).

Wat voor mij onduidelijk blijft is hoe de ontoegankelijkheidsmaking van een website moet worden uitgevoerd. In 2010 werd in de toelichting nog duidelijk de mogelijkheid open gelaten dat websites, “zoals de Pirate Bay”, verplicht eruit gefilterd zouden moeten worden. Valt onder de ontoegankelijkheidsmakting nu ook een filterverplichting (door de blokkade van de IP-adressen wellicht)?

Conclusie

Tot slot wil ik nog één ding extra benadrukken: de bevoegdheden om botnets of aanvallen op vitale infrastructuur te bestrijden is maar een klein onderdeel van het voorstel, let ook op de andere ‘details’ van het voorstel.

Vanochtend werd nog eens door Ronald Prins van Fox-IT benadrukt dat hij de bevoegdheden vooral wenselijk acht voor de bestrijding van botnets, maar liever niet gebruikt ziet worden bij opsporing van de meer traditionele delicten. Hoogleraar Bart Jacobs had eerder in het NJB ook betoogd dat de bevoegdheden wellicht wenselijk is voor de bestrijding van botnets en tegen aanvallen op vitale ICT infrastructuur, maar niet voor ‘normale opsporing’. Tenslotte verscheen een week geleden ook een PhD met de boodschap dat het hacken van botnets wellicht de enige effectieve manier is om botnets effectief te bestrijden.

De eensgezindheid van deze security guru’s vind ik opvallend en vormen naar mijn mening een heel belangrijk signaal. Wel vraag ik mij af of het mogelijk maken van deze maatregelen het meest passen binnen het Wetboek van Strafvordering en BOB-bevoegdheden die toch vooral zien op de bewijsvergaring in strafzaken, waarna een persoon eventueel door een Nederlandse zittingsrechter wordt veroordeeld. Het lijkt hier meer te gaan om ‘handhaving van de rechtsorde’ of zelfs inlichtingendienstenwerk (zie ook p. 44: “het enkele verstoren van het kennisnemen van gegevens behoort tot de mogelijkheden. Dit is van belang bij de bestrijding van botnets”). Tegelijkertijd heb ik hier te weinig verstand van zaken van om in te schatten waar en hoe slechts die maatregelen beter geregeld zouden moeten worden.

De oproep de bevoegdheden alleen mogelijk te maken voor de bestrijding van botnets en aanvallen op vitale infrastructuur staat in contrast met het voorstel. De hackbevoegdheden zouden namelijk moeten gelden voor de misdrijven genoemd in art. 67 van het Wetboek van Strafvordering die een ernstige inbreuk op de rechtsorde vormen. Daarbij kan óók gedacht worden van misdrijven zoals moord, drugshandel, mensenhandel, omvangrijke milieudelicten, wapenhandel en ernstige financiële misdrijven, zoals ernstige fraude, aldus de toelichting (p. 13).

Als het wetsvoorstel uiteindelijk wordt aangenomen wordt een arsenaal aan nieuwe (digitale) opsporingsbevoegdheden mogelijk gemaakt. Voor de alledaagse opsporingspraktijk is het misschien nog wel relevanter dat onder omstandigheden in online accounts kunnen worden ‘ingekeken’, gegevens na een hack via internet kunnen worden gekopieerd en in de toekomst de smartphone wellicht een sleutelrol krijgt in opsporingsonderzoeken omdat het een soort wandelend spionagekastje voor de opsporingsinstanties kan vormen. Ik ben wel blij dat in ieder geval bijzondere zware voorwaarden voorgesteld voor de voorgestelde nieuwe opsporingsmogelijkheden voor politie en justitie.

Ik kijk uit naar reacties op het conceptwetvoorstel en houd de ontwikkelen verder nauwlettend in de gaten!