Innovatiewet Strafvordering

3 september 202226 september 2022jjoerlemans

Op 22 juni 2022 is de ‘Innovatiewet Strafvordering’ gepubliceerd (Stb. 2022, 276). Met deze wet wordt een nieuwe (tijdelijke) titel ingevoegd in het huidige Wetboek van Strafvordering op grond waarvan pilotprojecten kunnen plaatsvinden. Voor een periode van twee jaar kan het openbaar ministerie en de politie experimenteren met nieuwe procedures. Deze mogelijkheid vervalt na twee jaar, maar de werking kan bij algemene maatregel van bestuur worden verlengd. In deze blog bespreek ik de artikelen met betrekking tot het ‘vastleggen en kennisnemen van gegevens na inbeslagneming’.

Kennisnemen van berichten na inbeslagname

Artikel 556 Sv ziet op het kennisnemen van nieuwe berichten die na inbeslagneming van bijvoorbeeld een smartphone op dat apparaat binnenkomen. Het eerste lid ziet op het kennisnemen van gegevens die gedurende de eerste drie dagen na de inbeslagneming van het geautomatiseerd werk worden opgeslagen. De officier van justitie kan een daartoe strekkend bevel geven tot uiterlijk drie dagen na de inbeslagneming. Het tweede lid maakt nu duidelijk dat de officier van justitie, óók in het geval hij in de eerste drie dagen na de inbeslagneming van het geautomatiseerd werk nog geen bevel heeft gegeven, ook daarna het bevel nog mag afgeven (voor drie maanden en met mogelijke verlenging van drie maanden). Amendementen op het wetsvoorstel hebben ertoe geleid dat voor deze onderzoekshandelingen een machtiging van de rechter-commissaris nodig is.

De netwerkzoeking na inbeslagname

Artikel 557 Sv omvat de bevoegdheid tot het verrichten van een netwerkzoeking na de inbeslagneming van een geautomatiseerd werk, zoals smartphone. Met deze bevoegdheid is het mogelijk toegang te verschaffen tot bestanden die niet op het inbeslaggenomen apparaat zijn opgeslagen, maar bijvoorbeeld op cloudopslagdiensten, zoals Dropbox, iCloud, Picasa en Google Drive. Dat is mogelijk voor zover dat redelijkerwijs nodig is ‘om de waarheid aan de dag te brengen’. Worden dergelijke gegevens aangetroffen, dan kunnen zij worden vastgelegd. Deze netwerkzoeking reikt zo ver als de netwerken waar de rechtmatige gebruiker van het apparaat toegang toe heeft. De regeling werd door de wetgever noodzakelijk geacht, omdat de huidige netwerkzoeking in artikel 125j Sv is beperkt tot de plaats en het apparaat waar een doorzoeking plaatsvindt en daarom niet mag plaatsvinden vanaf een andere plaats en apparaat, zoals op het politiebureau. De officier van justitie kan het bevel aan een opsporingsambtenaar afgeven, na een machtiging van een rechter-commissaris.

Ongedaan maken van biometrische beveiliging

Artikel 558 Sv bevat de bevoegdheid van de officier van justitie om aan een opsporingsambtenaar te bevelen dat hij biometrische beveiliging of versleuteling ongedaan maakt, in de gevallen dat een inbeslaggenomen geautomatiseerd werk biometrisch is beveiligd of de gegevens die daarop staan biometrisch zijn versleuteld. Het gaat om biometrische beveiliging in de vorm van een vingerafdruk of een opname van de iris of het gezicht. Op 9 februari 2021 (ECLI:NL:HR:2021:202) heeft de Hoge Raad zich al uitgesproken over het ontgrendelen van een smartphone met de vingerafdruk van een verdachte. In zijn arrest overweegt de Hoge Raad dat uitoefening van het dwangmiddel van inbeslagneming kan inhouden dat desnoods met toepassing van proportioneel geweld handelingen worden verricht die strekken tot het onder zich nemen of gaan houden van voorwerpen ten behoeve van de strafvordering. Daarmee vormt de onderhavige bevoegdheid een codificatie van deze recente jurisprudentie van de Hoge Raad en wordt zo een expliciete wettelijke grondslag geboden voor deze vormen van onderzoek, aldus de toelichting.

Cybercrime jurisprudentieoverzicht juli 2021

6 juli 2021jjoerlemans

Rechter-commissaris geeft toestemming voor inloggen in account van verdachte

Op 2 juli 2021 heeft de rechtbank Den Haag een beschikking gepubliceerd (ECLI:NL:RBDHA:2021:6770) (van 14 mei 2021) over verrichten van onderzoek: ‘Inloggen op een geautomatiseerd werk en vastleggen van daarin verwerkte gegevens’ op grond van artikel 181 juncto 177 Sv. De rechter-commissaris acht dit mogelijk op grond van artikel 126ng lid 2 Sv.

De rechter-commissaris overweegt dat er vier mogelijkheden zijn om de inhoud van een digitaal account veilig te stellen:

met toestemming van de verdachte op grond van artikel 32 onder b van het Cybercrimeverdrag;
door middel van een netwerkzoeking op grond van artikel 125j Sv;
door middel van een vordering aan de aanbieder op grond van artikel 126ng lid 2 Sv;
met toepassing van de hackbevoegdheid als bedoeld in artikel 126nba Sv.

Over de eerste mogelijkheid verschaft de vordering geen informatie. De rechter-commissaris heeft kennisgenomen van het proces-verbaal van verhoor en leidt daaruit af dat de verdachte geen toestemming heeft gegeven.

Over de tweede mogelijkheid is in de vordering vermeld dat ten tijde van de doorzoeking in de woning van de verdachte een netwerkzoeking is gedaan, maar dat daarbij de betreffende gegevens niet zijn bemachtigd. Terecht wordt daaraan toegevoegd dat een netwerkzoeking na de doorzoeking niet meer mogelijk is. Er wordt nieuwe wetgeving voorbereid (zie het wetsvoorstel Innovatiewet Strafvordering), maar ook daar zou de onderhavige situatie niet onder vallen, omdat de tablet al sinds oktober 2020 in het bezit van de politie is. Ik vind het overigens opmerkelijk dat in het wetsvoorstel geen machtiging van een rechter-commissaris is vereist voor het achteraf inloggen in een account met rechtmatig verkregen inloggegevens, gezien de ernstige privacy-inbreuk die daarbij plaatsvindt (zoals ik in dit artikel en deze annotatie heb betoogd, maar kennelijk niet overtuigend genoeg). Volgens het voorstel mag ‘een dergelijke netwerkzoeking na inbeslagneming de eerste drie dagen zelfstandig kan worden bevolen door een officier van justitie. De periode van drie dagen kan worden verlengd, maar daarvoor vereist dit voorstel een machtiging van de rechter-commissaris’.

Over de derde mogelijkheid staat in de vordering beschreven dat deze is onderzocht, maar niet tot het gewenste resultaat kon leiden. In dat kader is een rechtshulpverzoek gedaan aan de Verenigde Staten teneinde de inhoud van de Messenger berichten te achterhalen. De rechter-commissaris heeft dit rechtshulpverzoek ingezien. Uit navraag bij de officier van justitie is gebleken dat het rechtshulpverzoek niet is doorgezet, omdat op voorhand duidelijk zou zijn dat niet werd voldaan aan het (door de Amerikaanse autoriteiten gestelde) vereiste van ‘probable cause’, de eis dat de inhoud van de opgevraagde informatie ziet op het gepleegde misdrijf.

De vierde mogelijkheid wordt in de vordering niet benoemd. Het betreft het onder strenge voorwaarden heimelijk en op afstand binnendringen in een geautomatiseerd werk, “een verstrekkende bevoegdheid”, aldus de rechter-commissaris. In de beschikking wordt er niet op ingegaan waarom van de inzet van deze bevoegdheid geen sprake is. De hackbevoegdheid kan toch gewoon aangevraagd worden en dan ligt het toch voor de hand dat toestemming wordt verkregen of mis ik hier iets??

Vervolgens overweegt de rechter-commissaris dat de inbreuk voor de privacy bij het vastleggen van de gegevens door middel van een vordering op grond van artikel 126ng lid 2 Sv of door het inloggen op Facebook en vastleggen van Messenger berichten ‘niet wezenlijk verschillen’. De rechter-commissaris gaat daarom akkoord met het inloggen op het account van de verdachte en vastleggen van de gegevens op grond artikel 126ng lid 2 Sv. Het vastleggen van gegevens door middel van inloggen levert overigens naar het oordeel van de rechter-commissaris geen (duidelijke) schending van de soevereiniteit op, omdat niet duidelijk is waar de gegevens zijn opgeslagen en het vastleggen van de gegevens heel gericht plaatsvindt binnen een bepaalde tijdsperiode.

Veroordeling voor maken van ‘phishing panels’

Op 1 juli 2021 heeft de rechtbank Den Haag een verdachte veroordeeld (ECLI:NL:RBDHA:2021:6678) voor het maken en verkopen van phishing panels en witwassen van bitcoins. De uitspraak staat bol van de interessante details over de modus operandi van de dader en het opsporingsproces van de politie. De belangrijkste delen worden hieronder uitgelicht.

De verdachte maakte zogeheten ‘tikkiepanels’ en ‘phishingpanels’. Hiermee wordt bedoeld software waarmee het mogelijk is om websites te maken die lijken op de inlogpagina’s van de internetbankieromgeving van banken. Voor de beheerder van het panel is het mogelijk om met op die websites ingevoerde gegevens de controle te krijgen over bankrekeningen en daarmee betalingen te doen.

De zaak kwam aan het licht door een inbeslaggenomen mobiele telefoon waarop een Telegram-chatsessie stond waarbij bleek dat een persoon – die zich ‘Haiku’ noemde – een phishingpanel aanbood die betaalverzoekpagina’s van verschillende banken kon maken. Er werd overeenstemming bereikt over de prijs van het panel en door Haiku werd een bestand met daarin het panel verstuurd aan de andere persoon. Later gaf Haiku instructies voor gebruik van het panel. Op het beheergedeelte kan de gebruiker inloggen. Vervolgens heeft de gebruiker de mogelijkheid om zogenaamde ‘betaallinks’ aan te maken. Wanneer een beoogd slachtoffer een betaallink opent, krijgt hij een webpagina te zien die uiterlijk vrijwel gelijk is aan de werkelijke online betaalomgeving van een bank. Wanneer het slachtoffer zijn bankgegevens invult krijgt hij een scherm te zien waaruit blijkt dat even gewacht moet worden. Op dit moment krijgt de gebruiker van het panel in het beheergedeelte de melding dat er een slachtoffer online is. De gebruiker kan zien welke gegevens het slachtoffer heeft ingevoerd. Terwijl het slachtoffer nog aan het wachten is, kan de gebruiker deze gegevens gebruiken om in te loggen bij de bank van het slachtoffer of een iDeal-betaling te verrichten. Voor het doen van een betaling is over het algemeen nog een extra code nodig. Per bank kunnen de vervolgstappen in het panel worden verwerkt om ook deze code te verkrijgen.

Naar aanleiding hiervan is door de politie een onderzoek ingesteld naar de identiteit van Haiku. Na uitgebreid onderzoek in open bronnen, waarbij verschillende aliassen, nicknames en emailadressen door de politie met elkaar in verband konden worden gebracht, is de verdachte in beeld gekomen. Het dataverkeer op het IP-adres van de internetaansluiting op het huisadres van de verdachte is vervolgens enige tijd getapt en ook zijn telefoongesprekken zijn getapt. Uiteindelijk is de verdachte op 19 oktober 2020 aangehouden in zijn slaapkamer, in de woning van zijn moeder in Almelo. Zijn computer stond aan en werd live doorzocht. Er waren diverse programma’s geopend, waaronder een browser waarop een website met ‘developers tools’ van een tikkiepanel was geopend, en het programma Visual Studio met daarin een programmeercode waarin de woorden ‘rabobank’, ‘inloggen’, ‘pincode veranderen’ voorkwamen.

Op de computer van de verdachte zijn veel chatberichten van het programma Telegram aangetroffen. Deze zijn door de politie geanalyseerd. Daaruit is gebleken dat de verdachte voor zijn panels onder meer werd betaald in bitcoins. Uit de berichten valt op te maken dat zodra de verdachte een panel klaar had, hij een bitcoinadres voor de betaling naar de afnemer stuurde. Als hij de bitcoins had ontvangen, stuurde hij via Telegram het panel naar de afnemer. Vanaf 23 januari 2019 heeft de verdachte 97 bitcoinadressen naar andere Telegramgebruikers gestuurd in gesprekken waarin de aanschaf van panels werd besproken. De politie heeft op deze manier 49 verschillende afnemers gevonden die een of meerdere panels hebben afgenomen van de verdachte. In deze zaak heeft de verdachte zich laten betalen in bitcoins, die bitcoins omgezet in giraal geld en dit geld uitgegeven. Aangezien later bewezen werd geacht dat de bitcoins uit misdrijf zijn verkregen is er sprake van witwassen.

Naar het oordeel van de rechtbank zijn panels als de onderhavige technische hulpmiddelen die hoofdzakelijk zijn ontworpen tot het plegen van computervredebreuk. Immers zijn de panels specifiek ontworpen om gegevens te verkrijgen teneinde daarmee onbevoegd in te loggen op een internetbankieromgeving. De rechtbank acht wettig en overtuigend bewezen dat de verdachte deze technische hulpmiddelen heeft vervaardigd, verkocht, verspreid en voorhanden gehad.

Naar aanleiding van gegevens die zijn aangetroffen op de computer van de verdachte, in het bijzonder Telegramchats, is de verdenking ontstaan dat de verdachte niet alleen panels heeft ontworpen en verkocht, maar ook zelf, samen met anderen, van de door hem ontworpen panels gebruik heeft gemaakt om fraude te plegen. De politie heeft verbanden gelegd met de gegevens op de computer van de verdachte en diverse aangiftes van fraude. Ook heeft de politie bij ING Bank fraudedossiers opgevraagd waarin het IP-adres van het huisadres van de verdachte voorkwam. De rechtbank acht bewezen dat de verdachte zich ook schuldig heeft gemaakt aan fraude, op basis van het panel dat open stond op de computer van de verdachte ten tijde van zijn aanhouding, de vele Telegramchats die gaan over phishing en het aantreffen van lijsten met telefoonnummers en chats over het in bulk verzenden van SMS-berichten.

De 20-jarige verdachte is veroordeeld tot een gevangenisstraf van drie jaar, waarvan 1 jaar voorwaardelijk, en een proeftijd van 3 jaar. Als bijzondere voorwaarde is o.a. de interventie Hack_Right opgelegd. De interventie Hack_Right is specifiek ontwikkeld om recidive te voorkomen en het cybertalent van jongeren verder te ontwikkelen. De verdachte zou in de ICT kunnen werken bij een door Hack_Right aangedragen bedrijf, waarbij hij begeleiding krijgt. Het begeleidingstraject richt zich onder meer op welke regels er online gelden (juridisch en ethisch) en met welke reden, er wordt stilgestaan bij de impact op slachtoffers en er wordt gekeken hoe een deelnemer zijn talent het beste kan inzetten.

Veroordeling medeplegen computervredebreuk en gewoontewitwassen

Op 12 mei 2021 heeft de rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2021:1877) voor verhandelen van (wederrechtelijk verkregen) inloggegevens met het doel daarmee computermisdrijven te plegen.

De zaak kwam aan het licht door een onderzoek van het Britse National Crime Agency. Uit dat onderzoek kwam naar voren dat de beheerders van deze website de beschikking hadden gekregen over miljoenen inloggegevens die vermoedelijk afkomstig zijn van datalekken van een grote hoeveelheid (gehackte) websites. Bezoekers van de website weleakinfo.com konden tegen betaling de beschikking krijgen over deze inloggegevens

Aan de hand van onderzoek naar IP-adressen, PayPal-accountgegevens en informatie uit open bronnen op internet, ontstond er een verdenking tegen verdachte. Na zijn aanhouding ontkent de verdachte betrokkenheid bij het delict. De rechtbank stelt dat de verdachte en zijn mededader bij het verhandelen van de inloggegevens voor ogen hebben gehad dat deze werden gebruikt om de computermisdrijven als bedoeld in art. 138ab, eerste lid, 138b en 139c Sr. Dat blijkt onder meer uit de geplaatste advertenties op een website die bezoekers voorziet van informatie over en hacking tools. Zij spraken daarmee een doelgroep aan die met de inloggegevens computermisdrijven wilde plegen. Ook staat de verklaring haaks op de aangeboden ‘hashcrackservice’, waarvoor eveneens actief reclame werd gemaakt. Met deze service konden (betalende) gebruikers versleutelde (‘gehashte’) wachtwoorden kraken, waardoor zij dus achter het wachtwoord bij een gebruikersnaam konden komen. Ten slotte neemt de rechtbank de chatgesprekken tussen verdachte en zijn mededader in aanmerking.

Tegen betaling van abonnementsgeld kregen de gebruikers van de website gedurende een bepaalde periode toegang tot inloggegevens en de betalingen vonden plaats met gebruikmaking van onder andere PayPal en cryptocurrency. Gebleken is dat er op het op naam van verdachte en met de bedrijfsnaam geopende PayPal-account vanaf 21 augustus 2016 activiteiten zijn waargenomen. Uit het onderzoek naar het Coinbase-account gekoppeld aan het bedrijf volgt dat de laatste bitcointransactie plaatsvond op 15 januari 2020.

De opbrengsten uit de handel in inloggegevens kwamen, op diverse PayPal-accounts op naam van verdachte binnen en via duizenden verschillende bitcoinadressen. Gelden op een Duitse rekening op naam van de verdachte zijn door tussenkomst van een bitcoin exchange (Bitonic) en met gebruikmaking van betaaldienst TransferWise terechtgekomen op de ING-rekening van de verdachte. Verder is gebleken dat bijna tweederde van de inkomsten van de website via duizenden verschillende bitcoinadressen zijn verzonden naar de bitcoin mixing service bitcoinmixer.io. De rechtbank ziet deze handelingen met de opbrengsten uit de handel in inloggegevens als handelingen die de werkelijke aard, herkomst en vindplaats daarvan verbergen en/of verhullen en is sprake van het delict witwassen. Het gebruik van een bitcoinmixer wordt bovendien door de FIU aangemerkt als een witwastypologie. Gelet op de lange pleegperiode (ruim 3,5 jaar) en de vele transacties is de rechtbank van oordeel dat verdachte en zijn mededaders van het plegen van witwassen een gewoonte hebben gemaakt.

De rechtbank veroordeelt de verdachte voor een gevangenisstraf van 24 maanden, waarvan 12 maanden voorwaardelijk. De veroordeling ziet op het medeplegen van voorbereidingshandelingen gericht op het plegen van computercriminaliteit in art. 138ab, 138b en 139c Sr en het medeplegen van gewoontewitwassen. Overigens is het sinds 1 maart 2019 ook mogelijk te vervolgen voor het delict heling van gegevens in artikel 139g Sr.

Veroordeling voor hacken bankomgeving en witwassen

Op 1 juni heeft de rechtbank Gelderland een verdachte veroordeeld (ECLI:NL:RBGEL:2021:2686) voor oplichting, computervredebreuk en witwassen.

De verdachte had de beschikking over persoons- en bankgegevens van ruim 19.000 personen (!). Er werd dagenlang gebeld naar beoogde slachtoffers waarbij een verdachte en zijn mededaders zich voordeden als medewerkers van een bank. Het bellen vond plaats vanuit twee belhokken, waarvan er één zelfs speciaal om die reden werd gehuurd. Ook werden er brieven uit naam van de banken verstuurd. Op deze manier werden er bankpassen, pincodes en inloggegevens van de slachtoffers ontfutseld. Na het bemachtigen van de gegevens en bankpassen werden er limieten verhoogd en bedragen overgeschreven en werd er zo snel mogelijk gepind. Het heeft er daarbij alle schijn van dat bewust oudere mensen werden benaderd nu op de laptop van verdachte lijsten zijn aangetroffen waarbij de personen waren gesorteerd op leeftijd.

De verdachte had een leidende rol in het hele proces van oplichting en de daaropvolgende computervredebreuk en intensief met de mededaders samengewerkt. De verdachte heeft, zoals hij zelf heeft verklaard, het plan bedacht om de oplichtingen te plegen, hij heeft de ‘leads’ verstrekt, een belhok (callcenter) gehuurd, de opbrengsten verdeeld en voor de uitbetalingen gezorgd. Bovendien werd verdachte er altijd van op de hoogte gesteld als het gelukt was om in te loggen in een persoonlijke bankomgeving van een slachtoffer. Hij regelde de uitbetaling aan de pinners en ging er zelf met een groot deel van de buit vandoor, aldus de rechtbank.

Gelet op de ernst van de feiten en de rol van verdachte hierbij is de rechtbank van oordeel dat een onvoorwaardelijke gevangenisstraf passend en geboden is. De rechtbank legt een gevangenisstraf op van 2 jaar, waarbij de leeftijd van het verdachte is meegewogen, het gegeven dat hij een ‘first offender’ is en hij de strafbare feiten heeft bekend.

Veroordeling tot poging tot hacken rioolwatersysteem van gemeente

Op 31 mei heeft de rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2021:2257) voor een poging tot computervredebreuk, het medeplegen van valsheid in geschrifte en verduistering.

De verdachte heeft getracht in te loggen op de server voor het beheer van de rioolwatervoorziening van de gemeente Lopik. Uit de aangifte namens de gemeente is gebleken dat het account van verdachte verwijderd was toen de poging werd gedaan en dat maakte een inlogpoging met zijn naam opvallend, omdat hij eerder werkzaam was als budgethouder bij de gemeente Lopik. De gedetailleerde bewijsoverwegingen over de inlogpoging in in de uitspraak zijn interessant. De politie trof een laptop aan, in plastic verpakt, samen met latex handschoenen en een oplader. Na onderzoek op de laptop zagen zij dat via “McDonalds Freewifi” verbinding werd gemaakt een website, waarbij gebruik werd gemaakt van de gebruikersnaam van de verdachte. Uit het dossier blijkt ook dat de telefoon van verdachte ongeveer een half uur voor de inlogpoging verbinding heeft gemaakt met de laptop, waarmee is geprobeerd in te loggen met een IP-adres dat gekoppeld is aan het adres van verdachte. Het is daarom niet aannemelijk geworden dat er derden betrokken zouden zijn.

De rechtbank acht de poging tot computervredebreuk daarmee overtuigend bewezen. Hij is veroordeeld tot een gevangenisstraf van 6 maanden, waarvan 2 maanden voorwaardelijk met een proeftijd van 2 jaar.

Uitgelicht

Annotatie bij Macro-malware zaak

13 juli 202014 juli 2020jjoerlemans Een reactie plaatsen

Hieronder volgt mijn annotatie (.pdf) bij de Macro-malware zaak.

Citeertitel: Rb. Rotterdam 19 maart 2020, ECLI:NL:RBROT:2020:2395, Computerrecht 2020/88, m.nt. J.J. Oerlemans

annotatie-macro-malware-zaak-1 Download

Inleiding

De verdachte is in deze zaak veroordeeld (ECLI:NL:RBROT:2020:2395) voor het vervaardigen, verkopen, verspreiden en voorhanden hebben van malware met het oogmerk computervredebreuk te plegen. De verdachte ontwikkelde het programma ‘Rubella Macro Builder’. Het is zogenoemde ‘macro-malware’, omdat het aan Officedocumenten zoals Word en Excel een stuk verborgen code toevoegt die iets uitvoert. De verdachte had het programma zo geprogrammeerd dat het heimelijk verbinding legde met een externe server waardoor cybercriminelen hun eigen malware konden plaatsen op de computers van de slachtoffers. De zaak is interessant, omdat het een van de weinige veroordelingen is voor de vervaardiging van malware door een Nederlander en het misbruik maken van de macro-functionaliteit in Office-documenten een veelgebruikte aanvalstechniek is van cybercriminelen.

Bron: McAfee.

Onderzoek vangt aan door particulier onderzoek

De zaak begon niet met een opsporingsonderzoek door de politie, maar met een onderzoek van cybersecuritybedrijf McAfee. De onderzoekers bij McAfee viel een advertentie op het oog van het programma op een hackersforum. Het screenshot van een geprepareerd Word-document had Nederlandse taalinstellingen. Dat is ongebruikelijk in de hackerswereld, waar de voertaal volgens McAfee doorgaans Engels is. Ook was een chataccount (van Jabber) van een ene ‘Rubella’ te vinden. De onderzoekers namen contact op via Jabber met de aanbieder en toonde interesse in de software.

Nader onderzoek van de malware – ‘Dryad’ genaamd – toonde verschillende functionaliteiten aan, zoals (1) de mogelijkheid een uitvoeringsbestand te downloaden van een aangegeven URL, (2) de mogelijkheid (o.a.) een .exe-bestand op een computer te starten, (3) de bestandsnaam van de download te wijzigen, (4) verschillende functionaliteiten om antivirusprogramma’s te omzeilen, en (5) de functionaliteit een Word- of Excel-document te generen.

Strafbare karakter van feiten

De verdachte wordt het vervaardigen van malware, te weten ‘Rubella’, ‘Dryad’ en ‘Cetan’, ten laste gelegd. Deze typen malware zijn hoofdzakelijk geschikt voor het voorbereiden van het plaatsen van afluister- en/of hackapparatuur (strafbaar gesteld in art. 139d lid 2 sub a Sr jo 138ab Sr). De verdachte heeft deze malware vervolgens verkocht, verspreid, anderszins ter beschikking gesteld en voorhanden gehad. Het fungeert als ‘tool’ voor cybercriminelen (zie r.o. 4.2.1). In 2017 berichtte Europol dat misbruik van de macro-functionaliteit in Office-documenten een veel gebruikte aanvalstechniek is van cybercriminelen.

Zie bijvoorbeeld Europol, ‘Internet organised threat assessment report 2017’, p. 57:

“A common approach is to attach a malicious attachment to an email, often a Microsoft Office document containing malicious macro code – a tactic that Dridex is notorious for resurrecting. Alternatively the message may include a link to a malicious URL which will then attempt to infect the target computer when they visit the site.”

De verdediging voert aan dat de verdachte geen oogmerk had dat met de software computervredebreuk wordt gepleegd. Het benodigde oogmerk voor de strafbaarstelling zou dus ontbreken, waardoor de verdachte moet worden vrijgesproken. De rechtbank gaat daar niet in mee. Er is veel bewijs voorhanden dat tot bewezenverklaring van het benodigde oogmerk leidt. De verdachte zegt in zijn verklaring bijvoorbeeld dat de software is ontwikkeld om antivirusprogramma’s te omzeilen en toegang te krijgen tot andermans computer. Ook verklaart hij ter zitting dat hij op een bepaald moment de Rubella software is gaan verkopen (r.o. 4.2.3). Dat is mijns inziens in feite een bekentenis.

De rechtbank overweegt dat verdachte de producten op hackersfora verkocht en daarop zijn producten aanprees. Zo is te lezen in een digitale advertentie van Rubella dat het mogelijk is om aan deze malware een ‘powershell payload’ toe te voegen. Met ‘payload’ wordt malware bedoeld die een kwaadwillende kan uitvoeren bij zijn slachtoffer. In de advertentietekst wordt verder benadrukt dat het mogelijk is om met deze malware anti-virusdetectie te omzeilen. Tevens wordt benadrukt in de advertentietekst dat de malware al vier weken FUD zou zijn. Wanneer een bestand FUD is, wordt bedoeld dat het niet door antivirussoftware wordt herkend als zijnde een virus, aldus de rechtbank in zijn uitleg van deze zaak met een hoog technisch karakter (r.o. 4.2.3).

De rechtbank leidt het oogmerk onder andere af uit het geanalyseerde berichtenverkeer op telefoon van de verdachte. Hieruit blijkt dat de verdachte zelf het verband al heeft gelegd tussen het maken en verkopen van deze software en de strafbaarstelling op grond van artikel 139d lid 2 sub a Sr (r.o. 4.2.3). De verdachte wordt ook veroordeeld voor het voorhanden hebben van creditcardgegevens van 42 personen, terwijl hij wist dat het mogelijk was om met deze gegevens creditcardfraude te plegen.

De rechtbank acht het ontoegankelijk maken van gegevens met de programma’s niet bewezen, omdat uit de beschikbare dossierinformatie onvoldoende is gebleken dat de door de verdachte vervaardigde en verkochte malware hoofdzakelijk geschikt of ontworpen was om gegevens te wissen of onbruikbaar te maken, dan wel vernieling van een geautomatiseerd werk te plegen (zoals bij ransomware, zie ook Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153, Computerrecht 2018/210, m.nt. J.J. Oerlemans en mijn blogbericht over de strafbaarstelling van het vervaardigen en voorhanden hebben van ransomware).

Veroordeling

De verdachte wordt veroordeeld tot 12 dagen gevangenisstraf (de tijd dat hij in voorarrest heeft gezeten) en een taakstraf van 240 uur, met daarbij een voorwaardelijke gevangenisstraf van 180 dagen met een proeftijd van 3 jaren.

Opvallend is dat reclassering adviseerde de verdachte aan te melden bij het programma ‘Hack_Right’ om een positieve draai te geven aan de vaardigheden van de verdachte. Binnen het programma lopen jonge hackers bijvoorbeeld stage bij een cybersecuritybedrijf. De rechtbank vindt het niet nodig dat de verdachte het programma Hack_Right volgt, vanwege ‘de voorwaardelijke gevangenisstraf gedurende een proeftijd van drie jaren en vanwege het leereffect dat van deze strafzaak zal uitgaan voor de verdachte’. De destijds 6,76 Bitcoin (met een waarde van 22.711,97 euro) wordt verbeurd verklaard, omdat deze vermoedelijk met de strafbare feiten zijn verkregen.

De strafoplegging valt tegelijkertijd lager uit dan de officier van justitie heeft geëist. Dat is volgens de rechtbank te verklaren vanwege de overwegingen van de persoon van de verdachte en deels omdat minder wordt bewezen dan de officier van justitie ten laste had gelegd.

Conclusie

Juridisch gezien is er weinig op te merken aan de uitspraak. De rechtbank voert de juiste overwegingen in deze technische zaak en het oordeel van de rechtbank is begrijpelijk. De straf kan als laag worden gezien, omdat de software het mogelijk maakt voor cybercriminelen om op grote schaal computervredebreuk te plegen. De veroorzaakte schade door de software is mogelijk aanzienlijk. Echter, op het delict staat slechts maximaal twee jaar gevangenisstraf en de rechtbank legt een flinke voorwaardelijke gevangenisstraf met proeftijd op. Met deze straf kan de verdachte verder gaan met zijn studie en verder werken aan zijn toekomst.

Het was wel interessant geweest meer te lezen over de bewijsgaring van de politie onder leiding van het Openbaar Ministerie. Vermoedelijk is een netwerkzoeking ex 125j Sv toegepast toen de politie in de collegezaal de verdachte arresteerde en de laptop van de verdachte doorzocht. In de media is te lezen dat de laptop nog aanstond en de politie bewijs direct heeft verzameld. Het zou goed zijn daar mee over te lezen, omdat er nauwelijks jurisprudentie is over de bevoegdheid van de netwerkzoeking. De advocaat heeft hier echter geen verweer op gevoerd, waardoor de rechtbank Rotterdam er ook geen overwegingen aan hoeft te wijden.

Met name de technische details van de zaak en het geringe aantal veroordelingen voor het vervaardigen van software die als ‘tool’ door cybercriminelen wordt gebruikt, maakt de zaak lezenswaardig.

Meelezen op de appgroep: “Vreugdevuur Scheveningen”

7 februari 20207 februari 2020jjoerlemans

In deze korte blog wil ik een beschikking signaleren die bij mij veel vragen oproept

Op 7 december 2019 heeft een rechter-commissaris van de rechtbank Den Haag in een beschikking (ECLI:NL:RBDHA:2019:14245) schriftelijk bevestigd goedkeuring te verlenen om binnenkomende berichten op de Whatsappgroep “Vreugdevuur Scheveningen” mee te lezen. De telefoon van de betrokken verdachte is in beslag genomen en de verdachte heeft vrijwillige de toegangscode van zijn telefoon verstrekt. Het is mij onduidelijk gebleven van welk misdrijf de verdachte wordt verdacht.

Probleem: niet aftapbaarheid

Het probleem is hier dat de politie graag de berichten in de Whatsappgroep wilt meelezen, maar dit niet mogelijk is door een tap te plaatsen. Whatsapp werkt klaarblijkelijk niet mee aan een bevel tot plaatsing van een telecommunicatietap.

Wet biedt strikt genomen geen ruimte

De wet laat op het moment het meelezen van binnenkomende berichten strikt genomen niet toe. De Commissie-Koops besteed in hun lijvige rapport hier veel aandacht aan (zie par. 5.3.4). De commissie beveelt aan de regeling in het wetboek van strafvordering aan te passen, zodat het (op voorhand voorzienbaar) laten binnenkomen van berichten is toegestaan. Als gevolg van de aanbeveling van deze commissie is een wetsvoorstel in consultatie gegeven (het conceptwetsvoorstel Innovatiewet Strafvordering), die dit mogelijk maakt door aanpassing van de regeling van de netwerkzoeking.

Toch toestemming

Toch beslist de rechter-commissaris in deze zaak dat het is toegestaan binnenkomende berichten mee te lezen. “Nood breekt wet”, lijkt de gedachte. De rechter-commissaris motiveert de beslissing door naar analogie aan de voorwaarden van de bijzondere opsporingsbevoegdheid tot het plaatsen van een telecommunicatietap (in artikel 126m Sv) te toetsen. Hoewel de omschrijving van de bevoegdheid in de tekst hele andere handelingen beschrijft, constateert de RC dat ‘het verschil in methode, tappen of meelezen, niet wezenlijk is te noemen’.

Discussie

Ik begrijp de gedachtegang van de rechter-commissaris wel en het is goed dat aansluiting wordt gezocht met een vergelijkbare bijzondere opsporingsbevoegdheid met strenge vereisten. De privacy-inbreuk is inderdaad ook vergelijkbaar met een tap.

Maar de rechter-commissaris keurt een opsporingsmethode goed, waartoe het Wetboek van Strafvordering op dit moment geen ruimte biedt. De Nederlandse wetgever moet nog via een democratisch proces beslissen of het wenselijk is dat juist deze opsporingsmethode mogelijk wordt door de regeling van de netwerkzoeking aan te passen in de Innovatiewet Strafvordering en zo ja, onder welke voorwaarden dat wenselijk is.

Consequentie mogelijk vormverzuim?

Het is te bezien of het vraagstuk uit deze beschikking tot een zittingsrechter komt en de verdediging hier een punt van maakt. En zelfs als dat gebeurt, is het maar de vraag of het als een vormverzuim wordt gezien dat tot een sanctie leidt, zoals strafvermindering.

Ik hoop niet dat vaak zo vrij en naar ‘analogie’ van de wet door rechter-commissarissen wordt geredeneerd. Het achterliggende idee van het strafvorderlijk legaliteitsbeginsel in de opsporing is juist dat – door de wetgever en na een democratisch proces – in de wet wordt vastgelegd welke ingrijpende opsporingshandelingen onder welke voorwaarden mogen worden ingezet.

Inloggen in het account van de verdachte

19 mei 201914 januari 2020jjoerlemans 1 reactie

posted on 19/05/2019 on Oerlemansblog

Mogen opsporingsdiensten inloggen in het account van een verdachte? Nu.nl kopte recentelijk ‘Rechter: OM mag inloggen op Telegram-accounts van verdachte’ dat dit kennelijk is toegestaan, maar juridisch is er nog onduidelijkheid.

Telegram-uitspraak

Op 22 februari 2019 heeft de rechtbank Rotterdam in hoger beroep geoordeeld (ECLI:NL:RBROT:2019:2712) dat het rechtmatig is om toegang te verschaffen tot het Telegram-account van een verdachte op grond van art. 126ng lid 2 Sv. In eerste instantie weigerde een rechter-commissaris hier een machtiging voor af te geven. De verdachte onderdeel van een onderzoek naar de verspreiding van malware (phishing-software) waarmee toegang is verkregen tot inloggegevens van klanten van onder meer ING bank, Rabobank en Vodafone, waarna geld is weggenomen via internetbankieren.

De rechters overwegen in de uitspraak dat Telegram op voorhand heeft laten weten de gevraagde gegevens niet te zullen en/of kunnen verstrekken. De plaats waar deze gegevens zich fysiek bevinden “in the cloud” is namelijk onbekend en de gegevens zijn door de end-to-end encryptie zonder gebruikmaking van het account van de eindgebruiker niet leesbaar te leveren. De machtiging wordt door de rechter-commissaris afgegeven, met dien verstande dat de machtiging uitsluitend betrekking heeft op de gegevens die op de dag van de aanvraag bij de rechter-commissaris beschikbaar waren. De politie mag nu de inhoud en de gesprekshistorie van het Telegram-account van de verdachte veiligstellen en kopiëren.

De rechters overwegen dat de wetgever voor ogen had met de bevoegdheid de (volledige) inhoud van het opgeslagen berichtenverkeer aan de officier van justitie ter beschikking te stellen. Het betreft dan ook met name het doorbreken van de vertrouwelijkheid van de inhoud van het berichtenverkeer waarop de bescherming van dat artikel ziet, en niet zozeer de vorm waarin de verstrekking van die gegevens na machtiging daartoe door de rechter-commissaris door de provider plaats moet vinden.

Hof Den Haag: mag niet, maar vormverzuim wordt gerelativeerd

In vergelijkbare casus kwam het Hof Den Haag eerder in december 2019 tot een andere conclusie. In deze zaak werd het inloggen op het account gebaseerd op de netwerkzoeking in artikel 125j Sv. Het Hof legt in het arrest (ECLI:NL:GHDHA:2018:3529) uit dat uit de wetsgeschiedenis blijkt dat de wetgever geen ruimte heeft willen bieden voor de toepassing van een netwerkzoeking op een later moment en op een andere locatie dan (ten tijde van) de plaats van doorzoeking. Deze constatering heeft overigens geen gevolgen voor de verdachte, want het vormverzuim wordt gerelativeerd. Het arrest is overigens ook lezenswaardig omdat wordt ingegaan op het hackverweer (“mijn client is gehackt”), dat advocaten dikwijls gebruiken.

In mijn annotatie noem ik ook andere zaken van de ECLI:NL:RBROT:2018:8017 en ECLI:NL:RBDHA:2019:1329 waarin het inloggen op artikel 126ng lid 2 Sv werd gebaseerd (en ene keer niet toegestaan, de andere keer wel). Artikel 126ng lid 2 Sv vormt in principe ook geen geschikte basis voor een online doorzoeking, omdat dit artikel spreekt van een vordering van opgeslagen gegevens bij een aanbieder van een communicatiedienst.

Hoe nu verder?

De Commissie-Koops stelde al voor de regeling voor de netwerkzoeking aan te passen en uit te breiden, zodat het in de wet duidelijk staat dat opsporingsambtenaren ook achteraf mogen inloggen in het account van een verdachte. De Commissie constateert volgens mij terecht dat “nu, maar zeker in de toekomst, de meeste gezochte gegevens zich niet meer fysiek in de omgeving van het subject maar ergens in de cloud bevinden”. In een wetsvoorstel dat eind 2019 naar de Tweede Kamer wordt gestuurd, wilt de wetgever dit regelen.

De vraag is of de Hoge Raad zich niet eerder zal uitspreken over het bovenstaande vraagstuk. Stel dat de Hoge Raad oordeelt dat het ‘gewoon’ rechtmatig is en in het verlengde ligt van de netwerkzoeking of het vorderen van opgeslagen gegevens bij een communicatiedienstaanbieder, dan gaat de Hoge Raad wel erg ver in de rechtvormende taak, zonder dat de wetgever zich hierover heeft uitgesproken. Aan de andere kant zijn met toepassing van artikel 126ng lid 2 Sv hoge waarborgen voor de verdachte en voorwaarden van de inzet van een bevoegdheid verbonden en is er nú behoefte aan een oplossing. Het is interessant om te zien hoe de Hoge Raad daarmee omgaat.

Strafvordering in het digitale tijdperk

2 december 201815 januari 2020jjoerlemans Een reactie plaatsen

Posted on 02/12/2018 op Oerlemansblog

Waar moet de Nederlandse regeling voor de opsporing in het digitale tijdperk aan voldoen? De Commissie-Koops heeft getracht op deze vraag antwoord te geven en heeft in juni 2018 een indrukwekkend rapport afgeleverd over ‘de regulering van opsporingsbevoegdheden in het digitale tijdperk’. Het rapport bevat maar liefst 72 aanbevelingen voor de wetgever om het onderdeel over opsporing (“Boek 2”) in het nieuwe Wetboek van Strafvordering beter in te richten.

Mijn artikel is een beschouwing van het rapport waar ik de belangrijkste aanbevelingen van de commissie in het rapport samenvat en kritisch bespreek. Ook betoog ik dat het onderwerp van data-analyse in de opsporing in het rapport onvoldoende is uitgewerkt.

In deze blogpost volsta ik verder met de conclusie van mijn artikel. Het gehele artikel is door een open access regeling direct te lezen via het ‘Platform Modernisering Strafvordering’.

Paragraaf 6 – Slotbeschouwing

De Commissie-Koops heeft een waardevolle bijdrage geleverd aan het project Modernisering Strafvordering door verbeteringen voor te stellen met betrekking tot het conceptwetsvoorstel Boek 2. De Commissie heeft een grondige en systematische analyse gedaan van de voorgestelde regelingen en aandacht besteed aan de relevante maatschappelijke ontwikkelingen. De wetgever doet er goed aan alle 72 aanbevelingen uit het rapport serieus mee te nemen in het wetgevingsproces.

De nieuwe rol en invulling van ‘stelselmatigheid’ is bovendien waardevol om de zwaarte van de privacy-inmenging en bijpassende autoriteit in te vullen. Het nieuwe normeringscriterium loopt als een rode draad door het rapport voor de normering van bijzondere opsporingsbevoegdheden, zoals openbronnenonderzoek, het beslag op digitale gegevensdragers, het vorderen van gegevens en onderzoek aan (tele)communicatie.

Toch is het criterium van stelselmatigheid naar mijn mening niet voor alle opsporingshandelingen even geschikt. In sommige gevallen kan bij de normering van opsporingsmethoden beter voor duidelijkheid worden gekozen met een vooraf ingevulde inbreuk op de persoonlijke levenssfeer en bijbehorende autoriteit om het bevel voor de opsporingshandeling te geven. Ik doel daarbij in het bijzonder op het beslag op bepaalde gegevensdragers en de inzet van scrapers ten behoeve van de opsporing. De Commissie-Koops gaat in plaats daarvan mee met de ruime normen die in de praktijk zijn ontwikkeld en achteraf door de rechtspraak zijn goedgekeurd of bijgestuurd. Daarbij worden suggesties gedaan voor een zeer genuanceerde invulling van het criterium afhankelijk van de verschillende omstandigheden van het geval, waarbij met tal van factoren rekening moet worden gehouden.

Het is echter belangrijk dat ook de maatschappij, bij monde van de wetgever, zich uitspreekt en beslissingen neemt over belangrijke zaken, zoals de wenselijke wettelijke bescherming bij het onderzoek van gegevens in een smartphone en de vraag of scrapers op grote schaal (persoons)gegevens mogen verzamelen. Ook geeft een regeling voor opsporingsmethoden zonder stelselmatigheid als normeringscriterium de reikwijdte van een opsporingsbevoegdheid duidelijker aan en biedt daarmee meer rechtszekerheid voor alle betrokkenen in het strafproces.

In dit artikel heb ik opnieuw betoogd dat de zwaarte van de privacy-inmenging bij de inbeslagname van en het onderzoek op smartphones ernstig is en dat simpelweg kan worden gekozen voor een vereiste machtiging van een rechter-commissaris (behoudens enkele uitzonderingen bij wet). Zeker voor de jongere generaties zijn opsporingshandelingen met betrekking tot smartphones, PC’s en laptops, waarbij de bijbehorende gegevens al dan niet in de cloud zijn opgeslagen, zeer privacy-intrusief. Het arrest van de Hoge Raad en het voorstel van de Commissie-Koops houden hier mijns inziens onvoldoende rekening mee en leggen een onduidelijk criterium aan om de ernst van de privacy-inmenging te bepalen. De aanbeveling een wetsvoorstel voor het beslag op gegevensdragers en openbronnenonderzoek al eerder naar de Tweede Kamer te sturen ondersteun ik daarom ten volle. Hopelijk bestaat daarbij ook nog ruimte voor een debat over het alternatief van een eenvoudiger regeling met een duidelijke bevoegde autoriteit voor de inbeslagname en het onderzoek van gegevens op bovengenoemde gegevensdragers en de inzet van scrapers.

Daarnaast is de uitwerking over de ‘dataficering van de opsporing’ en in het bijzonder het gebruik van data-analysetechnieken in het rapport ondermaats gebleven. Een commissie die zich buigt over ‘strafvordering in het digitale tijdperk’ zou ook hierover uitgebreid moeten adviseren, waarbij kan worden voortgebouwd op adviezen die hier al eerder over zijn gegeven.

Het advies had zich moeten richten op concrete suggesties voor strafprocessuele waarborgen bij de verwerking van gegevens binnen het opsporingsproces, inclusief het daaraan gerelateerde vermeende gebrek aan toezicht. In plaats daarvan worden slechts voorzichtige aanbevelingen gedaan en een nieuwe vergaande bevoegdheid voorgesteld om een bevel tot data-analyses bij derden ten behoeve van de opsporing mogelijk te maken. Tegenover al het potentieel dat data-analyse voor de politie biedt, moet voldoende bescherming voor de betrokken burgers staan. Op dit punt is het rapport niet in balans.

Het is echter geenszins mijn bedoeling dit artikel over het rapport van de Commissie-Koops in mineur af te sluiten. De bovenstaande kritiek doet niet af aan de waarde en het belang van de voorstellen van de Commissie. Over het geheel genomen heeft de Commissie-Koops een mooie en waardevolle prestatie geleverd, waar de wetgever – getuige de 72 aanbevelingen gericht op het Wetboek van Strafvordering – concreet mee uit te voeten kan.

De Belgische ‘online doorzoeking’

19 april 201214 januari 2020jjoerlemans Een reactie plaatsen

Posted on 19/04/2012 on Oerlemansblog

In België wordt in artikel 88ter Wetboek van Strafvordering de zogenaamde ‘netwerkzoeking’ geregeld. Aan het artikel kan een zeer brede betekenis worden toegekend. Zelfs zo breed dat het de grondslag zou kunnen vormen van tot een ‘online doorzoeking’ in het buitenland.

In dit blogbericht wil ik de bevoegdheid kort analyseren en een vergelijking maken met het Nederlandse equivalent zoals geregeld in artikel 125j van het Nederlandse Wetboek van Strafvordering. Daarbij wil ik opmerken dat het slechts mijn eerste gedachten zijn over het onderwerp. Als iemand mij kan en wil verbeteren, dan graag! .

Belgische netwerkzoeking

De Belgische netwerkzoeking is een op zichzelf staande opsporingsbevoegdheid en geen opsporingsbevoegdheid die slechts in het verlengde staat van een andere bevoegdheid, zoals een huiszoeking of doorzoeking ter vastlegging van gegevens. Wel kan een machtiging tot een netwerkzoeking door een rechter tijdens een zoeking worden afgegeven als blijkt dat een betrokken verdachte van een bepaalde systemen gebruik maakt om daar vervolgens een zoeking te doen. De zoeking zou elke mogelijke technische en procedurele vorm kunnen inhouden en daarmee zijn de mogelijkheden van opsporingsbevoegdheid zeer breed.

Zelfs zo breed dat in literatuur (Zie voor een heldere uitleg bijvoorbeeld J. Kerkhofs & P. van Linthout, ‘Cybercriminaliteit doorgelicht’, Tijdschrift voor Strafrecht 2010, nr. 4, pp. 179-199) als voorbeeld wordt genoemd dat met een voorhanden inlognaam en wachtwoord ook de webmail van een verdachte (bijvoorbeeld Gmail en Hotmail) kan worden onderzocht. Denkbaar is dat opsporingsambtenaren zo’n inlognaam en wachtwoord tijdens een huiszoeking op een briefje ergens vinden, tijdens een tap wordt onderschept, of zelfs met software of een ‘bug’ op het toetsenbord wordt onderschept (als die opsporingsmethode tenminste in de wetgeving mogelijk is gemaakt). Met de netwerkzoeking-bevoegdheid zou dan volgens de Belgen op het geautomatiseerde werk (in casu de webserver) een zoeking kunnen plaatsvinden.

Dit vind ik een bepaald vergaande bevoegdheid dat mijns inziens wel degelijk op hacken als opsporingsbevoegdheid neerkomt. Er wordt immers onder een valse hoedanigheid een (persoonlijk) geautomatiseerd werk van een verdachte binnengedrongen. Het idee is volgens mij dat, omdat er een wettelijke bevoegdheid (in België) voorhanden is voor een dergelijke opsporingshandeling geen sprake van het delict (hacken) zou zijn. De opsporingsmethode zelf komt in het spraakgebruik nog steeds neer op hacken. Bovendien wordt in bepaalde gevallen in feite op een geautomatiseerd systeem (server) van een bedrijf gezocht die daarvoor geen toestemming heeft geven en wellicht in het buitenland staat. Zowel het betrokken bedrijf of de betrokken staat kan dat nog steeds als een delict of inbreuk op haar soevereiniteit zien. De enige beperking van de netwerkzoeking lijkt te zijn dat niet op slinkse wijze of met een technische voorziening computers gehackt mogen worden. De toegang moet dus rechtmatig verkregen zijn, bijvoorbeeld door het vergaren van de inloggegeven met een andere opsporingsbevoegdheid. Ik vraag mij af of het ook mogelijk zou zijn netwerken overal ter wereld te doorzoeken, indien een systeembeheerder daar bijvoorbeeld toegang toe heeft en de toegangscodes aan opsporingsinstanties afgeeft. Hopelijk wordt dat dan wel even met een jurist van het betrokken bedrijf overlegt.

België heeft het Cybercrimeverdrag niet geratificeerd waarin verdragstaten overeen
zijn gekomen dat gegevens slechts met voorafgaande toestemming van de rechthebbende
of met rechtshulp grensoverschrijdend gegevens kunnen worden verkregen. De partijen waren er tijdens de onderhandeling niet uitgekomen dat een grensoverschrijdende netwerkzoeking mogelijk zou zijn, wellicht omdat zij zich in hun soevereiniteit geschonden voelen. Dat betekent dat de normale volkenrechtelijke regels gelden en strafvorderlijke bevoegdheden in principe niet over de grens mogen worden toegepast. De kans bestaat naar mijn mening dat een andere staat of bedrijf naar aanleiding van zo’n actie de Belgische Staat voor een (internationale?) rechter sleept. Het is blijkbaar de bedoeling dat bij de Belgische netwerkzoeking de verantwoordelijke voor het systeem waar een zoeking plaatsvindt geïnformeerd wordt. Dit is echter alleen noodzakelijk indien de identiteit van de verantwoordelijke redelijkerwijze kan worden vastgesteld. De
auteurs Kerkhofs en Linthout wijzen er tevens op dat voor de bepaling geen termijn voor de informering voorschrijft en niet op straffe van een sanctie is voorgeschreven.

Netwerkzoeking in Nederland

Naar aanleiding van het bovenstaande moet natuurlijk afgevraagd worden of in Nederland ook met het equivalent van de Belgische netwerkzoeking in het buitenland systemen mogen worden doorzoeken. Uit de wettekst zelf en wetsgeschiedenis kan worden afgeleid artikel 125j Sv een netwerkzoeking mogelijk maakt als vervolg van de inzet van een bevoegdheid tot het doorzoeken ter vastlegging van gegevens zoals geregeld in artikel 125i Sv. Indien bijvoorbeeld een doorzoeking ter vastlegging van gegevens plaatsvindt op een computer bij een bedrijf, dan kan de doorzoeking zich tevens uitstrekken tot andere computers binnen een bedrijfsnetwerk of zelfs met computers die met het netwerk verbonden zijn en binnen Nederlands territoir bevinden. De bevoegdheid kan alleen worden ingezet indien wordt vermoed dat bepaalde gegevens op die andere computers gevonden zullen worden. Deze laatste eis geldt echter ook in België.

De Nederlandse bevoegdheid tot een netwerkzoeking is daardoor beperkter in zijn aard dan de Belgische (zie ook Koops, in ‘De dynamiek van cybercrime-wetgeving in Europa en Nederland’, p. 17 en 18). Andere opsporingsbevoegdheden bieden naar mijn mening tevens onvoldoende legitimatie tot het op afstand doorzoeken van gegevens op een geautomatiseerd werk (zie ook dit artikel van mij en dit blogbericht).

Conclusie

De Belgische netwerkzoeking kan onder omstandigheden een ‘online doorzoeking’ in het buitenland mogelijk maken. In Nederland is deze opsporingshandeling naar mijn mening niet toegestaan, omdat de Nederlandse netwerkzoeking geen op zichzelf staande opsporingsbevoegdheid is en hacken (nog) geen opsporingsbevoegdheid is.

Naar mijn mening is de Belgische netwerkzoeking zeer vergaand, maar pragmatisch. Het biedt opsporingsambtenaren de mogelijkheid grensoverschrijdend gegevens te vergaren in dezelfde systemen als waar een verdachte gebruik van maakt, mits rechtmatig toegang wordt verkregen tot die systemen op basis van andere bevoegdheden. Echter, het kan leiden tot een ontransparante opsporingspraktijk waarbij heimelijk informatie wordt vergaard (al dan niet in het buitenland). Zelfs als een brave Belgische opsporingsambtenaar de verantwoordelijke over het gebruik van de bevoegdheid inlicht vindt het bedrijf het wellicht niet voldoende aanleiding (of te veel moeite?) om er een probleem van te maken of een procedure te starten. Indien dergelijke opsporingshandelingen niet via officiële rechtshulpverzoeken gaan worden de opsporingshandelingen die een inbreuk maken op de persoonlijke levenssfeer van de betrokken aan het toezicht van de betrokken staat onttrokken. Dit kan de rechtsbescherming van de betrokkene in gevaar brengen, zeker wanneer de verdachte zich op territoir buiten België bevindt. Inzet van de opsporingsmethode kan leiden tot
diplomatieke spanningen als een staat van de netwerkzoeking op de hoogte raakt. Daarbij moet wel worden aangetekend dat dit afhankelijk is van de omstandigheden van het geval, de afspraken die onderling zijn gemaakt en de opsporingspraktijk. Ik ben daarom heel benieuwd hoe de bevoegdheid in de praktijk gaat uitwerken en in hoeverre hier procedures uit volgen.

jjoerlemans.com

Tag Netwerkzoeking