Overzicht Inlichtingen en Recht – oktober 2020

In dit nieuwe overzicht over ‘Inlichtingen en recht’ wordt periodiek een overzicht gegeven van relevante rapporten, Kamerstukken en jurisprudentie over inlichtingen, nationale veiligheid en recht. Het doel is de kern van de stukken te vatten en op deze wijze de nodige kennis te verschaffen aan geïnteresseerden.

Deze klus doe ik samen Sophie Harleman. Zij is vanaf 1 september 2020 als promovenda door de Universiteit Utrecht aangesteld in het kader van mijn leerstoel ‘Inlichtingen en Recht’. Mr. S.A.M. Harleman is verbonden aan het Montaigne Centrum voor Rechtsstaat en Rechtspleging en het Willem Pompe Instituut voor Strafrechtwetenschappen van de Universiteit Utrecht.

Voortgangsrapportage IV over de implementatie Wiv 2017

In onderstaande blogpost ga ik (Sophie) in op de belangrijkste constateringen van de CTIVD in de laatste en vierde voortgangsrapportage over de Wiv 2017. De CTIVD concludeert dat de implementatie van de Wiv 2017 nog niet volledig is afgerond.

Een kernpunt van de rapportage is dat de CTIVD de achterstand in het implementatieproces van de Wiv 2017 te wijten acht aan onvoldoende aandacht voor de implementatie van de wet bij de totstandkoming. In hun beleidsreactie geven de ministers van BZK en Defensie aan het hiermee eens te zijn. Desalniettemin vinden zowel de ministers als de CTIVD dat de diensten een goede koers hebben ingezet. Een belangrijke rol speelt daarbij de verdere verankering van de zorgplicht op de kwaliteit van de gegevensverwerking. De AIVD heeft het zorgplichtstelsel volgens de CTIVD nu op orde, waardoor het risico voor die dienst wordt bijgesteld van beperkt naar geen. Voor de MIVD wordt het risico bijgesteld van gemiddeld naar beperkt. De diensten hebben volgens het rapport echter nog onvoldoende bereikt als het gaat om de vertaalslag van wet naar praktijk. Voor de speciale bevoegdheid van onderzoeksopdrachtgerichte interceptie (“OOG-I”) is de vertaalslag overigens niet te beoordelen, nu die bevoegdheid nog niet is ingezet.

Voor wat betreft de relevantiebeoordeling oordeelt de CTIVD dat een risico op onrechtmatigheden blijft bestaan door een grote vrijheid voor ontwikkelaars om op decentraal niveau oplossingen te zoeken en systemen in te richten. De kritiek van de CTIVD is niet onopgemerkt gebleven. Huib Modderkolk spreekt bijvoorbeeld van ‘zorgen bij de toezichthouder’.

Meer specifiek onderscheidt de CTIVD in de vierde en laatste voortgangsrapportage de volgende (knel)punten die nadere aandacht behoeven in het kader van de wetsevaluatie:

  • Datareductie

De CTIVD acht het in zijn geheel of grotendeels relevant beoordelen van bulkdatasets door de diensten onrechtmatig. De Wiv 2017 biedt hiervoor geen ruimte. De CTIVD is van mening dat de aard van de gegevensset doorslaggevend behoort te zijn. Bulkdatasets, ongeacht of deze zijn verkregen door OOG-I, vereisen in het licht daarvan bijzondere wettelijke waarborgen. In Toezichtsrapport 70 en 71 gaat de CTIVD verder in op het verzamelen van bulkdatasets met de hackbevoegdheid. Volgens de CTIVD is er sprake van een onrechtmatigheid bij het zo spoedig mogelijk beoordelen op relevantie van bulkdatasets. Er blijft een gemiddeld risico bestaan op onrechtmatig handelen voor de AIVD als het gaat om relevantiebeoordeling. De verdere risico’s blijven volgens de toezichthouder beperkt. Voor de MIVD geldt een hoog risico voor de wijze waarop onomkeerbare vernietiging plaatsvindt. Het risico m.b.t. de relevantiebeoordeling wordt verlaagd van hoog naar gemiddeld. Wat betreft het relevantiebegrip en de termijn stelt de CTIVD het risico voor de MIVD vast op beperkt.  Opvallend is dat de ministers van BZK en Defensie het oordeel van de CTIVD dat de relevantiebeoordeling van bulkdatasets onrechtmatig is uitgevoerd, niet delen. Het is daarom goed, aldus de beleidsreactie van de ministers, dat de evaluatiecommissie dit onderwerp betrekt bij de evaluatie van de Wiv 2017.

  • Geautomatiseerde data-analyse (GDA)

Ook bij geautomatiseerde data-analyse verloopt het implementatieproces volgens de CTIVD moeizaam. De algemene bevoegdheid van GDA (neergelegd in artikel 60 Wiv 2017) kan zonder waarborgen toegepast worden op het verzamelen of verkrijgen van bulkdatasets met toepassing van andere bevoegdheden dan OOG-I. De toezichthouder vindt dat een onderscheid naar eenvoudige of complexe vormen van GDA niet leidend mag zijn. Ook acht de CTIVD van belang dat de geautomatiseerde analyse van metadata (m.u.v. OOG-I) in de Wiv 2017 niet met aanvullende waarborgen is omgeven, terwijl uit jurisprudentie van het EHRM en van het HvJ EU blijkt dat metadata-analyse een zwaarwegende inmenging op het recht op privacy inhoudt (respectievelijk uit Big Brother Watch e.a. en Tele2 Sverige AB/Watson). Voldoende waarborgen zijn daarbij dus wel degelijk nodig. Desalniettemin verlaagt de CTIVD het risico voor GDA-60 van hoog naar gemiddeld. Het risico voor GDA-50 blijft op gemiddeld staan.

  • Internationale samenwerking

De toezichthouder vindt de niet-afgeronde inhoudelijke aanpassing van wegingsnotities (een schriftelijke verantwoording van een beslissing tot samenwerking met buitenlandse diensten) in combinatie met onverminderde samenwerking met buitenlandse diensten risicovol. Daarnaast onderscheidt de CTIVD een belangrijk zorgpunt bij het delen van bulkdatasets met buitenlandse diensten, gezien het gebruik van een ruimere toepassing van de reeds genoemde relevantiebeoordeling. In dit licht behoeft de definiëring van de begrippen ‘geëvalueerde’ en ‘ongeëvalueerde’ nadere aandacht bij de wetsevaluatie.

De CTIVD sluit af met de opmerking dat zij met deze rapportage een bijdrage wil leveren aan de wetsevaluatie, en dat zij onderwerpen die relevant zijn voor de evaluatie ook buiten deze rapportage zal aandragen bij de evaluatiecommissie.

Sophie Harleman

CTIVD-rapport over de hackbevoegdheid

De CTIVD heeft op 22 september 2020 twee toezichtsrapporten gepubliceerd. Rapport nr. 70 gaat over het verzamelen van bulkdatasets met de hackbevoegdheid door de AIVD en de MIVD. Rapport nr. 71 gaat over het verzamelen en verder verwerken van passagiersgegevens van luchtvaartmaatschappijen door de AIVD en MIVD. Bulkdatasets zijn gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De belangrijkste conclusies van het rapport ver de hackbevoegdheid zijn dat van de zestien onderzochte operaties, in drie van de door de AIVD aangevraagde operaties gegevens zijn verzameld nadat een toestemmingsverzoek door de Toetsingscommissie Inzet Bevoegdheden (TIB) is afgewezen. Dit is onrechtmatig. Snel na deze constatering zijn de datasets door de AIVD vernietigd. Veel dingen gingen goed, zoals het opruimen van de ‘technische hulpmiddelen’ in de systemen en het (voor zover mogelijk) aantekening houden door de gezamenlijke uitvoerende afdeling ‘Computer Network Exploitation’ (CNE).

De CTIVD constateert ook dat de toets in art. 27 Wiv 2017 – dat gegevens zo spoedig mogelijk op relevantie moeten worden beoordeeld – in de praktijk niet goed uitvoerbaar is. De diensten hebben in de onderzoeksperiode in een aantal gevallen bulkdatasets gedeeltelijk of integraal relevant verklaard, ondanks dat het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden. De CTIVD geeft aan dat door deze handeling de gegevens nu ‘in het betekenisregime zitten’ zonder definitieve vernietigingstermijn. De CTIVD beschouwt deze wijze van relevantiebeoordeling als een ‘kunstgreep om de bewaartermijn van de datasets in kwestie te verlengen, het is immers onrechtmatig om datasets met voor het merendeel niet-relevante gegevens relevant te verklaren’.

In de beleidsreactie onderstrepen de beide ministers de noodzaak van het gebruik van bulkdatasets door de diensten. Hoewel hoogst ongebruikelijk, geven de ministers aan waarvoor de gegevens in de bulkdatasets gebruikt zijn: voor het onderkennen van locaties van Nederlandse uitreizigers in (voormalig) ISIS-gebied (onder andere van wie het Nederlanderschap is ingetrokken), voor onderzoek naar de inzet van ‘Improvised Explosive Devices’ (IED’s) tegen Nederlandse militairen, voor onderzoek van de vermoedelijke betrokkenheid van de Iraanse dienst bij liquidaties in Nederland en voor het vaststellen van de identiteit van de personen betrokken bij zenuwgasaanvallen in Syrië in 2016/2017.

Het is ook ongebruikelijk dat de ministers het oneens zijn met twee conclusies en aanbevelingen in het rapport. Het onrechtmatigheidsoordeel over de relevantieverklaring en het advies tot vernietiging over te gaan van bepaalde bulkdatasets wordt ‘niet opgevolgd’. Zij achten de vernietiging ‘onverantwoord’. In de tussentijd passen de AIVD en de MIVD interne aanvullende waarborgen toe, zoals een strikt autorisatieregime en herbeoordeling voor het bewaren van de gegevens.

Jan-Jaap Oerlemans

CTIVD-rapport over passagiersgegevens

Op 22 september 2020 heeft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) ook rapport nr. 71 over de verzameling en verdere verwerking van passagiersgegevens van luchtvaartmaatschappijen gepubliceerd. In de onderzoeksperiode van 1 januari 2019 tot 1 september 2019 stonden in de database van de AIVD de gegevens van miljoenen personen. Het betreft daarmee ook een bulkdataset; gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De ‘Advanced Passenger Information’-database wordt door de Koninklijke Marechaussee (Kmar) aangelegd na verstrekking van API-gegevens door luchtvaartmaatschappijen op grond van de EU-richtlijn 2004/82/EG (API-richtlijn). API-gegevens zijn bijvoorbeeld gegevens over nationaliteit, volledige naam, geboortedatum, geslacht, vluchtnummer en het eerste instappunt (zie ook Stb. 2012, 688). De KMar verwerkt de gegevens ten behoeve van haar eigen taaktuitvoering; de uitvoering van de grenscontrole. De AIVD verzamelt de API-gegevens van de KMar op ‘structurele en geautomatiseerde wijze’ op grond van een algemene bevoegdheid, in dit geval de informantenbevoegdheid (artikel 39 Wiv 2017). De gegevens worden bijvoorbeeld verwerkt in het kader van onderzoeken naar organisaties en personen die een bedreiging voor de nationale veiligheid vormen. Daarnaast worden de gegevens gebruikt in veiligheidsonderzoeken.

De CTIVD concludeert in het rapport dat de Wiv 2017 de ruimte geeft de bulkdataset aan passagiersgegevens structureel en geautomatiseerd te verzamelen met de informantenbevoegdheid. Ook mogen de gegevens verder worden verwerkt, onder andere door middel van ‘geautomatiseerde data-analyse’. Daarnaast zijn andere dingen onrechtmatig, zoals het niet-uitvoeren van een schriftelijke toets op noodzakelijkheid, proportionaliteit en subsidiariteit voor de verzameling van de gegevens en niet toepassen van het eigen beleid ‘Werken met grote datasets’ door de AIVD en de MIVD. Ook merkt de toezichthouder op dat de diensten toegang kunnen krijgen tot PNR-gegevens op basis van de PNR-richtlijn 2016/681/EU. Dat betreft een grotere set aan gegevens, omdat het vluchten binnen de EU betreft en – naast API-gegevens – gaat over gegevens over de reservering, contactgegevens, betaalgegevens en bagage-informatie.

Vanwege de grootte van de dataset vraagt de CTIVD in het rapport zich af of een dergelijke invulling van de informantenbevoegdheid voldoende voorzienbaar is voor de burger. De toezichthouder geeft mee in de Wet op de inlichtingen- en veiligheidsdiensten een specifieke regeling op te nemen voor het verzamelen en verder verwerken van bulkdatasets.

Jan-Jaap Oerlemans

Wetsvoorstel Zerodays

Het initiatiefvoorstel Zerodays van het lid Verhoeven is in behandeling bij de Tweede Kamer. Zerodays zijn fouten in software die nog onbekend zijn bij de maker van de software (de maker heeft nul dagen gehad om het gat te dichten). Deze zerodays kunnen gebruikt worden om de werking van de betreffende software te manipuleren, oftewel te hacken. De initiatiefnemer van het voorstel is van mening dat de huidige regeling rondom zerodays niet werkt. De Raad van State staat in haar advies overigens duidelijk negatief tegenover het wetsvoorstel.

Het wetsvoorstel is in juni 2020 gewijzigd. Er is met de wijziging een behandeltermijn van vier weken voor onbekende kwetsbaarheden ingevoegd. Ook moet het orgaan ter beoordeling van kwetsbaarheden informatie verzamelen over de potentiële gevolgen van het openhouden van een kwetsbaarheid voor de samenleving, alvorens een onbekende kwetsbaarheid te beoordelen. Op 23 september 2020 is het gewijzigde voorstel plenair behandeld. Door de leden Buitenweg en Middendorp zijn verscheidene moties ingediend. Op 13 oktober 2020 is de stemming over het wetsvoorstel voor de derde keer uitgesteld.

Op 12 oktober 2020 is een tweede nota van wijziging ingediend het lid Verhoeven, de initiatiefnemer. Hij is van mening dat het initiële voorstel om te voorzien in beoordelingsorgaan voor kwetsbaarheden, bestaande uit verschillende ministeries en organisaties, teveel weerstand oproept. De wijzigingsnota ziet dan ook op het weglaten van een dergelijk orgaan. Wel moet er voor alle overheidsorganen een goed afwegingskader komen voor de inzet van onbekende kwetsbaarheden. Ook mogen bedrijven waarvan de Nederlandse overheid hacksoftware koopt, volgens het initiatiefvoorstel geen zaken doen met landen die op de EU of VN sanctielijsten staan. Voor inlichtingendiensten geldt dat zij dit moeten meenemen in hun weging bij aankoop van dergelijke software.

Privacyorganisatie Bits of Freedom heeft zich overigens op Twitter al afgevraagd of de wijziging inhoudt dat de politie nu zelf de afweging kan maken omtrent zerodays, in plaats van dat een (semi-) onafhankelijk commissie dit doet. Ook het gewijzigde voorstel roept dus vast op verschillende fronten weerstand op. Het blijft voorlopig afwachten.

Sophie Harleman

Wijzigingswet Wiv 2017

Het wetsvoorstel ‘Wijzigingswet Wiv 2017’ is op 9 juni 2020 aangenomen in de Tweede Kamer. De wet betreft onder meer een wijziging ten aanzien van het gerichtheidsvereiste. Het gerichtheidsvereiste houdt volgens de memorie van toelichting op het wetsvoorstel in: ‘in hoeverre bij de verwerving sprake is van het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus’ (Kamerstukken II 2018/19, 35242, 3, p. 4-5). De te vergaren gegevens moeten daarbij worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object.

De gewijzigde Wiv 2017 biedt deze extra waarborg voor bescherming van fundamentele rechten, omdat het vereiste, door het toe te voegen aan artikel 26 Wiv 2017, gaat gelden voor alle bevoegdheden , in plaats van slechts voor de bijzondere bevoegdheden in de Wiv 2017. Ook ziet een wijziging op het delen van ongeëvalueerde gegevens met buitenlandse diensten. De meldplicht aan de CTIVD wordt uitgebreid tot elke verstrekking van ongeëvalueerde gegevens aan een buitenlandse dienst, ongeacht de bevoegdheid waarmee deze zijn verworven. Op 15 juli 2020 is het voorlopig verslag (.pdf) over het wetsvoorstel verschenen. De leden van de fractie van GroenLinks, PvdA, PV en PvdD hebben vragen gesteld over het wetsvoorstel. Hieronder bespreek ik (Sophie) kort enkele door de fractieleden opgeworpen vragen.

GroenLinks en de PvdA vragen zich af in hoeverre de regering meent dat zij met het wetsvoorstel tegemoetkomt aan de zorgen die blijken uit de uitslag van het referendum. Daarnaast vragen leden van de GroenLinks-fractie zich af op welke wijze de positie van journalisten, advocaten en medici in het wetsvoorstel is verbeterd n.a.v. de consultatiereacties en het advies van de Raad van State. De leden van de PVV-fractie is benieuwd of de regering kan duiden hoe er met dit voorstel precies tegemoet wordt gekomen aan de zorgen in de samenleving, onder andere over de bescherming van advocaten en journalisten.

Als het gaat over samenwerkingsverbanden met andere diensten, willen de leden van de GroenLinks-fractie graag weten of de wegingsnotitie en het afwegingskader dat daarbij hoort, gedeeld kan worden met de Eerste Kamer. Daarnaast hebben zij verdere vragen over de samenwerkingsverbanden en over de mogelijkheid van het verstrekken van ongeëvalueerde gegevens aan diensten van landen waarmee geen samenwerkingsrelatie bestaat (zoals is neergelegd in artikel 64 van de Wiv 2017). Een specifieke vraag van de fractie is bijvoorbeeld: Is het mogelijk dat data wordt gedeeld met diensten die gebruik maken van gezichtsherkenningstechnologie of technologie van Clearview AI? Ook stellen zij vragen over het vergaren van informatie buiten onderzoeksopdrachtgerichte intercepties en de toetsing daarvan. De leden van de PvdA-fractie en de PvdD-fractie zitten met soortgelijke vragen over de uitwisseling van geëvalueerde gegevens. Door de PvdD fractieleden wordt de vraag gesteld waarom in deze context de bescherming ten aanzien van verschoningsgerechtigden (journalisten en advocaten) niet explicieter is gemaakt.

De leden van de PVV-fractie stellen in deze context de opvallende vraag of de regering nader kan onderbouwen waarom het mogelijk niet kunnen verstrekken van ongeëvalueerde gegevens aan andere diensten überhaupt een onaanvaardbaar risico voor de nationale veiligheid zou zijn.

Wat betreft het gerichtheidscriterium stellen de leden van de PvdA-fractie de vraag of de regering voorziet dat het criterium ‘zo gericht mogelijk’ in de toekomst nog nader wordt gespecificeerd. Verder zijn de leden benieuwd welke juridische voorzieningen de regering treft om de ‘zo gericht mogelijke’ behandeling van door informanten verkregen bulkdata af te dwingen. De leden van de PvdD-fractie vragen zich af waarom het gerichtheidscriterium, niet in de wet is opgenomen. Tot slot hebben ook de leden van de PVV-fractie verscheidene vragen over de eisen die aan het gerichtheidscriterium worden gesteld.

Het is interessant te bezien hoe de regering in de memorie van antwoord op deze vragen in zal gaan. Na verschijning van de memorie van antwoord zal dit bericht geupdate worden.

Sophie Harleman

Uitspraken HvJ EU over dataretentie

Op 6 oktober 2020 heeft het Hof van Justitie van de Europese Unie (HvJ EU) verscheidene arresten gewezen over het in bulk verstrekken van communicatiegegevens aan inlichtingen- en veiligheidsdiensten. Het betreft de zaken Privacy International (C-623/17) en samengevoegde zaken La Quadrature du Net and Others (C-511/18), French Data Network and Others (C-512/18) en Ordre des barreaux francophones et germanophone and Others (C-520/18).

De afgelopen jaren heeft het Hof van Justitie van de Europese Unie zich in verscheidene zaken uitgesproken over het opslaan van en toegang tot persoonsgegevens op het gebied van elektronische communicatie. Een opvallende uitspraak van het Hof is de Tele2 Sverige (C-203/15) uitspraak, waarin het Hof besliste dat lidstaten niet van aanbieders van elektronische communicatienetwerken en – diensten (hierna: providers) konden verlangen op een ongerichte en algemene wijze verkeers- en locatiegegevens te bewaren (zogenoemde metadata). In de uitspraken van het Hof van 6 oktober 2020 speelt, net als in Tele2 Sverige, de Europese richtlijn betreffende privacy en elektronische communicatie (Richtlijn 2002/58/EG) een centrale rol. Deze richtlijn ziet specifiek op de verwerking van persoonsgegevens door elektronische communicatiediensten.

Het Hof beslist in Privacy International allereerst dat zowel nationale wetgeving die providers verplicht verkeers- en locatiegegevens vast te houden, als wetgeving die ze verplicht de gegevens te overhandigen aan de inlichtingen- en veiligheidsdiensten, onder de reikwijdte van de richtlijn valt (par. 49).

Vervolgens buigt het Hof zich over de vraag of de richtlijn nationale wetgeving uitsluit die een overheidsinstantie de mogelijkheid verschaft van providers te eisen dat zij algemene en ongerichte verkeers- en locatiegegevens overdragen aan de inlichtingen- en veiligheidsdiensten, als deze overdracht als doel heeft de nationale veiligheid te waarborgen. Deze vraag is van belang gelet op artikel 4, lid 2 van het Verdrag betreffende de Europese Unie, dat o.a. luidt: “Met name de nationale veiligheid blijft de uitsluitende verantwoordelijkheid van elke lidstaat.”

Verkeers- en locatiegegevens mogen volgens artikel 5 van de privacy en elektronische communicatierichtlijn niet zonder toestemming worden opgeslagen of verstrekt aan derden, ook niet aan inlichtingen- of veiligheidsdiensten. De uitzondering op deze regel is neergelegd in artikel 15, lid 1 van de richtlijn: het mag wel wanneer er sprake is van een noodzakelijke, subsidiaire en proportionele maatregel in een democratische samenleving, die als doel heeft de nationale veiligheid en openbare veiligheid te waarborgen, criminaliteit te voorkomen en te bestrijden, of misbruik van het elektronische communicatienetwerk tegen te gaan.

Het Hof benadrukt dat het waarborgen van nationale veiligheid als doel zwaarder weegt dan de andere doelen die in artikel 15 van de richtlijn geformuleerd zijn (par. 75). Het gaat bij nationale veiligheid met name om het beschermen van essentiële functies en fundamentele belangen van de staat en de maatschappij. Daarbij moet ook worden gedacht aan het voorkomen en bestraffen van ontwrichtende activiteiten, zoals terrorisme (het Hof verwijst hierbij naar par. 135 van La Quadrature du Net and Others en de gevoegde uitspraken).

Het Hof stelt vast dat er in onderhavige zaak sprake is van wetgeving die ongerichte en algemene toegang tot verkeers- en locatiegegevens mogelijk maakt. Ook als er geen bewijs bestaat dat personen iets te maken hebben met het gestelde doel de nationale veiligheid te waarborgen, kunnen hun verkeers- en locatiegegevens overgedragen worden (par. 80).  Dergelijke wetgeving gaat volgens het Hof de grenzen van wat strikt noodzakelijk is te buiten, en kan niet worden geacht noodzakelijk te zijn in een democratische samenleving (par. 81).

Het Hof is dan ook van oordeel dat artikel 15, lid 1 van de Richtlijn, gelezen in het licht van artikel 4, lid 2 VEU en artikel 7, 8, 11 en 52, lid 2 van het Handvest van de Grondrechten van de Europese Unie, nationale wetgeving uitsluit die het mogelijk maakt dat overheidsinstanties van een provider algemene en ongerichte overdracht van verkeers- en locatiegegevens aan de inlichtingen en veiligheidsdiensten verlangt, ook als dit als doel heeft de nationale veiligheid te waarborgen (par. 82).

Het Hof benadrukt in de gevoegde zaken C-511/18, C-512/18 en C-520/18 echter, dat wetgeving die providers verplicht tot het vasthouden van gegevens voor een bepaalde tijd, en indien dit strikt noodzakelijk is, niet in strijd is met de richtlijn. Er moet dan wel sprake zijn van een serieuze dreiging voor de nationale veiligheid, die oprecht, aanwezig en voorzienbaar is (par. 137). Ook moet een dergelijke maatregel onderhevig zijn aan toetsing door een rechtbank of door een onafhankelijk bestuursorgaan dat bindende besluiten kan nemen (par. 139).

Het in real-time verzamelen van verkeers- en locatiegegevens dient volgens het Hof beperkt te zijn tot personen van wie het vermoeden bestaat dat zij betrokken zijn bij terroristische activiteiten. Ook hier geldt dat een voorafgaande controle door een rechter of onafhankelijk bestuursorgaan vereist is en dat de maatregel enkel is toegestaan voor zover dit strikt noodzakelijk is (par. 183-192).

Tot slot trekt het hof nog de conclusie dat het Unierecht niet de ongerichte en algemene retentie van IP-adressen uitsluit, mits dit als doel heeft de nationale veiligheid te waarborgen, serieuze criminaliteit tegen te gaan of de openbare veiligheid te beschermen. Ook hier geldt dat dit slechts voor een beperkte periode is toegestaan en dat de maatregel strikt noodzakelijk dient te zijn (par. 168).

Volgens deze recente uitspraken van het Hof is het ongericht verzamelen van telefoon- en internetgegevens dus strijdig met Europese privacyregels, ook wanneer dit gebeurt in het kader van het waarborgen van nationale veiligheid. Het is opvallend dat het Hof tot deze beslissing komt, gezien de tekst van artikel 4, lid 2 VEU. 

Sophie Harleman

Veroordeling tot 17-jaar gevangenisstraf voor voorbereiden van aanslag

Op 8 oktober 2020 heeft de rechtbank Rotterdam zes mannen veroordeeld (ECLI:NL:RBROT:2020:8905) voor het voorbereiden van een grote terroristische aanslag in Nederland. Daartoe heeft de verdachte deelgenomen aan een terroristische organisatie en heeft hij training gevolgd. De zaak heeft veel media-aandacht gekregen (zie ook dit NOS-bericht en de video).

In de uitspraak is de lezen hoe de verdachten met z’n vijven zijn een aanslag wilden plegen op een festival en dat zij ook een grote auto met behulp van een afstandsbediening tot ontploffing willen brengen in een andere stad, mogelijk vanuit Amsterdam.

De zaak kwam aan het rollen door een ambtsbericht van 26 april 2018 van de AIVD. In dit ambtsbericht werd melding gemaakt van het feit dat de verdachte (met de hoogst opgelegde gevangenisstraf) voorbereidingen trof om met een groep personen veel slachtoffers te maken door een terroristische aanslag te plegen op een groot evenement in Nederland. Hij was op zoek naar aanslagmiddelen voor meerdere personen en iemand die hierin kon faciliteren. Direct na ontvangst van dit ambtsbericht werd een groot opsporingsonderzoek, genaamd ‘26Orem’, gestart.

De verdediging voert aan dat sprake is van uitlokking van de verdachten en overtreding van het beginsel van ‘détournement de pouvoir’ door de AIVD. Volgens de verdediging is sprake van misbruik van bevoegdheden door de AIVD. De inlichtingendienst heeft haar bevoegdheden ingezet ten behoeve van strafvorderlijke doeleinden, waarbij belangrijke strafvorderlijke waarborgen opzij werden gezet. De verdediging kan volgens de rechtbank niet onderbouwen waarom sprake zou zijn van uitlokking.

Over de mate van controle door de strafrechter op AIVD onderzoek en de toetsing van de bruikbaarheid in het strafproces, verwijst de rechtbank naar het arrest (ECLI:NL:HR:2006:AV4122) van de Hoge Raad in de zaak ‘Eik’ uit 2006 met de volgende overweging:

“Een onderzoek door een inlichtingen- en veiligheidsdienst vindt plaats buiten de verantwoordelijkheid van de politie en het openbaar ministerie. De wetgever heeft de toetsing van de rechtmatigheid van het handelen van de AIVD toebedeeld aan de CTIVD. Dat daarmee de rechtmatigheidstoets aan de strafrechter onttrokken is en art. 359a Sv niet van toepassing is, neemt niet weg dat in een strafprocedure waarin van een inlichtingen- en veiligheidsdienst afkomstig materiaal voor het bewijs wordt gebruikt, moet zijn voldaan aan de eisen van een eerlijk proces. De strafrechter moet toetsen of dat het geval is. Onder omstandigheden mogen de resultaten van het door een inlichtingen- en veiligheidsdienst ingesteld onderzoek niet tot het bewijs worden gebezigd, bijvoorbeeld indien het optreden van de betrokken dienst een schending van de aan een verdachte toekomende fundamentele rechten heeft opgeleverd die van dien aard is dat daardoor geen sprake meer is van fair trial als bedoeld in art. 6 EVRM.”

De rechtbank overweegt dat er sterke aanwijzingen zijn dat er een verband is tussen de inzet van (niet politiële) infiltranten en de AIVD. Bij gebreke aan nadere transparantie gaat de rechtbank ervan uit dat de desbetreffende persoon of personen die met de verdachte contact heeft/hebben gehad gerelateerd zijn aan de AIVD. Deze infiltranten zijn contact met de verdachte blijven onderhouden. Ondanks dat de infiltranten in hun e-mails de verdachte lijken te steunen bij de uitvoering van zijn plannen, religieuze opvattingen met hem uitwisselen, bij hem erop aandringen nieuwe e-mailadressen aan te maken en contact op te nemen en te onderhouden met ‘hun broeder (de politie-infiltrant)’, is er volgens de rechtbank geen sprake van (het verbod op) uitlokking. De verdachte is door de politie-infiltrant niet tot handelingen gebracht waarop zijn opzet niet al tevoren was gericht

De handelingen onder verantwoordelijkheid van de AIVD hebben echter wel aan bijgedragen dat de verdachte met de politie-infiltrant in contact is gekomen en gebleven en zij lijken hem te hebben beïnvloed bij het vasthouden aan een bepaald doelwit voor een aanslag, ook op momenten dat de verdachte leek af te dwalen of meer tijd nodig leek te hebben. Dit handelen van de AIVD tijdens het opsporingsonderzoek is een vorm van niet-toegestane beïnvloeding. Een dergelijke vorm van niet controleerbare en niet transparante bemoeienis brengt naar het oordeel van de rechtbank het waarborgen van een eerlijk proces in gevaar. De rechtbank verbindt hier een sanctie aan, namelijk drie jaar strafvermindering voor de verdachte.

De rechtbank acht de verdachte schuldig aan de voorbereiding van een grote terroristische aanslag op willekeurige burgers en politie in Nederland. Zij hebben gezamenlijk deelgenomen aan een terroristische organisatie en een training gevolgd met het oog op het plegen van een terroristisch misdrijf. De verdachte en de medeverdachten waren voornemens eind 2018 met een voertuig een (zware) bomaanslag te plegen en elders een festival binnen te dringen ‘schietend als een gek op mensen’ met Kalasjnikovs. De verdachte en de medeverdachten zouden daarbij ook handgranaten en bomvesten hebben willen gebruiken. De bomvesten zouden gebruikt moeten worden als de politie zou arriveren, zodat ook zij daarmee slachtoffer zouden worden. De verdachte en de medeverdachten hadden namelijk duidelijk kenbaar gemaakt dat zij zelf niet levend in handen van de politie zouden willen vallen. De verdachte heeft grote hoeveelheden (beeld)materiaal aangaande het radicale en extremistische gedachtengoed van de gewapende jihadstrijd voorhanden gehad, zoals dat onder meer door terroristische organisaties als Islamitische Staat (verder: IS) wordt gepubliceerd en verkondigd.

De rechtbank overweegt ook dat deze aanslagen worden gepleegd vanuit een intolerante religieuze ideologie, waarbij wordt geprobeerd het eigen gelijk op gewelddadige wijze aan anderen op te leggen en waarbij de bevolking veelal slachtoffer is en ernstige vrees wordt aangejaagd. Daarbij worden geen middelen en methoden geschuwd. De verdachte en de medeverdachten hebben zowel de burgerbevolking als de politie in Nederland op zware wijze beoogd te treffen met een bloedige aanslag waarbij grote aantallen onschuldige personen het slachtoffer zouden moeten worden. Dankzij tijdig ingrijpen van de Nederlandse overheidsdiensten hebben de verdachte en de medeverdachten hun plannen niet kunnen uitvoeren.

De verdachte wordt veroordeeld voor de hoge gevangenisstraf van 17 jaar. De rechtbank legt tevens een maatregel voor gedragsbeïnvloeding of vrijheidsbeperking op, zoals bedoeld in artikel 38z Sr. Op die manier wordt het mogelijk om de verdachte in aansluiting op de gevangenisstraf onder toezicht te stellen indien dit op dat moment nog noodzakelijk wordt geacht.

Jan-Jaap Oerlemans

Intrekking Nederlanderschap en ongewenstverklaring

Op 11 augustus 2020 heeft de afdeling bestuursrecht van de rechtbank Den Haag een zeer uitvoering vonnis gewezen over de intrekking van Nederlanderschap en ongewenstverklaring van een Syriëganger. Normaal bespreek ik geen uitspraken uit andere rechtsgebieden, maar voor deze rubriek en in dit geval maak ik een uitzondering.

De eiser krijg geen toestemming op grond van art. 8:29 Algemene wet bestuursrecht (hierna: Awb) om de onderliggende stukken te zien voor de intrekking van het Nederlanderschap, waaronder een ambtsbericht van de AIVD. De rechtbank heeft met toepassing van artikel 8:45 lid 1 van de Awb de minister van Binnenlandse Zaken en Koninkrijksrelaties (hierna: de minister), die geen partij is, bij brief van 13 mei 2020 verzocht inzage te geven in de stukken die ten grondslag liggen aan het ambtsbericht. Bij brief van 22 mei 2020 heeft de minister de rechtbank onder verwijzing naar het bepaalde in artikel 8:29, eerste lid, van de Awb medegedeeld dat alleen de rechtbank kennis mag nemen van de onderliggende stukken van het ambtsbericht.

Eiser is in 1982 geboren in Amsterdam, uit ouders met de Marokkaanse nationaliteit. Later is hij Nederlander geworden. Op 25 oktober 2010 is eiser wegens vertrek uit Nederland uitgeschreven uit de brp van de gemeente Amsterdam naar het Register Niet-Ingezetenen. Op 18 oktober 2019 heeft de Algemene Inlichtingen- en Veiligheidsdienst (hierna: AIVD) een individueel ambtsbericht uitgebracht over eiser. Dit ambtsbericht luidt als volgt:

“In het kader van zijn wettelijke taakuitvoering beschikt de Algemene Inlichtingen en Veiligheidsdienst (AIVD) over de volgende betrouwbare informatie met betrekking tot [eiser] , geboren op [geboortedag] 1982 te Amsterdam, BSN [BSN-nummer], die volgens de BRP per 25-10-2010 is uitgeschreven met onbekende bestemming. Betrokkene bevindt zich sinds de zomer van 2012 in Syrië, alwaar hij zich aansloot bij de Islamitische Staat in Irak en al-Sham (ISIS). Vanaf medio 2014 tot maart 2019 wordt hij uitsluitend gelokaliseerd in Syrië in plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS. Na 11 maart 2017 bleef betrokkene in het strijdgebied en verrichtte hij (administratieve) medische werkzaamheden voor ISIS in Syrië. Uit een eerdere relatie heeft betrokkene een minderjarige zoon genaamd [C]. [C] is begin 2014 in Syrië geboren. Een afschrift van dit ambtsbericht wordt verstrekt aan de LOvJ.”

Bij afzonderlijke besluiten van 3 december 2019 heeft het ministerie van Justitie en Veiligheid het Nederlanderschap van eiser ingetrokken op grond van artikel 14, vierde lid, van de Rijkswet op het Nederlanderschap (hierna: RWN) en hem tot ongewenst vreemdeling verklaard in de zin van artikel 67 van de Vreemdelingenwet 2000 (Vw 2000) wegens gevaar voor de nationale veiligheid en in het belang van de internationale betrekkingen van Nederland.

De rechtbank overweegt dat uit de Memorie van Antwoord blijkt dat de aansluiting bij een organisatie zal moeten blijken uit de gedragingen van betrokkene, waarvoor doorgaans een ambtsbericht van de AIVD voorhanden is. Dit ambtsbericht kan gebaseerd zijn op een veelheid van bronnen en van geval tot geval zal moeten worden bepaald wanneer er sprake is van voldoende zekerheid over de feiten (Kamerstukken I 2015-2016, 34 356 (R2064), nr. C, onderdeel 4).

De rechtbank overweegt over het ambtsbericht dat uit het ambtsbericht onder meer blijkt dat eiser zich sinds de zomer van 2012 in Syrië bevindt, alwaar hij zich heeft aangesloten bij de Islamitische Staat in Irak en al-Sham (ISIS), dat hij vanaf medio 2014 tot maart 2019 uitsluitend gelokaliseerd wordt in Syrië op plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS, en dat hij na 11 maart 2017 in het strijdgebied verbleef en (administratieve) medische werkzaamheden verrichtte voor ISIS in Syrië.

De verweerder stelt dat de opgelegde maatregel disproportioneel is. De rechtbank overweegt dat de intrekking van de nationaliteit is weliswaar een zwaar middel is, maar dat het doel van de maatregel -het belang van bescherming van de nationale veiligheid- rechtvaardigt dat hiervan gebruik gemaakt wordt indien aan de eisen voor toepassing van artikel 14, vierde lid, van de RWN is voldaan. Naar het oordeel van de rechtbank is daaraan in het geval van eiseres voldaan. Door de intrekking van het Nederlanderschap en de ongewenstverklaring wordt de legale terugkeer van eiseres naar Nederland en het Schengengebied onmogelijk gemaakt en wordt de feitelijke terugkeer bemoeilijkt doordat eiseres zal worden gesignaleerd als ongewenst vreemdeling in verschillende systemen die kunnen worden geraadpleegd bij grenscontroles en uitgifte van visa. De rechtbank beoordeelt de maatregel als geschikt en passend om het doel te bereiken. De verweerder (het ministerie van justitie en veiligheid) heeft terecht gesteld dat er geen alternatieven zijn die hetzelfde effect hebben als de onderhavige maatregel. De intrekking of vervallenverklaring van een paspoort is geen redelijk alternatief omdat dit, kort gezegd, het recht op terugkeer naar Nederland onverlet laat.

De gemachtigde van eiser vraagt zich verder af hoe het ministerie weet dat het ambtsbericht op voldoende grondslag is gebaseerd. De gemachtigde vraagt zich ook af of wordt voldaan aan de eis van objectiviteit en wijst er op dat de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten, die op 16 juni 2020 een rapport heeft uitgebracht over deze materie, niet geëquipeerd zou zijn een oordeel te geven over individuele ambtsberichten en dat de onderliggende motivering van het standpunt van de landsadvocaat ontbreekt. De verweerder stelt dat uit het ambtsbericht blijkt dat eiser concrete taken ten behoeve van ISIS heeft verricht. Wat de conclusies van de CTIVD betreft, merkt verweerder op dat de CTIVD heeft geoordeeld dat dat de AIVD bij het uitbrengen van de ambtsberichten in het kader van artikel 14, vierde lid, van de RWN in alle gevallen rechtmatig heeft gehandeld, maar dat het bestuursorgaan degene is die de beslissingen neemt op basis van de ambtsberichten. De mogelijkheid om inzage te vragen in de onderliggende stukken als de ambtsberichten onvoldoende duidelijk zijn, is aanwezig. Aangezien het ambtsbericht helder is en voldoende essentiële informatie bevat, is van deze mogelijkheid geen gebruik gemaakt.

De rechtbank overweegt dat het ambtsbericht zoals het er ligt voldoende feitelijke en kenbare informatie bevat. Eiser was ten tijde van belang aangesloten bij een terroristische organisatie die voorkomt op de lijst (ISIS) en heeft concrete werkzaamheden voor de organisatie verricht. Verweerder heeft aan zijn motiveringsplicht voldaan. Er is geen tegenbewijs geleverd. In hetgeen de gemachtigde naar voren heeft gebracht ziet de rechtbank geen aanknopingspunten voor twijfel aan de juistheid van het gestelde in het ambtsbericht. Verweerder heeft terecht geconcludeerd dat eiser een gevaar vormde voor de nationale veiligheid. De rechtbank overweegt voorts dat het rapport van de CTIVD (Toezichtsrapport over het handelen van de AIVD in het kader van de intrekking van het Nederlanderschap in het belang van de nationale veiligheid, nr. 68, vastgesteld op 29 april 2020) geen aanknopingspunten bevat voor het oordeel dat op grond daarvan geen betekenis aan de uitgebrachte ambtsberichten kan worden gehecht. De rechtbank moet beoordelen of in het individuele geval van eiser voldaan is aan de vereisten voor intrekking en of het ambtsbericht daar voldoende grondslag voor biedt. Zoals in het voorgaande is geconcludeerd, is de rechtbank van oordeel dat in het geval van eiser, gelet op de inhoud van het uitgebrachte ambtsbericht, voldaan is aan de vereisten voor intrekking van het Nederlanderschap. Zoals de rechtbank in eerdere vergelijkbare zaken heeft geoordeeld (zie bijvoorbeeld de uitspraak van 14 april 2020, ECLI:NL:RBDHA:2020:5784) acht zij de maatregel noodzakelijk en proportioneel.

Verweerder heeft, onder verwijzing naar verschillende edities van het Dreigingsbeeld Terrorisme Nederland, het rapport ‘Terugkeerders in beeld’ (.pdf) van de AIVD van februari 2017 en eerder gepleegde aanslagen door zogeheten terugkeerders, er op gewezen dat het risico bestaat dat terugkeerders aanslagen plegen en de binnenlandse jihadistische beweging versterken. Ook bestaat het gevaar dat zij anderen rekruteren voor de gewapende strijd. De rechtbank is van oordeel dat, zoals ook de Afdeling in de eerdergenoemde uitspraken van 17 april 2019 heeft overwogen, daarmee de noodzaak van de maatregel in het belang van de bescherming van de nationale veiligheid is aangetoond. Daarnaast heeft de rechtbank geoordeeld dat de intrekking van de nationaliteit weliswaar een zwaar middel is, maar dat naast bestaande maatregelen aan deze -preventieve- maatregel behoefte bestaat gezien het doel ervan, te weten het belang van de bescherming van de nationale veiligheid. De maatregel moet daarom proportioneel worden geacht. De rechtbank overweegt verder dat uit vaste jurisprudentie volgt (zie bijvoorbeeld de uitspraken van 22 april 2015, ECLI:NL:RVS:2015:1278 en 15 mei 2019, ECLI:NL:RVS:2019:1582) dat, indien uit een ambtsbericht van de AIVD op objectieve, onpartijdige en inzichtelijke wijze blijkt welke feiten en omstandigheden aan de conclusie vervat in dit ambtsbericht ten grondslag zijn gelegd en deze conclusie niet onbegrijpelijk is zonder nadere toelichting, voor het bestuursorgaan dat beslist over de verkrijging van het Nederlanderschap geen aanleiding bestaat om de aan dit ambtsbericht ten grondslag liggende stukken in te zien, tenzij de betrokkene concrete aanknopingspunten voor twijfel aan de juistheid of volledigheid van dit ambtsbericht naar voren heeft gebracht. Verder volgt hieruit dat er in beginsel van mag worden uitgegaan dat door de AIVD verricht onderzoek op zorgvuldige wijze heeft plaatsgevonden en dat vermelding van de aan een ambtsbericht van de AIVD ten grondslag liggende bron, dan wel bronnen, achterwege mag blijven wegens de vertrouwelijkheid ervan.

De rechtbank is van oordeel dat het Ministerie van Justitie en Veiligheid op grond van de informatie uit het ambtsbericht bevoegd was tot intrekking van het Nederlanderschap van eiseres over te gaan.

Jan-Jaap Oerlemans

Annotatie over Playpen-zaak

Deze blogpost bevat mijn annotatie (.pdf) in Computerrecht over de veroordeling (Rb. Midden-Nederland 15 oktober 2019, ECLI:NL:RBMNE:2019:4766) van een Nederlandse verdachte die actief was op het kinderpornoforum ‘Playpen’ op het dark web.

Inleiding

Playpen is door de media ook wel bestempeld als “the most ‘notorious darknet child pornography site. De zaak is interessant, omdat het een veroordeling van een Nederlandse verdachte betreft voor het bezit en toegang verschaffen tot kinderpornografisch materiaal en de verspreiding van kinderporno via het forum.

De Nederlandse kinderpornogebruiker is door een Amerikaanse operatie geïdentificeerd, waarbij vermoedelijk computers zijn gehackt en software is gebruikt om bezoekers van het Tor-forum Playpen te de-anomiseren. Dit roept vragen op die in de uitspraak onbeantwoord blijven, zoals:

‘is een dergelijke operatie met de nieuwe hackbevoegdheid ook onder Nederlands recht toegestaan?’

In deze annotatie wordt kort de Amerikaanse operatie uitgelicht. Daarna wordt ingegaan op het oordeel in de uitspraak zelf met betrekking tot het bezit en toegang verschaffen tot kinderpornografisch materiaal en de verspreiding van kinderporno via Playpen. Ter afsluiting wordt ingegaan op de nieuwe mogelijkheden van de hackbevoegdheid, dat per 1 maart 2019 door de implementatie van de Wet computercriminaliteit III in het Wetboek van Strafvordering (Sv) is te vinden.

Achtergrond Operation Pacifier

Playpen betrof een zogenoemde ‘hidden service’, in dit geval een forum dat alleen via Tor bereikbaar was en in de periode van 2014-2015 online was. Op het forum werd (ook prepuberale) kinderpornografie uitgewisseld tussen forumleden. Met gebruik van het Tor systeem kunnen internetgebruikers anoniem internetten, wordt het netwerkverkeer versleuteld en kunnen internetdiensten worden geraadpleegd die niet via het reguliere internet bereikbaar zijn.

Het forum Playpen kreeg veel media-aandacht, omdat de FBI in 2015 in ‘Operation Pacifier’ de bezoekers van het forum de-anonimiseerde. Volgens onderzoeksjournalisten zoals Joseph Cox is dit mogelijk gemaakt, omdat de FBI de website tijdelijk heeft overgenomen en met behulp van een ‘technisch hulpmiddel’ (software) identificerende informatie over de bezoekers van de website heeft vastgelegd, zoals IP-adressen, Mac-adressen en andere technische informatie van de computers van de bezoekers.

Door de operatie waren in mei 2017 al 870 personen opgepakt of veroordeeld, waarvan 368 in de Europese Unie. Bovendien zijn 259 misbruikte kinderen geïdentificeerd of uit hun slachtoffersituatie ontzet. De operatie heeft ook tot kritiek geleid, omdat Amerikaanse autoriteiten ook privé-gegevens van niet-Amerikanen heeft verzameld en daarmee buiten haar jurisdictie zou treden. De FBI zou ook niet transparant genoeg zijn over het gebruik van het technische hulpmiddel in deze strafzaken, hetgeen mogelijk in spanning staat met het recht op het eerlijk proces (zie ook Kate Tummarello, ‘The Fight Against General Warrants to Hack Rages On’, Electronic Frontier Foundation, 9 mei 2017).   

Verstrekking van gegevens aan Europol en buitenlandse opsporingsdiensten

Na de operatie heeft de FBI naar verluidt de identificerende informatie van niet-Amerikaanse bezoekers aan Europol overgedragen. Europol heeft vervolgens vanwege haar coördinerende taak die gegevens doorgegeven aan de verschillende nationale opsporingsautoriteiten binnen de Europese Unie (zie Mark Hendrikman, ‘FBI-onderzoek naar kinderporno op Tor levert meer dan 3000 zaken in Europa op’, Tweakers.net, 24 januari 2016 en het persbericht van Europol, ‘Major online child sexual abuse operation leads to 368 arrests in Europe’ van 5 mei 2017). De Nederlandse autoriteiten vielen hier klaarblijkelijk ook onder. Hoewel de naam van het forum in de uitspraak is geanonimiseerd, blijkt uit Nederlandse berichtgeving dat de verdachte is veroordeeld vanwege zijn activiteiten op het kinderpornoforum Playpen (zie bijvoorbeeld Riks Ozinga, ‘Verdachte in kinderpornozaak krijgt taakstraf en voorwaardelijke celstraf’, RTV Utrecht, 16 oktober 2019).

Vertrouwensbeginsel

Zoals ik eerder in een annotatie bij een andere kinderpornozaak heb opgemerkt, worden vaker dit soort gegevens over kinderpornogebruikers uitgewisseld. Op grond van het vertrouwensbeginsel uit het internationale recht, mag het Openbaar Ministerie er op vertrouwen dat het bewijs op rechtmatige wijze door buitenlandse autoriteiten is vergaard (zie o.a. zie HR 31 januari 2006, ECLI:NL:HR:2006:AU3426). Het bewijs mag daarom in principe worden gebruikt in de Nederlandse strafzaak.

Veroordeling Nederlandse verdachte

De rechtbank Midden-Nederland heeft in de verdachte veroordeeld voor het bezit, toegang verschaffen, en de verspreiding van kinderpornografisch materiaal via een internetforum. De verdachte heeft op twee momenten een ‘thread’ gestart (nieuw onderwerp van discussie op het forum) en vervolgens kinderpornografisch materiaal gedeeld op het besloten forum. In de uitspraak is te lezen dat ‘‘de exacte activiteiten van individuele forumgebruikers alleen konden worden vastgesteld over de periode van 20 februari 2015 tot en met 5 maart 2015’’.

De rechtbank gaat mee met het verweer van de verdediging van de verdachte dat daarmee nog geen sprake is van het gewoonte maken van de verspreiding tot kinderpornografisch materiaal. De rechtbank acht aldus de verspreiding van kinderpornografisch materiaal bewezen, maar niet het gewoonte maken daarvan (waar een hogere straf op straf op staat) (zie rechtsoverweging 4.3).

De verdachte heeft wel een gewoonte gemaakt van het bezit van kinderpornografie. In het door de politie in beslag genomen materiaal, bevonden zich in totaal 103.132 foto’s en 243 video’s. In een willekeurige selectie van ‘ongeveer 25%’ daarvan, zijn 16.453 foto’s en 172 video’s beoordeeld als kinderpornografisch. De bekennende verdachte heeft verklaard dat hij 2 à 3 keer per week kinderpornografische sites bezocht en dat als hij afbeeldingen ging downloaden, dat het er tussen de 20 en 100 per keer waren. Gelet op het aantal aangetroffen kinderpornografische afbeeldingen en de frequentie waarmee verdachte het kinderpornografisch materiaal heeft gedownload, is de rechtbank van oordeel dat verdachte een gewoonte heeft gemaakt van het in het bezit hebben van kinderpornografisch materiaal (zie r.o. 4.3).

Strafmaat

De rechtbank voert een uitgebreide strafoverweging (zie r.o. 8.3). Het overweegt daarbij in het nadeel van de verdachte dat hij zich een lange periode schuldig heeft gemaakt aan het in bezit hebben van pornografisch materiaal, de grote hoeveelheid afbeeldingen die bij verdachte zijn aangetroffen en de (jonge) leeftijd van de minderjarigen die op de aangetroffen afbeeldingen stonden.

In het voordeel van verdachte neemt de rechtbank mee dat de verdachte volledig heeft meegewerkt aan het onderzoek, spijt heeft van zijn gedragingen en in behandeling is. Het recidiverisico wordt door de reclassering, op basis van gesprekken met zijn behandelaar, ingeschat als laag. De rechtbank legt de verdachte een gevangenisstraf op van één jaar, waarvan 364 dagen voorwaardelijk, met een proeftijd van drie jaar. De verdachte krijgt verder een taakstraf van 240 uur.

Toepassing hackbevoegdheid op een forum als Playpen?

Nu rest de vraag of een dergelijke operatie zoals de FBI heeft uitgevoerd ook onder Nederlands recht mogelijk is. Uiteraard kan deze vraag alleen worden beantwoord aan de hand van de omstandigheden van het geval. Echter, als ratio van de nieuwe hackbevoegdheid in artikel 126nba Sv is door de wetgever specifiek meegegeven dat de inzet van de hackbevoegdheid het mogelijk maakt om verdachten te identificeren die actief zijn op Tor en zich met kinderpornografie bezighouden (Kamerstukken II 2015/16, 34372, nr. 3, p. 20).

Op grond van artikel 126nba lid 1 sub a Sv kan de Nederlandse politie met de inzet van de hackbevoegdheid onder strenge voorwaarden op afstand binnendringen in computers, zoals een webserver van een forum en de computer van een verdachte, en vervolgens gegevens vastleggen ter identificatie van die verdachte. De ‘Aanwijzing voor de internationale aspecten van de inzet van de bevoegdheid ex art. 126nba Sv’ geeft allerlei factoren mee die een officier van justitie in overweging moet nemen als hij of zij een rechter-commissaris om toestemming vraagt de hackbevoegdheid in te zetten, waarbij mogelijk computers in het buitenland worden binnengedrongen.

Kort gezegd valt te beargumenteren dat een dergelijke operatie doorgang mag vinden, vanwege het feit dat een webserver en de bezoekers via Tor in beginsel ‘niet redelijkerwijs’ te lokaliseren zijn en het zeer ernstige feiten zijn met mogelijk Nederlandse daders en slachtoffers (zie ook Kamerstukken II 2015/16, 34372, nr. 3, p. 47 met specifiek het gebruik van Tor als voorbeeld).

Tot slot

De veroordelingen in binnen- en buitenland naar aanleiding van Operation Pacifier laat ook zien dat het bewijs afkomstig van de hackbevoegdheid kan standhouden, ondanks bezwaren van advocaten en privacybelangenorganisaties.

Een interessante vraag daarbij is ten slotte nog in hoeverre de politie openheid van zaken moet geven van de toepassing van de hackbevoegdheid en het gebruikte technische hulpmiddel. In Nederland staat in artikel 126nba lid 2 sub d Sv dat “een aanduiding van de aard en functionaliteit van het technische hulpmiddel” moet worden verstrekt. Ook schrijft het ‘Besluit onderzoek in een geautomatiseerd werk’ allerlei technische vereisten en logging voor (zie Stb. 2018, 340 voor het Besluit onderzoek in een geautomatiseerd werk en de toelichting daarop).

De verdediging kan in het kader van het recht op een eerlijk proces zoveel als mogelijk nagaan op welke wijze het bewijsmateriaal is vergaard en op zekere hoogte de betrouwbaarheid van het vergaarde bewijs ter discussie stellen (zie als mogelijke voorloper de ‘Aydin C.-zaak’, Rb. Amsterdam 16 maart 2017, ECLI:NL:RBAMS:2017:1627, Computerrecht 2017/103, m.nt. J.J. Oerlemans). Het zijn zeker aspecten waar de rechtspraak in de toekomst ervaring mee opdoet als de hackbevoegdheid wordt toegepast en het resultaat daarvan in opsporingsonderzoeken als bewijs wordt gebruikt.

Citeertitel: Rb. Midden-Nederland 15 oktober 2019, ECLI:NL:RBMNE:2019:4766, Computerrecht 2020/9, m.nt. J.J. Oerlemans.

Hoofdstukken uit ‘Strafrecht en ICT’ in open access beschikbaar

In januari 2019 verscheen het boek ‘Strafrecht en ICT’ van Bert-Jaap Koops en mij. Het boek betreft een studieboek en naslagwerk. We hebben goede reacties uit de praktijk gekregen.

Nu de embargoperiode van Sdu voorbij is, mag ik de belangrijkste hoofdstukken online zetten. Hieronder staan de links met een indicatie van de inhoud.

Materieel strafrecht en ICT
Het hoofdstuk biedt een overzicht van de strafbepalingen, wetsgeschiedenis en jurisprudentie over computercriminaliteit. Het hoofdstuk heeft de volgende inhoud:

  • Computervredebreuk en wederrechtelijk overnemen van gegevens
  • Afluisteren, aftappen en opnemen van communicatie
  • Verstoring van computergegevens
  • Verstoring van computersystemen
  • Misbruik van technische hulpmiddelen
  • Klassieke vermogensdelicten
  • Valsheid in geschrifte
  • Oplichting
  • Computergerelateerde zedenmisdrijven
  • Uitingsdelicten
  • Auteursrechtschendingen
  • Blik op de toekomst

Formeel strafrecht en ICT
Dit hoofdstuk behandeld alle relevante opsporingsbevoegdheden die worden in gezet in opsporingsonderzoeken naar cybercrime. Dit is de inhoudsindicatie:

  • Het opsporingsonderzoek
  • Doorzoeking, inbeslagname en onderzoek van gegevens in computers
  • Het vorderen van gegevens
  • De telecommunicatietap
  • Direct afluisteren
  • Stelselmatige observatie en locatiebepaling
  • Hacken als opsporingsbevoegdheid
  • Vergaren van publiekelijk toegankelijke online gegevens
  • Online undercover opsporingsmethoden
  • Digitaal bewijs
  • Blik op de toekomst

Grensoverschrijdende digitale opsporing

Dit hoofdstuk gaat over jurisdictie, het Cybercrimeverdrag, andere belangrijke verdragen en de grensoverschrijdende toepassing van opsporingsbevoegdheden. De inhoud is als volgt:

  • Jurisdictie en rechtshulp
  • Het Cybercrimeverdrag en internationale samenwerking in digitale opsporing
  • Grensoverschrijdende toepassing van bevoegdheden  
  • U.S. Cloud Act
  • Tweede Protocol bij het Cybercrimeverdrag (concept
  • EU-voorstellen voor digitale bewijsgaring

Aanwijzing grensoverschrijdende inzet hackbevoegdheid

Posted on 11/04/2019 op Oerlemansblog

Op 26 februari 2019 is de “Aanwijzing voor de internationale aspecten van de inzet van de bevoegdheid ex art. 126nba Sv” gepubliceerd (Stcrt. 2019, 10277). De aanwijzing geeft regels voor de toepassing van de hackevoegdheid (artikel 126nba Sv), omdat mogelijk via internet geautomatiseerde werken kunnen worden benaderd  die zich in het buitenland bevinden.

In de aanwijzing staat een rechtshulpverzoek het uitgangspunt voor het plegen van opsporingshandelingen buiten Nederland. In een rechtshulpverzoek moet de officier een verzoek doen de gezochte gegevens te vorderen en/of (zelfstandig) veilig te stellen op basis van de daarvoor in dat land geldende wettelijke grondslagen. Indien op het moment waarop aan de rechter-commissaris machtiging voor de inzet van de bevoegdheid van artikel 126nba Sv gevraagd wordt, bekend is dat de gegevens niet in Nederland zijn opgeslagen, wordt dat in de aanvraag vermeld. Hiermee is in een dergelijke situatie verzekerd dat het aspect van de inbreuk op de soevereiniteit van een andere staat onderwerp vormt van een expliciete afweging door de officier van justitie en de rechter-commissaris.

Als met een redelijke inspanning niet kan worden vastgesteld wat de locatie van geautomatiseerd verwerkte gegevens is, wordt gehandeld alsof de gegevens in Nederland zijn opgeslagen. Daarvan kan blijkens de aanwijzing ook sprake zijn als niet langer kan worden gewacht op een reactie of er geen reactie van het land is te verwachten op een rechtshulpverzoek. Ook kan hiervan bijvoorbeeld sprake zijn bij het gebruik van anonimiseringssoftware of opslag in de cloud. Met een ingewikkelde formulering wordt de redelijke inspanning beschreven met: ‘de tijd en moeite voor het vaststellen van een specifieke geografische locatie in een reële verhouding tot de noodzakelijkheid van onverwijld optreden, de tijdsdruk en de doorlooptijd van het onderzoek’. In de aanwijzing wordt een interne procedure bij het Openbaar Ministerie beschreven die moet worden gevolgd.

Afwegingscriteria

Als afwegingscriteria voor de (mogelijke) grensoverschrijdende inzet staan in de aanwijzing: (a) ernst of onmiddellijkheid van de gevolgen van de aanval of dreiging; (b) aard en ernst van het strafbare feit; (c) vluchtigheid van de gegevens of informatie die wordt gezocht, en of die moet worden veiliggesteld, danwel ontoegankelijk moet worden gemaakt; (d) mate van betrokkenheid van de Nederlandse rechtsorde en de gevolgen daarvoor (inclusief slachtofferbelangen) (e) de aard van de te verrichten opsporingshandelingen: afhankelijk van de mate van ingrijpendheid, mate van inbreuk op de privacy van de verdachte, mate van inbreuk op privacy van slachtoffers die middels het geautomatiseerde werk wordt gemaakt en (f) risico’s voor het geautomatiseerde werk, d.w.z. technische risico’s en een inschatting van de mogelijke schade voor derden.

Als tijdens de onderzoekshandelingen blijkt dat deze gericht zijn op gegevens die zich op het territorium van een specifieke andere staat bevinden, wordt zo snel mogelijk alsnog een rechtshulpverzoek gedaan aan de desbetreffende staat voor het gebruik van deze gegevens en het onderzoek of besloten de onderzoekshandelingen te stoppen. De uitzondering daarop is dat het belang van het onderzoek groter wordt geacht dan de mogelijke schending van de soevereiniteit van die andere staat of staten. Dat brengt mee dat de officier van justitie in alle gevallen aan de rechter-commissaris meldt wat bekend is over de locatie van de gegevens. Dat geldt dus ook in het geval dat er niets bekend is over de locatie van de gegevens.

Kort commentaar

De overwegingen en instructies in de richtlijn zijn niet verassend, omdat de wetsgeschiedenis over de Wet computercriminaliteit III soortgelijke overwegingen aangeeft. Wat mij betreft komt in de aanwijzing nu duidelijker naar voren dat de grensoverschrijdende inzet ook toelaatbaar wordt geacht als de reactie op een verzoek te lang zich laat wachten, of geen reactie van het land is te verwachten. Ook bleek in de wetsgeschiedenis nog het uitgangspunt te zijn dat het desbetreffende land altijd wordt geïnformeerd over de inzet van de hackbevoegdheid als de locatie bekend wordt, terwijl nu – als ik het goed begrijp – een uitzondering van toepassing kan zijn als ‘het belang van het onderzoek groter wordt geacht dan de mogelijke schending van de soevereiniteit van die andere staat of staten’.

Ik blijf benieuwd hoe internationaal strafrechtjuristen hierover denken die niet zozeer gespecialiseerd zijn in IT-recht, dus ik houd mij aanbevolen voor publicaties of reacties op het onderwerp.

De Wiv 2017: een technologisch gedreven wet

Posted on op Oerlemansblog

Vorige week is een artikel gepubliceerd van Mireille Hagens en mijzelf over de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). Het artikel gaat in op de bijzondere bevoegdheden van onderzoeksopdrachtgerichte interceptie, de hackbevoegdheid, de informantenbevoegdheid en het verzamelen van gegevens op internet. Ook worden belangrijke wijzigingen met betrekking tot toezicht en enkele waarborgen in de wet toegelicht. Hieronder volgt een korte toelichting op de achtergrond en het doel van het artikel.

Achtergrond

Het landschap waarin inlichtingen- en veiligheidsdiensten opereren is in de afgelopen 15 jaar door technologische ontwikkelingen drastisch veranderd. Aan de ene kant betekende dit een beperking van de mogelijkheden van de AIVD en de MIVD, met name met betrekking tot het onderscheppen van de inhoud van communicatie met de bevoegdheden die ze hadden onder de Wet op de inlichtingen- en veiligheidsdienst 2002. Daarin was immers niet voorzien in de bevoegdheid tot bulkinterceptie van de kabel. Aan de andere kant biedt de andere (digitale) context nieuwe mogelijkheden met de bestaande bevoegdheden. Daarmee kunnen immers grotere hoeveelheden (persoons)gegevens worden verkregen. Daarbij kan gedacht worden aan de hackbevoegdheid, de bevoegdheid op vrijwillige basis gegevens te verkrijgen (informantenbevoegdheid) en het verzamelen van gegevens op internet. De verkregen gegevens konden vervolgens met steeds geavanceerder technieken worden geanalyseerd.

Veranderingen in de Wiv

Deze technische ontwikkelingen zijn een belangrijke drijfveer geweest voor de wijzigingen die in de Wiv 2017 zijn vastgelegd. Als tegenwicht voor – onder andere – het mogelijk maken van de nieuwe bevoegdheid tot onderzoeksopdrachtgerichte interceptie op de kabel (ook wel bulkinterceptie genoemd), zijn nieuwe waarborgen en een versterking van het toezicht in de wet gecreëerd. Daarbij kan worden gedacht aan de instelling van de Toetsingscommissie Inzet Bevoegdheden (TIB) en meer waarborgen omtrent het verwerken van gegevens, zoals de introductie van een zorgplicht voor de kwaliteit van gegevensverwerking en het vereiste van een ‘zo gericht mogelijke inzet’. Deze wijzigingen zijn ook deels ingegeven door de jurisprudentie van het Europees Hof van de Rechten van de Mens en aanbevelingen uit toezichtsrapporten van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD).

Artikel

In ons artikel bespreken we de bevoegdheden die een andere dimensie door digitalisering hebben gekregen en de belangrijkste wijzigingen met betrekking tot toezicht en waarborgen in de wet. Daarbij hebben wij ook de laatste ontwikkelingen met betrekking tot de nieuwe Wiv uit april van dit jaar meegenomen die het kabinet heeft aangekondigd als resultaat van de negatieve uitslag van het raadgevend referendum over de nieuwe Wiv op 21 maart 2018. Ook in de toekomst zullen wij ons bezighouden met het schrijven over de Wiv 2017.

Jan-Jaap Oerlemans & Mireille Hagens

Wet computercriminaliteit III aangenomen

Posted on 26/06/2018 op Oerlemansblog

De Wet computercriminaliteit III is vandaag (26 juni 2018) ook door de Eerste Kamer aangenomen! De wet is op 21 september 2018 in het Staatsblad gepubliceerd (Stb. 2018, nr. 322) en treed op 1 maart 2019 in werking (Stb. 2019, nr. 67).

In mei 2013 berichtte ik voor het eerst over de conceptversie van de Wet computercriminaliteit III en in het najaar van 2017 schreef ik een overzichtsartikel (.pdf) over het wetsvoorstel. Sindsdien is het wetsvoorstel slechts op detailpunten gewijzigd. Deze wet is – zoals zoveel wetten – niet perfect. Toch ben ik blij dat de wet is aangenomen en een noodzakelijke update van het Wetboek van Strafrecht en Strafvordering wordt doorgevoerd.

Toezeggingen op het laatste moment

In het nadere memorie van antwoord voor de Eerste Kamer bevestigt minister Grapperhaus dat de Wet computercriminaliteit III na twee jaar wordt geëvalueerd. Jaarlijks zullen statistieken van het gebruik van binnendringingssoftware openbaar gemaakt worden. De vele regels die nu van toepassing zijn op het gebruik van ‘binnendringingssoftware’ noopt ook tot de vraag of de wetgeving nog wel werkbaar is. Ook deze vraag wordt in de evaluatie meegenomen.

Een wijziging aan het wetsvoorstel dat wordt meegenomen is dat de logginsplicht in het besluit met betrekking tot de uitvoering van de hackbevoegdheid is uitgebreid naar voorbereidende fase van het onderzoek: het binnendringen in het geautomatiseerde werk. De logging bestaat onder meer uit het (automatisch) vastleggen van het beeldscherm en de toetsaanslagen van de opsporingsambtenaar van een technisch team, de communicatie tussen de technische infrastructuur van de politie en het geautomatiseerde werk, de gebruikte scripts, softwareversies en het journaal van de opsporingsambtenaar.

Toezicht achteraf

Tijdens het wetstraject is door diverse auteurs en maatschappelijke organisaties kritiek geuit op de toezicht achteraf op de uitvoering van de nieuwe hackbevoegdheid. Grapperhaus legt uit dat ondanks deze kritiek het toezicht belegd blijft bij de Inspectie Justitie en Veiligheid. Dit toezicht ziet vooral op het nakomen van de vele voorgeschreven procedures van de hackbevoegdheid, maar niet op de rechtmatigheid van de inzet, waaronder de proportionaliteit van de inzet van het middel. “Magistratelijk toezicht”, naast het toezicht vooraf, wordt niet als nodig en als ‘passend in het systeem’ gezien. Toch heeft de minister tijdens de behandeling van de wet in de Eerste Kamer toegezegd in de evaluatie te toetsen of het stelsel van systeemtoezicht op de hackbevoegdheid voldoende is.

Oversight of hacking power and take down order

Posted on 12/10/2017 op Oerlemansblog

The Computer Crime Act III is now under consideration for approval by the Dutch Senate. The act extends the criminalisation of certain behaviour, such as grooming of persons that appear to be 18 year old and younger, the unauthorised gathering of non-public data and offering that stolen data online. Perhaps more importantly, the Computer Crime Act III authorises Dutch law enforcement authorities, with permission from an investigative judge, to make content containing serious crimes inaccessible (such as child abuse materials or jihadist propaganda) and to access computers remotely for evidence gathering purposes (a so-called hacking power).

Hacking power

The proposed power to hack computers seeks to provide a solution to the increasing challenges of anonymity, encryption and cloud computing in cybercrime investigations. By using this special investigative power, law enforcement officials can access computers remotely and gather evidence at its source, thereby circumventing problems such as the encryption of data. The instrument can only be used under the most stringent conditions, such as a warrant from an investigative judge and a limitation to serious crimes.

After law enforcement officials gain remote access to a computer system, they can be authorised to observe the behaviour of a person by turning on a GPS signal, microphone or video camera. Law enforcement officials can also remotely copy relevant data for evidence purposes in a criminal investigation. A particularly far-reaching power is to make a computer or data inaccessible. This may result in disabling a botnet infrastructure or encrypting child abuse images remotely.

Take down order

The proposed take down order provides an instrument for law enforcement authorities to make web content inaccessible. If online service providers or individuals publishing criminal materials do not disable the content voluntarily, a takedown order can be issued. Fortunately, the use of the instrument is restricted to serious crimes and a warrant from a judge is required. However, the take down order can go as far as ordering a hosting provider to take down a particular website (when possible) and even compelling an internet access provider to disable content. This last application of a takedown order boils down to an internet filter. Does this leave us in a few year with a black list of websites that must be filtered by Dutch internet access providers?

Oversight

In my article about the Computer Crime Act III (.pdf in Dutch), I discuss the changes the act will bring to the Dutch Penal Code and Code of Criminal Procedure. Although I do acknowledge the necessity of hacking as an investigative power to gather evidence in criminal investigations involving serious crimes, I worry about the proposed powers to make computers or data accessible.

The problem is that the cybercriminals behind this criminal behaviour often reside on foreign territory and hide behind anonymisation techniques. These cybercriminals will often not be tried in a Dutch court. I wonder how many times a botnet will be disrupted by taking it down, or websites will be shut down or even filtered, without a trial during which a judge can determine whether those acts by law enforcement officials were conducted lawfully.

Therefore, I argued (and with me some Members of Parliament, scholars and several civil rights organisations) that we need an independent supervisory authority. This authority, perhaps modelled on the UK Investigatory Powers Commissioner’s Office, should be issued with the task of overseeing the legitimacy of operations involving these far-reaching special investigative powers. It is not likely such an authority will be created as part of the Computer Crime Act III, but perhaps the new Dutch cabinet should consider legislation to create such an authority.

This is cross-post from LeidenLawBlog.

Aftrap Wet computercriminaliteit III

Posted on 02/05/2013

Vandaag (2 mei 2013) heeft minister Opstelten het wetsvoorstel Computercriminaliteit III gepubliceerd. In deze blog post wil ik kort mijn eerste observaties bij het conceptwetsvoorstel geven. Daarbij ga ik vooral in op de hackbevoegdheden en behandel kort het voorgestelde NTD-bevel en decryptiebevel.

De toelichting (.pdf) op het voorstel is 87 pagina’s, dus een blog post kan nooit alle belangrijke details eruit halen. In de snelheid zou ik ook best dingen verkeerd geïnterpreteerd of ingeschat kunnen hebben, dus verbeter mij in dat geval a.u.b. of schrijf zelf iets. Ook heb ik de wettelijke bepalingen nog niet in detail geanalyseerd. Dit is dus geen wetenschappelijk artikel dat geschikt is om te citeren. Ik hoop slechts dat ik de inhoud van het voorstel duidelijker kan maken en mensen aan het denken zet over het voorstel.

Overigens vind ik op het eerste gezicht de uitgebreide Memorie van Toelichting goed in elkaar zitten. De toelichting is overzichtelijk en er worden heldere voorbeelden gegeven. Ook zijn de waarborgen bij de bevoegdheden uitgebreid beschreven. Er zitten wel een paar slordigheidsfoutjes in de toelichting (b.v. “Truecript” i.p.v. “Truecrypt” en “hoer” i.p.v. “hoe” ). Het is mij niet duidelijk of het een zogenaamde internetconsultatie betreft, waarbij het een conceptwetsvoorstel betreft die pas later naar de Tweede Kamer wordt verstuurd (dit dacht ik in eerste instantie namelijk wel). Misschien verschijnt het later nog wel op internetconsultatie.nl. Maar goed, met betrekking tot de inhoud:

Noodzaak voor de nieuwe bevoegdheden

Het voorstel zal naar eigen zeggen de opsporingsbevoegdheden in evenwicht brengen met de stand van de technologie. In het conceptswetsvoorstel worden uitgebreid drie ontwikkelingen beschreven die van invloed zijn op de opsporingspraktijk en volgens de regering tot creatie van de nieuwe bevoegdheden nopen. Dit zijn: (1) De versleuteling van elektronische gegevens, (2) het gebruik van draadloze netwerken en (3) het gebruik van Cloudcomputingdiensten (zie p. 8-12).

Het probleem van versleuteling ziet enerzijds op versleuteling van informatie op gegevensdragers zelf met programma’s zoals Truecrypt, waarbij opsporingsinstanties achteraf niet meer de informatie kunnen uitlezen. Anderzijds ziet het op versleuteling van gegevens bij communicatie, waarbij de informatie die over een internettap komt niet meer zichtbaar is. Dat is bijvoorbeeld het geval wanneer standaard versleuteling aanstaat bij elektronische communicatiediensten zoals Twitter en Gmail en wanneer via Skype wordt gecommuniceerd. De normale tapbevoegdheid biedt ook onvoldoende soelaas volgens de toelichting, omdat aanbieders van diensten soms (a) zelf niet in staat zijn te onstleutelen (als voorbeeld wordt Skype gegeven), (b) de aanbieder niet onder de definitie valt, of (c) gevestigd is in het buitenland.  In de toelichting wordt uitvoerig verwezen naar mijn artikel over de ‘mogelijkheden en beperkingen van de internettap’ in Justitiële Verkenningen uit 2012.

Gerelateerd aan de verminderende mogelijkheden om communicatie te onderscheppen is de toename van gebruik van verschillende draadloze netwerken. Een internettap kan namelijk maar op één IP adres worden gezet. Omdat mensen dikwijls gebruik maken van verschillende (mobiele) netwerken wordt in dat geval maar een deel van het netwerkverkeer afgetapt. Daar komt bij dat volgens de Minister over tap veel verkeer voorbijkomt, ook van personen “waarin de politie niet is in geïnteresseerd” . De redenering is ongeveer dat door een computer te hacken en spyware te plaatsen de overheid veel gerichter zou kunnen tappen en de communicatie via die bepaalde computer kunnen onderscheppen. Bovendien zou de spyware kunnen worden gebruikt ter identificatie van de gebruiker(s) van het geautomatiseerde werk. Dat wordt door de opstellers van de toelichting op het wetsvoorstel als een groot voordeel wordt gezien, omdat daarmee gerichter kan worden afgeluisterd. Overigens doet de brief voorkomen dat een internettap helemaal niet zo nuttig meer is, omdat de inhoud van de communicatie vaak niet meer mee komt. Naar mijn mening zijn de verkeersgegevens (waaronder de IP adressen van de computers die worden aangezocht) wel nog steeds erg nuttig zijn in een (digitaal) opsporingsonderzoek.

Over de problematiek van Cloudcomputing bij de opsporing is eerder een uitgebreid rapport (.pdf) van Koops verschenen. Omdat mensen in toenemende mate gegevens niet meer op hun computers, maar op servers van buitenlandse (cloud)dienstaanbieders opslaan, bieden de huidige bevoegdheden voor de vergaring van gegevens van computers op een locatie in Nederland volgens Opstelten onvoldoende mogelijkheden. Daar komt bij de dat de verdachte opmerkt als er een doorzoeking wordt gedaan en het bewijs wordt verzameld en dat kan “strijdig zijn in het belang van het onderzoek”, aldus de Memorie van Toelichting. Een belangrijk punt is dat sommige cloudaanbieders niet op grond van de bestaande bevoegdheden gedwongen kunnen worden een tap ten uitvoer te leggen of mee te werken aan een vorderen van gegevens. Expliciet wordt in de toelihcting het voorbeeld gegeven van “bullet proof hosting providers”  die vaak “anoniem, en vaak in resell constructies, illegale activiteiten ontplooien” en vaak “veelal in een land is gevestigd, waarmee Nederland niet of nauwelijks een rechtshulprelatie mee onderhoudt”. “Afscherming van de gegevens voor politie en justitie vormt een essentieel element van het bedrijfsmodel van deze aanbieders”.  Om die reden heeft de opsporing behoefte aan de mogelijkheid om heimelijk toegang te kunnen verkrijgen tot gegevens die in de cloud zijn opgeslagen, zonder dat de verdachte of de aanbieder daarbij is betrokken. Omdat van diensten uit het buitenland gebruik wordt gemaakt is het volgens de toelichting (grof gezegd) in veel gevallen een te grote belemmering om fysiek toegang te krijgen tot de plaats van waar de gegevens zich bevinden, terwijl dit technische wel goed mogelijk zou zijn. Bovendien zou het onder omstandigheden wenselijk zijn om – zelfs als de locatie wél duidelijk is – een technisch hulpmiddel (voor interceptie van netwerkverkeer of een doorzoeking van de gegevens) heimelijk te plaatsen.

Meer concreet worden de volgende hackbevoegdheden voorgesteld. Steeds wordt eerst verondersteld dat een computer wordt gehackt alvorens de andere methoden worden vastgesteld. De toelichting zegt dan ook: “de essentie van de voorgestelde bevoegdheid van onderzoek in een geautomatiseerd is dat op afstand heimelijk een geautomatiseerde werk wordt onderzocht, zonder dat de verdachte daar kennis van krijgt” (p. 14). Zie ook mijn analyse  van hacken als opsporingsbevoegdheid uit 2011.

De variaties op hacken als opsporingsmethode:

1.             Hacken teneinde de identiteit of locatie van de dader vast te stellen

Opstelten wil een opsporingsmethode voorstellen waarbij “als het ware sprake is van een virtuele plaatsopneming of inkijkoperatie, waarbij de aanwezigheid van gegevensbestanden of van gegevens in het geautomatiseerde werk of de gegevensdrager wordt vastgesteld”. Concreet kan daarbij gedacht worden aan:

–  het binnendringen van een router zodat kan worden achterhaald wat het identificerende kenmerk van de laptop van de verachte is zodat de toepassing van onderzoekshandelingen of de inzet van opsporingsbevoegdheden selectiever kan plaatsvinden.

– het binnendringen van een computer, waarvan alleen het Tor-adres bekend is, om het IP-adres vast te stellen teineinde een bevel tot het aftappen en opnemen van communiatie aan de aanbieder te kunnen afgeven.

– het binnendringen van een smartphone van een persoon, die crimineel contacten onderhoudt met een verdachte, om zijn identiteit vast te stellen.

– het in kaart brengen van de software die in het geautomatiseerde werk aanwezig is.

In het voorstel wordt aangegeven dat het ook kan gaan om het “vaststellen van e-mail berichten of e-mail berichten die inzage geven in de communicatie met andere personen over het beramen of plegen van ernstige strafbare feiten”. Tegelijkertijd wordt ook eerder aangegeven dat het vorderen van gegevens eerder moet worden overwogen bij aanbieders waarbij dat wel mogelijk is. De hackbevoegdheden vormen een ‘aanvulling’ op de bestaande bevoegdheden om bewijs bij webmail te vergaren door te tappen of gegevens te vorderen (p. 14). Het is mij onduidelijk gebleven of het ‘inkijken in webmail accounts’ of andere ‘online accounts’ (bijvoorbeeld van een forum of sociale netwerkdiensten zoals Facebook en Twitter) expliciet tot de mogelijkheden behoort. En als dat mogelijk is, onder welke omstandigheden.

Ook is het opvallend dat in het wetsvoorstel als voorbeelden van geautomatiseerde werken (computers) die gehackt kunnen worden slechts privécomputers, smartphones, een router (één keer genoemd) en servers (waarop bijvoorbeeld de infrastructuur ten behoeve van botnets draait) worden genoemd, terwijl de categorie “geautomatiseerd werk” in theorie veel groter is. Bits of Freedom riep al andere tweeps op om voorbeelden te geven van geautomatiseerde werken die eventueel gehackt voor bewijsdoeleinden konden worden en kwam zodoende al met autonavigatie, auto’s zelf en de slimme energiemeter. De tekst van de artikelen zelf sluit hacks van deze apparaten niet uit.

2.             Overnemen van gegevens

Met deze opsporingsmethode wordt bijvoorbeeld gedoeld op het vastleggen van afbeeldingen van kinderpornografie op een computer of van het verzamelen van informatie van “besloten communities”, “als de aanbieder niet kan worden vastgesteld of bereikt”.

Als voorbeeld wordt in de toelichting genoemd dat gegevens overgenomen kunnen worden uit een versleutelde harde schijf door middel van een ‘keylogger’, die de toetsaanslagen op een toetsenbord vastlegt. Ook kunnen gegevens worden overgenomen als die elders in de cloud liggen als de cloudaanbieder niet kan worden vastgesteld of onbereikbaar is. Dit laatste roept mij de vraag op of bij Amerikaanse cloudaanbieders die in de regel wel mogelijkheden bieden om bij hen gegevens te vorderen toepassing van de hackbevoegdheid en het overnemen van gegevens in dat geval wel of niet mogelijk is. De tekst van de toelichting suggereert later dat het wellicht mogelijk is te hacken (en gegevens over te nemen) als de heimelijke methode de voorkeur heeft.

3.             Ontoegankelijk maken van gegevens

Hierbij wordt zeer nadrukkelijk het voorbeeld van het onklaar maken van botnets genoemd (p. 17 van het voorstel). Het zou dan dienen als “voorlopige maatregel”. Maar goed, als het niet tot een rechtszaak in Nederland komt of hier bij een rechtbank over de maatregel wordt geklaagd is het meer een permanente maatregel lijkt mij. Ik denk dat ook gedacht kan worden aan het ontoegankelijk maken van kinderporno, zoals destijds in de Tor operatie is gebeurd. Het is de vraag of het straks ook voor andere misdrijven op Tor mogelijk zou zijn en of dat wenselijk is.

4.             Heimelijk aftappen en opnemen van communicatie

In het voorstel wordt uitgelegd dat het heimelijk aftappen ook ziet op het aftappen van communicatie bij aanbieders waarbij de aanbieder soms móét meewerken (de taplast). Op p. 19 wordt de situatie beschreven waarbij de opsporingsautoriteiten dat heimelijk willen doen, maar ik begrijp niet wat hier precies mee wordt bedoeld. Wellicht kan iemand anders dat uitleggen?

De tweede situatie ziet op het plaatsen van spyware (ook wel “policeware” genoemd) om op die manier communicatie heimelijk af te tappen. Daarbij gaat het volgens de toelichting vooral op het plaatsen van keyloggers om toetsaanslagen af te vangen en het aanzetten van een microfoon om een gesprek heimelijk af te luisteren. Maar let op: later worden ook andere functionaliteiten van de spyware toegelicht, “waarbij gedacht kan worden aan functionaliteiten als het opnemen van geluid, het maken van screenshots, het vastleggen van toetsaanslagen of het doorzoeken van bepaalde bestandmappen.” Afhankelijk van het bereiken doel zou in het bevel moeten worden vastgelegd welke functionaliteiten worden ingeschakeld (p. 28). Interessant is dat ook dat nadrukkelijk wordt genoemd dat het ook de mogelijkheid biedt “om communicatie op te nemen op een locatie die voor de opsporing niet goed bereikbaar is. (..) Dit kan eveneens een uitkomst bieden in de gevalleen waarin de locatie van de communicatie niet bekend is” (cursief toegevoegd). Ziet dat vooral op het aftappen van gegevens op computers in het buitenland?

Zie ook mijn blogbericht dat vanochtend is gepubliceerd op de LeidenLawBlog over het gebruik van spyware in de VS. In de Amerikaanse machtiging werd overigens door de FBI gewoonweg alle mogelijke functionaliteiten van de spyware noodzakelijk geacht..

5.             Stelselmatig observeren

Deze bevoegdheid was voor mij een verassing in het wetsvoorstel, omdat ik het nog niet eerder in Kamerstukken ben tegengekomen. De redenering is dat als de GPS van bijvoorbeeld een smartphone wordt aangezet de gedragingen en bewegingen zodanig in de gaten worden gehouden dat dit hetzelfde is als het stelselmatig observeren van een individu, waarvoor een bijzondere opsporingsbevoegdheid voor is vereist. Die redenering lijkt mij juist.

Volgens de toelichting zou deze optie een uitkomst bieden in de gevallen waarin de observatie met behulp van een observatieteam niet tot resultaat leidt of het van belang is dat de verdachte wordt aangehouden, maar zijn verblijfplaats niet bekend is.

Waarborgen voor hacken als opsporingsmethode

De toelichting op de waarborgen bij toepassing van de opsporingsmethoden is uitvoerig en daar ben ik blij mee. Terecht wordt erkend dat de methoden stuk voor stuk een ernstige inbreuk op (onder andere) het recht op privacy vormen en daar een gedetailleerde regeling voor noodzakelijk is. Een hackbevel zou voor maximale duur van 4 weken kunnen worden ingezet met telkens de mogelijkheid om het om de 4 weken te verlengen.

Opvallend vond ik ook de voorwaarde dat alvorens de opsporingsmethoden mogen worden toegepast, het door de Centrale Toetsings Commissie moet worden goedgekeurd (p. 29). Dat is nu bijvoorbeeld ook het geval bij toepassing van de bijzondere opsporingsbevoegdheid van infiltratie. Ik denk dat dit een sterke rem op het aantal keer dat het wordt toegepast zal trekken. Ook gezien het feit dat (volgens mij) infiltratietrajecten in de regel slechts een handjevol keren per jaar worden goedgekeurd.

Het gebruik van de hacksoftware moet voldoen aan de normen van het Besluit technische hulpmiddelen strafvordering, dat in verband met de voorstelde bevoegdheden moet worden aangepast (p. 28). Het technische hulpmiddel zou dan worden geprepareerd voor de inzet in het contret geval en onder meer de functie bevatten waarbij het functioneren van het hulpmiddel wordt vastgelegd, dat in de toelichting op het voorstel “logging” wordt genoemd. Ook moet het hulpmiddel “een zekere mate van voorspelbaarheid vertonen en moeten de authenticiteit en integriteit van de gegevens die door middel van het technische hulpmiddel worden vergaard, zijn gewaarborgd”.

Ook moet er een proces-verbaal, zoals verplicht is gesteld in art. 152 van het Wetboek van Strafvordering, worden opgemaakt.

Rechtsmacht

Een controversieel onderdeel van het wetsvoorstel is de toelichting op de extraterritoriale toepassing van de hackbevoegdheden (p. 34-37). Ik vind het wel veel beter toegelicht dan in de brief over de hackbevoegdheden aan het eind van vorig jaar, maar blijf het wel een complex verhaal vinden.

De redenering in de toelichting komt er volgens mij op neer dat indien Nederland de bevoegdheid heeft om rechtsmacht aan te nemen (bijvoorbeeld omdat een misdrijf vanuit het buitenland op ons territorium wordt gepleegd) er dan de bevoegdheid bestaat om opsporingshandelingen te verrichten (op grond van artikel 359a Sv). Zie: “Op grond van dit artikel kan worden opgetreden buiten het rechtsgebied van een rechtbank, binnen de grenzen van het volkenrecht en het internationale recht”, volgens de toelichting. Eerder heb ik samen met Conings in een artikel betoogd dat hier het probleem ligt, omdat er een algemeen verbod geldt om opsporingshandelingen zonder toestemming op het territorium van een andere staat uit te voeren. Bovendien viel volgens ons uit literatuur af te leiden dat een doorzoeking via internet op een geautomatiseerde werk internationaal rechtelijk gezien niet door de beugel kon, maar in de praktijk het wel voorkomt en een zekere acceptatie van staten hierbij viel te bespeuren.

In de Memorie van Toelichting wordt deze rechtspraktijk bevestigd. Door een werkgroep van de Raad van Europa van het Cybercrimeverdrag wordt bevestigd dat er “vanwege de technologische ontwikkelingen, de toenemende complexiteit en het internationale karakter van computercriminaliteit een toenemende behoefte is aan verstrekking van de bevoegdheden” ( aldus p. 36 van de Memorie van Toelichting). “Geconstateerd wordt dat opsporingsdiensten van veel staten zich in de praktijk toegang verschaffen tot gegevens die zijn opgeslagen in geautomatiseerde werken die zich op het grondgebied van andere staten bevinden, ten behoeve van het veiligstellen van elektronisch bewijs. Dit vloeit meestal voort uit het feit dat de opsporende staat niet zeker weet op welk grondgebied de gegevens zich bevinden.” Belangrijk is dat ook wordt opgemerkt dat ‘de praktijk volgens de Transborder Group geen grondslag vindt in (artikel 32 sub b van) het Cybercrimeverdrag’.

Toch wordt in de Memorie van Toelichting volgehouden dat de voorstellen volledig in lijn zijn met “het volkenrecht en internationaal recht”. Daar heb ik wel moeite mee. De motivatie is eigenlijk: ‘het is noodzakelijk, want het kan niet anders’ (“De noodzaak tot onverwijld optreden maakt dit onvermijdelijk en ook volkenrechtelijk goed verdedigbaar” (p. 37)). En tja, misschien is dat ook wel goed te verdedigen en voldoende motivatie. Als voorbeeld van een situatie waarbij dit goed te verdedigen zou zijn is volgens de toelichting wanneer van Tor gebruik wordt gemaakt en er sprake is van cloud computing. Naar mijn mening is het echter bij populaire cloud diensten prima duidelijk waar de gegevens achterhaalt (gevorderd) kunnen worden, namelijk de veelal Amerikaanse aanbieders zelf, eventueel onder de regels van de Verenigde Staten. Wel is het mijns inziens voorstelbaar dat de locatie van een botnetinfrastructuur achter allerlei lagen van anonismering (door middel van proxies en VPN verbindingen) ligt en daardoor ‘redelijkerwijs niet is te achterhalen’. Dit nog afgezien van het feit dat zelfs als die locatie wel bekend is de hostingprovider wellicht simpelweg niet meewerkt met de opsporingsdienst en de route van rechtshulpverzoeken geen zin heeft.

Ten tweede wordt geschreven dat: “Ook in het geval er bij de politie wel wetenschap bestaat van de feitelijke locatie van de gegevens kan – binnen de grenzen van artikel 539a Sv en onder de voorwaarden van (extra) territoriale rechtsmacht – zelfstandig worden opgetreden” (zie p. 35 van de toelichting). Die redenering en de noodzaak begrijp ik wat minder, behalve dat opsporingsautoriteiten de angst hebben dat als het niet heimelijk wordt vergaard er niet effectief bewijs kan worden verzameld binnen een opsporingsonderzoek. Toch zou het op dit punt wat mij betreft wel wat explicieter mogen worden gemaakt wanneer daarvan sprake is. Nu blijft Opstelten nog heel vaag en wordt opgemerkt (en als argument gebruikt?) dat het “sterk zal afhangen van de aard van de feitelijke handeling onder welke omstandigheden het volkenrecht zich verzet tegen zelfstandig optreden van de handhavende staat” en “ook andere staten meer ruimte zien voor zelfstandig optreden als het gaat om opsporingshandelingen met betrekking tot gegevens”. Misschien wordt in deze situatie gedacht aan bijvoorbeeld Gmail gegevens (zie ook deze blog daarover) van Nederlandse ingezetenen, maar dat is slechts speculatie.

Afgesloten wordt met de mededeling dat een Aanvullend Protocol op het Cybercrime Verdrag kan worden voorzien in aanvullende regelgeving voor situaties waarin gegevens in verschillende jurisdicties zijn opgeslagen of waarin de fysieke locatie van de gegevens niet bekend is (cursief toegevoegd). Blijkbaar wil de Nederlandse regering dat niet afwachten (wat ik enigszins begrijpelijk vindt, omdat het maar de vraag is of deze harmonisatie gaat lukken en er urgentie is om toch grensoverschrijdend bewijsmateriaal uit computers te kunnen vergaren), maar het is wel een beetje een loze overweging op deze manier.

Overigens neemt bovenstaande analyse bepaalde zorgen niet weg. Want hoe kunnen burgers er nu op vertrouwen, dat overheden alleen onder de voorwaarden zoals in hun eigen wetgeving is bepaald in hun computers kan worden ingebroken voor het vergaren van bewijs? Dat kunnen ze niet lijkt mij, omdat staten het blijkbaar mogelijk achten onder hun eigen straf-processuele regels grensoverschrijdend toegang kunnen verschaffen tot computers en verdere opsporingshandelingen te kunnen plegen. Ik vermoed dat op grond van het reciprociteitsprincipe, andere staten ook onder omstandigheden zouden kunnen inbreken op computersystemen in Nederland. Ook een belangrijke vraag vind ik hoe bedrijven nu met deze interpretatie en eventuele nieuwe bevoegdheden moeten omgaan. Moeten ze een eventuele hack door buitenlandse opsporingsdiensten behandelen als een beveiligingsincident? En heeft het voor hen zin om eventueel aangifte van hacking te doen? Ik ben dus benieuwd of bedrijven (denk aan Microsoft, Google, Facebook, Twitter en Linkedin, ISPs en hosting bedrijven (ook i.v.m. het NTD-bevel zie hieronder)) zich nog laten horen over dit voorstel.

Decryptiebevel

Over het voorstel voor een decryptiebevel heb ik eerder een korte blog geschreven en heeft Koops een uitgebreid onderzoek (.pdf) naar gedaan. Een belangrijke vraag van het decryptiebevel is wat mij betreft welke systemen precies ontsleuteld zouden moeten worden. Gaat het daarbij om het afgeven van wachtwoorden van bijvoorbeeld ook smartphones en online accounts? Het decryptiebevel wordt in het voorstel alleen mogelijk gemaakt bij bij kinderporno en terrorisme. Gaat dit bevel nu ook langs de Centrale Toetsings Commissie? Ik vond het in ieder geval goed dat in de toelichting wordt aangegeven dat een decryptiebevel aan de verdachte achteraf “doorgaans niet wenselijk is” en het “in zijn algemeenheid de voorkeur verdient om te kiezen voor een onderzoek in een geautomatiseerd werk om de gegevens vast te leggen waarmee de versleuteling ongedaan gemaakt kan worden” (p. 53). Anderen vinden wellicht een decryptiebevel minder vergaand. In ieder had Koops zijn voorkeur in het rapport (voorzichtig) uitgesproken voor een decryptiebevel boven het plaatsen van spyware.

Hoewel het voorstel uitvoerig wordt toegelicht (p. 49-68) mis ik toch een belangrijk element dat in het onderzoek van Koops naar voren kwam. Volgens mij concludeerde hij dat het decryptiebevel met een straf van ten hoogste 3 jaar, slechts mogelijk is in gevallen waarbij het Openbaar Ministerie kan bewijzen dat er strafbaar materiaal (kinderporno of bewijs van een terroristisch misdrijf) op de gegevensdragers wordt aangetroffen. Dat kan volgens hem bijvoorbeeld soms worden bewezen met behulp van een internettap. Ik concludeerde daaruit dat slechts in een heel beperkt aantal gevallen mogelijk is. Maar in de toelichting lijkt aan die voorwaarde te worden voorbij gegaan. Het is daarom des te meer de vraag of de voorgestelde regeling niet een ontoelaatbare inbreuk maakt op het recht om niet mee te werken aan je eigen veroordeling (afgeleid uit artikel 6 EVRM). Het zou ook kunnen dat het daar niet mee in strijd is; het is simpelweg onduidelijk, omdat er geen jurisprudentie op dit precieze onderwerp voorhanden is.

NTD-bevel

Het Notice and Take Down bevel uit het conceptwetsvoorstel versterking computercriminaliteit uit 2010 doet weer zijn intreden! Destijds had ik daar dit artikel en deze blog over geschreven. De belangrijkste conclusies daaruit waren dat een machtiging van een rechter-commissaris bij een NTD-bevel op zijn plaats zou zijn en de bestuurlijke boete op niet-nakoming van het bevel uiterst merkwaardig was. Gelukkig is nu wel een machtiging van een R-C vereist en is de bestuurlijke boete komen te vervallen.

Het is de bedoeling dat een dergelijk bevel alleen wordt afgegeven als er geen succesvol beroep kan worden gedaan op de Notice and Take Down gedragscode. Daarnaast wordt benadrukt dat het bevel ook kan worden afgegeven aan beheerders van een website en hostingproviders die eventueel de gedragscode niet hebben ondertekend (zie p. 45).

Wat voor mij onduidelijk blijft is hoe de ontoegankelijkheidsmaking van een website moet worden uitgevoerd. In 2010 werd in de toelichting nog duidelijk de mogelijkheid open gelaten dat websites, “zoals de Pirate Bay”, verplicht eruit gefilterd zouden moeten worden. Valt onder de ontoegankelijkheidsmakting nu ook een filterverplichting (door de blokkade van de IP-adressen wellicht)?

Conclusie

Tot slot wil ik nog één ding extra benadrukken: de bevoegdheden om botnets of aanvallen op vitale infrastructuur te bestrijden is maar een klein onderdeel van het voorstel, let ook op de andere ‘details’ van het voorstel.

Vanochtend werd nog eens door Ronald Prins van Fox-IT benadrukt dat hij de bevoegdheden vooral wenselijk acht voor de bestrijding van botnets, maar liever niet gebruikt ziet worden bij opsporing van de meer traditionele delicten. Hoogleraar Bart Jacobs had eerder in het NJB ook betoogd dat de bevoegdheden wellicht wenselijk is voor de bestrijding van botnets en tegen aanvallen op vitale ICT infrastructuur, maar niet voor ‘normale opsporing’. Tenslotte verscheen een week geleden ook een PhD met de boodschap dat het hacken van botnets wellicht de enige effectieve manier is om botnets effectief te bestrijden.

De eensgezindheid van deze security guru’s vind ik opvallend en vormen naar mijn mening een heel belangrijk signaal. Wel vraag ik mij af of het mogelijk maken van deze maatregelen het meest passen binnen het Wetboek van Strafvordering en BOB-bevoegdheden die toch vooral zien op de bewijsvergaring in strafzaken, waarna een persoon eventueel door een Nederlandse zittingsrechter wordt veroordeeld. Het lijkt hier meer te gaan om ‘handhaving van de rechtsorde’ of zelfs inlichtingendienstenwerk (zie ook p. 44: “het enkele verstoren van het kennisnemen van gegevens behoort tot de mogelijkheden. Dit is van belang bij de bestrijding van botnets”). Tegelijkertijd heb ik hier te weinig verstand van zaken van om in te schatten waar en hoe slechts die maatregelen beter geregeld zouden moeten worden.

De oproep de bevoegdheden alleen mogelijk te maken voor de bestrijding van botnets en aanvallen op vitale infrastructuur staat in contrast met het voorstel. De hackbevoegdheden zouden namelijk moeten gelden voor de misdrijven genoemd in art. 67 van het Wetboek van Strafvordering die een ernstige inbreuk op de rechtsorde vormen. Daarbij kan óók gedacht worden van misdrijven zoals moord, drugshandel, mensenhandel, omvangrijke milieudelicten, wapenhandel en ernstige financiële misdrijven, zoals ernstige fraude, aldus de toelichting (p. 13).

Als het wetsvoorstel uiteindelijk wordt aangenomen wordt een arsenaal aan nieuwe (digitale) opsporingsbevoegdheden mogelijk gemaakt. Voor de alledaagse opsporingspraktijk is het misschien nog wel relevanter dat onder omstandigheden in online accounts kunnen worden ‘ingekeken’, gegevens na een hack via internet kunnen worden gekopieerd en in de toekomst de smartphone wellicht een sleutelrol krijgt in opsporingsonderzoeken omdat het een soort wandelend spionagekastje voor de opsporingsinstanties kan vormen. Ik ben wel blij dat in ieder geval bijzondere zware voorwaarden voorgesteld voor de voorgestelde nieuwe opsporingsmogelijkheden voor politie en justitie.

Ik kijk uit naar reacties op het conceptwetvoorstel en houd de ontwikkelen verder nauwlettend in de gaten!