Annotatie over Playpen-zaak

Deze blogpost bevat mijn annotatie (.pdf) in Computerrecht over de veroordeling (Rb. Midden-Nederland 15 oktober 2019, ECLI:NL:RBMNE:2019:4766) van een Nederlandse verdachte die actief was op het kinderpornoforum ‘Playpen’ op het dark web.

Inleiding

Playpen is door de media ook wel bestempeld als “the most ‘notorious darknet child pornography site. De zaak is interessant, omdat het een veroordeling van een Nederlandse verdachte betreft voor het bezit en toegang verschaffen tot kinderpornografisch materiaal en de verspreiding van kinderporno via het forum.

De Nederlandse kinderpornogebruiker is door een Amerikaanse operatie geïdentificeerd, waarbij vermoedelijk computers zijn gehackt en software is gebruikt om bezoekers van het Tor-forum Playpen te de-anomiseren. Dit roept vragen op die in de uitspraak onbeantwoord blijven, zoals:

‘is een dergelijke operatie met de nieuwe hackbevoegdheid ook onder Nederlands recht toegestaan?’

In deze annotatie wordt kort de Amerikaanse operatie uitgelicht. Daarna wordt ingegaan op het oordeel in de uitspraak zelf met betrekking tot het bezit en toegang verschaffen tot kinderpornografisch materiaal en de verspreiding van kinderporno via Playpen. Ter afsluiting wordt ingegaan op de nieuwe mogelijkheden van de hackbevoegdheid, dat per 1 maart 2019 door de implementatie van de Wet computercriminaliteit III in het Wetboek van Strafvordering (Sv) is te vinden.

Achtergrond Operation Pacifier

Playpen betrof een zogenoemde ‘hidden service’, in dit geval een forum dat alleen via Tor bereikbaar was en in de periode van 2014-2015 online was. Op het forum werd (ook prepuberale) kinderpornografie uitgewisseld tussen forumleden. Met gebruik van het Tor systeem kunnen internetgebruikers anoniem internetten, wordt het netwerkverkeer versleuteld en kunnen internetdiensten worden geraadpleegd die niet via het reguliere internet bereikbaar zijn.

Het forum Playpen kreeg veel media-aandacht, omdat de FBI in 2015 in ‘Operation Pacifier’ de bezoekers van het forum de-anonimiseerde. Volgens onderzoeksjournalisten zoals Joseph Cox is dit mogelijk gemaakt, omdat de FBI de website tijdelijk heeft overgenomen en met behulp van een ‘technisch hulpmiddel’ (software) identificerende informatie over de bezoekers van de website heeft vastgelegd, zoals IP-adressen, Mac-adressen en andere technische informatie van de computers van de bezoekers.

Door de operatie waren in mei 2017 al 870 personen opgepakt of veroordeeld, waarvan 368 in de Europese Unie. Bovendien zijn 259 misbruikte kinderen geïdentificeerd of uit hun slachtoffersituatie ontzet. De operatie heeft ook tot kritiek geleid, omdat Amerikaanse autoriteiten ook privé-gegevens van niet-Amerikanen heeft verzameld en daarmee buiten haar jurisdictie zou treden. De FBI zou ook niet transparant genoeg zijn over het gebruik van het technische hulpmiddel in deze strafzaken, hetgeen mogelijk in spanning staat met het recht op het eerlijk proces (zie ook Kate Tummarello, ‘The Fight Against General Warrants to Hack Rages On’, Electronic Frontier Foundation, 9 mei 2017).   

Verstrekking van gegevens aan Europol en buitenlandse opsporingsdiensten

Na de operatie heeft de FBI naar verluidt de identificerende informatie van niet-Amerikaanse bezoekers aan Europol overgedragen. Europol heeft vervolgens vanwege haar coördinerende taak die gegevens doorgegeven aan de verschillende nationale opsporingsautoriteiten binnen de Europese Unie (zie Mark Hendrikman, ‘FBI-onderzoek naar kinderporno op Tor levert meer dan 3000 zaken in Europa op’, Tweakers.net, 24 januari 2016 en het persbericht van Europol, ‘Major online child sexual abuse operation leads to 368 arrests in Europe’ van 5 mei 2017). De Nederlandse autoriteiten vielen hier klaarblijkelijk ook onder. Hoewel de naam van het forum in de uitspraak is geanonimiseerd, blijkt uit Nederlandse berichtgeving dat de verdachte is veroordeeld vanwege zijn activiteiten op het kinderpornoforum Playpen (zie bijvoorbeeld Riks Ozinga, ‘Verdachte in kinderpornozaak krijgt taakstraf en voorwaardelijke celstraf’, RTV Utrecht, 16 oktober 2019).

Vertrouwensbeginsel

Zoals ik eerder in een annotatie bij een andere kinderpornozaak heb opgemerkt, worden vaker dit soort gegevens over kinderpornogebruikers uitgewisseld. Op grond van het vertrouwensbeginsel uit het internationale recht, mag het Openbaar Ministerie er op vertrouwen dat het bewijs op rechtmatige wijze door buitenlandse autoriteiten is vergaard (zie o.a. zie HR 31 januari 2006, ECLI:NL:HR:2006:AU3426). Het bewijs mag daarom in principe worden gebruikt in de Nederlandse strafzaak.

Veroordeling Nederlandse verdachte

De rechtbank Midden-Nederland heeft in de verdachte veroordeeld voor het bezit, toegang verschaffen, en de verspreiding van kinderpornografisch materiaal via een internetforum. De verdachte heeft op twee momenten een ‘thread’ gestart (nieuw onderwerp van discussie op het forum) en vervolgens kinderpornografisch materiaal gedeeld op het besloten forum. In de uitspraak is te lezen dat ‘‘de exacte activiteiten van individuele forumgebruikers alleen konden worden vastgesteld over de periode van 20 februari 2015 tot en met 5 maart 2015’’.

De rechtbank gaat mee met het verweer van de verdediging van de verdachte dat daarmee nog geen sprake is van het gewoonte maken van de verspreiding tot kinderpornografisch materiaal. De rechtbank acht aldus de verspreiding van kinderpornografisch materiaal bewezen, maar niet het gewoonte maken daarvan (waar een hogere straf op straf op staat) (zie rechtsoverweging 4.3).

De verdachte heeft wel een gewoonte gemaakt van het bezit van kinderpornografie. In het door de politie in beslag genomen materiaal, bevonden zich in totaal 103.132 foto’s en 243 video’s. In een willekeurige selectie van ‘ongeveer 25%’ daarvan, zijn 16.453 foto’s en 172 video’s beoordeeld als kinderpornografisch. De bekennende verdachte heeft verklaard dat hij 2 à 3 keer per week kinderpornografische sites bezocht en dat als hij afbeeldingen ging downloaden, dat het er tussen de 20 en 100 per keer waren. Gelet op het aantal aangetroffen kinderpornografische afbeeldingen en de frequentie waarmee verdachte het kinderpornografisch materiaal heeft gedownload, is de rechtbank van oordeel dat verdachte een gewoonte heeft gemaakt van het in het bezit hebben van kinderpornografisch materiaal (zie r.o. 4.3).

Strafmaat

De rechtbank voert een uitgebreide strafoverweging (zie r.o. 8.3). Het overweegt daarbij in het nadeel van de verdachte dat hij zich een lange periode schuldig heeft gemaakt aan het in bezit hebben van pornografisch materiaal, de grote hoeveelheid afbeeldingen die bij verdachte zijn aangetroffen en de (jonge) leeftijd van de minderjarigen die op de aangetroffen afbeeldingen stonden.

In het voordeel van verdachte neemt de rechtbank mee dat de verdachte volledig heeft meegewerkt aan het onderzoek, spijt heeft van zijn gedragingen en in behandeling is. Het recidiverisico wordt door de reclassering, op basis van gesprekken met zijn behandelaar, ingeschat als laag. De rechtbank legt de verdachte een gevangenisstraf op van één jaar, waarvan 364 dagen voorwaardelijk, met een proeftijd van drie jaar. De verdachte krijgt verder een taakstraf van 240 uur.

Toepassing hackbevoegdheid op een forum als Playpen?

Nu rest de vraag of een dergelijke operatie zoals de FBI heeft uitgevoerd ook onder Nederlands recht mogelijk is. Uiteraard kan deze vraag alleen worden beantwoord aan de hand van de omstandigheden van het geval. Echter, als ratio van de nieuwe hackbevoegdheid in artikel 126nba Sv is door de wetgever specifiek meegegeven dat de inzet van de hackbevoegdheid het mogelijk maakt om verdachten te identificeren die actief zijn op Tor en zich met kinderpornografie bezighouden (Kamerstukken II 2015/16, 34372, nr. 3, p. 20).

Op grond van artikel 126nba lid 1 sub a Sv kan de Nederlandse politie met de inzet van de hackbevoegdheid onder strenge voorwaarden op afstand binnendringen in computers, zoals een webserver van een forum en de computer van een verdachte, en vervolgens gegevens vastleggen ter identificatie van die verdachte. De ‘Aanwijzing voor de internationale aspecten van de inzet van de bevoegdheid ex art. 126nba Sv’ geeft allerlei factoren mee die een officier van justitie in overweging moet nemen als hij of zij een rechter-commissaris om toestemming vraagt de hackbevoegdheid in te zetten, waarbij mogelijk computers in het buitenland worden binnengedrongen.

Kort gezegd valt te beargumenteren dat een dergelijke operatie doorgang mag vinden, vanwege het feit dat een webserver en de bezoekers via Tor in beginsel ‘niet redelijkerwijs’ te lokaliseren zijn en het zeer ernstige feiten zijn met mogelijk Nederlandse daders en slachtoffers (zie ook Kamerstukken II 2015/16, 34372, nr. 3, p. 47 met specifiek het gebruik van Tor als voorbeeld).

Tot slot

De veroordelingen in binnen- en buitenland naar aanleiding van Operation Pacifier laat ook zien dat het bewijs afkomstig van de hackbevoegdheid kan standhouden, ondanks bezwaren van advocaten en privacybelangenorganisaties.

Een interessante vraag daarbij is ten slotte nog in hoeverre de politie openheid van zaken moet geven van de toepassing van de hackbevoegdheid en het gebruikte technische hulpmiddel. In Nederland staat in artikel 126nba lid 2 sub d Sv dat “een aanduiding van de aard en functionaliteit van het technische hulpmiddel” moet worden verstrekt. Ook schrijft het ‘Besluit onderzoek in een geautomatiseerd werk’ allerlei technische vereisten en logging voor (zie Stb. 2018, 340 voor het Besluit onderzoek in een geautomatiseerd werk en de toelichting daarop).

De verdediging kan in het kader van het recht op een eerlijk proces zoveel als mogelijk nagaan op welke wijze het bewijsmateriaal is vergaard en op zekere hoogte de betrouwbaarheid van het vergaarde bewijs ter discussie stellen (zie als mogelijke voorloper de ‘Aydin C.-zaak’, Rb. Amsterdam 16 maart 2017, ECLI:NL:RBAMS:2017:1627, Computerrecht 2017/103, m.nt. J.J. Oerlemans). Het zijn zeker aspecten waar de rechtspraak in de toekomst ervaring mee opdoet als de hackbevoegdheid wordt toegepast en het resultaat daarvan in opsporingsonderzoeken als bewijs wordt gebruikt.

Citeertitel: Rb. Midden-Nederland 15 oktober 2019, ECLI:NL:RBMNE:2019:4766, Computerrecht 2020/9, m.nt. J.J. Oerlemans.

Hoofdstukken uit ‘Strafrecht en ICT’ in open access beschikbaar

In januari 2019 verscheen het boek ‘Strafrecht en ICT’ van Bert-Jaap Koops en mij. Het boek betreft een studieboek en naslagwerk. We hebben goede reacties uit de praktijk gekregen.

Nu de embargoperiode van Sdu voorbij is, mag ik de belangrijkste hoofdstukken online zetten. Hieronder staan de links met een indicatie van de inhoud.

Materieel strafrecht en ICT
Het hoofdstuk biedt een overzicht van de strafbepalingen, wetsgeschiedenis en jurisprudentie over computercriminaliteit. Het hoofdstuk heeft de volgende inhoud:

  • Computervredebreuk en wederrechtelijk overnemen van gegevens
  • Afluisteren, aftappen en opnemen van communicatie
  • Verstoring van computergegevens
  • Verstoring van computersystemen
  • Misbruik van technische hulpmiddelen
  • Klassieke vermogensdelicten
  • Valsheid in geschrifte
  • Oplichting
  • Computergerelateerde zedenmisdrijven
  • Uitingsdelicten
  • Auteursrechtschendingen
  • Blik op de toekomst

Formeel strafrecht en ICT
Dit hoofdstuk behandeld alle relevante opsporingsbevoegdheden die worden in gezet in opsporingsonderzoeken naar cybercrime. Dit is de inhoudsindicatie:

  • Het opsporingsonderzoek
  • Doorzoeking, inbeslagname en onderzoek van gegevens in computers
  • Het vorderen van gegevens
  • De telecommunicatietap
  • Direct afluisteren
  • Stelselmatige observatie en locatiebepaling
  • Hacken als opsporingsbevoegdheid
  • Vergaren van publiekelijk toegankelijke online gegevens
  • Online undercover opsporingsmethoden
  • Digitaal bewijs
  • Blik op de toekomst

Grensoverschrijdende digitale opsporing

Dit hoofdstuk gaat over jurisdictie, het Cybercrimeverdrag, andere belangrijke verdragen en de grensoverschrijdende toepassing van opsporingsbevoegdheden. De inhoud is als volgt:

  • Jurisdictie en rechtshulp
  • Het Cybercrimeverdrag en internationale samenwerking in digitale opsporing
  • Grensoverschrijdende toepassing van bevoegdheden  
  • U.S. Cloud Act
  • Tweede Protocol bij het Cybercrimeverdrag (concept
  • EU-voorstellen voor digitale bewijsgaring

Aanwijzing grensoverschrijdende inzet hackbevoegdheid

Posted on 11/04/2019 op Oerlemansblog

Op 26 februari 2019 is de “Aanwijzing voor de internationale aspecten van de inzet van de bevoegdheid ex art. 126nba Sv” gepubliceerd (Stcrt. 2019, 10277). De aanwijzing geeft regels voor de toepassing van de hackevoegdheid (artikel 126nba Sv), omdat mogelijk via internet geautomatiseerde werken kunnen worden benaderd  die zich in het buitenland bevinden.

In de aanwijzing staat een rechtshulpverzoek het uitgangspunt voor het plegen van opsporingshandelingen buiten Nederland. In een rechtshulpverzoek moet de officier een verzoek doen de gezochte gegevens te vorderen en/of (zelfstandig) veilig te stellen op basis van de daarvoor in dat land geldende wettelijke grondslagen. Indien op het moment waarop aan de rechter-commissaris machtiging voor de inzet van de bevoegdheid van artikel 126nba Sv gevraagd wordt, bekend is dat de gegevens niet in Nederland zijn opgeslagen, wordt dat in de aanvraag vermeld. Hiermee is in een dergelijke situatie verzekerd dat het aspect van de inbreuk op de soevereiniteit van een andere staat onderwerp vormt van een expliciete afweging door de officier van justitie en de rechter-commissaris.

Als met een redelijke inspanning niet kan worden vastgesteld wat de locatie van geautomatiseerd verwerkte gegevens is, wordt gehandeld alsof de gegevens in Nederland zijn opgeslagen. Daarvan kan blijkens de aanwijzing ook sprake zijn als niet langer kan worden gewacht op een reactie of er geen reactie van het land is te verwachten op een rechtshulpverzoek. Ook kan hiervan bijvoorbeeld sprake zijn bij het gebruik van anonimiseringssoftware of opslag in de cloud. Met een ingewikkelde formulering wordt de redelijke inspanning beschreven met: ‘de tijd en moeite voor het vaststellen van een specifieke geografische locatie in een reële verhouding tot de noodzakelijkheid van onverwijld optreden, de tijdsdruk en de doorlooptijd van het onderzoek’. In de aanwijzing wordt een interne procedure bij het Openbaar Ministerie beschreven die moet worden gevolgd.

Afwegingscriteria

Als afwegingscriteria voor de (mogelijke) grensoverschrijdende inzet staan in de aanwijzing: (a) ernst of onmiddellijkheid van de gevolgen van de aanval of dreiging; (b) aard en ernst van het strafbare feit; (c) vluchtigheid van de gegevens of informatie die wordt gezocht, en of die moet worden veiliggesteld, danwel ontoegankelijk moet worden gemaakt; (d) mate van betrokkenheid van de Nederlandse rechtsorde en de gevolgen daarvoor (inclusief slachtofferbelangen) (e) de aard van de te verrichten opsporingshandelingen: afhankelijk van de mate van ingrijpendheid, mate van inbreuk op de privacy van de verdachte, mate van inbreuk op privacy van slachtoffers die middels het geautomatiseerde werk wordt gemaakt en (f) risico’s voor het geautomatiseerde werk, d.w.z. technische risico’s en een inschatting van de mogelijke schade voor derden.

Als tijdens de onderzoekshandelingen blijkt dat deze gericht zijn op gegevens die zich op het territorium van een specifieke andere staat bevinden, wordt zo snel mogelijk alsnog een rechtshulpverzoek gedaan aan de desbetreffende staat voor het gebruik van deze gegevens en het onderzoek of besloten de onderzoekshandelingen te stoppen. De uitzondering daarop is dat het belang van het onderzoek groter wordt geacht dan de mogelijke schending van de soevereiniteit van die andere staat of staten. Dat brengt mee dat de officier van justitie in alle gevallen aan de rechter-commissaris meldt wat bekend is over de locatie van de gegevens. Dat geldt dus ook in het geval dat er niets bekend is over de locatie van de gegevens.

Kort commentaar

De overwegingen en instructies in de richtlijn zijn niet verassend, omdat de wetsgeschiedenis over de Wet computercriminaliteit III soortgelijke overwegingen aangeeft. Wat mij betreft komt in de aanwijzing nu duidelijker naar voren dat de grensoverschrijdende inzet ook toelaatbaar wordt geacht als de reactie op een verzoek te lang zich laat wachten, of geen reactie van het land is te verwachten. Ook bleek in de wetsgeschiedenis nog het uitgangspunt te zijn dat het desbetreffende land altijd wordt geïnformeerd over de inzet van de hackbevoegdheid als de locatie bekend wordt, terwijl nu – als ik het goed begrijp – een uitzondering van toepassing kan zijn als ‘het belang van het onderzoek groter wordt geacht dan de mogelijke schending van de soevereiniteit van die andere staat of staten’.

Ik blijf benieuwd hoe internationaal strafrechtjuristen hierover denken die niet zozeer gespecialiseerd zijn in IT-recht, dus ik houd mij aanbevolen voor publicaties of reacties op het onderwerp.

Nieuw boek: Strafrecht en ICT

Posted on 04/01/2019 op Oerlemansblog

Vanaf nu is het boek Strafrecht en ICT beschikbaar! Het boek betreft een studieboek en naslagwerk over cybercriminaliteit.

In het boek bundelen Bert-Jaap Koops en ik onze krachten en updaten wij het boek ‘Strafrecht en ICT’ uit 2007 (destijds uitgebracht onder de redactie van Bert-Jaap Koops).

Materieel strafrecht en ICT
Wij behandelen in hoofdstuk 2 van het boek uitvoerig de strafbepalingen, wetsgeschiedenis en jurisprudentie over computercriminaliteit in enge zin (met delicten als computervredebreuk, de verspreiding van kwaadaardige software (malware) en ddos-aanvallen) en computercriminaliteit in brede zin (met delicten als fraude, oplichting en online zedendelicten). Vergeleken met de tweede druk uit 2007 is er meer jurisprudentie beschikbaar, waardoor de bepalingen beter zijn uitgekristalliseerd. Ook zijn er delicten bijgekomen of aangepast, onder andere vanwege de Wet computercriminaliteit III, zoals heling van gegevens en sextortion.

Formeel strafrecht en ICT
Hoofdstuk 3 gaat over formeel strafrecht en ICT. Het hoofdstuk behandeld alle relevante opsporingsbevoegdheden die worden in gezet in opsporingsonderzoeken naar cybercriminaliteit. Het gaat daarbij bijvoorbeeld om de Wet vorderen gegevens, de Wet bijzondere opsporingsbevoegdheden en de bepalingen omtrent de doorzoeking van plaatsen en inbeslagname van computers. Ook de hackbevoegdheid en de take down-bevoegdheid uit de Wet computercriminaliteit III komen uiteraard aan bod. Zowel in het hoofdstuk over het materieel strafrecht als het hoofdstuk over het formeel strafrecht kijken we enige tijd vooruit en spreken we enkele toekomstverwachtingen over het vakgebied uit.

Grensoverschrijdende digitale opsporing

Het laatste hoofdstuk van het boek gaat over grensoverschrijdende digitale opsporing. Ik mijn hoofdstuk bouw ik voort op mijn werk uit mijn proefschrift, Tekst en Commentaar en nieuwe jurisprudentie. In het hoofdstuk ga ik onder andere in op de grensoverschrijdende toepassing van het vorderen van gegevens, undercover bevoegdheden en de hackbevoegdheid.

Het is een genoegen geweest samen met Bert-Jaap Koops aan het boek te werken. Kennis die ik niet kwijt kon in mijn proefschrift of andere publicaties heeft nu een plek gekregen in het boek. Het boek is nadrukkelijk niet alleen als studieboek geschreven, maar ook als naslagwerk voor wetenschap en praktijk. Het boek heeft hopelijk veel waarde voor juristen die zich in de praktijk bezighouden met cybercriminaliteit en voor juristen die meer willen weten over cybercriminaliteit.