Tag OSINT

Modernisering strafvordering en digitale opsporing

jjoerlemans Een reactie plaatsen

Het wetsvoorstel voor een nieuw Wetboek van Strafvordering (.pdf) is op 20 maart 2023 naar de Tweede Kamer gestuurd. Dit wetsvoorstel moderniseert het strafprocesrecht door middel van de vaststelling van een nieuw Wetboek van Strafvordering. Het Wetboek van Strafvordering bevat regels voor de opsporing, vervolging en berechting van strafbare feiten. Door veroudering van het huidige Wetboek en door verschillende ontwikkelingen in de samenleving is een modernisering van het Wetboek nodig. Het voorstel regelt een grondige herstructurering van het Wetboek waardoor wordt bijgedragen aan de rechtszekerheid en de bruikbaarheid van het Wetboek in de praktijk. 

De memorie van toelichting telt welgeteld 1420 pagina’s en vergt nadere bestudering, dus in deze blogpost signaleer ik alleen enkele belangrijke bepalingen betrekking tot digitale opsporing. Enkele aanbevelingen, zoals het aanpassen van de netwerkzoeking, de kennisneming van binnengekomen berichten na inbeslagneming van een geautomatiseerd werk en de biometrische ontsleuteling, zijn reeds geïmplementeerd na de Innovatiewet Strafvordering (Stb. 2022, 276). De bepalingen worden vernummerd in het conceptwetsvoorstel (in respectievelijk artt. 2.7.40, 2.7.39 en 2.7.43).

Het wetsvoorstel bevat ten aanzien van digitale opsporing de volgende voorstellen:

  • De introductie van een titel voor ‘onderzoek van gegevens’ (Titel 7.3). Nieuw is onder andere de regeling voor onderzoek aan digitale-gegevensdragers en geautomatiseerde werken (artikel 2.7.38) (dit artikel betreft een codificatie van het Smartphone-arrest (ECLI:NL:HR:2017:584)).
  • Met betrekking tot het verstrekken van gegevens door derden wordt in Afdeling 7.3.3, net als in de huidige wet, onderscheid gemaakt naar de aard van de gegevens (identificerende gegevens, gevoelige gegevens en andere gegevens). Nieuw in deze afdeling zijn: de mogelijkheid tot het stellen van voorvragen (artikel 2.7.46, vijfde lid), het generiek bevel tot verstrekking van gegevens voor de periode van twee weken (artikel 2.7.46, zesde lid), het ‘bevel op naam’ (artikel 2.7.47, vijfde lid en 2.7.49, vijfde lid), de mogelijkheid te bevelen dat een derde een data-analyse uitvoert (artikel 2.7.50) en een bepaling over de vrijwillige verstrekking van gegevens (artikel 2.7.54).
  • In Hoofdstuk 8 van Boek 2 staan nieuwe bevoegdheden die betrekking hebben op gegevensvergaring door het stelselmatig overnemen van persoonsgegevens uit publiek toegankelijke bronnen (artikel 2.8.8) (met een bevel van de officier van justitie), een meer indringende vorm van stelselmatige inwinning van informatie (artikel 2.8.11, tweede lid) (met het een machtiging van een rechter-commissaris), infiltratie op een persoon (artikel 2.8.12) (met een machtiging van een rechter-commissaris) en stelselmatige locatiebepaling (artikel 2.8.18) (met een bevel van de officier van justitie). Voor het vastleggen van vertrouwelijke communicatie is in artikel 2.8.15 is een regeling opgenomen voor het betreden van een besloten plaats of woning ter voorbereiding van het daadwerkelijke vastleggen van de communicatie (leden 5 tot en met 7).
  • Hoofdstuk 9 van Boek 2 regelt het verkennend onderzoek. Nieuw is daarin de bevoegdheid om stelselmatig persoonsgegevens uit publiek toegankelijke bronnen over te nemen (artikel 2.9.1) (met een bevel van de officier van justitie).

Ten slotte is het van belang te noemen dat aanvankelijk het voornemen bestond om een nieuwe gegevensverwerkingswet op het terrein van politie en justitie tot stand te brengen ter vervanging van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. Inmiddels duidelijk geworden dat deze nieuwe gegevensverwerkingswet er niet komt, omdat voor de realisatie en implementatie daarvan geen financiële middelen beschikbaar zijn (Kamerstukken II 2021/22, 32761, nr. 218). Dat is pijnlijk, aangezien het ontbreken van een koppeling tussen de gegevensverwerkingsbepalingen en de bepalingen over de verzameling van gegevens juist als een breed gedragen probleem wordt gezien. Zie daarover bijvoorbeeld mijn recente artikel met Marianne Hirsch Ballin.

Internetonderzoek door bestuursorganen

jjoerlemans Een reactie plaatsen

Posted on 28/05/2019

In de gemeente Amsterdam mag woonruimte niet meer dan 30 dagen per jaar mag worden verhuurd. Ter handhaving van dit beleid legt de gemeente met behulp van zogenoemde ‘scraping’-technieken elke dag de advertenties en reviews op de advertenties op AirBnB vast. Deze informatie uit ‘open bron’ vormt mogelijk bewijsmateriaal in handhavingsacties. Uit onder andere deze zaak (ECLI:NL:RBAMS:2018:4442) blijkt dat bewoners een last onder dwangsom opgelegd kunnen krijgen als zij – blijkend uit de advertentie en de reviews op AirBnB – de regels uit de Huisvestingsverordening overtreden.

De gemeente Amsterdam is zeker niet het enige bestuursorgaan dat informatie op internet verzamelt ten behoeve van de uitvoering. Zo wordt in het kader van de sociale zekerheid veelvuldig op sociale media en online handelsplatformen als ‘Marktplaats’ gezocht naar informatie die op mogelijke fraude wijst. Op sociale media verschijnen bijvoorbeeld posts die op mogelijke samenleving tussen personen kunnen wijzen, zoals “bij de liefde van mijn leven ingetrokken” (zie bijvoorbeeld ECLI:NL:RBDHA:2016:8215) en kan bij een groot aantal advertenties voor goederen of diensten op Marktplaats het vermoeden rijzen dat er verzwegen inkomsten zijn (zie bijvoorbeeld ECLI:NL:CRVB:2015:979).

Ook in het vreemdelingerecht duikt het gebruik van sociale media steeds vaker op. Posts op de tijdlijn van Facebook of de activiteiten op LinkedIn blijken inzicht te verschaffen in de politieke of religieuze activiteiten (ECLI:NL:RBDHA:2017:6180), de seksuele oriëntatie (ECLI:NL:RBDHA:2014:10266) of in de mogelijkheden om vakanties in het buitenland door te brengen, zonder problemen met de autoriteiten te ondervinden (ECLI:NL:RBDHA:2017:7852). Deze informatie kan van belang zijn voor bijvoorbeeld een beslissing over het verlenen van een verblijfsvergunning. Andere opvallende zaken die soms de publiciteit haalden, is bijvoorbeeld de sluiting van de Amsterdamse sexclub Bianca, (mede) vanwege anonieme recensies op hookers.nl (ECLI:NL:RVS:2013:792) en de grootschalige Facebookanalyse die de gemeente Amsterdam uitvoerde om meer grip te krijgen op overlastgevende hangjongeren.

Artikel

In ons artikel (.pdf) in het NJB heb ik samen met Ymre Schuursmans onderzocht in hoeverre openbronnenonderzoek op internet binnen het bestuursrechtelijk kader toelaatbaar is. Binnen het strafrecht en de Wiv 2017 worden nieuwe bevoegdheden geïntroduceerd voor ‘stelselmatig openbronnenonderzoek’, terwijl binnen het bestuursrecht dergelijke plannen ontbreken. Wij analyseren de achtergrond van dit verschil in regulering en bezien of normen en waarborgen uit het strafvorderlijk domein toepasbaar zijn in het bestuursrecht, teneinde de grondrechten van betrokkenen (beter) te beschermen.

Conclusie

In het artikel concluderen wij dat openbronnenonderzoek binnen het bestuursrecht mogelijk is op grond van de algemene onderzoeksplicht in artikel 3:2 Awb. De ernst van de privacy-inmenging bij openbronnenonderzoek verschilt echter van geval tot geval. Met het voorbeeld van de inzet van scrapers uit de inleiding in het achterhoofd, wordt volgens ons door de rechtbank te weinig gemotiveerd akkoord gegaan.

Onze aanbeveling is om in beleid en rechtspraak (en mogelijk in een bijzondere wet, zoals de Participatiewet) een nadere invulling te geven voor stelselmatig openbronnenonderzoek binnen het bestuursrecht. Dat moet duidelijk maken voor welke doelen en onder welke voorwaarden openbronnenonderzoek door bestuursorganen plaatsvindt.

Dergelijk beleid en meer rechtspraak vergroot de voorzienbaarheid van de toepassing van het instrument voor de burger en dwingt bepaalde waarborgen af. Daarbij valt te denken aan een nadere invulling van de proportionaliteitstoets in de toezichtfase (art. 5:13 Awb), het stellen van eisen aan de verslaglegging, het stellen van grenzen aan de duur van het onderzoek, het bepalen van een bewaartermijn van gegevens en de wijze waarop wordt omgegaan met de informatieplicht uit de AVG. Het protocol internetrechercheren voor gemeenten (.pdf) biedt een eerste invulling van deze waarborgen.

Surveilleren en opsporen op internet

jjoerlemans Een reactie plaatsen

Posted on 10/09/2012 op Oerlemansblog

Mag de politie in het kader van toezicht stelselmatig gegevens vergaren uit open bronnen van internet? In hoeverre mogen politie en justitie gegevens van internet verzamelen over (groepen) mensen in het kader van opsporing? In het tijdschrift Justitiële Verkenningen (nr. 5, 2012, p. 35-49) gaan Bert-Jaap Koops en ik op deze vragen in. In dit blogbericht wil ik kort de belangrijkste punten uit het artikel behandelen. Het gehele artikel is hier te downloaden (.pdf).

‘De politie mag onbeperkt gegevens van internet vergaren’

In de praktijk lijken sommige politieambtenaren de indruk te hebben dat alles wat op internet in open bronnen is te vinden gebruikt mag worden voor toezicht- en opsporingsdoeleinden. In het artikel trachten wij duidelijk te maken dat dit niet het geval is, omdat het handelen van de politie specifiek geregeld is in wet- en regelgeving. De hoofdregel daarbij is dat daar waar een meer dan geringe inbreuk in de persoonlijke levenssfeer van mensen wordt gemaakt, een specifieke wettelijke regeling voorhanden moet zijn. Koops en ik hebben de indruk dat bij het monitoren van gegevens van mensen op internet voor toezichtdoeleinden al snel een meer dan geringe privacyinbreuk wordt gemaakt en daar op dit moment geen afdoende wettelijke regeling voor is.

Bij surveilleren en opsporen op internet gaat het allang niet meer om een ‘Googelende opsporingsambtenaar’, maar om politiesystemen waarmee snel en efficiënt gegevens op internet kunnen worden afgestruind op zoek naar de relevante informatie. Het is niet helemaal duidelijk wat de politiesystemen precies kunnen en wat met een ‘near real time Internet monitoring service’ wordt bedoelt, maar documenten die zijn vrijgekomen na een Wob-verzoek op de website van het NCTB lichten een tipje van de sluier op.

Wij zijn met betrekking tot het vergaren van gegevens op internet met geautomatiseerde ICT-toepassingen van mening dat het gebruik van deze systemen op basis van art. 2 Politiewet 1993 onvoldoende voorzienbaar is voor burgers en de wetgever zich moet uitspreken over deze gegevensverwerkingen. Als zij vinden dat het gebruik van deze systemen noodzakelijk is voor een effectief politieoptreden zou zij daarvoor (naar onze mening) een nieuwe wettelijke grondslag met waarborgen voor het gebruik daarvan moeten creëren.

Opsporen op internet

Het vergaren van gegevens op internet voor toezichtsdoeleinden moet in theorie gescheiden worden van het vergaren van gegevens voor opsporingsdoeleinden. Soms lopen de twee in elkaar over, maar op dit moment is het zo dat in kader van opsporing de politie (meestal in opdracht van een officier van justitie) meer ernstige privacyinbreuken mogen worden gemaakt door middel van toepassing van  bijzondere  0psporingsbevoegdheden. Al eind jaren ‘90 heeft de wetgever met de Wet bijzondere opsporingsbevoegdheden ( Wet BOB ) te kennen gegeven dat opsporingsbevoegden ook op internet mogen worden toegepast. Het is echter niet helemaal duidelijk wat de reikwijdte van deze bevoegdheden in een internetomgeving precies is.

Op dit moment lijkt het afhankelijk van de interpretatie van opsporingsambtenaren (en soms een officier van justitie als die erbij betrokken wordt) hoe ver ze kunnen gaan bij het vergaren van informatie op internet. Er is ook opvallend weinig jurisprudentie over voorhanden, behalve één gepubliceerde zaak waarbij de rechter te kennen gaf dat een opsporingsambtenaar van Google Earth in zijn onderzoek gebruik mag maken. Tegelijkertijd gaf de rechter aan dat ‘de bevoegdheid om rond te kijken in een openbaar netwerk niet de bevoegdheid impliceert om stelselmatig voor de uitoefening van de politietaak gegevens van internet te downloaden en in een politieregister op te slaan’.

Koops en ik zijn het zelf ook niet helemaal over eens op welk moment nu precies bij het vergaren van gegevens uit open bronnen op internet een meer dan geringe inbreuk wordt gemaakt op de persoonlijke levenssfeer van de betrokkenen. Dit leggen we in het artikel ook uit. Wel zijn wij het er over eens dat het criterium van een ‘meer dan geringe privacyinbreuk’ leidend is en dat wanneer daarvan sprake is het vergaren van gegevens door de politie zou kunnen worden ondergebracht onder de bijzondere opsporingsbevoegdheid van stelselmatige observatie (art. 126g Sv). Maar zelfs die bijzondere opsporingsbevoegdheid slaat niet naadloos aan bij de opsporingshandeling van politie en justitie op internet. Dit zetten we in het artikel verder uiteen.

Daarom concluderen we dat: ‘de wetgever deze problematiek bewust moet analyseren en zich daarbij moeten baseren op de huidige internetomgeving, die veel verder is ontwikkeld en er anders uitziet dan in 2000 het geval was’ (p. 47). Eventueel zou voor opsporen op internet het criterium ‘stelselmatigheid’, waarbij een ‘min of meer volledig beeld van een bepaald aspect van het leven van een persoon wordt verkregen’ leidend kunnen blijven. Daarbij zou de bijzondere opsporingsbevoegdheid van stelselmatige observatie toegepast kunnen blijven worden, maar het is wenselijk als de wetgever dit expliciet maakt (om ongewenste interpretaties van de wet te voorkomen) of een andere wettelijke grondslag voor de opsporingshandeling creëert. In de tussentijd kunnen advocaten met een actieve proceshouding de opsporingspraktijk aan de kaak stellen. Rechters zullen zich daar vervolgens moeten over uitspreken, waardoor het wet- en regelgevingskader voor surveilleren en opsporen op internet meer helder wordt.