Evaluatierapport: ‘De hackbevoegdheid in de praktijk’

Op 16 september 2022 is de WODC-evaluatie de ‘De hackbevoegdheid in de praktijk’ gepubliceerd (.pdf). Het omvangrijke rapport (215 blz.) staat vol met interessante informatie over de inzet van de hackbevoegdheid (art. 126nba Sv) door de Nederlandse politie. Het betreft vooral een beschrijvend evaluatierapport; de auteurs trekken wel conclusies n.a.v. bevindingen, maar waardeoordelen of oplossingen voor de geconstateerde problemen blijven grotendeels uit. En full disclosure natuurlijk: ik heb zitting gehad in de begeleidingscommissie van het rapport en eerdere versies van het rapport becommentarieerd.

De minister van Justitie geeft pas in het voorjaar van 2023 een inhoudelijke reactie op het rapport, omdat er ook nog een ander (langverwacht) onderzoek verschijnt van de Procureur-Generaal bij de Hoge Raad “in het kader van het hem toekomende toezicht op het Openbaar Ministerie”. Enkele opvallende conclusies uit het rapport zet ik hier onder op een rijtje.

Inzet

Uniek aan dit rapport zijn de cijfers over de inzet van de hackbevoegdheid, afgesplitst tegen het type geautomatiseerd werk (30 van de 38 geautomatiseerde werken waarop de bevoegdheid is ingezet betreft een telefoon (!)) en het type misdrijf waarvoor het wordt ingezet (zie p. 86 en p. 88).

De auteurs van het rapport zeggen over de inzet op het type delicten het volgende:

“De naam computercriminaliteit suggereert wellicht dat de hackbevoegdheid vooral wordt ingezet voor cybercriminaliteit in enge zin. Bovenstaand overzicht laat echter zien dat het overgrote deel van de inzetten betrekking had op opsporingsonderzoeken naar zware vormen van meer traditionele criminaliteit, zowel wat betreft de proportionaliteit (feiten waarvoor een substantiële gevangenisstraf kan worden opgelegd en die de rechtsorde schaden) als wat betreft de subsidiariteit (andere bijzondere opsporingsbevoegdheden hebben weinig opgeleverd).”

In het onderzoek naar cybercriminaliteit in enge zin ging het volgens het rapport om ‘het ontoegankelijk maken van een botnet’. Volgens mij is maar één zaak daarover afgelopen jaren in de publiciteit geweest en dat was de ontoegankelijkheidmaking van het Emotet-botnet dat volgens dit persbericht 1 miljoen slachtoffers wereldwijd maakte. Luister ook deze podcast van Europol over de zaak (vond ‘m zelf wat tegenvallen overigens).

Binnen een groot deel van de onderzoeken waarbinnen het speciale team ‘Digit’ een inzet heeft gedaan (8 van de 25) was sprake van een misdrijf binnen de Opiumwet, al dan niet in combinatie met andere delicten zoals witwassen, omkoping en misdrijven gerelateerd aan de Wet Wapens en Munitie. Ten slotte betrof moord of doodslag een aanzienlijk deel (8 van de 25) van de delicten waarnaar een tactisch team van de politie onderzoek deed.  

Ondanks dat de hackbevoegdheid in 26 opsporingsonderzoeken is ingezet tussen maart 2019 tot en met maart 2021, zijn er nog geen uitspraken gepubliceerd waar de inzet van de hackbevoegdheid ter sprake komt. Volgens de auteurs zal dat ‘bij een deel ook nooit gebeuren’. Overigens geeft team Digit aan behoefte te hebben aan een steunbevoegdheid, zodat ze bijvoorbeeld ook fysiek een woning mogen binnendringen om vervolgens de hackbevoegdheid in te zetten.

Commerciële middelen

Volgens team Digit is het noodzakelijk gebruik te maken van binnendringsoftware van commerciële leveranciers. De informatie over de leverancier is vertrouwelijk en is daarom niet gedeeld met de auteurs van het rapport. De ‘ontwikkeling van eigen hulpmiddelen (en ze vooraf goedgekeurd krijgen) is nauwelijks haalbaar gebleken in de praktijk in verband met de tijd die het kost om een volledig goedgekeurd middel te ontwikkelen’.

De auteurs identificeren drie redenen voor de inzet van commerciële middelen. Ten eerste is er volgens team Digit veel kennis en mankracht nodig om de beveiliging van computers die worden gehackt te doorbreken. In het Regeerakkoord is destijds 10 miljoen euro beschikbaar gesteld, onder andere om Digit zelf producten te laten ontwikkelen. Ook met dat extra bedrag is het volgens sommige geïnterviewden niet realistisch om de samenwerking met commerciële leveranciers volledig los te laten. Niet alleen omdat veel extra personeel moet worden aangenomen, maar ook omdat de kennisachterstand inmiddels zo groot zou zijn dat het kennisniveau van leveranciers niet geëvenaard kan worden.

Het tweede argument is dat leveranciers ook het onderhoud van hun product voor hun rekening nemen. Bij de aanschaf van een product sluit Digit een onderhoudscontract af, zodat de continue werking ervan zo veel mogelijk gewaarborgd kan blijven.

Het derde argument heeft te maken met de meldplicht. Hierover zeggen de auteurs: ‘mocht het mogelijk zijn voor Digit om een zelf gevonden onbekende kwetsbaarheid gebruiksklaar te maken, eerder is gebleken dat dit vooral vanwege de technische complexiteit een zo goed als hypothetische situatie is, dan vormt de meldplicht een belemmering. Het zelf vinden van een kwetsbaarheid betekent dat deze gemeld moet worden en dat de kwetsbaarheid, waarin veel energie gestoken is om die gebruiksklaar te maken, voor één of hooguit twee zaken kan worden gebruikt’.

Melding onbekende kwetsbaarheden

De melding van het gebruik van onbekende kwetsbaarheden verloopt niet bepaald soepel. De geïnterviewden wijzen er op dat artikel 126ffa Sv m.b.t. de meldplicht géén onderscheid maakt tussen de geautomatiseerde werken waarin de onbekende kwetsbaarheid gevonden wordt. Dat betekent “dat een kwetsbaarheid in een computersysteem dat geproduceerd is door en voor personen met criminele intenties hetzelfde behandeld moet worden als een kwetsbaarheid in een geautomatiseerd werk dat in gebruik is bij een groot deel van de Nederlandse burgers of in een geautomatiseerd werk binnen de ‘kritieke infrastructuur’.” Dat is een knelpunt voor de opsporingsprakrijk, omdat personen met criminele intenties uiteindelijk op de hoogte moeten worden gebracht dat in hun systeem zich een kwetsbaarheid bevindt. Het is volgens de respondenten ‘de vraag of dat werd bedoeld met het veiliger maken van computersystemen en het internet, een belangrijke reden waarom de meldplicht er is gekomen’.

Een tweede punt van kritiek is dat de meldplicht samenwerking met andere partijen bemoeilijkt, zowel internationaal als nationaal. Volgens enkele geïnterviewden bevindt Nederland zich in een uitzonderingspositie wat betreft de meldplicht.

Persoonlijk begrijp ik het goed dat de opsporingspraktijk geen melding wil doen aan een maker van hardware of software dat vooral door criminelen kan worden gebruikt. Maar de melding kan ook worden uitgesteld. In het rapport is te lezen dat (slechts) één keer een verzoek is gedaan een melding uit te stellen (en verder blijkbaar geen melding is gedaan). In het rapport wordt uitgelegd dat ze niet kunnen nagaan of de commerciële leverancier van onbekende kwetsbaarheden gebruik maakt en “omdat de onbekende kwetsbaarheden onbekend zijn bij Digit, geldt voor deze kwetsbaarheden niet de eerder besproken meldplicht”. Ik vond p. 95-107 over deze (controversiële) praktijk heel lezenswaardig.

Toezicht

Een groot deel van het rapport gaat over het toezicht (of eigenlijk met name over de problemen die praktijk ervaart met het toezicht) door de Inspectie Justitie & Veiligheid en de Keuringsdienst. Overigens lijkt de Inspectie zeer intensief toezicht te houden en de Keuringsdienst nogal ‘understaffed’ te zijn voor toezicht op de hackbevoegdheid en de technische middelen die daarvoor worden ingezet.

Hieronder volgen de (voor mij) belangrijkste conclusies over toezicht uit het rapport:

  • De reikwijdte van het toezicht van de Inspectie is op dit moment onderwerp van gesprek, vooral ten aanzien van het handelen van het Openbaar Ministerie. Uit het rapport blijkt ook dat er onenigheid bestaat over definitiekwesties.
  • Digit is met een deel van de door de Inspectie geconstateerde punten aan de slag gegaan, maar zegt ook met een deel ervan niets te zullen kunnen doen, omdat het Besluit op een aantal punten niet goed uitvoerbaar zou zijn.
  • De reactie van de minister op de Verslagen van de Inspectie werkt bij de Inspectie op sommige punten verbazing, omdat daaruit blijkt dat aan haar constateringen niet altijd gevolgtrekkingen worden verbonden.
  • Digit-OM heeft besloten dat de aard van een gebruikt commercieel middel zich verzet tegen een keuring. Het middel zal op basis van het Besluit en de geformuleerde keuringseisen (hoogstwaarschijnlijk) ook niet goedgekeurd kunnen worden. Wel neemt team Digit (en het tactisch team) maatregelen in het kader van aanvullende tactische en technische waarborgen bij middelen die niet (goed)gekeurd zijn.

In het rapport staat eufemistisch dat het toezicht ‘niet zonder discussie’ verloopt en ‘de verhouding lijkt enigszins stroever geworden te zijn’. Persoonlijk weet ik (nog) niet zo goed wat ik hier allemaal van moet denken. Blijkbaar is de discussie vastgelopen en komen de betrokken partijen niet voldoende tot elkaar. Uiteindelijk gaat het erom dat de waarborgen die wet stelt zo goed mogelijk worden nagekomen en de bevoegdheid daadwerkelijk kan worden uitgevoerd waar noodzakelijk, maar blijkbaar zijn sommige bepalingen voor de praktijk onuitvoerbaar.

De auteurs van het rapport merken – volgens mij terecht – op:

Daarom zou het goed zijn om met alle betrokken actoren gezamenlijk te kijken op welke manieren het beste een oordeel kan worden gegeven of gegevens op een betrouwbare, integere en herleidbare manier verzameld kunnen worden, ook wanneer gebruik wordt gemaakt van commerciële middelen. Het verzamelen van betrouwbare gegevens is per slot van rekening een belang dat alle actoren met elkaar delen.”

Maar suggesties voor concrete oplossingen ontbreken daarbij. Andere punten zoals het regelen van een steunbevoegdheid en eventueel m.b.t. de melding kan de wetgever oplossen. Kortom, er lijken genoeg belangrijke conclusies uit het rapport om op te pakken en waar de wetgever een rol in kan spelen. In dat opzicht vind ik het jammer dat zo laat een reactie van de minister volgt.

Meer duidelijkheid over de SkyECC-operatie

SkyECC is een chatapplicatie waarmee gebruikers op versleutelde wijze met elkaar kunnen communiceren. Met de app was het mogelijk berichten, foto’s en audioberichten uit te wisselen. Bellen is met een ‘Skytelefoon’ niet mogelijk. De app werd aangeboden door het bedrijf ‘Sky Global’ en deze installeerde de versleutelingssoftware op iPhones, Google Pixels, Blackberry’s en Nokia’s. In 2021 had het bedrijf wereldwijd 70.000 gebruikers. Een toestel geconfigureerd voor het gebruik van de Sky ECC-app kostte tenminste € 729,-. Een abonnement op de Sky ECC app kostte € 2.200,- per jaar of € 600,- per 3 maanden. Om van Sky ECC gebruik te kunnen maken krijgt iedere gebruiker een unieke combinatie van zes tekens welke bestaat uit cijfers en letters, de zogenoemde Sky-ID (User ldentifier). Dit unieke nummer is nodig om een gebruiker toe te voegen als contact.

De CEO en werknemers van Sky Global werden in de Verenigde Staten aangeklaagd wegens het opzettelijk faciliteren van criminele organisaties (zie bijvoorbeeld dit artikel ‘Arrest warrants issued for Canadians behind Sky ECC cryptophone network used by organised crime’). Sinds 19 maart 2021 is Sky Global niet meer actief.

Volgens het OM zijn tijdens operatie ‘Argus’ honderden miljoenen berichten (!) uitgelezen tijdens de operatie. In België alleen al zijn er naar verluidt meer dan 2.000 verdachten geïdentificeerd, waarvan er 360 aangehouden konden worden. Er lopen 268 strafonderzoeken waarin de gelekte berichten worden benut. Het gros daarvan, 192 zaken, zijn nieuwe dossiers dankzij de kraak (JDVS/RL, Al 2000 verdachten ontmaskerd na kraak misdaadtelefoons, HLN, 25 september 2021). In dit blogbericht zet ik de feiten uit de rechtspraak over de operatie en de Nederlandse rol daarbij op een rijtje.

Onderzoek ‘Werl’

Op 1 november 2019 is het strafrechtelijk onderzoek ‘Werl’ gestart, dat zich richt op de rechtspersoon Sky Global en de bestuurders en/of werknemers daarvan wegens verdenking van deelneming aan criminele organisatie en (gewoonte)witwassen. In die periode zijn ook in Frankrijk en België strafrechtelijke onderzoeken tegen de aanbieder gestart. De Franse autoriteiten hebben in hun onderzoek een ‘interceptietool’ ingezet, waarvoor een Franse onderzoeksrechter een machtiging heeft verleend. Met de inzet van deze ‘interceptietool’ zijn vanaf medio juni 2019 data van de toestellen van SkyECC verzameld. Vanaf de start van het onderzoek Werl hebben de Franse autoriteiten de onderzoeksbevindingen die zij hebben verkregen met de inzet van de interceptietool gedeeld met het Nederlandse onderzoeksteam.

Onderzoek ’26Argus’

Op 11 december 2019 startte in Nederland het onderzoek ‘26Argus’, dat zich richt op de criminele samenwerkingsverbanden van de NN-gebruikers van SkyECC. Het had onder meer tot doel ‘het aan de hand van de inhoudelijke data in beeld brengen en analyseren van de criminele samenwerkingsverbanden die gebruikmaken van cryptotelefoons van SkyECC’.

De SkyECC-operatie (operatie Argus)

Na de uitvoering van de EOB’s is Frankrijk een onderzoek gestart naar het bedrijf SkyECC. Op 17 december 2020 heeft een Franse rechter in het Franse onderzoek naar SkyECC, op aanvraag van het Franse Openbaar Ministerie, toestemming gegeven voor het gebruik van een interceptiemiddel op een server van SkyECC in Frankrijk. Vervolgens is, met toestemming van de Franse rechter, een interceptietool met de mogelijkheid tot het ontsleutelen van het berichtenverkeer geplaatst op de SkyECC-servers. Het Nederlandse Openbaar Ministerie noemt daarbij in een uitspraak dat daarbij een ‘man-in-the-middle’ MITM-techniek is gebruikt, waarbij een server (door de Fransen) is overgenomen.

De genoemde interceptietool is door Nederlandse rechercheurs en technici ontwikkeld”

(Rb. Amsterdam 7 juli 2022, ECLI:NL:RBAMS:2022:4257. Zie hierover eerder ook: OM spreekt ‘systematisch liegen’ over actieve rol bij hack van Sky ECC tegen, NU.nl).

De verkregen data zijn vervolgens door Frankrijk gedeeld met Nederland en België. Nederland, België en Frankrijk hebben een JIT-overeenkomst gesloten waarbinnen de verkregen data onderling konden worden gedeeld.

Over de inzet van het door Nederland ontwikkelde interceptietool zijn rechtbanken in de SkyECC tot nu toe eensgezind. Het wordt gezien als een Frans onderzoek, op Frans grondgebied, met toepassing van Franse rechterlijke machtigingen. De verantwoordelijkheid voor het opsporingsonderzoek ligt daarom bij de Franse autoriteiten (zie bijvoorbeeld de rechtbank Den Haag (ECLI:NL:RBDHA:2022:4585 en ECLI:NL:RBDHA:2022:6764 en de rechtbank Amsterdam (ECLI:NL:RBAMS:2022:4257).

Machtigingen van Nederlandse rechter-commissaris

Op 11 december 2020 is een nieuw Nederlands onderzoek gestart, gericht op de onbekende gebruikers van de diensten van SkyECC. Dit onderzoek was een voortzetting van eerder onderzoek. Net als bij EncroChat zijn er ook machtigingen door een Nederlandse rechter-commissaris afgegeven voor de SkyECC operatie. Op 15 december 2020 heeft een Nederlandse rechter-commissaris een machtiging afgegeven op grond van artikel 126t en 126t, zesde lid Sv voor het opnemen en ontsleutelen van de communicatie gevoerd door de Nederlandse NN-gebruikers van SkyECC. Daarbij zijn zeven voorwaarden geformuleerd, die onder meer zien op de zoeksleutels waarmee de ontsleutelde gegevens mogen worden doorzocht, die recht doen aan het verschoningsrecht van geheimhouders en die zien op de verifieerbaarheid en reproduceerbaarheid van de gegevens die voor het betreffende onderzoek beschikbaar zijn gesteld.

Verder heeft een Nederlandse rechter-commissaris ook op 7 februari 2021 een machtiging verleend op grond van artikel 126uba Sv tot binnendringen in het communicatienetwerk van SkyECC. De daaraan gekoppelde mobiele telefoons van NN-gebruikers maken volgens de machtiging ook deel uit van het netwerk. In deze machtiging is overwogen dat het binnendringen in het geautomatiseerde werk ondersteunend is aan de uitvoering van een machtiging op grond van artikel 126t Sv.

Verslag hackbevoegdheid & Antwoord op Kamervragen over hacksoftware

Op 31 mei 2022 heeft de inspectie Veiligheid & Justitie haar jaarlijkse rapportage uitgebracht over het naleven van de regels omtrent de inzet van de hackbevoegdheid door de politie. De belangrijkste resultaten van het verslag worden hier weergegeven.

In totaal is de hackoperatie in 28 zaken ingezet. In 24 van de 28 is een niet vooraf goedgekeurd technisch hulpmiddel ingezet. De SkyECC-operatie valt overigens buiten het onderzoek, omdat zowel de politie als het Openbaar Ministerie hebben aangegeven dat in dit onderzoek geen sprake is geweest van de inzet van de hackbevoegdheid door Nederlandse opsporingsambtenaren (cursivering red.). De Inspectie voert geen rechtmatigheidstoezicht uit ten aanzien van de proportionaliteit van de inzet. Wel is te lezen dat in één zaak een technisch hulpmiddel is ingezet dat mogelijk standaard locatiegegevens vastlegt bij bepaalde handelingen door de gebruiker van het onderzochte geautomatiseerd werk. De Inspectie signaleert dat deze vastlegging van locatiegegevens mogelijk kenmerken heeft van stelselmatige observatie. In de zaak waarin dit hulpmiddel is ingezet, is echter geen bevel afgegeven voor het middels de hackbevoegdheid stelselmatig observeren van de betreffende verdachte.

De logging was dit jaar accurater en completer door verbeteringen in de techniek. Door diverse soorten logging te combineren met het journaal, heeft de Inspectie de uitgevoerde handelingen in voldoende mate kunnen reconstrueren om een goed beeld te krijgen van de manier waarop de politie de hackbevoegdheid heeft toegepast. In de verdiepende bijlage wordt het loggingsproces overigens nog veel uitgebreider beschreven. De politie heeft op onderdelen de kwaliteit verbeterd door eigen controles in te richten. Wat nog ontbreekt, is een overkoepelende analyse waarbij de politie per activiteit van de inzet van de bevoegdheid nagaat welke kwaliteitsborging nodig is om risico’s in het gehele proces van uitvoering voldoende te beperken. Niet is bepaald wie precies welke taken en verantwoordelijkheden heeft en aan wie verantwoordelijk wordt afgelegd. De Inspectie zegt in het voorwoord dat dit beter moet worden ingeregeld. Zolang dit niet goed is geregeld wordt het toezicht in 2022 met dezelfde diepgang uitgevoerd als de afgelopen twee keer.

In 23 van de 28 zaken is commerciële binnendringingssoftware ingezet. De inspectie rapporteert dat voor zowel de politie als de Inspectie deze software een ‘black box’ is. Het kenmerk van een ‘black-box’ is dat de resultaten zichtbaar zijn maar voor de gebruiker niet bekend is hoe de software precies werkt. Hoewel in een addendum bij het contract procedurele afspraken zijn gemaakt met de leverancier, is technisch niet afdwingbaar en controleerbaar wat de leverancier van deze software precies op welk moment doet. De leverancier kan daarbij mogelijk ook toegang verkrijgen tot de tijdens een inzet met deze software verkregen gegevens. De Inspectie heeft er begrip voor dat deze software in het belang van de opsporing wordt ingezet, maar signaleert hierdoor een ‘spanning met het rechtskader’, omdat eigenlijk alleen door de korpschef aangewezen ambtenaren toegang mogen hebben tot de verkregen gegevens.

Als procedureregel noemt de inspectie ook een toezegging uit het regeerakkoord 2017-2021 dat een screening van de leverancier plaatsvindt door de AIVD. In parlementaire stukken is niet uitgewerkt op welke aspecten de leverancier door de AIVD wordt gescreend. Deze screening is anders van inhoud dan de veiligheidsonderzoeken die de AIVD uitvoert voor personen die een vertrouwensfunctie (gaan) vervullen. In antwoord op Kamervragen over het gebruik van hacksoftware Pegasus is te lezen dat de screening door de AIVD uitgevoerd als een ‘naslagverzoek’ conform de F-taak van de Wiv 2017 in artikel 8 lid 2 sub f. Daarnaast mag de leverancier niet leveren aan de ‘dubieuze regimes’. Dit zijn landen die zich schuldig maken aan ernstige schendingen van mensenrechten of internationaal humanitair recht. In deze toets wordt de leverancier gevraagd niet te hebben geleverd aan landen waartegen vanuit de EU of de VN restrictieve sancties bestaan en wordt gecontroleerd of in het land waar de leverancier is gevestigd een exportcontroleregime bestaat waar mensenrechten een onderdeel is in de beoordeling voor het verstrekken van een exportvergunning. Over het niet leveren bij dubieuze regimes heeft de politie in 2019 een verklaring opgevraagd bij de leverancier.

Over onbekende kwetsbaarheden is ten slotte nog het volgende te lezen: ‘in 2021 heeft DIGIT in twee opsporingsonderzoeken kwetsbaarheden aangetroffen die kunnen worden gebruikt om een geautomatiseerd werk binnen te dringen. De Inspectie heeft vastgesteld dat DIGIT deze kwetsbaarheden ter beoordeling, conform de werkproces afspraken, voorgelegd heeft aan de DIGIT officier van justitie. In één van deze gevallen heeft de DIGIT officier van justitie besloten dat het daadwerkelijk een of meerdere onbekende kwetsbaarheden betreft. In dit geval heeft de officier van justitie bevolen dat het bekend maken hiervan aan de producent wordt uitgesteld. Overigens heeft DIGIT deze kwetsbaarheden in 2021 niet daadwerkelijk gebruikt om een geautomatiseerd werk binnen te dringen’.

Antwoorden Kamervragen over het gebruik van hacksoftware zoals Pegasus

Op 23 juni 2022 hebben minister Bruis Slot van Binnenlandse Zaken en Koninkrijksrelaties en Yeşilgöz-Zegerius van Justitie & Veiligheid antwoord gegeven op Kamervragen over hacksoftware. Voor de beantwoording van de vragen verscheen nog het artikel ‘AIVD gebruikt omstreden Israëlische hacksoftware‘ in de Volkskrant en in april 2022 nog het artikel: ‘Politie wil niets loslaten over haar selectie van hacksoftware‘.

De minister van Veiligheid & Justitie geeft aan dat geen informatie over leveranciers wordt gegeven, omdat het voor de afscherming van middelen en methodieken niet mogelijk is om openbaar inzicht te geven in welke software de politie gebruikt bij de uitvoering van deze bevoegdheid.

Opsporingsdiensten mogen ten behoeve van het uitvoeren van de bijzondere opsporingsbevoegdheid de hackbevoegdheid inzetten, zoals vastgelegd in artikelen 126nba, 126uba en 126zpa Sv. De uitvoering van deze bevoegdheid is centraal belegd bij een technisch team dat is ondergebracht bij de Landelijke Eenheid van de politie.

De BOB-bevoegdheid is ingezet in opsporingsonderzoeken naar een combinatie van de volgende artikelen: art. 96 lid 2 (handelingen met het oogmerk tot voorbereiding/bevorderen van misdrijven tegen de veiligheid van de staat), 140 (deelneming aan een criminele organisatie), 140a (deelneming aan een terroristische organisatie), 157 (brandstichting/teweegbrengen ontploffing), 170 (vernieling van gebouwen), 177 (omkoping van ambtenaren), 225 (valsheid in geschriften), 227a (niet naar waarheid gegevens verstrekken), 287 (doodslag), 289 (moord), 310/311 (gekwalificeerde diefstal), 317 (afpersing), 326 (oplichting), 328ter (omkoping van anderen dan ambtenaren), 416/417 (gewoonte heling) en 420bis/420ter Sr (gewoonte witwassen). Daarnaast voor overtreding van (een combinatie van) bepaalde artikelen uit de Opiumwet, Wet Wapens en munitie, de wet op het financieel toezicht en de Wet op de economische delicten.

De minister van BZK geeft aan dat art. 45 Wiv 2017 de bijzondere bevoegdheid bevat van het binnendringen van een geautomatiseerd werk. Over de wijze waarop de inlichtingen- en veiligheidsdiensten gebruikmaken van hun wettelijke bevoegdheden kan in het openbaar geen mededeling worden gedaan. Er wordt ook geen antwoord gegeven op de vraag of de AIVD en de MIVD commerciële software hebben ingezet voor de uitvoering van de hackbevoegdheid.

Evaluatie Wet computercriminaliteit III

De Wet computercriminaliteit III wordt door het WODC geëvalueerd. Bij de eerste evaluatie wordt gekeken naar één onderdeel van de wet, namelijk de bevoegdheid tot het heimelijk en op afstand binnendringen en onderzoek doen in een geautomatiseerd werk. Het tweede deel van de evaluatie zal zich richten op de gehele wet, inclusief de bevoegdheid tot binnendringen. Naar verwachting zal het eerste deel van de evaluatie in de zomer 2022 worden afgerond en vlak na de zomer 2022 gepubliceerd.

Overzicht cryptophone-operaties

Zo’n drie jaar geleden, in november 2018, verscheen het eerste persbericht op OM.nl over het veiligstellen van berichten die zijn verstuurd met ‘cryptotelefoons’ (ook wel ‘PGP-telefoons’ genoemd).

De beschikbare informatie over de operaties die zich richten op het veiligstellen van de berichten die via de apps zijn verstuurd heb ik in de afgelopen maanden de volgende blogberichten hieronder op een rijtje gezet.

  1. Ennetcom (2016)
  2. PGP Safe (2017)
  3. Ironchat (2017)
  4. EncroChat (2020)
  5. Sky ECC (2020)

Waarom een overzicht?

Anno 2021 zijn er al meer dan 200 uitspraken beschikbaar op rechtspraak.nl met veroordelingen van criminelen, waarbij bewijs uit de cryptotelefoons een belangrijke rol speelt. In de media worden de berichten ook wel een ‘goudmijn aan bewijs’ genoemd en de gegevens vormen een game changer voor de politie. Strafrechtadvocaten trekken vaak de rechtmatigheid van de operaties in twijfel, maar vooralsnog lijkt de verdediging bot te vangen.

De operaties zijn blijkbaar bijzonder belangrijk voor de strafrechtpraktijk en toch is er relatief weinig bekend over de operaties. Ook geniet het nog vrij weinig aandacht van strafrechtwetenschappers.

De grote hoeveelheid jurisprudentie en onduidelijkheid over de ‘wat’, ‘wanneer’ en ‘hoe’-vragen vormde voor mij aanleiding een overzicht te maken (ook voor mijzelf voor toekomstige publicaties). Daarbij heb ik mij gebaseerd op persberichten van het OM, de politie en rechtspraak.

Wat en wanneer

  1. Ennetcom (2016)

Leverancier van cryptotelefoons met apps op een Blackberry telefoon. Oprichters van het bedrijf zijn uiteindelijk veroordeeld voor deelname aan een criminele organisatie, gewoontewitwassen en medeplegen van valsheid in geschrifte. Tijdens de operatie zijn 3,6 miljoen berichten veiliggesteld.

Leverancier van cryptotelefoons met apps op Android en Blackberry toestellen. Oprichters bedrijf worden verdacht van onder meer witwassen, overtreding van de Telecommunicatiewet en valsheid in geschrifte. Tijdens de operatie zijn 700.000 berichten veiliggesteld.

Leverancier van Wileyfox-telefoons met Ironchat-app er op. Onderzoek gericht op de oprichters van het bedrijf (verdenkingen nog onduidelijk). Tijdens de operatie zijn 258.000 berichten veiliggesteld.

Leverancier van cryptotelefoons met EncroChat (en andere Encro) apps. Redelijk vermoeden dat Encro en de gebruikers zich in georganiseerd verband schuldig maakten aan witwassen, deelname aan criminele organisaties, etc. Tijdens de operatie zijn 25 miljoen berichten veiliggesteld.  

Leverancier van cryptotelefoons met Sky ECC app. Sky ECC en de daaraan gelieerde (natuurlijke) personen verdacht van deelname aan een criminele organisatie en (gewoonte)witwassen.  Tijdens de operatie zijn honderden miljoenen berichten veiliggesteld.  

Hoe

1.      Ennetcom (2016)
Via een rechtshulpverzoek aan Canada, met machtiging van een Canadese rechter. NL grondslag: 125i Sv. Canadese rechter verbond voorwaarden aan verstrekking en gebruik van gegevens aan Nederlandse opsporingsinstanties.  
 
2.      PGP Safe (2017)
Via een rechtshulpverzoek aan Costa Rica, met assistentie van Nederlandse politie. Machtiging voor bevel tot binnentreden, de doorzoeking en de beslaglegging afgegeven door het Gerecht in Strafzaken van het Eerste District San Jose. Aan de verstrekking van de veilig gestelde gegevens zijn geen beperkingen aan Nederland opgelegd.
 
3.      Ironchat (2017)
Via Europees Opsporingsbevel aan het Verenigd Koninkrijk en verstrekking van een kopie van de server (een image). Parallel onderzoek voor VK-autoriteiten. Zij hebben gegevens verstrekt aan Nederland, zonder beperkingen. Grondslag strafvordering voor operatie onduidelijk.
 
4.      EncroChat (2020)
Via JIT. Franse autoriteiten verzamelden gegevens met inzet “interceptietool”.  Extra machtiging voor inzet hackbevoegdheid (126uba Sv) op verdachten met verdenking van betrokkenheid/beramen van het plegen van misdrijven in georganiseerd verband. Beperkingen en vereisten aan onderzoek opgelegd door Nederlandse rechter-commissaris in een machtiging voor het onderzoeken van gegevens van Nederlandse ingezetenen.
 
5.      Sky ECC (2020)
Via JIT. Franse autoriteiten vergaren gegevens met inzet “interceptietool”. Door Nederlandse opsporingsambtenaren is technische expertise en/of bijstand geleverd met betrekking tot de ontwikkeling en plaatsing van de tool. De in Frankrijk vergaarde informatie is aanvankelijk vrijwillig op basis van artikel 26 van het Cybercrimeverdrag gedeeld met het Nederlandse Openbaar Ministerie. Later zijn ook machtigingen Nederlandse rechter-commissaris verleend. De vorderingen en machtigingen zagen op de toepassing van de artikelen 126t lid 1 en 126t lid 6 Sv (onderzoek communicatie door middel van een geautomatiseerd werk bij georganiseerde criminaliteit) en later ook op aanvullende, ondersteunende vorderingen op de voet van artikel 126uba Sv (hackbevoegdheid bij verdenking betrokkenheid beramen/plegen misdrijven in georganiseerd verband).

Hoofdstukken uit het boek ‘Cybercriminaliteit’ in open access beschikbaar

Op 1 november 2020 verscheen het Basisboek Cybercriminaliteit, onder redactie van Wytkse van der Wagen, Marleen Weulen Kranenborg en mijzelf. Het studieboek wordt veel gebruikt in vakken voor de opleiding criminologie bij verschillende Nederlandse universiteiten. Het boek verschaft ook basiskennis voor strafrechtstudenten en professionals uit de praktijk.

Nu de embargoperiode voorbij is, mag ik van Boom Uitgevers twee hoofdstukken publiekelijk beschikbaar stellen. Het gaat om de hoofdstukken ‘Verschijningsvormen van cybercriminaliteit’ (.pdf) en ‘Cybercriminaliteit en opsporing’ (.pdf).

De andere hoofdstukken, bijvoorbeeld over criminologische theorieën en cybercriminaliteit, daders, slachtoffers en interventiestrategieën zijn niet in open access beschikbaar, maar het boek is voor een schappelijke prijs beschikbaar bij uw boekhandel (of o.a. bol.com).

Als er vragen of opmerkingen zijn over het boek (en met name natuurlijk over de onderstaande hoofdstukken), dan hoor ik het graag per e-mail (te vinden op mijn UU-pagina). Wellicht volgt er volgend jaar een nieuwe druk waar we de opmerkingen in kunnen meenemen.

Inhoudsopgave

3             Verschijningsvormen van cybercriminaliteit

Jan-Jaap Oerlemans & Wytske van der Wagen

3.1 Inleiding

3.2 Cybercriminaliteit in enge zin

3.2.1 Hacken

3.2.2 Malware

3.2.3 Botnets

3.2.4 Ddos-aanvallen

3.3 Gedigitaliseerde criminaliteit

3.3.1 Internetoplichting

3.3.2 Online drugshandel

3.3.3 Witwassen en virtuele valuta

3.3.4 Online zedendelicten

3.4 Toekomstige ontwikkelingen

3.5 Tot besluit

3.6 Discussievragen

3.7 Kernbegrippen

Bijlage: Overzicht van relevante delicten

Citeerwijze:

J.J. Oerlemans & W. van der Wagen, ‘Verschijningsvormen van cybercriminaliteit’, p. 55-105 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek Cybercriminaliteit, Den Haag: Boom criminologie 2020.

Inhoudsopgave

7             Cybercriminaliteit en opsporing

Jan-Jaap Oerlemans

7.1 Inleiding

7.2 Het opsporingsonderzoek en normering van opsporingsmethoden

7.2.1 De organisatie van opsporing naar cybercriminaliteit in Nederland

7.2.2 De politie

7.2.3 Openbaar Ministerie

7.2.4 Rechterlijke macht

7.2.5 De IRT-affaire

7.2.6 Stelsel van normering van bijzondere opsporingsbevoegdheden

7.3 Het IP-adres als digitaal spoor

7.3.1 Het opsporingsproces bij een IP-adres als digitaal spoor

7.3.2 Het vorderen van gegevens

7.3.3 Inbeslagname en onderzoek op gegevensdragers

7.3.4 Regels voor de doorzoeking en inbeslagname van gegevensdragers

7.3.5 De netwerkzoeking

7.3.6 Online doorzoeking

7.4 Opsporingsmethoden en de uitdaging van anonimiteit

7.4.1 Proxy- en VPN-diensten

7.4.2 Tor

7.4.3 Openbronnenonderzoek

7.4.4 Undercover bevoegdheden

7.5 Opsporingsmethoden en de uitdaging van versleuteling

7.5.1 Versleuteling in opslag

7.5.2 Versleuteling in transport

7.5.3 De hackbevoegdheid

7.6 Jurisdictie en grensoverschrijdende digitale opsporing

7.6.1 Wetgevende jurisdictie

7.6.2 Handhavingsjurisdictie

7.6.3 Unilaterale digitale opsporing

7.6.4 Toekomstige ontwikkelingen van grensoverschrijdende digitale opsporing

7.7 Verstoring van cybercriminaliteit

7.8 Tot besluit

7.9 Discussievragen

7.10 Kernbegrippen

Bijlage: Overzicht van relevante dwangmiddelen en bijzondere opsporingsbevoegdheden

Citeerwijze:

J.J. Oerlemans, ‘Cybercriminaliteit en opsporing’, p. 195-258 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek Cybercriminaliteit, Den Haag: Boom criminologie 2020.

Meer duidelijkheid over EncroChat-operatie

In de afgelopen maanden is er weer veel jurisprudentie verschenen waarin de berichten van die zijn veilig gesteld van het bedrijf EncroChat een belangrijke rol spelen. Het gaat volgens een Frans persbericht om meer dan 120 miljoen berichten. De Nederlandse politie spreekt van zo’n 25 miljoen (!) berichten (wellicht het aantal berichten die Nederland heeft ontvangen).

Steeds vraagt de verdediging om meer informatie over de verzameling van de gegevens bij een Frans bedrijf in Frankrijk, terwijl rechters steevast verwijzen naar het internationaal vertrouwensbeginsel en het bewijs niet onder Nederlands recht op rechtmatigheid wordt getoetst (zie bijvoorbeeld Rb. Rotterdam 24 juni 2021, ECLI:NL:RBROT:2021:6050).

Op 25 juni 2021 zijn in een Rotterdamse uitspraak (ECLI:NL:RBROT:2021:6113) eindelijk meer details naar boven gekomen over de operatie waarin de EncroChat-berichten verzameld zijn. Hieronder volgt eerst een korte beschrijving van wat EncroChat precies is en daarna volgen de beschikbare details van de operatie.

Hoe werken EncroChat-telefoons?  

EncroChat was een communicatieaanbieder van telefoons, waarmee middels de Encrochat applicatie versleutelde chats, bestaande uit tekstberichten en afbeeldingen, konden worden verzonden en ontvangen en waarmee onderling gebeld kon worden. Ook was het mogelijk om notities te bewaren op de telefoontoestellen. De gebruiker had niet de mogelijkheid om zelf applicaties te installeren op het toestel en was dus beperkt in het gebruik van de communicatieapplicaties die er door de leveranciers op gezet werden. Een Encrochattelefoon kon door de gebruiker volledig worden gewist. Dit werd ook wel ‘panic-wipe’ genoemd. Gebruikers kochten een telefoontoestel waarop de Encrochat applicaties vooraf geïnstalleerd waren in combinatie met een abonnement om de service te kunnen gebruiken. Gebruikers konden elkaars username opslaan in hun contactlijst onder een zelfgekozen omschrijving (‘nickname’). Communicatie kon tot stand komen nadat een gebruiker zijn ‘username’ stuurde naar een andere gebruiker, met het verzoek om toegevoegd te worden aan diens contactenlijst. Een chat kon bestaan uit tekstberichten en foto’s. Ieder bericht verliep na een vooraf ingestelde tijd, ook wel ‘burn-time’ of beveiligde verwijdertijd genoemd. Deze tijd was door de gebruiker aan te passen, standaard stond hij ingesteld op zeven dagen. Tevens kon er vanuit de chat een ‘VoIP’ spraakgesprek gevoerd worden. De kosten voor een Encrochat -telefoon bedroegen ongeveer €1.500,- voor een abonnement van zes maanden.

EncroChat-operatie

Over de operatie zelf overweegt in r.o. 3.2.3 de rechtbank Rotterdam (ECLI:NL:RBROT:2021:6113) het volgende. De Franse Gendarmerie zou op 1 april 2020 vanuit Pontoise, Frankrijk, rond 17:15 uur een door een Franse technische politiedienst ontwikkeld opnamemiddel hebben geïnstalleerd. Het doel van dit middel was het vastleggen van de inkomende en uitgaande communicatie middels de Encrochat-telefoontoestellen (ongeveer 55.000 toestellen waren in omloop). De rechtbank schrijft het volgende: uit een ‘Warrant Application’ die ziet op ‘Targeted Equipment Interference’ van de National Crime Agency, valt op te maken dat de NCA met de Franse Gendarmerie heeft samengewerkt gebruikt te maken van kwetsbaarheden in de servers om zo gegevens te verzamelen.

De Franse Gendarmerie heeft in januari 2020 aan de NCA te kennen gegeven dat zij Encrochat konden hacken. In een “Schedule of Conduct” staat vermeld dat in de eerste fase (stage 1) een hacktool zal worden ingezet op alle Encrochat-toestellen wereldwijd. Dit middel zal op de toestellen worden gezet via een update vanaf de server in Frankrijk. Dit middel zal de op de toestellen vastgelegde data verzamelen en zal deze verzenden naar de Franse autoriteiten. Het gaat dan om alle data, waaronder IMEI-gegevens, gebruikersnamen, wachtwoorden, opgeslagen chatberichten, afbeeldingen, locatiegegevens (‘geodata’) en notities.

Gedurende de tweede fase (stage 2) is communicatie verzameld, zoals chatberichten, opgeslagen op de Encrochat-toestellen. Deze berichten worden verzameld, zodra deze in het toestel worden opgeslagen. De geplande duur van de interceptie is naar verwachting twee maanden. De aldus verkregen data vanuit Frankrijk, veelal bestaand uit Encrochat-berichten, is volgens de politie de dataset die de politie in Nederland heeft verkregen binnen het onderzoek 26Lemont, het strafrechtelijke onderzoek naar de medeplichtigheid van Encrochat zelf aan door de gebruikers van Encrochat gepleegde misdrijven. De Franse Gendarmerie heeft op basis van “geodata” oftewel locatiegegevens, de gegevens vervolgens gedeeld met het land van herkomst, die daar – onder bepaalde voorwaarden – verder geanalyseerd en verwerkt konden worden voor strafrechtelijke onderzoeken naar de gebruikers.

In een uitspraak (ECLI:NL:RBAMS:2022:1273) van de rechtbank Amsterdam van 17 maart 2022 zijn nog meer details te lezen te lezen. Uit het proces-verbaal Overzicht beschikbare data Encrochat (AD aanvulling 1, p. 191 e.v.) en het Proces-verbaal van veiligstellen (AD aanvulling 1, p. 195 e.v.), blijkt verder het volgende. Het Franse onderzoeksteam heeft de Nederlandse politie toegang gegeven tot de Encrochat telefoondata via een beveiligde verbinding met de computersystemen in Frankrijk. De Encrochat telefoondata zijn vervolgens door Nederlandse opsporingsambtenaren vanaf het Franse computersysteem gekopieerd naar het onderzoeksnetwerk van de Nederlandse politie. Om een zo actueel mogelijke kopie van de Encrochat telefoondata te krijgen, gebruikte de politie een wijze van kopiëren waarbij met een zo klein mogelijke vertraging de nieuwe Encrochat telefoondata werden gekopieerd naar het onderzoeksnetwerk van de Nederlandse politie.

De aldus verkregen data vanuit Frankrijk, veelal bestaand uit Encrochat-berichten, is volgens de politie de dataset die de politie in Nederland heeft verkregen binnen het onderzoek 26Lemont. Het betreft data afkomstig van 39.000 telefoons, waarvan zich ongeveer 9.000 telefoons (deels) in Nederland bevonden. Nederland heeft ook nog een harde schijf ontvangen van Frankrijk met daarop alle data. De informatie op die harde schijf is vergeleken met de data die eerder gekopieerd waren. Uit deze vergelijking heeft de politie geconcludeerd dat de data “volledig en integer zijn gekopieerd” vanaf de Franse systemen naar het onderzoeksnetwerk van de Nederlandse politie.

Daarnaast heeft het Franse onderzoeksteam op 4 verschillende momenten, te weten januari 2019, oktober 2019, februari 2020 en juni 2020, een kopie gemaakt van de Encrochat infrastructuur en de informatie die op dat moment beschikbaar was op de verschillende servers. Deze informatie is ook gedeeld met Nederland, zowel in het onderzoek Bismarck dat al eerder liep, als in het kader van het JIT. Dit heeft eveneens veel informatie opgeleverd. Geen inhoudelijke berichten, maar wel veel metadata, zoals back-ups van de notitie-app, administratieve gegevens, IP adressen, overzicht van users en databases met wachtwoorden.

De Encrochat data kunnen dus opgedeeld worden in twee categorieën:

  1. data afkomstig van de servers zoals in bovenstaande alinea omschreven, de zogenaamde ‘server-data’ en
  2. data rechtstreeks afkomstig van de Encro-toestellen, de zogenaamde ‘telefoon-data’.

Nederlandse autoriteiten hebben toegang gehad tot beide data.

De resultaten (ten tijde van april 2021) worden in een jaarrapport van 2020 in de volgende mooie ‘infographic’ getoond:

Interceptietool

Dat Nederlandse opsporingsambtenaren de interceptietool (mede) hebben ontwikkeld, wordt door het Openbaar Ministerie in de brief van 24 maart 2021 expliciet ontkend. De rechtbank Rotterdam overweegt dat het ‘op dit moment’ geen reden te twijfelen aan wat het Openbaar Ministerie hierover zegt. Volgens de rechtbank ‘is niet gebleken van feiten of omstandigheden die maken dat een eventueel Nederlandse (technische) inbreng bij het ontwikkelen van de tool tot gevolg moet hebben dat de verantwoordelijkheid voor de toepassing ervan in het Franse opsporingsonderzoek (ook) in Nederland komt te liggen’.

== Update ==

In de zaak (ECLI:NL:RBMNE:2022:1389) van de Rechtbank Midden-Nederland van 12 april 2022 is te lezen dat

een Frans proces-verbaal blijkt dat de interceptietool is ontworpen door de Service Technique National de Captation Judiciaire (STNCJ), een dienst die gerechtigd is dergelijke middelen te ontwerpen en kon worden ingezet door de Service Central de Renseignement Criminel (SCRCGN) van de Franse Gendarmerie.

Machtiging rechter-commissaris

Vanwege de voorzienbare inbreuk die de interceptie van de Encrochat-data op de persoonlijke levenssfeer van de Nederlandse gebruikers van deze dienst zou hebben, heeft het Openbaar Ministerie ervoor gekozen om, mogelijk ten overvloede, in Nederland een rechterlijke toetsing te vorderen die strikt genomen het Nederlandse Wetboek van Strafvordering niet als zodanig kent. Bij de rechter-commissaris is een vordering ingediend om een machtiging voor de inzet van de hackbevoegdheid op personen die betrokken zijn bij georganiseerde misdaad (art. 126uba Sv) te geven teneinde de informatie betreffende de Nederlandse gebruikers te mogen analyseren en gebruiken (een en ander is beschreven in het proces-verbaal “Kaders gebruik dataset 26Lemont” met aanvullingen d.d. 28 september 2020 en 24 maart 2021).

== update ==

In een meer recente uitspraak van de rechtbank Gelderland van 8 december 2021 (ECLI:NL:RBGEL:2021:6584) is meer te lezen over de machtiging. Voor het gebruik van de berichten is een (Nederlandse) rechter-commissaris om een machtiging gevraagd voor de inzet van de hackbevoegdheid (artikel 126uab Sv) en het opnemen van telecommunicatie (artikel 126t Sv). In het ‘proces-verbaal aanvraag’ wordt gesteld dat het redelijk vermoeden bestaat dat de EncroChat-gebruikers zich in georganiseerd verband schuldig maken aan (het medeplegen van) één of meer van de volgende misdrijven:

  • witwassen;
  • deelnemen/leiding geven aan een criminele organisatie;
  • Opiumwet delicten;
  • wapenhandel;
  • (poging) tot moord/doodslag;
  • gijzeling en/of wederrechtelijke vrijheidsberoving; en
  • afpersing en/of diefstal met geweld.

Daarbij werden de volgende drie doelen nagestreefd:

  1. het identificeren van de NN-gebruikers;
  2. onderzoek doen naar de criminele samenwerkingsverbanden waarvan zij deel uitmaken;
  3. bewijs verzamelen over door deze criminele samenwerkingsverbanden gepleegde en/of nog te plegen misdrijven.

De EncroChat-data mocht worden doorzocht met behulp van een lijst met trefwoorden die gerelateerd zijn aan te onderzoeken feiten of verdachten. De rechter-commissaris overwoog expliciet dat het onderzoek geen fishing expedition mocht worden. De rechter-commissaris heeft de vordering vervolgens toegewezen onder de volgende zeven voorwaarden (verkort weergegeven):

  1. de wijze waarop is binnengedrongen in het geautomatiseerde werk wordt vastgelegd, als er geen gebruik wordt gemaakt van een reeds goedgekeurd middel;
  2. een beschrijving van de gebruikte software die beschikbaar is voor onderzoek, als er geen gebruik wordt gemaakt van een reeds goedgekeurd middel;
  3. de integriteit van de opgeslagen informatie wordt gegarandeerd;
  4. het onderzoek moet reproduceerbaar zijn, en gebruik moet worden gemaakt van zoeksleutels (woordenlijsten);
  5. voorkomen moet worden dat communicatie tussen cliënten en verschoningsgerechtigden wordt opgenomen;
  6. de met zoeksleutels vergaarde informatie moet binnen twee weken ter toetsing aan de rechter-commissaris worden aangeboden en pas daarna aan het openbaar ministerie en de politie ter beschikking worden gesteld voor het opsporingsonderzoek;
  7. de machtiging wordt voor een beperkte duur van vier weken verleend en kan enkel middels een vordering worden verlengd. De rechter-commissaris kan de machtiging vroegtijdig beëindigen, als de tussentijdse toets daartoe aanleiding zou geven.

Als de EncroChat-gegevens worden gedeeld met andere onderzoeken, moet daarvoor eerst toestemming moet worden gevraagd aan de rechter-commissaris waarna de officier(en) in de zaak 26Lemont op grond van artikel 126dd Sv de informatie mag delen met de zaaksofficier van dat betreffende onderzoek.

Overigens acht de rechtbank de inbreuk op de privacy van een EncroChat-gebruikers bij het doorzoeken van de EncroChats beperkt (!), omdat:

  • bij het doorzoeken van de EncroChat-data gebruik is gemaakt van vooraf door de rechter-commissaris goedgekeurde zoeksleutels gericht op de opsporing van ernstige criminele activiteiten en
  • gelet op de aard van de communicatie via PGP-telefoons als o.a. EncroChat, slechts een (beperkt) beeld wordt gekregen van iemands criminele activiteiten, er wordt geen min of meer volledig beeld gekregen van bepaalde aspecten van het privéleven van de gebruiker.

Voorzichtig geformuleerd wil ik over het bovenstaande zeggen dat je daar ook geheel anders over kan denken bij het verzamelen van 25 miljoen berichten waarbij een inbreuk wordt gemaakt op het recht op vertrouwelijke communicatie van meer dan 55.000 personen.

De rechtbank concludeert dat de door het openbaar ministerie en de rechter-commissaris gekozen werkwijze en het toegepaste toetsingskader ‘past in het stelsel van de Nederlandse wet en maximale waarborgen bieden om een onnodige inbreuk op de privacy van andere EncroChat-gebruikers te voorkomen, zonder dat dit in strijd is met de beginselen van proportionaliteit en subsidiariteit. De rechtbank komt dan ook tot de conclusie dat het verwerken van de EncroChat-data niet in strijd is met artikelen 8 EVRM en/of 1 Sv’.

Ook opvallend, maar niet per se verassend, is de overweging van de rechtbank over vormverzuimen die mogelijk hebben plaatsgevonden bij overtreding van de Wet politiegegevens (Wpg):

“De rechtbank heeft op 28 april 2021 al besloten dat de Wpg geen belangrijk strafvorderlijk voorschrift is. De verdediging heeft dan ook geen belang bij een toetsing aan de voorschriften van de Wpg. Deze toetsing is immers niet van belang voor de vragen die de rechtbank in het kader van de artikelen 348 en 350 Sv dient te beantwoorden, noch een vraag die beantwoord moet worden bij de toetsing of sprake is van een eerlijk proces als bedoeld in artikel 6 EVRM.”

Betrouwbaarheid EncroChat data

In een uitspraak van de rechtbank Rotterdam van 11 april 2022 (ECLI:NL:RBROT:2022:2809) wordt het volgende over de betrouwbaarheid van de data opgemerkt (voor zover relevant):

5.3.3 De betrouwbaarheid van de EncroChatdata

De verdediging heeft bestreden dat de EncroChatdata betrouwbaar en accuraat genoeg zijn om voor het bewijs te worden gebruikt, althans gesteld dat die betrouwbaarheid onvoldoende beoordeeld kan worden.

Allereerst heeft de verdediging in dit kader gesteld dat de politie weliswaar heeft gecheckt of de in Nederland ontvangen berichten overeenkwamen met de in Frankrijk opgeslagen berichten, maar niet of de in Frankrijk opgeslagen berichten identiek zijn geweest aan de daadwerkelijk met de toestellen verzonden en daarop aanwezige chatberichten.

De verdediging heeft daarbij gesuggereerd dat door de inzet van de interceptietool mogelijk veranderingen in de data zouden hebben kunnen plaatsgevonden, dat berichten aan andere accounts zouden zijn gekoppeld of dat bestanden niet juist zouden zijn gekopieerd. Zij hebben aan deze suggesties echter onvoldoende handen en voeten gegeven.

Met de verdediging stelt de rechtbank vast dat altijd de theoretische mogelijkheid bestaat dat data door technische omstandigheden of menselijk ingrijpen beïnvloed worden. Een dergelijke algemene vaststelling is echter onvoldoende om aan te nemen dat de EncroChatdata op zich onbetrouwbaar zijn.

Het dossier, noch de inhoud van de berichten biedt enige houvast voor de aanname dat de data door de interceptietool gemanipuleerd zouden zijn.

(…)

De verdediging heeft alsnog de heropening van het onderzoek verzocht omdat uit een aantal overgelegde krantenartikelen blijkt dat een groot deel van de data niet op de server bij Interpol terecht gekomen is. Men kan er dus niet vanuit gaan dat alle berichten zijn ‘getapt’. Daarom wil de verdediging nog een medewerker van de National Crime Agency (NCA) en/of een Nederlandse deskundige horen. Zij wil hem/haar nog bevragen over de werking van de Franse software waarmee de hack is gedaan en over de betrouwbaarheid respectievelijk de volledigheid van de verkregen data. De medewerker zou blijkens de overgelegde artikelen ook hebben verklaard dat het erop lijkt dat sommige gebruikersnamen plotseling aan een ander apparaat zijn gekoppeld en dat tijdsaanduidingen onnauwkeurig kunnen zijn en door software gewijzigd kunnen zijn.

De verdediging wil verder nog van het OM weten of zij al vanaf het begin van het verkrijgen van de dataset wisten van deze problemen en of de rechter-commissaris (de rechtbank neemt aan in de zaak 26Lemont) ook daarvan op de hoogte is gesteld voordat hij zijn 126uba-beschikking nam.

De officier van justitie heeft zich tegen de toewijzing van het verzoek verzet. Allereerst wordt niet duidelijk welke medewerker van de NCA precies is bedoeld. Bovendien heeft het OM al vaker toegelicht dat er geen uitspraak kan worden gedaan over de volledigheid van de in het dossier aanwezige cryptocommunicatie, omdat er meerdere redenen kunnen zijn waarom bepaalde informatie niet is veiliggesteld en niet al die redenen hebben te maken met de betrouwbaarheid van de interceptietool of kunnen aan het niet werken van het interceptiemiddel worden toegeschreven.

De betrouwbaarheid waaraan de verdediging refereert gaat bovendien over de vraag hoe vaak de interceptietool al dan niet werkte en heeft geen betrekking op de betrouwbaarheid van de (inhoud van de) daadwerkelijk verkregen berichten.

De rechtbank wijst het verzoek tot heropening van het onderzoek af. In het vorenstaande heeft zij zich uitgelaten over de betrouwbaarheid van de verkregen EncroChatdata. De inhoud van de overgelegde krantenartikelen, waarvan het merendeel overigens al in 2020 is verschenen, maken dit nader onderzoek in het licht van hetgeen de rechtbank op die punten heeft overwogen niet noodzakelijk.

Gelet op het voorgaande oordeelt de rechtbank dat de EncroChatberichten betrouwbaar zijn en voor het bewijs in deze zaak kunnen worden gebruikt.

En in een uitspraak (ECLI:NL:RBMNE:2022:1389) van de rechtbank Midden-Nederland overweegt men het volgende:

Betrouwbaarheid en volledigheid Encrochat berichten

De rechtbank stelt op basis van de door het NFI uitgebrachte rapportages22 vast dat de dataset met betrekking tot de verdachten in onderzoek Appel niet compleet is. In de dataset ontbreken bij alle verdachten in meer of mindere mate berichten. Dit kan een enkel bericht zijn, maar ook langere perioden aan ontbrekende berichten komen voor. Het NFI heeft eveneens onderzoek gedaan naar correctheid van de inhoud van de berichten.

 In dit onderzoek zijn de berichten die in vijf ontsleutelde inbeslaggenomen Encrochat telefoons zijn aangetroffen vergeleken met de berichten zoals die na de inzet van het technisch hulpmiddel van die gebruiker zijn aangetroffen in de dataset. Conclusie van dit onderzoek is dat er geen redenen zijn gevonden om te twijfelen aan de correctheid van de berichten die met het technisch hulpmiddel zijn onderschept, behalve voor berichten van het type outgoing call en incoming call (audiogesprekken)

Kort gezegd geldt voor de inhoud van de uitgewisselde chatberichten dat er geen verschillen in de tekst zijn geconstateerd. De rechtbank heeft daarnaast kennisgenomen van de conclusie van het Engelse onderzoek, waaruit de verdediging afleidt dat de interceptietool onbetrouwbaar was. Echter, die onbetrouwbaarheid van de interceptietool heeft slechts betrekking op het feit dat tijdens de tweede fase niet alle berichten werden onderschept. Die conclusie zegt dus niets over de betrouwbaarheid van de inhoud van de berichten die wél zijn onderschept. Aldus is er – gelet op de inhoud van het door het NFI verrichte onderzoek – geen reden om te veronderstellen dat de berichten die wel in de dataset voorkomen op een of andere manier onbetrouwbaar zijn of dat van de juistheid van die berichten niet zou kunnen worden uitgegaan.

Cybersecuritybeeld Nederland 2021 en rapport hackbevoegdheid Inspectie J&V

Cyber Security Beeld Nederland 2021

Op 29 juni 2021 is het nieuwe Cybersecuritybeeld Nederland 2021 (.pdf) verschenen. Dit bericht vat de belangrijkste informatie uit het rapport samen met betrekking digitale spionage en ransomware.  

In verband met de COVID-pandemie is er sprake is van een wereldwijd toegenomen digitale spionagedreiging richting de farmaceutische en medische industrie en onderzoekscentra die geneesmiddelen, antistoffen of vaccins ontwikkelen in relatie tot COVID-19. Nederlandse bedrijven en onderzoeksinstellingen die betrokken zijn bij de preventie en bestrijding van COVID-19 zijn een waarschijnlijk doelwit van deze digitale spionage. Voorzichtiger staat in het rapport geformuleerd ‘dat het mogelijk is’ dat Nederlandse overheidsinstanties die de preventie en bestrijding van COVID-19 coördineren slachtoffer worden van digitale spionage. En dat het mogelijk is dat digitale aanvallen uitgevoerd worden op (centrale) databases waarin, in het kader van COVID-19, persoonsgegevens van Nederlanders worden opgeslagen. Met betrekking tot de motieven van statelijke actoren, gaat het voor een belangrijk deel om het behartigen van binnenlandse politieke en veiligheidsbelangen, zoals het bestrijden van dissidenten die in het buitenland wonen en het streven naar het behoud van de status quo in het herkomstland: inclusief de bestaande statelijke structuur, rol en positie van het staatshoofd en rol en positie van de onderdanen (in zowel binnen- als buitenland). Ook spelen financieel-economische motieven een rol, zoals het behoud van inkomsten vanuit de diaspora (bevolkingsgroepen die buiten het land van herkomst wonen), die investeringen doet (zoals de aankoop van onroerend goed) en financiële ondersteuning biedt aan achtergebleven familie. Volgens het rapport is ook het aandeel ‘groot’ met betrekking tot economische spionage, waarmee statelijke actoren bijvoorbeeld beogen de eigen concurrentiepositie te verbeteren of hoogwaardige kennis en technologie te bemachtigen zonder zelf de kosten voor research en development te maken. “Exemplarisch” is volgens het rapport is de Chinese economische spionage, die zich vooral richt op technologiediefstal en voorkennis inzake voorgenomen investeringen. Ten slotte gaat het ook om het versterken van de strategisch-militaire positie ten opzichte van andere staten en het verkrijgen van politieke informatie over regeringsstandpunten en besluitvorming van andere staten en het beïnvloeden van politiek-bestuurlijke processen in andere staten. Door impliciet of expliciet te dreigen met verstoring of sabotage kan een actor economische, politieke, diplomatieke of militaire invloed uitoefenen op zijn doelwit.

Zie ook het onderstaande schema uit het rapport:

Over de SolarWinds hack rapporteert het NCSC wel dat in december 2020 bekend werd dat aanvallers een kwetsbaarheid hadden aangebracht in een update van Orion-software van SolarWinds. Dit bedrijf maakt softwareprogramma’s voor overheidsinstanties en grote bedrijven om ICT-omgevingen te monitoren en beheren. Volgens SolarWinds heeft de opzettelijk gecreëerde kwetsbaarheid als achterliggend doel de systemen van de afnemers van de betreffende versie van SolarWinds Orion te compromitteren. Bij verschillende Amerikaanse overheidsinstanties is de kwetsbaarheid ook daadwerkelijk misbruikt. Meerdere cybersecuritybedrijven en techbedrijven die wereldwijd klanten hebben, zoals FireEye, Mimecast en Microsoft, hebben aangegeven gecompromitteerd te zijn via de kwetsbare versie van Orion. Microsoft stelde dat het de aanvallers waarschijnlijk uiteindelijk te doen was om toegang tot clouddiensten van de organisaties die doelwit waren. Experts gaan uit van spionage als motief. Ook in Nederland is de kwetsbare versie van SolarWinds aangetroffen, onder andere binnen de overheid en de vitale processen. Er is door het NCSC vooralsnog geen misbruik geconstateerd. In april 2021 werd de SolarWinds campagne door de VS geattribueerd aan de Russische inlichtingendienst SVR (APT29). Deze attributie werd ondersteund door de EU en de Nederlandse regering.

Over ransomware zegt het NCTV dat er is een ontwikkeling geweest naar ‘Big Game Hunting’, d.w.z. het compromitteren van zorgvuldig geselecteerde organisaties. Meestal betreft het kapitaalkrachtige organisaties, verantwoordelijk voor continuïteit van processen of in bezit van unieke data. In februari 2021 zijn verschillende kennisinstellingen in Nederland aangevallen door criminele actoren, waaronder de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), Universiteit van Amsterdam (UvA) en Hogeschool van Amsterdam (HvA), waarbij de aanval op de UvA en HvA succesvol is afgeslagen. Door ook back-ups van systemen onbruikbaar te maken, vergroten criminelen de impact van de aanval verder. In het uiterste geval is de schade aan systemen zo ernstig, dat herstel niet mogelijk is en systemen opnieuw moeten worden opgebouwd. Ransomware-aanvallen kunnen ook langdurig impact hebben op processen wanneer er sprake is van de inzet van verschillende drukmiddelen, zoals de diefstal van informatie, waarna wordt gedreigd deze informatie te publiceren. Volgens de FBI komt ook het telefonisch dreigen met fysiek huisbezoek bij medewerkers van de bedreigde instelling. Aanvallers kunnen nog een stap verder gaan en klanten van hun doelwit proberen af te persen. Dat kan snel plaatsvinden, of pas na verloop van tijd, waardoor slachtoffers van een ransomware-aanval mogelijk langdurig worden geconfronteerd met de gevolgen van de oorspronkelijke aanval.

Een aantal cybercriminele groepen beschikt inmiddels over capaciteiten die niet onder doen voor het niveau van statelijke actoren. Zij hebben echter geen doel van maatschappelijke ontwrichting of sabotage voor ogen, maar een financieel motief. De cybercriminele groepen worden door staten gedoogd en staan onder druk om in opdracht van de staat soms activiteiten te verrichten. Soms wordt daarbij een beroep gedaan op hun ‘patriottisme’.

Rapport Inspectie J&V over de hackbevoegdheid

Op 29 juni 2021 heeft de Inspectie Justitie & Veiligheid het rapport ‘Verslag toezicht wettelijke hackbevoegdheid politie 2020’ (.pdf) gepubliceerd. Enkele interessante passages worden in bericht belicht.

De belangrijkste boodschap van de inspectie is dat het uitblijven van verbetering in de uitvoering van de hackbevoegdheid, volgens de regels in art. 126nba Sv en dan met name die in het Besluit onderzoek in een geautomatiseerd werk (Stb. 2018, 340), als een risico beschouwd. Zij hopen dat dit volgend jaar beter gaat. De bevindingen van de inspectie kunnen als input dienen voor de evaluatie van de Wet computercriminaliteit III die momenteel wordt uitgevoerd door het Wetenschappelijk Onderzoeks- en Documentatie Centrum (WODC) van het ministerie van Justitie & Veiligheid.

Het is belangrijk te realiseren dat de inspectie niet de toetsing en oordeelsvorming door de officier van justitie en de rechter-commissaris onderzoekt. Er vindt dus geen controle door de inspectie plaats op bijvoorbeeld de proportionaliteit van de inzet van de bijzondere opsporingsbevoegdheid. De zittingsrechter gaat hier over de procureur-generaal bij de Hoge Raad op grond van artikel 122 Wet op de rechterlijke organisatie. In het rapport staat dat de hackbevoegdheid niet is ingezet in de EncroChat-onderzoeken en deze zaken niet zijn onderzocht (ondanks dat een machtiging voor de hackbevoegdheid bij opsporingsonderzoeken naar georganiseerde misdaad is ingezet (art. 126uba Sv). De inspectie doet klaarblijkelijk ook geen onderzoek naar situaties waarbij op grond van art. 126ng lid 2 Sv in accounts van verdachten vanuit inbeslaggenomen apparaten wordt ingelogd.

De hackbevoegdheid is in 2020 in 14 zaken ingezet. Daarbij is er geen sprake geweest van nevenschade of veiligheidsrisico’s door het in stand houden van kwetsbaarheden. In 11 zaken is een bevel gegeven voor de inzet van een niet vooraf gekeurd technisch hulpmiddel. De Inspectie moet de commerciële software zelfs een ‘black box’ voor de politie. In bijna alle zaken (10 van de 14) is gebruik gemaakt van commerciële software, waarbij de leverancier volgens de inspectie toegang heeft tot bewijslogging met het middel is verkregen, zonder dat de politie dit kan beperken en controleren. Dit wordt overigens tegengesproken in een reactie van de minister in een Kamerbrief van 29 juni 2021. De politie en de Inspectie hebben geen kennis over de kwetsbaarheden waarvan de commerciële binnendringsoftware gebruik maakt.

Opvallend is verder dat twee keer is binnengedrongen op een ander geautomatiseerd dan in het afgegeven bevel stond. Wel was het een computer die in gebruik was bij desbetreffende verdachte. De inspectie plaats daarbij de opmerking dat de verkregen gegevens mogelijk niet gebruikt kunnen worden in de betreffende strafzaak. De inspectie kon ook niet altijd vaststellen op welke locatie en in welk lang een computer werd binnengedrongen. Dat is wel belangrijk, omdat voor de mogelijke inzet ervan in het buitenland apart toestemming moet worden gevraagd (zie de Aanwijzing voor de internationale aspecten van de inzet van de bevoegdheid ex art. 126nba Sv, Strct. 2019, 10277).

Tenslotte was de logging op diverse punten niet in orde, waaronder de voorziening voor het maken van schermopnames. De Inspectie stelt vast dat in 2020 de verantwoording in processen-verbaal ‘onvolledig is en soms ontbreekt’. Voor de wel aanwezige processen-verbaal geldt dat ‘hieruit niet kan worden opgemaakt welke onderzoekshandelingen door wie op welk moment zijn uitgevoerd. In enkele gevallen kan dit ook niet worden vastgesteld op basis van het journaal en de aanwezige logging’.

De Inspectie doet over de problemen met commerciële software en gebreken in logging (zie onder) de stevige uitspraak dat ‘hierdoor risico’s niet kunnen worden uitgesloten voor wat betreft de betrouwbaarheid van met de hackbevoegdheid verkregen bewijs en de privacy van de betrokkenen’. In de begeleidende Kamerbrief wordt opgemerkt dat de zittingsrechter gaat over de betrouwbaarheid van het verkregen bewijs uit de inzet van de hackbevoegdheid. 

Jurisprudentieoverzicht cybercrime maart-april-mei 2021

Ook in hoger beroep veroordeling in TorRAT-zaak

Op 30 maart 2021 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2021:587) voor gewoontewitwassen en deelnemen aan een criminele organisatie waarvan de verdachte de leider was. Het hof heeft een gevangenisstraf opgelegd van 19 maanden en de vorderingen van de benadeelde partijen (banken) zijn gedeeltelijk toegewezen.

De verdachte heeft samen met de medeverdachten rekeninghouders van twee banken benadeeld. Via “spamruns” werden duizenden mails verstuurd naar mkb-rekeninghouders in de zakelijke sector. In de mails zat een link naar een (ogenschijnlijk) openstaande factuur of ander (PDF-)bestand. Dat was in werkelijkheid een programma dat in het geval van aanklikken ongemerkt kwaadaardige software, in casu “TorRAT-malware”, op de computers van de gebruikers achterliet. Bij het gebruik van internetbankieren paste de malware het bankrekeningnummer, de naam van de begunstigde en de omschrijving van de betaling aan, zonder dat dit voor de gebruiker van die computer (direct) zichtbaar was. Op deze wijze werden betalingen door de TorRAT-malware omgeleid naar de bankrekeningen naar money mules (personen die hun rekening, bankpas en pincode, al dan niet vrijwillig, ter beschikking hadden gesteld voor gebruik door anderen). Het zeer uitgebreide arrest is met name lezenswaardig vanwege de nog niet eerder vertoonde gedetailleerde technische overwegingen over de werking van TorRAT (compleet met screenshots van de softwarecode, zoals:

(voor het eerst volgens mij!)

Ook de wijze waarmee met de malware geld kon worden verdiend, wordt uitgebreid beschreven. Zie ook mijn annotatie in Computerrecht 2016/175 over deze zaak in eerdere instantie.

Het Hof Den Haag licht toe dat TorRAT bestond uit twee elementen, de software zelf en configuratiebestanden. Voor de toerekeningsvraag was het onderzoek aan deze configuratiebestanden door een deskundige van het NFI in het bijzonder van belang. Het hof was van oordeel dat de genoemde transacties konden worden toegerekend aan TorRAT.

Na installatie van de software op een computer als gevolg van het klikken op een link in een spammail zocht de aldus geïnfecteerde computer contact met een C&C-server. Uniek aan TorRAT was dat deze C&C-server zich veelal bevond in een Tor-netwerk (ook bekend als het darkweb of darknet). De C&C-server voorzag TorRAT regelmatig van nieuwe configuratiebestanden.

Het hof is van oordeel dat de dadergroep van de verdachte en zijn medeverdachten met toepassing van de TorRAT-malware een groot aantal transacties heeft beïnvloed. Het hof heeft per (cluster van) transacties aangegeven welke feiten en omstandigheden hebben geleid tot de vaststelling of deze wel of niet aan de TorRAT-malware kunnen worden toegerekend. Voor deze vorm is gekozen nadat de verdediging volgens het hof terecht aanvoerde dat niet duidelijk is geworden aan de hand van welke criteria de transacties zijn aangemerkt als frauduleuze transacties die via TorRAT zijn veroorzaakt. Daarvoor is de hulp van een deskundige van het NFI ingeroepen.

De betalingen die door de TorRAT-malware werden omgeleid naar de bankrekeningen van daartoe geworven zogeheten money mules. De geldbedragen werden vervolgens zo snel mogelijk aan het zicht van de banken en politie en justitie onttrokken door deze — al dan niet met tussenkomst van een tweedelijns-money mule waar het geld naar werd doorgeboekt — zo snel mogelijk contant te maken middels een contante geldopname of om te zetten in bitcoins. De omgezette bedragen werden op deze wijze witgewassen.

Met betrekking tot de verdenking van deelname aan een criminele organisatie is het hof tot het oordeel gekomen dat de verdachte en zijn medeverdachten behoorden tot een samenwerkingsverband (waarbinnen zij aliassen gebruikten en communiceerden via TorMail) en zich schuldig hebben gemaakt aan gedragingen die strekten tot of rechtstreeks verband hadden met een crimineel oogmerk. De inhoud van de Tormails speelde een belangrijk bewijsrol in deze zaak. Het hof is van oordeel dat de verdachte binnen dat samenwerkingsverband een leidinggevende rol vervulde, dat door de duurzaamheid en gestructureerde vorm daarvan als criminele organisatie wordt gekwalificeerd.

Vrijspraak vanwege verklaring maken van screenshot via Shodan

Op 2 april 2021 heeft de rechtbank Midden-Nederland een verdachte vrijgesproken (ECLI:NL:RBMNE:2021:1330) van computervredebreuk. De verdachte werd computervredebreuk (art. 138ab Sr) en het opnemen van gegevens (art. 139c Sr) ten laste gelegd. De verdachte zou namelijk de beveiliging van een NAS (Network Attached Storage) door middel van de ‘remote desktop protocol’ hebben doorbroken en gegevens hebben opgenomen door een screenshot te maken van de inbox van een mailprogramma.

De verdachte verklaarde dat hij via Shodan, een zoekmachine dat kwetsbaarheden in aan het internet gekoppelde geautomatiseerde werken blootlegt, het screenshot van de mailbox van de aangever was tegengekomen. De verdachte heeft de aangever vervolgens gewaarschuwd voor een beveiligingslek in zijn computer door hem een e-mailbericht te sturen met het gevonden screenshot als bijlage. De rechtbank kan de door verdachte geschetste gang van zaken niet uitsluiten. Uit de stukken in het dossier en het verhandelde ter terechtzitting blijkt niet dat het verhaal van verdachte onaannemelijk is. Nu redelijke twijfel bestaat of verdachte de feiten zoals tenlastegelegd heeft begaan, spreekt de rechtbank de verdachte van de ten laste gelegde feiten vrij.

Veroordeling in hoger beroep basis van bewijs uit Ennetcom-gegevens

Het Hof Arnhem-Leeuwarden veroordeelde op 3 maart 2021 (ECLI:NL:GHARL:2021:1918) een verdachte tot een gevangenisstraf van 22 jaar voor moord en verboden vuurwapenbezit. De advocaat van de verdachte voerde aan dat de PGP-berichten die waren verkregen via Ennetcom uitgesloten moesten worden van bewijs, omdat deze niet rechtmatig waren verkregen.

Het Hof verwerpt het verweer en overweegt als volgt. Het Superior Court of Justice in Toronto heeft op 13 september 2016 het door de Nederlandse autoriteiten ingediende rechtshulpverzoek behandeld, dat strekte tot het ten behoeve van nader onderzoek in Nederland veiligstellen en overdragen van communicatie dat zich bevond op de Ennetcom-servers (hierna: Ennetcom-gegevens). De Canadese rechter heeft de beslissing of deze gegevens gebruikt mogen worden in andere onderzoeken neergelegd bij de Nederlandse autoriteiten, maar wel bepaald dat daartoe een rechterlijke machtiging is vereist en het gebruik van de Ennetcom-gegevens beperkt tot onderzoek en vervolging van bepaalde strafbare feiten (waaronder moord).

De officier van justitie heeft de rechter-commissaris ex art. 181 jo art. 126ng lid 2 Sv, verzocht te bepalen dat het onderzoek 09Seter dringend vordert dat onderzoek wordt verricht aan de Ennetcom-gegevens en te bepalen dat relevante gegevens toegevoegd zouden worden aan het procesdossier 09Ster. De rechter-commissaris heeft dit verzoek toegewezen en de uitvoering van het onderzoek op grond van art. 177 Sv door tussenkomst van de officier van justitie verwezen aan het onderzoeksteam 09Ster. Vervolgens heeft de officier van justitie op grond van gegevens die zijn voortgekomen uit Ennetcom-gegevens in het onderzoek 26Marengo de rechter-commissaris verzocht om toestemming te geven deze gegevens over te dragen aan de advocaat-generaal in het onderhavige onderzoek 09Ster, omdat deze gegevens betrekking zouden hebben op de moord op het slachtoffer. De rechter-commissaris heeft hiervoor toestemming gegeven, en overwogen dat de berichten rechtmatig zijn verkregen uit het onderzoek 026Marengo waarvoor de rechter-commissaris eerder toestemming heeft gegeven. Gelet op het voorgaande concludeert het hof dat het verkrijgen van de data op rechtmatige wijze is geschied.

Over de betrouwbaarheid van het bewijs overweegt het hof dat het recht van de verdachte om in gelegenheid te worden gesteld om methoden en resultaten van onderzoek te betwisten, naar deze niet samen valt met een ongeclausuleerd recht om deze te controleren, en dat de verdediging niet gemotiveerd heeft aangegeven waarom de betrouwbaarheid van de waarheidsvinding in twijfel zou moeten worden getrokken. Verder merkt het hof nog op dat de vaststelling van de identiteit van de verdachte niet louter berust op de conclusie van de politie, maar dat die vaststelling berust op de weergave van de PGP-gesprekken in verband met andere bewijsmiddelen.

Veroordelingen op basis van bewijs uit EncroChat-gegevens

Vorig jaar kwam in het nieuws dat de Nederlandse en Franse politie tientallen miljoenen berichten van de versleutelde chatdienst EncroChat wisten te kraken en over te nemen. Afgelopen maanden verschenen uitspraken waar deze ‘EncroChats’ een belangrijke bewijsrol spelen. De interessantste uitspraken staat hieronder op een rijtje.

De rechtbank Oost-Brabant veroordeelde (ECLI:NL:RBOBR:2021:1272) op 25 maart 2021 een verdachte voor het voorhanden van een verboden vuurwarpen ter voorbereiding van de moord op een of meer personen. Over de rechtmatigheid van het gebruik van EncroChats als bewijs overweegt de rechtbank dat de rechter-commissaris van de rechtbank Rotterdam in het onderzoek 26Lemont in het proces-verbaal van bevindingen van 20 september 2020 voor het gebruik van de EncroChats in toekomstige, andere onderzoeken voorwaarden heeft gesteld en criteria gegeven. Een van die voorwaarden is dat het gebruik van die chats slechts mogelijk is na een schriftelijk verzoek daartoe en na verkregen schriftelijke toestemming van een rechter-commissaris. De toestemming wordt alleen verleend als sprake is van “ernstige, het maatschappelijk verkeer ontwrichtende strafbare feiten, gepleegd in georganiseerd verband”. In een enkel geval is op het vereiste van een voorafgaande schriftelijke toestemming een uitzondering toegelaten. In die gevallen was sprake van zeer spoedeisende situaties en/of “threat to life”-zaken waarin acuut ingrijpen noodzakelijk was. In die gevallen is telefonisch toestemming gevraagd en verkregen van de rechter-commissaris, waarna schriftelijke bevestiging dan wel toevoeging aan de lijst van bekende onderzoeken volgde.

De rechtbank overweegt dat de onderzoeken waarin gegevens uit 26Lemont zijn verwerkt, in twee categorieën zijn op te delen. Kort gezegd komt het erop neer dat bij de eerste machtiging door de rechter-commissaris al een lijst is aangeleverd met onderzoeken waarin mogelijk sprake zou zijn van gebruik van EncroChat. Die lijst is door getoetst de rechter-commissaris getoetst op de zwaarte van de strafbare feiten waar die onderzoeken zich op richten en akkoord bevonden. Voor andere onderzoeken, en daartoe behoort het onderhavige onderzoek tegen de verdachte, heeft de rechter-commissaris voorwaarden benoemd waaronder gegevens kunnen worden gedeeld. Dat moet worden voorgelegd de rechter-commissaris en dan moet toestemming worden verkregen voor het delen van de informatie met die andere ‘vervolgonderzoeken’. Het moet, buiten onderzoek naar misdrijven met een terroristisch oogmerk, gaan om onderzoek naar strafbare feiten die in hun aard, in georganiseerd verband gepleegd of beraamd, een ernstige inbreuk maken op de rechtsorde, of zaken waarin acuut ingrijpen noodzakelijk was gelet op de gerede vrees voor het leven en/of voor ernstige gezondheidsschade voor personen. Hieraan kan worden getoetst en bij eventuele tekortkomingen is het reguliere kader van artikel 359a Sv van toepassing.

De raadsman stelt dat de EncroChat-data in het onderzoek Ellemeet onrechtmatig zijn verkregen, omdat aan de rechter-commissaris geen toestemming is gevraagd om in dit onderzoek de EncroChats te mogen gebruiken. Zou die toestemming wel gevraagd zijn, dan is met het oog op de hiervoor genoemde criteria niet voorstelbaar dat die toestemming zou zijn verleend. De verdediging voert aan dat het ontbreken van toestemming met zich meebrengt dat sprake is van een onherstelbaar vormverzuim in de zin van artikel 359a Sv.

De rechtbank overweegt dat de betreffende gegevensbestanden met informatie uit het (recente) verleden waren vastgelegd op de servers van EncroChat. Zowel in Frankrijk als in Nederland is deze telecomaanbieder aangemerkt als verdachte. Om bestanden van dat bedrijf te verkrijgen heeft het Nederlandse Openbaar Ministerie aan de rechter-commissaris een vordering ex artikel 126uba lid 1 sub a, b, c en d Sv (de hackbevoegdheid) voorgelegd en daartoe toestemming verkregen. Daarmee heeft het verkrijgen van de gegevens een wettelijke grondslag. Na het ter beschikking komen van de gegevens vallen de gegevens onder de bewaar- en vernietigingsregimes van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens, zodat ook voor het bewaren en verwerken van de gegevens een afdoende wettelijke grondslag bestaat.

De rechtbank deelt niet de opvatting dat de ePrivacyrichtlijn (2002/58) van toepassing zou zijn, omdat die kortgezegd ziet op het opvragen van gegevens door autoriteiten. De opsporingshandelingen zouden ook onder de uitzondering in artikel 15 van de richtlijn vallen. De rechtbank overweegt ook dat ‘de verdere achtergrond van EncroChat, de verkrijging van data in Frankrijk en het delen van de informatie met het onderzoeksteam 26Lemont, niet valt binnen het vooronderzoek in de zaak tegen verdachte en er evenmin reden is te veronderstellen dat het gebruik van de resultaten van de onderzoeken naar EncroChat in de strafzaak tegen de verdachte niet in overeenstemming is met het recht op een eerlijk proces als bedoeld in artikel 6 lid 1 EVRM. De verweren zijn daarmee verworpen.

De rechtbank Overijssel maakt op 29 maart 2021 veel minder woorden vuil aan de rechtmatigheid van het verkregen bewijs uit de EncroChats. In deze zaak (ECLI:NL:RBOVE:2021:1307) werd een verdachte veroordeeld voor zijn betrokkenheid bij een groot drugslab in Heiloo.

De rechtbank overweegt simpelweg dat ‘gelet op het interstatelijke vertrouwensbeginsel de rechtbank geen reden ziet om te twijfelen aan de rechtmatigheid en de inzet van de gehanteerde opsporingsmiddelen in het Franse opsporingsonderzoek. Bovendien zijn de Franse rechterlijke machtigingen getoetst door de rechter-commissaris in Nederland, waarbij geen onrechtmatigheden zijn vastgesteld. Derhalve is de rechtbank van oordeel dat artikel 8 EVRM in onderhavig geval niet is geschonden.’

In een laatste, zeer uitgebreid, vonnis (ECLI:NL:RBZWB:2021:1556) op 31 maart 2021 biedt de Rechtbank Zeeland-West-Brabant interessante bewijsoverwegingen t.a.v. het uitlezen van telefoons en de rechtmatigheid van het gebruik van de EncroChats.

Interessant zijn nog de standpunten van de officier van justitie in deze zaak over het maken van een proces-verbaal bij het uitlezen van telefoons: ‘de officier van justitie heeft zich op het standpunt gesteld dat de betreffende gegevensdragers met toestemming van de officier van justitie zijn doorzocht. Dat hoeft niet op schrift te staan. Het verstrekken van alles wat in de telefoons wordt aangetroffen gebeurt zelden, alleen wat relevant is wordt in het dossier opgenomen. Door de verdediging is onvoldoende onderbouwd dat er bewust ontlastende informatie is achtergehouden.’

De rechtbank overweegt dat een medeverdachte tijdens een verhoor de toegangscode van zijn mobiele telefoon gegeven en – wederom zonder aanwezigheid van zijn raadsman – het wachtwoord van Wickr en toestemming heeft gegeven aan de politie om in zijn telefoon te kijken gegeven. Bij zijn aanhouding op 13 november 2019 gebeurde hetzelfde. Vervolgens is volgens de verdediging de telefoon van met toestemming van de officier van justitie gekopieerd en werden de gegevens ervan inzichtelijk en doorzoekbaar gemaakt. Hierdoor is volgens de verdediging sprake van een schending van artikel 6 EVRM (Salduz), waarbij de rechtbank begrijpt dat dit het recht van medeverdachte betreft.

De rechtbank overweegt dat de Schutznorm ten aanzien van de medeverdachte niet van toepassing is ingevolge de uitspraak Günner van het EHRM. De rechtbank meent dat bij de eerste zoekslag in de telefoon van de medeverdachte sprake was van een beperkte inbreuk op de persoonlijke levenssfeer, omdat ‘enkel (een deel van) de fotogalerij (ten aanzien van een bepaalde datum en gebeurtenis) en de Whatsapp (wederom specifiek ten aanzien van het al dan niet sturen van een bepaalde foto) is bekeken’.

Over een tweede onderzoek aan de telefoon overweegt de rechtbank dat een ‘meer dan beperkte inbreuk op de persoonlijke levenssfeer is gemaakt’, omdat de telefoons met het programma Cellebrite zijn gekopieerd, veiliggesteld en inzichtelijk gemaakt, en doorzocht op Whatsapp, Wickr, Snapchat, Instagram en notities. Het onderzoek aan de mobiele telefoons was de directe aanleiding voor de doorzoeking van de woning van (de ouders van) verdachte. Het onderzoek was gericht op het achterhalen van navigatie-gegevens, communicatie op social media, contactpersonen, foto’s op telefoon danwel foto’s in een cloud, voor zover de informatie gerelateerd kon zijn aan de handel in verdovende middelen. De rechtbank is van oordeel dat daarom ook ten aanzien van de onderzoeken aan deze telefoons niet gezegd kan worden dat daarmee sprake is van een schending van de artikelen 6 en 8 EVRM.

De rechtbank overweegt de inhoud van een brief van het Landelijk Parket over de juridische grondslag van het gebruik van bewijsmateriaal van de PGP-telefoons van klanten van EncroChat. Daarin is te lezen dat ‘op grond van een Frans strafrechtelijk onderzoek zijn het bedrijf EncroChat en de natuurlijke personen die daaraan gelieerd zijn onderzocht. Tijdens dit onderzoek in Frankrijk zijn strafvorderlijke bevoegdheden ingezet. Er is door middel van een interceptiemiddel inzicht en informatie verkregen over de communicatie die is gedeeld op het EncroChat-forum. De Franse politie heeft onder gezag van de Franse officier van justitie, na machtiging van een Franse rechter, het interceptiemiddel ingezet. Omdat in Nederland een soortgelijk strafrechtelijk onderzoek is opgestart, is een Joint Investigation Team (hierna: JIT) opgericht door Nederland en Frankrijk. Het JIT richt zich op onderzoek van de verdenking rondom EncroChat en de personen die hiervan gebruik maken. In de JIT-overeenkomst is, zoals gebruikelijk, overeengekomen dat alle informatie en bewijsmiddelen die ten behoeve van het JIT worden vergaard worden gevoegd in een gezamenlijk onderzoeksdossier.’

Ik vind de brief toch opmerkelijk gezien de tegenstrijdige berichtgeving in NRC over de inzet van een technisch hulpmiddel dat mede is ontwikkeld door Nederland en het feit dat de een aanvraag is gedaan voor de inzet van de hackbevoegdheid in Nederland (waartoe onder voorwaarden een machtiging is verstrekt, zoals in de uitspraak hierboven is te lezen). De rechtbank overweegt hier indirect over dat ‘in tegenstelling tot hetgeen de verdediging betoogt, is de grondslag voor het verwerken en opslaan van de data uit 26Lemont in onderhavige zaak niet gelegen in de artikelen 126uba juncto 126 Sv, maar in artikel 126dd Sv. Deze bepaling ziet op het delen van informatie van het ene strafrechtelijke onderzoek met het andere’.

Ook overweegt de rechtbank simpelweg dat ‘ten aanzien van onderzoekshandelingen waarvan de uitvoering plaatsvindt onder verantwoordelijkheid van de buitenlandse autoriteiten van een andere EVRM lidstaat, het de taak is van de Nederlandse strafrechter ertoe beperkt te waarborgen dat de wijze waarop van de resultaten van dit onderzoek in de strafzaak tegen de verdachte gebruik wordt gemaakt, geen inbreuk maakt op zijn recht op een eerlijk proces, zoals bedoeld in artikel 6, eerste lid, EVRM. Het behoort niet tot de taak van de Nederlandse strafrechter om te toetsen of de wijze waarop dit onderzoek is uitgevoerd, strookt met de dienaangaande in het desbetreffende buitenland geldende rechtsregels.’ De rechtbank acht de privacy-inmenging ‘niet-ingrijpend’ voor de verdachte, omdat ‘door middel van de encrochats van verdachte alleen chatgesprekken van een relatief korte periode onderzocht zijn’.

Internetoplichting

De rechtbank Noord-Holland heeft op 16 maart 2021 een verdachte veroordeeld (ECLI:NL:RBNNE:2021:888) voor (internet)oplichting en witwassen. De verdachte heeft zich samen met een ander schuldig gemaakt aan het witwassen van twee geldbedragen. Deze geldbedragen waren afkomstig uit een geldbedrag van ruim 1 miljoen euro, dat in één nacht is buitgemaakt door phishing. De verdachte heeft slechts een deel van de buit ontvangen, te weten bedragen van € 6.780,22 en € 3.300,22.

De verdachte heeft met zijn mededader katvangers benaderd, die vervolgens hun bankpassen en pincodes aan verdachte en zijn mededader hebben afgegeven. Door middel van deze bankpassen en pincode zijn nog in diezelfde nacht delen van dat bedrag overgemaakt op bankrekeningen van katvangers en is een groot deel daarvan contant opgenomen bij geldautomaten.

Daarnaast heeft verdachte zich gedurende vijf maanden schuldig gemaakt aan Marktplaatsoplichting en computervredebreuk, gekwalificeerde diefstal, een poging tot oplichting, het beheren van tikkie-panels en phishing-sites en het voorhanden hebben van gehackte emailadressen met wachtwoorden, die grotendeels waren gekoppeld aan Marktplaatsaccounts.

Na het contact op Markplaats vroeg hij het contact voor te zetten via WhatsApp vroeg hij zijn slachtoffers om via een malafide betaallink 1 eurocent over te maken. Via die betaallink kwamen zij op een phishingwebsite die nauwelijks te onderscheiden was van de website van hun bank. Bij doorzoeking van de woning werd op de laptop van verdachte nog een actieve phishingsite aangetroffen. Slachtoffers die op zo’n phishing-site hun gegevens invulden, gaven daarmee verdachte toegang tot hun digitale bankomgeving. Daarna maakte hij geldbedragen van hun bankrekeningen over naar rekeningen van ‘geldezels’. Ook schreef hij via de gehackte bankrekening bedragen over van de spaarrekening naar de lopende rekening. De buitgemaakte bedragen kreeg verdachte vervolgens weer in handen via zijn geldezels. De verdachte had de beschikking over vele bankpassen en pincodes van die geldezels.

Bij het vervalste sms-bericht van de Belastingdienst met de tekst:

Belastingdienst} Uw openstaande schuld EUR 1471,00 is na meerdere herinneringen niet voldaan. Op 29 april 2020 zal de gerechtsdeurwaarder overgaan tot conservatoir beslag. U kunt de beslagprocedure voorkomen door direct het gehele bedrag te voldoen via iDeal: http://frama.link/.uHrKGHtJ

Daarmee werden de ontvangers bewogen om met spoed een ‘achterstallig bedrag’ te betalen via een bijgevoegde betaallink. Als zij dat deden, dan waren zij het betaalde bedrag kwijt.

Bij de impersonatiefraude (‘vriend-in-nood-fraude’) deed verdachte zich via WhatsApp voor als een familielid of vriend in betalingsnood. Verdachte zond zijn slachtoffers een Tikkie-link, waarmee zij konden betalen. Slachtoffers verloren zo aanzienlijke bedragen.

Daarnaast heeft verdachte via zijn iPhone een ‘sms-bom’ verzonden, waarbij sms-berichten werden gestuurd naar 555 telefoonnummers. In die sms-berichten werd voorgewend dat Menzis verzocht om een openstaande rekening te betalen, omdat anders de deurwaarder beslag zou komen leggen. Daarna volgde een nep-betaallink, waarmee verdachte toegang kon krijgen tot de digitale bankomgeving van de ontvangers.

De betaallinks en chatgesprekken met slachtoffers zijn terug te leiden tot telefoons die verdachte in gebruik had. Dit geldt ook voor het verzenden van de sms-bom die onder feit 2 ten laste is gelegd. Tijdens de tapperiode is gebleken dat verdachte als administrator ingelogd was op het beheerpanel van de actieve phishingsite. Ook heeft de vriendin van verdachte verklaard dat hij de fraudes alleen pleegde en daarbij gebruik maakte van meerdere telefoons, waaronder de hare. In het dossier en noch ter zitting zijn voldoende verifieerbare aanwijzingen gevonden voor een nauwe en bewuste samenwerking of gezamenlijke uitvoering met mededaders. De rechtbank spreekt de verdachte daarom van enkele andere ten laste gelegde feiten vrij.

De rechtbank acht de houding van verdachte zorgelijk en zij rekent hem de feiten ernstig aan. Ook heeft hij een strafblad voor eerder gepleegde vermogensdelicten. De reclassering heeft gerapporteerd dat verdachte de status van veelpleger heeft. Hij heeft geen werk, geen inkomen, hoge schulden, hij gebruikte drugs en had een negatief sociaal netwerk. Ook is hij licht verstandelijk beperkt. Verdachte is in het verleden onvoldoende ontvankelijk gebleken voor behandeling. Het recidiverisico wordt hoog geacht. Gelet op de ernst van de feiten en de straffen die rechtbanken in soortgelijke zaken opleggen, legt de rechtbank een gevangenisstraf op van  42 maanden met aftrek van het reeds ondergane voorarrest.

Vrijspraak bezit van kinderpornografie en teruggave van gegevens

Op 25 maart 2021 heeft de rechtbank Zeeland-West-Brabant een verdachte vrijgesproken (ECLI:NL:RBZWB:2021:1421) van het in bezit hebben van kinderpornografisch materiaal. In 2016 is verdachte veroordeeld wegens het bezit van kinderpornografische bestanden op zijn computer. Deze computer is destijds in beslag genomen. Van de foto’s op die computer, waaronder ook privé-foto’s, is door verdachte een back-up gemaakt en verdachte heeft verklaard dat die back-up door zijn stiefvader op de nieuwe computer van verdachte is gezet. De verdachte heeft verklaard dat de kinderpornografische bestanden op de Toshiba computer voor hem niet zichtbaar waren.

In dit soort zaken moet opzet op het bezit van kinderpornografisch materiaal bewezen worden. Het dossier bevat geen nadere logistieke data over de aangetroffen bestanden, zoals wanneer de bestanden op de computer zijn gezet, wanneer ze zijn verwijderd of in de prullenbak geplaatst en wanneer de bestanden voor het laatst zijn geopend. Ook zijn er zijn geen zoektermen aangetroffen die verband zouden kunnen houden met kinderporno. Gelet op deze stand van zaken kan niet worden uitgesloten dat de verklaring van verdachte dat de bestanden afkomstig moeten zijn van de back-up van zijn vorige computer klopt en niet kan worden bewezen dat de verdachte welbewust kinderpornografische afbeeldingen in zijn bezit heeft gehad.

In deze zaak is de computer in beslaggenomen en zijn alle gegevens op de harde schijf aan het verkeer onttrokken. Maar onttrekking aan het verkeer van de in beslag genomen computer zonder beperking, zou betekenen dat de andere (niet strafbare) bestanden verloren gaan, terwijl niet kan worden vastgesteld dat het ongecontroleerd bezit daarvan in strijd is met de wet of het algemeen belang. Daarbij is van doorslaggevend belang dat dit onder andere onvervangbare foto’s van de overleden vader van verdachte betreft, die van grote waarde voor verdachte zijn.

De conclusie is dan ook dat de andere gegevens ter beschikking van de verdachte moet worden gesteld en in zoverre zal een last worden gegeven tot teruggave aan de verdachte. Het is aan het openbaar ministerie om te besluiten op welke feitelijke wijze dit plaatsvindt. De rechtbank geeft daarvoor een paar handvatten. De eerste is de 80 kinderpornografische bestanden wissen zodat dat het terughalen van deze bestanden niet meer mogelijk is. Na het wissen van de 80 bestanden kan de computer dan worden teruggegeven. de tweede optie is dat de verdachte een (lege) gegevensdrager aanlevert, waarop de politie de gegevens van de computer minus de 80 kinderpornografische bestanden kopieert.

Over de bijzondere voorwaarde van controle in kinderpornozaken

Het Hof Amsterdam veroordeelde (ECLI:NL:GHAMS:2021:626) op 4 maart 2021 een verdachte tot een gevangenisstraf van 21 maanden, waarvan 18 maanden voorwaardelijk, met een proeftijd van 3 jaar, voor het gewoonte maken van onder meer verspreiden en in bezit hebben van kinderpornografisch materiaal.

In het arrest formuleert het Hof Amsterdam een gedragsvoorwaarde die strekt tot controle van gegevensdragers. Het is daarbij van belang dat de controle beperkt is door het toezicht te beperken tot

“het toezicht op de naleving van de hiervoor genoemde bijzondere voorwaarde en niet mag strekken of toe leiden een min of meer compleet beeld te krijgen van verdachtes persoonlijke leven. Bij de uitvoering van het onderzoek kan gebruik worden gemaakt van een computerprogramma dan wel een ander technisch hulpmiddel dat is gericht op de onderkenning van seksueel getint of kinderpornografisch materiaal.”

Het Hof Den Haag heeft in het arrest van 9 februari 2021 (ECLI:NL:GHDHA:2021:193) nadere (rand)voorwaarden geformuleerd waaraan de controle van de gegevensdragers van de verdachte dient te voldoen.

Overzicht Inlichtingen en Recht – oktober 2020

In dit nieuwe overzicht over ‘Inlichtingen en recht’ wordt periodiek een overzicht gegeven van relevante rapporten, Kamerstukken en jurisprudentie over inlichtingen, nationale veiligheid en recht. Het doel is de kern van de stukken te vatten en op deze wijze de nodige kennis te verschaffen aan geïnteresseerden.

Deze klus doe ik samen Sophie Harleman. Zij is vanaf 1 september 2020 als promovenda door de Universiteit Utrecht aangesteld in het kader van mijn leerstoel ‘Inlichtingen en Recht’. Mr. S.A.M. Harleman is verbonden aan het Montaigne Centrum voor Rechtsstaat en Rechtspleging en het Willem Pompe Instituut voor Strafrechtwetenschappen van de Universiteit Utrecht.

Voortgangsrapportage IV over de implementatie Wiv 2017

In onderstaande blogpost ga ik (Sophie) in op de belangrijkste constateringen van de CTIVD in de laatste en vierde voortgangsrapportage over de Wiv 2017. De CTIVD concludeert dat de implementatie van de Wiv 2017 nog niet volledig is afgerond.

Een kernpunt van de rapportage is dat de CTIVD de achterstand in het implementatieproces van de Wiv 2017 te wijten acht aan onvoldoende aandacht voor de implementatie van de wet bij de totstandkoming. In hun beleidsreactie geven de ministers van BZK en Defensie aan het hiermee eens te zijn. Desalniettemin vinden zowel de ministers als de CTIVD dat de diensten een goede koers hebben ingezet. Een belangrijke rol speelt daarbij de verdere verankering van de zorgplicht op de kwaliteit van de gegevensverwerking. De AIVD heeft het zorgplichtstelsel volgens de CTIVD nu op orde, waardoor het risico voor die dienst wordt bijgesteld van beperkt naar geen. Voor de MIVD wordt het risico bijgesteld van gemiddeld naar beperkt. De diensten hebben volgens het rapport echter nog onvoldoende bereikt als het gaat om de vertaalslag van wet naar praktijk. Voor de speciale bevoegdheid van onderzoeksopdrachtgerichte interceptie (“OOG-I”) is de vertaalslag overigens niet te beoordelen, nu die bevoegdheid nog niet is ingezet.

Voor wat betreft de relevantiebeoordeling oordeelt de CTIVD dat een risico op onrechtmatigheden blijft bestaan door een grote vrijheid voor ontwikkelaars om op decentraal niveau oplossingen te zoeken en systemen in te richten. De kritiek van de CTIVD is niet onopgemerkt gebleven. Huib Modderkolk spreekt bijvoorbeeld van ‘zorgen bij de toezichthouder’.

Meer specifiek onderscheidt de CTIVD in de vierde en laatste voortgangsrapportage de volgende (knel)punten die nadere aandacht behoeven in het kader van de wetsevaluatie:

  • Datareductie

De CTIVD acht het in zijn geheel of grotendeels relevant beoordelen van bulkdatasets door de diensten onrechtmatig. De Wiv 2017 biedt hiervoor geen ruimte. De CTIVD is van mening dat de aard van de gegevensset doorslaggevend behoort te zijn. Bulkdatasets, ongeacht of deze zijn verkregen door OOG-I, vereisen in het licht daarvan bijzondere wettelijke waarborgen. In Toezichtsrapport 70 en 71 gaat de CTIVD verder in op het verzamelen van bulkdatasets met de hackbevoegdheid. Volgens de CTIVD is er sprake van een onrechtmatigheid bij het zo spoedig mogelijk beoordelen op relevantie van bulkdatasets. Er blijft een gemiddeld risico bestaan op onrechtmatig handelen voor de AIVD als het gaat om relevantiebeoordeling. De verdere risico’s blijven volgens de toezichthouder beperkt. Voor de MIVD geldt een hoog risico voor de wijze waarop onomkeerbare vernietiging plaatsvindt. Het risico m.b.t. de relevantiebeoordeling wordt verlaagd van hoog naar gemiddeld. Wat betreft het relevantiebegrip en de termijn stelt de CTIVD het risico voor de MIVD vast op beperkt.  Opvallend is dat de ministers van BZK en Defensie het oordeel van de CTIVD dat de relevantiebeoordeling van bulkdatasets onrechtmatig is uitgevoerd, niet delen. Het is daarom goed, aldus de beleidsreactie van de ministers, dat de evaluatiecommissie dit onderwerp betrekt bij de evaluatie van de Wiv 2017.

  • Geautomatiseerde data-analyse (GDA)

Ook bij geautomatiseerde data-analyse verloopt het implementatieproces volgens de CTIVD moeizaam. De algemene bevoegdheid van GDA (neergelegd in artikel 60 Wiv 2017) kan zonder waarborgen toegepast worden op het verzamelen of verkrijgen van bulkdatasets met toepassing van andere bevoegdheden dan OOG-I. De toezichthouder vindt dat een onderscheid naar eenvoudige of complexe vormen van GDA niet leidend mag zijn. Ook acht de CTIVD van belang dat de geautomatiseerde analyse van metadata (m.u.v. OOG-I) in de Wiv 2017 niet met aanvullende waarborgen is omgeven, terwijl uit jurisprudentie van het EHRM en van het HvJ EU blijkt dat metadata-analyse een zwaarwegende inmenging op het recht op privacy inhoudt (respectievelijk uit Big Brother Watch e.a. en Tele2 Sverige AB/Watson). Voldoende waarborgen zijn daarbij dus wel degelijk nodig. Desalniettemin verlaagt de CTIVD het risico voor GDA-60 van hoog naar gemiddeld. Het risico voor GDA-50 blijft op gemiddeld staan.

  • Internationale samenwerking

De toezichthouder vindt de niet-afgeronde inhoudelijke aanpassing van wegingsnotities (een schriftelijke verantwoording van een beslissing tot samenwerking met buitenlandse diensten) in combinatie met onverminderde samenwerking met buitenlandse diensten risicovol. Daarnaast onderscheidt de CTIVD een belangrijk zorgpunt bij het delen van bulkdatasets met buitenlandse diensten, gezien het gebruik van een ruimere toepassing van de reeds genoemde relevantiebeoordeling. In dit licht behoeft de definiëring van de begrippen ‘geëvalueerde’ en ‘ongeëvalueerde’ nadere aandacht bij de wetsevaluatie.

De CTIVD sluit af met de opmerking dat zij met deze rapportage een bijdrage wil leveren aan de wetsevaluatie, en dat zij onderwerpen die relevant zijn voor de evaluatie ook buiten deze rapportage zal aandragen bij de evaluatiecommissie.

Sophie Harleman

CTIVD-rapport over de hackbevoegdheid

De CTIVD heeft op 22 september 2020 twee toezichtsrapporten gepubliceerd. Rapport nr. 70 gaat over het verzamelen van bulkdatasets met de hackbevoegdheid door de AIVD en de MIVD. Rapport nr. 71 gaat over het verzamelen en verder verwerken van passagiersgegevens van luchtvaartmaatschappijen door de AIVD en MIVD. Bulkdatasets zijn gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De belangrijkste conclusies van het rapport ver de hackbevoegdheid zijn dat van de zestien onderzochte operaties, in drie van de door de AIVD aangevraagde operaties gegevens zijn verzameld nadat een toestemmingsverzoek door de Toetsingscommissie Inzet Bevoegdheden (TIB) is afgewezen. Dit is onrechtmatig. Snel na deze constatering zijn de datasets door de AIVD vernietigd. Veel dingen gingen goed, zoals het opruimen van de ‘technische hulpmiddelen’ in de systemen en het (voor zover mogelijk) aantekening houden door de gezamenlijke uitvoerende afdeling ‘Computer Network Exploitation’ (CNE).

De CTIVD constateert ook dat de toets in art. 27 Wiv 2017 – dat gegevens zo spoedig mogelijk op relevantie moeten worden beoordeeld – in de praktijk niet goed uitvoerbaar is. De diensten hebben in de onderzoeksperiode in een aantal gevallen bulkdatasets gedeeltelijk of integraal relevant verklaard, ondanks dat het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden. De CTIVD geeft aan dat door deze handeling de gegevens nu ‘in het betekenisregime zitten’ zonder definitieve vernietigingstermijn. De CTIVD beschouwt deze wijze van relevantiebeoordeling als een ‘kunstgreep om de bewaartermijn van de datasets in kwestie te verlengen, het is immers onrechtmatig om datasets met voor het merendeel niet-relevante gegevens relevant te verklaren’.

In de beleidsreactie onderstrepen de beide ministers de noodzaak van het gebruik van bulkdatasets door de diensten. Hoewel hoogst ongebruikelijk, geven de ministers aan waarvoor de gegevens in de bulkdatasets gebruikt zijn: voor het onderkennen van locaties van Nederlandse uitreizigers in (voormalig) ISIS-gebied (onder andere van wie het Nederlanderschap is ingetrokken), voor onderzoek naar de inzet van ‘Improvised Explosive Devices’ (IED’s) tegen Nederlandse militairen, voor onderzoek van de vermoedelijke betrokkenheid van de Iraanse dienst bij liquidaties in Nederland en voor het vaststellen van de identiteit van de personen betrokken bij zenuwgasaanvallen in Syrië in 2016/2017.

Het is ook ongebruikelijk dat de ministers het oneens zijn met twee conclusies en aanbevelingen in het rapport. Het onrechtmatigheidsoordeel over de relevantieverklaring en het advies tot vernietiging over te gaan van bepaalde bulkdatasets wordt ‘niet opgevolgd’. Zij achten de vernietiging ‘onverantwoord’. In de tussentijd passen de AIVD en de MIVD interne aanvullende waarborgen toe, zoals een strikt autorisatieregime en herbeoordeling voor het bewaren van de gegevens.

Jan-Jaap Oerlemans

CTIVD-rapport over passagiersgegevens

Op 22 september 2020 heeft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) ook rapport nr. 71 over de verzameling en verdere verwerking van passagiersgegevens van luchtvaartmaatschappijen gepubliceerd. In de onderzoeksperiode van 1 januari 2019 tot 1 september 2019 stonden in de database van de AIVD de gegevens van miljoenen personen. Het betreft daarmee ook een bulkdataset; gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De ‘Advanced Passenger Information’-database wordt door de Koninklijke Marechaussee (Kmar) aangelegd na verstrekking van API-gegevens door luchtvaartmaatschappijen op grond van de EU-richtlijn 2004/82/EG (API-richtlijn). API-gegevens zijn bijvoorbeeld gegevens over nationaliteit, volledige naam, geboortedatum, geslacht, vluchtnummer en het eerste instappunt (zie ook Stb. 2012, 688). De KMar verwerkt de gegevens ten behoeve van haar eigen taaktuitvoering; de uitvoering van de grenscontrole. De AIVD verzamelt de API-gegevens van de KMar op ‘structurele en geautomatiseerde wijze’ op grond van een algemene bevoegdheid, in dit geval de informantenbevoegdheid (artikel 39 Wiv 2017). De gegevens worden bijvoorbeeld verwerkt in het kader van onderzoeken naar organisaties en personen die een bedreiging voor de nationale veiligheid vormen. Daarnaast worden de gegevens gebruikt in veiligheidsonderzoeken.

De CTIVD concludeert in het rapport dat de Wiv 2017 de ruimte geeft de bulkdataset aan passagiersgegevens structureel en geautomatiseerd te verzamelen met de informantenbevoegdheid. Ook mogen de gegevens verder worden verwerkt, onder andere door middel van ‘geautomatiseerde data-analyse’. Daarnaast zijn andere dingen onrechtmatig, zoals het niet-uitvoeren van een schriftelijke toets op noodzakelijkheid, proportionaliteit en subsidiariteit voor de verzameling van de gegevens en niet toepassen van het eigen beleid ‘Werken met grote datasets’ door de AIVD en de MIVD. Ook merkt de toezichthouder op dat de diensten toegang kunnen krijgen tot PNR-gegevens op basis van de PNR-richtlijn 2016/681/EU. Dat betreft een grotere set aan gegevens, omdat het vluchten binnen de EU betreft en – naast API-gegevens – gaat over gegevens over de reservering, contactgegevens, betaalgegevens en bagage-informatie.

Vanwege de grootte van de dataset vraagt de CTIVD in het rapport zich af of een dergelijke invulling van de informantenbevoegdheid voldoende voorzienbaar is voor de burger. De toezichthouder geeft mee in de Wet op de inlichtingen- en veiligheidsdiensten een specifieke regeling op te nemen voor het verzamelen en verder verwerken van bulkdatasets.

Jan-Jaap Oerlemans

Wetsvoorstel Zerodays

Het initiatiefvoorstel Zerodays van het lid Verhoeven is in behandeling bij de Tweede Kamer. Zerodays zijn fouten in software die nog onbekend zijn bij de maker van de software (de maker heeft nul dagen gehad om het gat te dichten). Deze zerodays kunnen gebruikt worden om de werking van de betreffende software te manipuleren, oftewel te hacken. De initiatiefnemer van het voorstel is van mening dat de huidige regeling rondom zerodays niet werkt. De Raad van State staat in haar advies overigens duidelijk negatief tegenover het wetsvoorstel.

Het wetsvoorstel is in juni 2020 gewijzigd. Er is met de wijziging een behandeltermijn van vier weken voor onbekende kwetsbaarheden ingevoegd. Ook moet het orgaan ter beoordeling van kwetsbaarheden informatie verzamelen over de potentiële gevolgen van het openhouden van een kwetsbaarheid voor de samenleving, alvorens een onbekende kwetsbaarheid te beoordelen. Op 23 september 2020 is het gewijzigde voorstel plenair behandeld. Door de leden Buitenweg en Middendorp zijn verscheidene moties ingediend. Op 13 oktober 2020 is de stemming over het wetsvoorstel voor de derde keer uitgesteld.

Op 12 oktober 2020 is een tweede nota van wijziging ingediend het lid Verhoeven, de initiatiefnemer. Hij is van mening dat het initiële voorstel om te voorzien in beoordelingsorgaan voor kwetsbaarheden, bestaande uit verschillende ministeries en organisaties, teveel weerstand oproept. De wijzigingsnota ziet dan ook op het weglaten van een dergelijk orgaan. Wel moet er voor alle overheidsorganen een goed afwegingskader komen voor de inzet van onbekende kwetsbaarheden. Ook mogen bedrijven waarvan de Nederlandse overheid hacksoftware koopt, volgens het initiatiefvoorstel geen zaken doen met landen die op de EU of VN sanctielijsten staan. Voor inlichtingendiensten geldt dat zij dit moeten meenemen in hun weging bij aankoop van dergelijke software.

Privacyorganisatie Bits of Freedom heeft zich overigens op Twitter al afgevraagd of de wijziging inhoudt dat de politie nu zelf de afweging kan maken omtrent zerodays, in plaats van dat een (semi-) onafhankelijk commissie dit doet. Ook het gewijzigde voorstel roept dus vast op verschillende fronten weerstand op. Het blijft voorlopig afwachten.

Sophie Harleman

Wijzigingswet Wiv 2017

Het wetsvoorstel ‘Wijzigingswet Wiv 2017’ is op 9 juni 2020 aangenomen in de Tweede Kamer. De wet betreft onder meer een wijziging ten aanzien van het gerichtheidsvereiste. Het gerichtheidsvereiste houdt volgens de memorie van toelichting op het wetsvoorstel in: ‘in hoeverre bij de verwerving sprake is van het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus’ (Kamerstukken II 2018/19, 35242, 3, p. 4-5). De te vergaren gegevens moeten daarbij worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object.

De gewijzigde Wiv 2017 biedt deze extra waarborg voor bescherming van fundamentele rechten, omdat het vereiste, door het toe te voegen aan artikel 26 Wiv 2017, gaat gelden voor alle bevoegdheden , in plaats van slechts voor de bijzondere bevoegdheden in de Wiv 2017. Ook ziet een wijziging op het delen van ongeëvalueerde gegevens met buitenlandse diensten. De meldplicht aan de CTIVD wordt uitgebreid tot elke verstrekking van ongeëvalueerde gegevens aan een buitenlandse dienst, ongeacht de bevoegdheid waarmee deze zijn verworven. Op 15 juli 2020 is het voorlopig verslag (.pdf) over het wetsvoorstel verschenen. De leden van de fractie van GroenLinks, PvdA, PV en PvdD hebben vragen gesteld over het wetsvoorstel. Hieronder bespreek ik (Sophie) kort enkele door de fractieleden opgeworpen vragen.

GroenLinks en de PvdA vragen zich af in hoeverre de regering meent dat zij met het wetsvoorstel tegemoetkomt aan de zorgen die blijken uit de uitslag van het referendum. Daarnaast vragen leden van de GroenLinks-fractie zich af op welke wijze de positie van journalisten, advocaten en medici in het wetsvoorstel is verbeterd n.a.v. de consultatiereacties en het advies van de Raad van State. De leden van de PVV-fractie is benieuwd of de regering kan duiden hoe er met dit voorstel precies tegemoet wordt gekomen aan de zorgen in de samenleving, onder andere over de bescherming van advocaten en journalisten.

Als het gaat over samenwerkingsverbanden met andere diensten, willen de leden van de GroenLinks-fractie graag weten of de wegingsnotitie en het afwegingskader dat daarbij hoort, gedeeld kan worden met de Eerste Kamer. Daarnaast hebben zij verdere vragen over de samenwerkingsverbanden en over de mogelijkheid van het verstrekken van ongeëvalueerde gegevens aan diensten van landen waarmee geen samenwerkingsrelatie bestaat (zoals is neergelegd in artikel 64 van de Wiv 2017). Een specifieke vraag van de fractie is bijvoorbeeld: Is het mogelijk dat data wordt gedeeld met diensten die gebruik maken van gezichtsherkenningstechnologie of technologie van Clearview AI? Ook stellen zij vragen over het vergaren van informatie buiten onderzoeksopdrachtgerichte intercepties en de toetsing daarvan. De leden van de PvdA-fractie en de PvdD-fractie zitten met soortgelijke vragen over de uitwisseling van geëvalueerde gegevens. Door de PvdD fractieleden wordt de vraag gesteld waarom in deze context de bescherming ten aanzien van verschoningsgerechtigden (journalisten en advocaten) niet explicieter is gemaakt.

De leden van de PVV-fractie stellen in deze context de opvallende vraag of de regering nader kan onderbouwen waarom het mogelijk niet kunnen verstrekken van ongeëvalueerde gegevens aan andere diensten überhaupt een onaanvaardbaar risico voor de nationale veiligheid zou zijn.

Wat betreft het gerichtheidscriterium stellen de leden van de PvdA-fractie de vraag of de regering voorziet dat het criterium ‘zo gericht mogelijk’ in de toekomst nog nader wordt gespecificeerd. Verder zijn de leden benieuwd welke juridische voorzieningen de regering treft om de ‘zo gericht mogelijke’ behandeling van door informanten verkregen bulkdata af te dwingen. De leden van de PvdD-fractie vragen zich af waarom het gerichtheidscriterium, niet in de wet is opgenomen. Tot slot hebben ook de leden van de PVV-fractie verscheidene vragen over de eisen die aan het gerichtheidscriterium worden gesteld.

Het is interessant te bezien hoe de regering in de memorie van antwoord op deze vragen in zal gaan. Na verschijning van de memorie van antwoord zal dit bericht geupdate worden.

Sophie Harleman

Uitspraken HvJ EU over dataretentie

Op 6 oktober 2020 heeft het Hof van Justitie van de Europese Unie (HvJ EU) verscheidene arresten gewezen over het in bulk verstrekken van communicatiegegevens aan inlichtingen- en veiligheidsdiensten. Het betreft de zaken Privacy International (C-623/17) en samengevoegde zaken La Quadrature du Net and Others (C-511/18), French Data Network and Others (C-512/18) en Ordre des barreaux francophones et germanophone and Others (C-520/18).

De afgelopen jaren heeft het Hof van Justitie van de Europese Unie zich in verscheidene zaken uitgesproken over het opslaan van en toegang tot persoonsgegevens op het gebied van elektronische communicatie. Een opvallende uitspraak van het Hof is de Tele2 Sverige (C-203/15) uitspraak, waarin het Hof besliste dat lidstaten niet van aanbieders van elektronische communicatienetwerken en – diensten (hierna: providers) konden verlangen op een ongerichte en algemene wijze verkeers- en locatiegegevens te bewaren (zogenoemde metadata). In de uitspraken van het Hof van 6 oktober 2020 speelt, net als in Tele2 Sverige, de Europese richtlijn betreffende privacy en elektronische communicatie (Richtlijn 2002/58/EG) een centrale rol. Deze richtlijn ziet specifiek op de verwerking van persoonsgegevens door elektronische communicatiediensten.

Het Hof beslist in Privacy International allereerst dat zowel nationale wetgeving die providers verplicht verkeers- en locatiegegevens vast te houden, als wetgeving die ze verplicht de gegevens te overhandigen aan de inlichtingen- en veiligheidsdiensten, onder de reikwijdte van de richtlijn valt (par. 49).

Vervolgens buigt het Hof zich over de vraag of de richtlijn nationale wetgeving uitsluit die een overheidsinstantie de mogelijkheid verschaft van providers te eisen dat zij algemene en ongerichte verkeers- en locatiegegevens overdragen aan de inlichtingen- en veiligheidsdiensten, als deze overdracht als doel heeft de nationale veiligheid te waarborgen. Deze vraag is van belang gelet op artikel 4, lid 2 van het Verdrag betreffende de Europese Unie, dat o.a. luidt: “Met name de nationale veiligheid blijft de uitsluitende verantwoordelijkheid van elke lidstaat.”

Verkeers- en locatiegegevens mogen volgens artikel 5 van de privacy en elektronische communicatierichtlijn niet zonder toestemming worden opgeslagen of verstrekt aan derden, ook niet aan inlichtingen- of veiligheidsdiensten. De uitzondering op deze regel is neergelegd in artikel 15, lid 1 van de richtlijn: het mag wel wanneer er sprake is van een noodzakelijke, subsidiaire en proportionele maatregel in een democratische samenleving, die als doel heeft de nationale veiligheid en openbare veiligheid te waarborgen, criminaliteit te voorkomen en te bestrijden, of misbruik van het elektronische communicatienetwerk tegen te gaan.

Het Hof benadrukt dat het waarborgen van nationale veiligheid als doel zwaarder weegt dan de andere doelen die in artikel 15 van de richtlijn geformuleerd zijn (par. 75). Het gaat bij nationale veiligheid met name om het beschermen van essentiële functies en fundamentele belangen van de staat en de maatschappij. Daarbij moet ook worden gedacht aan het voorkomen en bestraffen van ontwrichtende activiteiten, zoals terrorisme (het Hof verwijst hierbij naar par. 135 van La Quadrature du Net and Others en de gevoegde uitspraken).

Het Hof stelt vast dat er in onderhavige zaak sprake is van wetgeving die ongerichte en algemene toegang tot verkeers- en locatiegegevens mogelijk maakt. Ook als er geen bewijs bestaat dat personen iets te maken hebben met het gestelde doel de nationale veiligheid te waarborgen, kunnen hun verkeers- en locatiegegevens overgedragen worden (par. 80).  Dergelijke wetgeving gaat volgens het Hof de grenzen van wat strikt noodzakelijk is te buiten, en kan niet worden geacht noodzakelijk te zijn in een democratische samenleving (par. 81).

Het Hof is dan ook van oordeel dat artikel 15, lid 1 van de Richtlijn, gelezen in het licht van artikel 4, lid 2 VEU en artikel 7, 8, 11 en 52, lid 2 van het Handvest van de Grondrechten van de Europese Unie, nationale wetgeving uitsluit die het mogelijk maakt dat overheidsinstanties van een provider algemene en ongerichte overdracht van verkeers- en locatiegegevens aan de inlichtingen en veiligheidsdiensten verlangt, ook als dit als doel heeft de nationale veiligheid te waarborgen (par. 82).

Het Hof benadrukt in de gevoegde zaken C-511/18, C-512/18 en C-520/18 echter, dat wetgeving die providers verplicht tot het vasthouden van gegevens voor een bepaalde tijd, en indien dit strikt noodzakelijk is, niet in strijd is met de richtlijn. Er moet dan wel sprake zijn van een serieuze dreiging voor de nationale veiligheid, die oprecht, aanwezig en voorzienbaar is (par. 137). Ook moet een dergelijke maatregel onderhevig zijn aan toetsing door een rechtbank of door een onafhankelijk bestuursorgaan dat bindende besluiten kan nemen (par. 139).

Het in real-time verzamelen van verkeers- en locatiegegevens dient volgens het Hof beperkt te zijn tot personen van wie het vermoeden bestaat dat zij betrokken zijn bij terroristische activiteiten. Ook hier geldt dat een voorafgaande controle door een rechter of onafhankelijk bestuursorgaan vereist is en dat de maatregel enkel is toegestaan voor zover dit strikt noodzakelijk is (par. 183-192).

Tot slot trekt het hof nog de conclusie dat het Unierecht niet de ongerichte en algemene retentie van IP-adressen uitsluit, mits dit als doel heeft de nationale veiligheid te waarborgen, serieuze criminaliteit tegen te gaan of de openbare veiligheid te beschermen. Ook hier geldt dat dit slechts voor een beperkte periode is toegestaan en dat de maatregel strikt noodzakelijk dient te zijn (par. 168).

Volgens deze recente uitspraken van het Hof is het ongericht verzamelen van telefoon- en internetgegevens dus strijdig met Europese privacyregels, ook wanneer dit gebeurt in het kader van het waarborgen van nationale veiligheid. Het is opvallend dat het Hof tot deze beslissing komt, gezien de tekst van artikel 4, lid 2 VEU. 

Sophie Harleman

Veroordeling tot 17-jaar gevangenisstraf voor voorbereiden van aanslag

Op 8 oktober 2020 heeft de rechtbank Rotterdam zes mannen veroordeeld (ECLI:NL:RBROT:2020:8905) voor het voorbereiden van een grote terroristische aanslag in Nederland. Daartoe heeft de verdachte deelgenomen aan een terroristische organisatie en heeft hij training gevolgd. De zaak heeft veel media-aandacht gekregen (zie ook dit NOS-bericht en de video).

In de uitspraak is de lezen hoe de verdachten met z’n vijven zijn een aanslag wilden plegen op een festival en dat zij ook een grote auto met behulp van een afstandsbediening tot ontploffing willen brengen in een andere stad, mogelijk vanuit Amsterdam.

De zaak kwam aan het rollen door een ambtsbericht van 26 april 2018 van de AIVD. In dit ambtsbericht werd melding gemaakt van het feit dat de verdachte (met de hoogst opgelegde gevangenisstraf) voorbereidingen trof om met een groep personen veel slachtoffers te maken door een terroristische aanslag te plegen op een groot evenement in Nederland. Hij was op zoek naar aanslagmiddelen voor meerdere personen en iemand die hierin kon faciliteren. Direct na ontvangst van dit ambtsbericht werd een groot opsporingsonderzoek, genaamd ‘26Orem’, gestart.

De verdediging voert aan dat sprake is van uitlokking van de verdachten en overtreding van het beginsel van ‘détournement de pouvoir’ door de AIVD. Volgens de verdediging is sprake van misbruik van bevoegdheden door de AIVD. De inlichtingendienst heeft haar bevoegdheden ingezet ten behoeve van strafvorderlijke doeleinden, waarbij belangrijke strafvorderlijke waarborgen opzij werden gezet. De verdediging kan volgens de rechtbank niet onderbouwen waarom sprake zou zijn van uitlokking.

Over de mate van controle door de strafrechter op AIVD onderzoek en de toetsing van de bruikbaarheid in het strafproces, verwijst de rechtbank naar het arrest (ECLI:NL:HR:2006:AV4122) van de Hoge Raad in de zaak ‘Eik’ uit 2006 met de volgende overweging:

“Een onderzoek door een inlichtingen- en veiligheidsdienst vindt plaats buiten de verantwoordelijkheid van de politie en het openbaar ministerie. De wetgever heeft de toetsing van de rechtmatigheid van het handelen van de AIVD toebedeeld aan de CTIVD. Dat daarmee de rechtmatigheidstoets aan de strafrechter onttrokken is en art. 359a Sv niet van toepassing is, neemt niet weg dat in een strafprocedure waarin van een inlichtingen- en veiligheidsdienst afkomstig materiaal voor het bewijs wordt gebruikt, moet zijn voldaan aan de eisen van een eerlijk proces. De strafrechter moet toetsen of dat het geval is. Onder omstandigheden mogen de resultaten van het door een inlichtingen- en veiligheidsdienst ingesteld onderzoek niet tot het bewijs worden gebezigd, bijvoorbeeld indien het optreden van de betrokken dienst een schending van de aan een verdachte toekomende fundamentele rechten heeft opgeleverd die van dien aard is dat daardoor geen sprake meer is van fair trial als bedoeld in art. 6 EVRM.”

De rechtbank overweegt dat er sterke aanwijzingen zijn dat er een verband is tussen de inzet van (niet politiële) infiltranten en de AIVD. Bij gebreke aan nadere transparantie gaat de rechtbank ervan uit dat de desbetreffende persoon of personen die met de verdachte contact heeft/hebben gehad gerelateerd zijn aan de AIVD. Deze infiltranten zijn contact met de verdachte blijven onderhouden. Ondanks dat de infiltranten in hun e-mails de verdachte lijken te steunen bij de uitvoering van zijn plannen, religieuze opvattingen met hem uitwisselen, bij hem erop aandringen nieuwe e-mailadressen aan te maken en contact op te nemen en te onderhouden met ‘hun broeder (de politie-infiltrant)’, is er volgens de rechtbank geen sprake van (het verbod op) uitlokking. De verdachte is door de politie-infiltrant niet tot handelingen gebracht waarop zijn opzet niet al tevoren was gericht

De handelingen onder verantwoordelijkheid van de AIVD hebben echter wel aan bijgedragen dat de verdachte met de politie-infiltrant in contact is gekomen en gebleven en zij lijken hem te hebben beïnvloed bij het vasthouden aan een bepaald doelwit voor een aanslag, ook op momenten dat de verdachte leek af te dwalen of meer tijd nodig leek te hebben. Dit handelen van de AIVD tijdens het opsporingsonderzoek is een vorm van niet-toegestane beïnvloeding. Een dergelijke vorm van niet controleerbare en niet transparante bemoeienis brengt naar het oordeel van de rechtbank het waarborgen van een eerlijk proces in gevaar. De rechtbank verbindt hier een sanctie aan, namelijk drie jaar strafvermindering voor de verdachte.

De rechtbank acht de verdachte schuldig aan de voorbereiding van een grote terroristische aanslag op willekeurige burgers en politie in Nederland. Zij hebben gezamenlijk deelgenomen aan een terroristische organisatie en een training gevolgd met het oog op het plegen van een terroristisch misdrijf. De verdachte en de medeverdachten waren voornemens eind 2018 met een voertuig een (zware) bomaanslag te plegen en elders een festival binnen te dringen ‘schietend als een gek op mensen’ met Kalasjnikovs. De verdachte en de medeverdachten zouden daarbij ook handgranaten en bomvesten hebben willen gebruiken. De bomvesten zouden gebruikt moeten worden als de politie zou arriveren, zodat ook zij daarmee slachtoffer zouden worden. De verdachte en de medeverdachten hadden namelijk duidelijk kenbaar gemaakt dat zij zelf niet levend in handen van de politie zouden willen vallen. De verdachte heeft grote hoeveelheden (beeld)materiaal aangaande het radicale en extremistische gedachtengoed van de gewapende jihadstrijd voorhanden gehad, zoals dat onder meer door terroristische organisaties als Islamitische Staat (verder: IS) wordt gepubliceerd en verkondigd.

De rechtbank overweegt ook dat deze aanslagen worden gepleegd vanuit een intolerante religieuze ideologie, waarbij wordt geprobeerd het eigen gelijk op gewelddadige wijze aan anderen op te leggen en waarbij de bevolking veelal slachtoffer is en ernstige vrees wordt aangejaagd. Daarbij worden geen middelen en methoden geschuwd. De verdachte en de medeverdachten hebben zowel de burgerbevolking als de politie in Nederland op zware wijze beoogd te treffen met een bloedige aanslag waarbij grote aantallen onschuldige personen het slachtoffer zouden moeten worden. Dankzij tijdig ingrijpen van de Nederlandse overheidsdiensten hebben de verdachte en de medeverdachten hun plannen niet kunnen uitvoeren.

De verdachte wordt veroordeeld voor de hoge gevangenisstraf van 17 jaar. De rechtbank legt tevens een maatregel voor gedragsbeïnvloeding of vrijheidsbeperking op, zoals bedoeld in artikel 38z Sr. Op die manier wordt het mogelijk om de verdachte in aansluiting op de gevangenisstraf onder toezicht te stellen indien dit op dat moment nog noodzakelijk wordt geacht.

Jan-Jaap Oerlemans

Intrekking Nederlanderschap en ongewenstverklaring

Op 11 augustus 2020 heeft de afdeling bestuursrecht van de rechtbank Den Haag een zeer uitvoering vonnis gewezen over de intrekking van Nederlanderschap en ongewenstverklaring van een Syriëganger. Normaal bespreek ik geen uitspraken uit andere rechtsgebieden, maar voor deze rubriek en in dit geval maak ik een uitzondering.

De eiser krijg geen toestemming op grond van art. 8:29 Algemene wet bestuursrecht (hierna: Awb) om de onderliggende stukken te zien voor de intrekking van het Nederlanderschap, waaronder een ambtsbericht van de AIVD. De rechtbank heeft met toepassing van artikel 8:45 lid 1 van de Awb de minister van Binnenlandse Zaken en Koninkrijksrelaties (hierna: de minister), die geen partij is, bij brief van 13 mei 2020 verzocht inzage te geven in de stukken die ten grondslag liggen aan het ambtsbericht. Bij brief van 22 mei 2020 heeft de minister de rechtbank onder verwijzing naar het bepaalde in artikel 8:29, eerste lid, van de Awb medegedeeld dat alleen de rechtbank kennis mag nemen van de onderliggende stukken van het ambtsbericht.

Eiser is in 1982 geboren in Amsterdam, uit ouders met de Marokkaanse nationaliteit. Later is hij Nederlander geworden. Op 25 oktober 2010 is eiser wegens vertrek uit Nederland uitgeschreven uit de brp van de gemeente Amsterdam naar het Register Niet-Ingezetenen. Op 18 oktober 2019 heeft de Algemene Inlichtingen- en Veiligheidsdienst (hierna: AIVD) een individueel ambtsbericht uitgebracht over eiser. Dit ambtsbericht luidt als volgt:

“In het kader van zijn wettelijke taakuitvoering beschikt de Algemene Inlichtingen en Veiligheidsdienst (AIVD) over de volgende betrouwbare informatie met betrekking tot [eiser] , geboren op [geboortedag] 1982 te Amsterdam, BSN [BSN-nummer], die volgens de BRP per 25-10-2010 is uitgeschreven met onbekende bestemming. Betrokkene bevindt zich sinds de zomer van 2012 in Syrië, alwaar hij zich aansloot bij de Islamitische Staat in Irak en al-Sham (ISIS). Vanaf medio 2014 tot maart 2019 wordt hij uitsluitend gelokaliseerd in Syrië in plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS. Na 11 maart 2017 bleef betrokkene in het strijdgebied en verrichtte hij (administratieve) medische werkzaamheden voor ISIS in Syrië. Uit een eerdere relatie heeft betrokkene een minderjarige zoon genaamd [C]. [C] is begin 2014 in Syrië geboren. Een afschrift van dit ambtsbericht wordt verstrekt aan de LOvJ.”

Bij afzonderlijke besluiten van 3 december 2019 heeft het ministerie van Justitie en Veiligheid het Nederlanderschap van eiser ingetrokken op grond van artikel 14, vierde lid, van de Rijkswet op het Nederlanderschap (hierna: RWN) en hem tot ongewenst vreemdeling verklaard in de zin van artikel 67 van de Vreemdelingenwet 2000 (Vw 2000) wegens gevaar voor de nationale veiligheid en in het belang van de internationale betrekkingen van Nederland.

De rechtbank overweegt dat uit de Memorie van Antwoord blijkt dat de aansluiting bij een organisatie zal moeten blijken uit de gedragingen van betrokkene, waarvoor doorgaans een ambtsbericht van de AIVD voorhanden is. Dit ambtsbericht kan gebaseerd zijn op een veelheid van bronnen en van geval tot geval zal moeten worden bepaald wanneer er sprake is van voldoende zekerheid over de feiten (Kamerstukken I 2015-2016, 34 356 (R2064), nr. C, onderdeel 4).

De rechtbank overweegt over het ambtsbericht dat uit het ambtsbericht onder meer blijkt dat eiser zich sinds de zomer van 2012 in Syrië bevindt, alwaar hij zich heeft aangesloten bij de Islamitische Staat in Irak en al-Sham (ISIS), dat hij vanaf medio 2014 tot maart 2019 uitsluitend gelokaliseerd wordt in Syrië op plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS, en dat hij na 11 maart 2017 in het strijdgebied verbleef en (administratieve) medische werkzaamheden verrichtte voor ISIS in Syrië.

De verweerder stelt dat de opgelegde maatregel disproportioneel is. De rechtbank overweegt dat de intrekking van de nationaliteit is weliswaar een zwaar middel is, maar dat het doel van de maatregel -het belang van bescherming van de nationale veiligheid- rechtvaardigt dat hiervan gebruik gemaakt wordt indien aan de eisen voor toepassing van artikel 14, vierde lid, van de RWN is voldaan. Naar het oordeel van de rechtbank is daaraan in het geval van eiseres voldaan. Door de intrekking van het Nederlanderschap en de ongewenstverklaring wordt de legale terugkeer van eiseres naar Nederland en het Schengengebied onmogelijk gemaakt en wordt de feitelijke terugkeer bemoeilijkt doordat eiseres zal worden gesignaleerd als ongewenst vreemdeling in verschillende systemen die kunnen worden geraadpleegd bij grenscontroles en uitgifte van visa. De rechtbank beoordeelt de maatregel als geschikt en passend om het doel te bereiken. De verweerder (het ministerie van justitie en veiligheid) heeft terecht gesteld dat er geen alternatieven zijn die hetzelfde effect hebben als de onderhavige maatregel. De intrekking of vervallenverklaring van een paspoort is geen redelijk alternatief omdat dit, kort gezegd, het recht op terugkeer naar Nederland onverlet laat.

De gemachtigde van eiser vraagt zich verder af hoe het ministerie weet dat het ambtsbericht op voldoende grondslag is gebaseerd. De gemachtigde vraagt zich ook af of wordt voldaan aan de eis van objectiviteit en wijst er op dat de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten, die op 16 juni 2020 een rapport heeft uitgebracht over deze materie, niet geëquipeerd zou zijn een oordeel te geven over individuele ambtsberichten en dat de onderliggende motivering van het standpunt van de landsadvocaat ontbreekt. De verweerder stelt dat uit het ambtsbericht blijkt dat eiser concrete taken ten behoeve van ISIS heeft verricht. Wat de conclusies van de CTIVD betreft, merkt verweerder op dat de CTIVD heeft geoordeeld dat dat de AIVD bij het uitbrengen van de ambtsberichten in het kader van artikel 14, vierde lid, van de RWN in alle gevallen rechtmatig heeft gehandeld, maar dat het bestuursorgaan degene is die de beslissingen neemt op basis van de ambtsberichten. De mogelijkheid om inzage te vragen in de onderliggende stukken als de ambtsberichten onvoldoende duidelijk zijn, is aanwezig. Aangezien het ambtsbericht helder is en voldoende essentiële informatie bevat, is van deze mogelijkheid geen gebruik gemaakt.

De rechtbank overweegt dat het ambtsbericht zoals het er ligt voldoende feitelijke en kenbare informatie bevat. Eiser was ten tijde van belang aangesloten bij een terroristische organisatie die voorkomt op de lijst (ISIS) en heeft concrete werkzaamheden voor de organisatie verricht. Verweerder heeft aan zijn motiveringsplicht voldaan. Er is geen tegenbewijs geleverd. In hetgeen de gemachtigde naar voren heeft gebracht ziet de rechtbank geen aanknopingspunten voor twijfel aan de juistheid van het gestelde in het ambtsbericht. Verweerder heeft terecht geconcludeerd dat eiser een gevaar vormde voor de nationale veiligheid. De rechtbank overweegt voorts dat het rapport van de CTIVD (Toezichtsrapport over het handelen van de AIVD in het kader van de intrekking van het Nederlanderschap in het belang van de nationale veiligheid, nr. 68, vastgesteld op 29 april 2020) geen aanknopingspunten bevat voor het oordeel dat op grond daarvan geen betekenis aan de uitgebrachte ambtsberichten kan worden gehecht. De rechtbank moet beoordelen of in het individuele geval van eiser voldaan is aan de vereisten voor intrekking en of het ambtsbericht daar voldoende grondslag voor biedt. Zoals in het voorgaande is geconcludeerd, is de rechtbank van oordeel dat in het geval van eiser, gelet op de inhoud van het uitgebrachte ambtsbericht, voldaan is aan de vereisten voor intrekking van het Nederlanderschap. Zoals de rechtbank in eerdere vergelijkbare zaken heeft geoordeeld (zie bijvoorbeeld de uitspraak van 14 april 2020, ECLI:NL:RBDHA:2020:5784) acht zij de maatregel noodzakelijk en proportioneel.

Verweerder heeft, onder verwijzing naar verschillende edities van het Dreigingsbeeld Terrorisme Nederland, het rapport ‘Terugkeerders in beeld’ (.pdf) van de AIVD van februari 2017 en eerder gepleegde aanslagen door zogeheten terugkeerders, er op gewezen dat het risico bestaat dat terugkeerders aanslagen plegen en de binnenlandse jihadistische beweging versterken. Ook bestaat het gevaar dat zij anderen rekruteren voor de gewapende strijd. De rechtbank is van oordeel dat, zoals ook de Afdeling in de eerdergenoemde uitspraken van 17 april 2019 heeft overwogen, daarmee de noodzaak van de maatregel in het belang van de bescherming van de nationale veiligheid is aangetoond. Daarnaast heeft de rechtbank geoordeeld dat de intrekking van de nationaliteit weliswaar een zwaar middel is, maar dat naast bestaande maatregelen aan deze -preventieve- maatregel behoefte bestaat gezien het doel ervan, te weten het belang van de bescherming van de nationale veiligheid. De maatregel moet daarom proportioneel worden geacht. De rechtbank overweegt verder dat uit vaste jurisprudentie volgt (zie bijvoorbeeld de uitspraken van 22 april 2015, ECLI:NL:RVS:2015:1278 en 15 mei 2019, ECLI:NL:RVS:2019:1582) dat, indien uit een ambtsbericht van de AIVD op objectieve, onpartijdige en inzichtelijke wijze blijkt welke feiten en omstandigheden aan de conclusie vervat in dit ambtsbericht ten grondslag zijn gelegd en deze conclusie niet onbegrijpelijk is zonder nadere toelichting, voor het bestuursorgaan dat beslist over de verkrijging van het Nederlanderschap geen aanleiding bestaat om de aan dit ambtsbericht ten grondslag liggende stukken in te zien, tenzij de betrokkene concrete aanknopingspunten voor twijfel aan de juistheid of volledigheid van dit ambtsbericht naar voren heeft gebracht. Verder volgt hieruit dat er in beginsel van mag worden uitgegaan dat door de AIVD verricht onderzoek op zorgvuldige wijze heeft plaatsgevonden en dat vermelding van de aan een ambtsbericht van de AIVD ten grondslag liggende bron, dan wel bronnen, achterwege mag blijven wegens de vertrouwelijkheid ervan.

De rechtbank is van oordeel dat het Ministerie van Justitie en Veiligheid op grond van de informatie uit het ambtsbericht bevoegd was tot intrekking van het Nederlanderschap van eiseres over te gaan.

Jan-Jaap Oerlemans