Online doorzoeking | jjoerlemans.com

posted on 19/05/2019 on Oerlemansblog

Mogen opsporingsdiensten inloggen in het account van een verdachte? Nu.nl kopte recentelijk ‘Rechter: OM mag inloggen op Telegram-accounts van verdachte’ dat dit kennelijk is toegestaan, maar juridisch is er nog onduidelijkheid.

Telegram-uitspraak

Op 22 februari 2019 heeft de rechtbank Rotterdam in hoger beroep geoordeeld (ECLI:NL:RBROT:2019:2712) dat het rechtmatig is om toegang te verschaffen tot het Telegram-account van een verdachte op grond van art. 126ng lid 2 Sv. In eerste instantie weigerde een rechter-commissaris hier een machtiging voor af te geven. De verdachte onderdeel van een onderzoek naar de verspreiding van malware (phishing-software) waarmee toegang is verkregen tot inloggegevens van klanten van onder meer ING bank, Rabobank en Vodafone, waarna geld is weggenomen via internetbankieren.

De rechters overwegen in de uitspraak dat Telegram op voorhand heeft laten weten de gevraagde gegevens niet te zullen en/of kunnen verstrekken. De plaats waar deze gegevens zich fysiek bevinden “in the cloud” is namelijk onbekend en de gegevens zijn door de end-to-end encryptie zonder gebruikmaking van het account van de eindgebruiker niet leesbaar te leveren. De machtiging wordt door de rechter-commissaris afgegeven, met dien verstande dat de machtiging uitsluitend betrekking heeft op de gegevens die op de dag van de aanvraag bij de rechter-commissaris beschikbaar waren. De politie mag nu de inhoud en de gesprekshistorie van het Telegram-account van de verdachte veiligstellen en kopiëren.

De rechters overwegen dat de wetgever voor ogen had met de bevoegdheid de (volledige) inhoud van het opgeslagen berichtenverkeer aan de officier van justitie ter beschikking te stellen. Het betreft dan ook met name het doorbreken van de vertrouwelijkheid van de inhoud van het berichtenverkeer waarop de bescherming van dat artikel ziet, en niet zozeer de vorm waarin de verstrekking van die gegevens na machtiging daartoe door de rechter-commissaris door de provider plaats moet vinden.

Hof Den Haag: mag niet, maar vormverzuim wordt gerelativeerd

In vergelijkbare casus kwam het Hof Den Haag eerder in december 2019 tot een andere conclusie. In deze zaak werd het inloggen op het account gebaseerd op de netwerkzoeking in artikel 125j Sv. Het Hof legt in het arrest (ECLI:NL:GHDHA:2018:3529) uit dat uit de wetsgeschiedenis blijkt dat de wetgever geen ruimte heeft willen bieden voor de toepassing van een netwerkzoeking op een later moment en op een andere locatie dan (ten tijde van) de plaats van doorzoeking. Deze constatering heeft overigens geen gevolgen voor de verdachte, want het vormverzuim wordt gerelativeerd. Het arrest is overigens ook lezenswaardig omdat wordt ingegaan op het hackverweer (“mijn client is gehackt”), dat advocaten dikwijls gebruiken.

In mijn annotatie noem ik ook andere zaken van de ECLI:NL:RBROT:2018:8017 en ECLI:NL:RBDHA:2019:1329 waarin het inloggen op artikel 126ng lid 2 Sv werd gebaseerd (en ene keer niet toegestaan, de andere keer wel). Artikel 126ng lid 2 Sv vormt in principe ook geen geschikte basis voor een online doorzoeking, omdat dit artikel spreekt van een vordering van opgeslagen gegevens bij een aanbieder van een communicatiedienst.

Hoe nu verder?

De Commissie-Koops stelde al voor de regeling voor de netwerkzoeking aan te passen en uit te breiden, zodat het in de wet duidelijk staat dat opsporingsambtenaren ook achteraf mogen inloggen in het account van een verdachte. De Commissie constateert volgens mij terecht dat “nu, maar zeker in de toekomst, de meeste gezochte gegevens zich niet meer fysiek in de omgeving van het subject maar ergens in de cloud bevinden”. In een wetsvoorstel dat eind 2019 naar de Tweede Kamer wordt gestuurd, wilt de wetgever dit regelen.

De vraag is of de Hoge Raad zich niet eerder zal uitspreken over het bovenstaande vraagstuk. Stel dat de Hoge Raad oordeelt dat het ‘gewoon’ rechtmatig is en in het verlengde ligt van de netwerkzoeking of het vorderen van opgeslagen gegevens bij een communicatiedienstaanbieder, dan gaat de Hoge Raad wel erg ver in de rechtvormende taak, zonder dat de wetgever zich hierover heeft uitgesproken. Aan de andere kant zijn met toepassing van artikel 126ng lid 2 Sv hoge waarborgen voor de verdachte en voorwaarden van de inzet van een bevoegdheid verbonden en is er nú behoefte aan een oplossing. Het is interessant om te zien hoe de Hoge Raad daarmee omgaat.

Posted on 19/04/2012 on Oerlemansblog

In België wordt in artikel 88ter Wetboek van Strafvordering de zogenaamde ‘netwerkzoeking’ geregeld. Aan het artikel kan een zeer brede betekenis worden toegekend. Zelfs zo breed dat het de grondslag zou kunnen vormen van tot een ‘online doorzoeking’ in het buitenland.

In dit blogbericht wil ik de bevoegdheid kort analyseren en een vergelijking maken met het Nederlandse equivalent zoals geregeld in artikel 125j van het Nederlandse Wetboek van Strafvordering. Daarbij wil ik opmerken dat het slechts mijn eerste gedachten zijn over het onderwerp. Als iemand mij kan en wil verbeteren, dan graag! .

Belgische netwerkzoeking

De Belgische netwerkzoeking is een op zichzelf staande opsporingsbevoegdheid en geen opsporingsbevoegdheid die slechts in het verlengde staat van een andere bevoegdheid, zoals een huiszoeking of doorzoeking ter vastlegging van gegevens. Wel kan een machtiging tot een netwerkzoeking door een rechter tijdens een zoeking worden afgegeven als blijkt dat een betrokken verdachte van een bepaalde systemen gebruik maakt om daar vervolgens een zoeking te doen. De zoeking zou elke mogelijke technische en procedurele vorm kunnen inhouden en daarmee zijn de mogelijkheden van opsporingsbevoegdheid zeer breed.

Zelfs zo breed dat in literatuur (Zie voor een heldere uitleg bijvoorbeeld J. Kerkhofs & P. van Linthout, ‘Cybercriminaliteit doorgelicht’, Tijdschrift voor Strafrecht 2010, nr. 4, pp. 179-199) als voorbeeld wordt genoemd dat met een voorhanden inlognaam en wachtwoord ook de webmail van een verdachte (bijvoorbeeld Gmail en Hotmail) kan worden onderzocht. Denkbaar is dat opsporingsambtenaren zo’n inlognaam en wachtwoord tijdens een huiszoeking op een briefje ergens vinden, tijdens een tap wordt onderschept, of zelfs met software of een ‘bug’ op het toetsenbord wordt onderschept (als die opsporingsmethode tenminste in de wetgeving mogelijk is gemaakt). Met de netwerkzoeking-bevoegdheid zou dan volgens de Belgen op het geautomatiseerde werk (in casu de webserver) een zoeking kunnen plaatsvinden.

Dit vind ik een bepaald vergaande bevoegdheid dat mijns inziens wel degelijk op hacken als opsporingsbevoegdheid neerkomt. Er wordt immers onder een valse hoedanigheid een (persoonlijk) geautomatiseerd werk van een verdachte binnengedrongen. Het idee is volgens mij dat, omdat er een wettelijke bevoegdheid (in België) voorhanden is voor een dergelijke opsporingshandeling geen sprake van het delict (hacken) zou zijn. De opsporingsmethode zelf komt in het spraakgebruik nog steeds neer op hacken. Bovendien wordt in bepaalde gevallen in feite op een geautomatiseerd systeem (server) van een bedrijf gezocht die daarvoor geen toestemming heeft geven en wellicht in het buitenland staat. Zowel het betrokken bedrijf of de betrokken staat kan dat nog steeds als een delict of inbreuk op haar soevereiniteit zien. De enige beperking van de netwerkzoeking lijkt te zijn dat niet op slinkse wijze of met een technische voorziening computers gehackt mogen worden. De toegang moet dus rechtmatig verkregen zijn, bijvoorbeeld door het vergaren van de inloggegeven met een andere opsporingsbevoegdheid. Ik vraag mij af of het ook mogelijk zou zijn netwerken overal ter wereld te doorzoeken, indien een systeembeheerder daar bijvoorbeeld toegang toe heeft en de toegangscodes aan opsporingsinstanties afgeeft. Hopelijk wordt dat dan wel even met een jurist van het betrokken bedrijf overlegt.

België heeft het Cybercrimeverdrag niet geratificeerd waarin verdragstaten overeen
zijn gekomen dat gegevens slechts met voorafgaande toestemming van de rechthebbende
of met rechtshulp grensoverschrijdend gegevens kunnen worden verkregen. De partijen waren er tijdens de onderhandeling niet uitgekomen dat een grensoverschrijdende netwerkzoeking mogelijk zou zijn, wellicht omdat zij zich in hun soevereiniteit geschonden voelen. Dat betekent dat de normale volkenrechtelijke regels gelden en strafvorderlijke bevoegdheden in principe niet over de grens mogen worden toegepast. De kans bestaat naar mijn mening dat een andere staat of bedrijf naar aanleiding van zo’n actie de Belgische Staat voor een (internationale?) rechter sleept. Het is blijkbaar de bedoeling dat bij de Belgische netwerkzoeking de verantwoordelijke voor het systeem waar een zoeking plaatsvindt geïnformeerd wordt. Dit is echter alleen noodzakelijk indien de identiteit van de verantwoordelijke redelijkerwijze kan worden vastgesteld. De
auteurs Kerkhofs en Linthout wijzen er tevens op dat voor de bepaling geen termijn voor de informering voorschrijft en niet op straffe van een sanctie is voorgeschreven.

Netwerkzoeking in Nederland

Naar aanleiding van het bovenstaande moet natuurlijk afgevraagd worden of in Nederland ook met het equivalent van de Belgische netwerkzoeking in het buitenland systemen mogen worden doorzoeken. Uit de wettekst zelf en wetsgeschiedenis kan worden afgeleid artikel 125j Sv een netwerkzoeking mogelijk maakt als vervolg van de inzet van een bevoegdheid tot het doorzoeken ter vastlegging van gegevens zoals geregeld in artikel 125i Sv. Indien bijvoorbeeld een doorzoeking ter vastlegging van gegevens plaatsvindt op een computer bij een bedrijf, dan kan de doorzoeking zich tevens uitstrekken tot andere computers binnen een bedrijfsnetwerk of zelfs met computers die met het netwerk verbonden zijn en binnen Nederlands territoir bevinden. De bevoegdheid kan alleen worden ingezet indien wordt vermoed dat bepaalde gegevens op die andere computers gevonden zullen worden. Deze laatste eis geldt echter ook in België.

De Nederlandse bevoegdheid tot een netwerkzoeking is daardoor beperkter in zijn aard dan de Belgische (zie ook Koops, in ‘De dynamiek van cybercrime-wetgeving in Europa en Nederland’, p. 17 en 18). Andere opsporingsbevoegdheden bieden naar mijn mening tevens onvoldoende legitimatie tot het op afstand doorzoeken van gegevens op een geautomatiseerd werk (zie ook dit artikel van mij en dit blogbericht).

Conclusie

De Belgische netwerkzoeking kan onder omstandigheden een ‘online doorzoeking’ in het buitenland mogelijk maken. In Nederland is deze opsporingshandeling naar mijn mening niet toegestaan, omdat de Nederlandse netwerkzoeking geen op zichzelf staande opsporingsbevoegdheid is en hacken (nog) geen opsporingsbevoegdheid is.

Naar mijn mening is de Belgische netwerkzoeking zeer vergaand, maar pragmatisch. Het biedt opsporingsambtenaren de mogelijkheid grensoverschrijdend gegevens te vergaren in dezelfde systemen als waar een verdachte gebruik van maakt, mits rechtmatig toegang wordt verkregen tot die systemen op basis van andere bevoegdheden. Echter, het kan leiden tot een ontransparante opsporingspraktijk waarbij heimelijk informatie wordt vergaard (al dan niet in het buitenland). Zelfs als een brave Belgische opsporingsambtenaar de verantwoordelijke over het gebruik van de bevoegdheid inlicht vindt het bedrijf het wellicht niet voldoende aanleiding (of te veel moeite?) om er een probleem van te maken of een procedure te starten. Indien dergelijke opsporingshandelingen niet via officiële rechtshulpverzoeken gaan worden de opsporingshandelingen die een inbreuk maken op de persoonlijke levenssfeer van de betrokken aan het toezicht van de betrokken staat onttrokken. Dit kan de rechtsbescherming van de betrokkene in gevaar brengen, zeker wanneer de verdachte zich op territoir buiten België bevindt. Inzet van de opsporingsmethode kan leiden tot
diplomatieke spanningen als een staat van de netwerkzoeking op de hoogte raakt. Daarbij moet wel worden aangetekend dat dit afhankelijk is van de omstandigheden van het geval, de afspraken die onderling zijn gemaakt en de opsporingspraktijk. Ik ben daarom heel benieuwd hoe de bevoegdheid in de praktijk gaat uitwerken en in hoeverre hier procedures uit volgen.

jjoerlemans.com

Tag Online doorzoeking

Inloggen in het account van de verdachte

De Belgische ‘online doorzoeking’