Het Team High Tech Crime van de Landelijke Eenheid en het Landelijk Parket is in mei 2015 een onderzoek gestart naar een bedrijf die cryptotelefoons leverde onder de merknaam ‘PGP Safe’. Het opsporingsonderzoek kreeg de naam ‘26Sassenheim’.

Volgens dit persbericht en dit persbericht viel het doek voor PGP Safe op 9 mei 2017. In Nederland, Costa Rica, Duitsland en Oostenrijk vonden er gelijktijdig doorzoekingen plaats en werd bewijs veiliggesteld, waaronder de sleutels om de PGP-berichten te ontsleutelen. In het persbericht van 2017 is verder te lezen dat gegevens veiliggesteld van de technische infrastructuur die door PGP Safe gebruikt werd om de versleutelde PGP-berichten te versturen. In deze data werden meer dan 700.000 versleutelde berichten gevonden, waarvan er destijds ruim 337.000 ontsleuteld en leesbaar waren gemaakt.

Aanpak van facilitators

In 2017 zei het OM over de zaak:

“De politie en het Openbaar Ministerie treden hard op tegen mensen die criminelen/criminele organisaties (digitaal) ondersteunen of faciliteren. Deze zogenoemde facilitators worden vervolgd en hun criminele vermogen wordt afgepakt.

De PGP BlackBerry’s zoals door de verdachten in onderzoek 26Sassenheim werden verkocht, zijn vooral in gebruik bij criminelen.”

In het persbericht van 7 december 2021 staat dat 5 jaar gevangenisstraf wordt geëist tegen de leveranciers van de PGP Safe-cryptotelefoons.

=== UPDATE ===

 In de uitspraak van de rechtbank Rotterdam van 20 januari 2022 (ECLI:NL:RBROT:2022:363) is te lezen dat de verdenking aanvankelijk was dat de verdachte zich tezamen met anderen als professionele facilitator van versleutelde communicatie schuldig zou hebben gemaakt aan overtreding van witwassen (art. 420bis Sr) en deelneming aan een criminele organisatie (art. 140 Sr). De verdachte werd verdacht tezamen met anderen een eigen BlackBerry Enterprise Server (BES) in gebruik te hebben waaraan hij te verkopen BlackBerry’s koppelde om zo versleutelde en te wissen communicatie mogelijk te maken. BES is software waarmee een centraal te beheren datacommunicatiearchitectuur opgezet en onderhouden kan worden. Deze BlackBerry’s en de daarbij behorende abonnementen werden – volgens de verdenking – verkocht aan criminelen, die hiermee veilig en buiten het bereik van politie en justitie onderling konden communiceren.

De rechtbank overweegt dat ‘het gronddelict is het in strijd met de Telecommunicatiewet op de markt brengen van gemodificeerde, niet gekeurde PGP-encrypted BB’s. Met dat op de markt brengen werden inkomsten gegenereerd die uit dat misdrijf afkomstig waren.’ Maar de rechtbank ‘ziet niet in dat met deze overtreding crimineel geld kan zijn verdiend zoals in de tenlastelegging onder de feiten 1 en 2 is opgenomen en daarvoor is ook geen enkele aanwijzing te vinden in het dossier. Het causaal verband tussen de ten laste gelegde geldbedragen en dit gronddelict ontbreekt daarom’. De verdachte wordt van deze overtreding vrijgesproken. De rechtbank overweegt ook dat voor het de overtreding van de Telecommunicatiewet voor de hand had gelegen de met bestuursrechtelijke handhaving belaste instanties in te schakelen voor de verdere beoordeling en afdoening hiervan, in plaats van deze strafrechtelijke weg te bewandelen. De rechtbank verklaart de officier van justitie om deze redenen niet-ontvankelijk in de strafvervolging van overtreding van de Telecommunicatiewet en de Wet op de economische delicten.

De rechtbank overweegt ook dat het bedrijf de enige distributeur van de PGP-encrypted BlackBerry’s met de bijbehorende abonnementen. De PGP-software die op deze BlackBerry’s was geïnstalleerd bevatte een applicatie (genaamd Emergency Wipe) om zelf alle op de BB aanwezige gegevens te wissen. Daarnaast verleende de organisatie als aanvullende dienst ook ‘beheer op afstand’. Dit hield onder meer in dat de inhoud van een BB op verzoek van de klant, door tussenkomst van [naam rechtspersoon], op afstand kon worden gewist (een zogenaamd ‘wipe- of kill-verzoek’). Na onderzoek van in beslag genomen PGP-encrypted BlackBerry’s van de medeverdachte en de daarop aangetroffen e-mailcorrespondentie is een groot aantal van deze wipe- of kill-verzoeken aangetroffen. Deze mailwisselingen zijn vergeleken met gegevens in de politiesystemen en ook met de naar aanleiding van een rechtshulpverzoek aan de Costa Ricaanse autoriteiten verkregen en ontsleutelde data van de BlackBerry Enterprise Server (BES) van de Canadese leverancier die zich bevond in Costa Rica.

Daarbij is gebleken dat in de vier in de tenlastelegging vermelde gevallen een wipe- of kill-verzoek was gedaan nadat de gebruiker van de betreffende BlackBerry was aangehouden en de telefoon in beslag was genomen. Deze verzoeken zijn dus gedaan om te voorkomen dat de politie belastende informatie uit de telefoons zou kunnen halen. Deze verzoeken zagen op BlackBerry’s met e-mailadressen die eindigen op een bepaalde domeinnaam. Het betreffen dus BlackBerry’s en/of abonnementen die zijn verkocht door de organisatie. Gelet hierop acht de rechtbank bewezen dat de organisatie zich tezamen en in vereniging met elkaar schuldig hebben gemaakt aan begunstiging, zoals strafbaar gesteld in artikel 189, eerste lid onder 3 Sr. Bewezen is dat zij door te voldoen aan genoemde wipe- of kill-verzoeken opzettelijk voorwerpen (in dit geval: de inhoud van de telefoons) die kunnen dienen om de waarheid aan de dag te brengen, aan het onderzoek van de ambtenaren van justitie of politie hebben onttrokken, met het oogmerk om de inbeslagneming van die voorwerpen te beletten of te verijdelen. De verdachte heeft, hoewel in hij de positie was om dat te doen, niet verhinderd dat dergelijke verzoeken werden uitgevoerd. De rechtbank is gelet hierop van oordeel dat de verdachte voorwaardelijk opzet heeft gehad op de begunstiging. Niet vereist is dat hij wetenschap heeft gehad van de concrete verzoeken zelf en de uitvoering daarvan.

De verdachte wordt dus veroordeeld voor valsheid in geschrifte en het Nederlandse equivalent van ‘obstruction of justice’ (‘begunstiging’). De rechtbank overweegt nog in de strafbestelling het volgende:

“De handel in de PGP-encrypted telefoons is in beginsel legaal. Dat geldt ook voor de dienst van het op verzoek op afstand wissen van de inhoud van telefoons. Door dit ook te doen in zaken waarin de gebruiker van de telefoon door de politie is aangehouden en waarbij de telefoon in beslag is genomen, heeft de organisatie [naam rechtspersoon] hiermee echter strafbaar gehandeld. Daarmee is in de zaken tegen die betreffende gebruikers mogelijk bewijs vernietigd en het onderzoek door politie en justitie bemoeilijkt. De verdachte heeft hieraan feitelijke leiding gegeven en op die manier eraan bijgedragen dat de opsporing van andere strafbare feiten werd gefrustreerd. Het valt de verdachte te verwijten dat hij met deze handel criminelen heeft willen helpen uit handen van politie en justitie te blijven. In het kader van de vaststelling van de op te leggen straf is evenwel relevant dat niet is vast te stellen in welke omvang dit handelen heeft plaatsgevonden.”

De verdachte krijgt 65 dagen gevangenisstraf en een geldboete van 10.000 euro opgelegd. De gevangenisstraf is gelijk aan de dagen die de verdachte reeds in verzekering en voorlopige hechtenis heeft doorgebracht. Ook ontvangt de verdachte een deel van het inbeslaggenomen geld en voorwerpen terug.

=== EINDE UPDATE ==

Andere jurisprudentie

Gezien het aantal berichten die zijn veilig gesteld is het wat vreemd dat de eerste gepubliceerde rechtszaken op rechtspraak.nl zich tot 2021 op zich laten wachten (zie ECLI:NL:RBMNE:2021:1213) en (ECLI:NL:RBROT:2021:9906). In deze uitspraken wordt gerefereerd naar de PGP Safe-operatie en onderzoek ’26Sassenheim’, omdat berichten die daarin zijn veiliggesteld door een officier van justitie op grond van art. 126dd Sv worden gedeeld ten behoeve van andere opsporingsonderzoeken. Door de beschikbare rechtspraak naast elkaar te leggen komen er (na wat puzzelen) de volgende feiten over de operatie naar boven:

Het onderzoek 26Sassenheim richt zich op de faciliterende rol van de aanbieders van PGPSafe. In dat onderzoek is op 24 april 2017 een rechtshulpverzoek gedaan aan Costa Rica om onderzoekshandelingen te verrichten aan de infrastructuur van de leverancier van PGPSafe-diensten en -producten.

Rechtshulpverzoek aan Costa Rica

In de periode van 9 mei 2017 tot en met 11 mei 2017 is dat rechtshulpverzoek door de autoriteiten van Costa Rica uitgevoerd, daarbij geassisteerd door de Nederlandse politie. De uit die zoeking voortvloeiende versleutelde data (onder andere mailserverdata) zijn veiliggesteld, op 12 juni 2017 aan Nederland verstrekt en daar vervolgens ontsleuteld. De Costa Ricaanse autoriteiten hebben, anders dan de Canadese, geen clausulering of restricties verbonden aan het gebruik van die data’. Opvallend is nog wel dat in het geval PGP-safe blijkbaar “slechts een gedeelte” van de server is veiliggesteld, ‘omdat de Costa Ricaanse autoriteiten de doorzoeking beëindigden voordat alles was gekopieerd’.

Onderzoekswensen van de verdediging voor toetsing op rechtmatigheid

In de meest recente zaak van 11 oktober 2021 van de Rechtbank Rotterdam (ECLI:NL:RBROT:2021:9906) verzoekt de verdediging onder andere om meer informatie het rechtshulpverzoek (JJO: ik begrijp: het verzoek zelf en de onderliggende stukken) aan Costa Rica en het bevel tot binnentreden, de doorzoeking en de beslaglegging van het Gerecht in Strafzaken van het Eerste District San Jose (Costa Rica).

De officier van justitie heeft zich – door de rechtbank samengevat – op het standpunt gesteld dat het onderzoek in Costa Rica rechtmatig is verricht. Bovendien staat het vertrouwensbeginsel in de weg aan een oordeel van de rechtbank over de gang van zaken in Costa Rica. Zelfs wanneer er sprake zou zijn van eventuele onrechtmatigheden in het onderzoek 26Sassenheim, dan zou deze het onderzoek Sartell niet aangaan, omdat het onderzoek 26Sassenheim niet heeft te gelden als voorbereidend onderzoek van het onderzoek Sartell. Met het verstrekken van een ‘binder’ over de PGP Safe-operatie is volgens de officier van justitie voldoende informatie over de zaak verstrekt.

De rechtbank oordeelt dat met het inbrengen van de binder Ennetcom & PGPSafe en het verstrekken van toegang tot de eigen PGPSafedata en specifiek te onderzoeken gesprekken de officier van justitie al grotendeels tegemoet is gekomen aan de onderzoekswensen van de verdediging. De verdediging heeft deze onderzoekswensen met name geformuleerd om de toegepaste methoden van opsporing, de resultaten van het onderzoek van de server(s) in Costa Rica en de selectie van de data ten behoeve van Sartell te kunnen betwisten.

De rechtbank onderschrijft dat de verdediging het recht toekomt om het door de officier van justitie aangedragen bewijs te betwisten. Met het inbrengen van de binder Ennetcom & PGPSafe heeft de officier van justitie echter naar het oordeel van de rechtbank de verdediging voldoende voorzien van de informatie die redelijkerwijs relevant kan worden geacht voor de hiervoor bedoelde betwisting.

Toets op betrouwbaarheid PGPSafe data

In de uitspraak van de rechtbank Rotterdam van 11 april 2022 (ECLI:NL:RBROT:2022:2674) wordt het volgende gezegd over de authenticiteit van de data en betrouwbaarheid van de data:

De authenticiteit van de data

Het is juist dat in Costa Rica bij het kopiëren van de data de data op de server niet zijn gehasht. Die hashwaarde kan dus niet worden vergeleken met de hashwaarde van de data op de door de Costa Ricaanse autoriteiten aan de Nederlandse politie geleverde harde schijven. Dit valt het OM echter niet te verwijten aangezien dit toen geen Nederlandse aangelegenheid is geweest.

Hieraan behoeft echter evenmin een gevolg voor de betrouwbaarheid van die data verbonden te worden, nu van enige manipulatie van die data voordat deze bij de Nederlandse politie is aanbeland niet is gebleken. De rechtbank neemt daarbij in ogenschouw dat met het verbreken van de verbinding tussen de servers en het internet, het verzegelen van de servers op het moment dat de Costa Ricaanse autoriteiten niet aanwezig waren en het verpakken en verzegelen van het gekopieerde materiaal, dat naar Nederland is gestuurd de kans dat die data toen zouden zijn gemanipuleerd uitermate klein kan worden geacht. Het dossier biedt hiervoor ook overigens geen begin van aannemelijkheid.

Na ontvangst van de harde schijven uit Costa Rica zijn de data volgens de regelen der kunst gekopieerd naar het onderzoeksnetwerk van de Nederlandse politie. Ook hierin ligt geen reden te veronderstellen dat de data niet op forensisch verantwoorde wijze zijn veiliggesteld en ligt hierin geen grond om de data voor het bewijs uit te moeten sluiten.

Tijdstempels

Het feit dat die verschillen zich kunnen voordoen is al in een eerder stadium door de deskundigen in de binder Ennetcom & PGPSafe onderkend. Echter, daaruit volgt nog niet dat de inhoud van het bericht daarmee onjuist is.

De verdediging heeft voorts gesteld dat de onbetrouwbaarheid van de PGPSafeberichten onder meer blijkt uit de verschillen die zich soms voordoen bij de vermelding van de tijdstippen van verzending en ontvangst die aan die berichten zijn gekoppeld in de lijn van de verzender en die van de ontvanger.

Deze verschillen in tijdstempels kunnen zich bij voorbeeld al voordoen wanneer men zich op dat moment in verschillende tijdzones bevindt, verschillende bestuurssystemen worden gehanteerd, waardoor een doorgestuurd bericht anders wordt getypeerd en/of met een ander tijdstempel (gemodificeerd, benaderd, gecreëerd) wordt opgeslagen op de server of het toestel of de tijdsinstellingen van het toestel zelf anders zijn ingesteld. Hoewel dit meebrengt dat het tijdstip van verzenden respectievelijk ontvangen van een bericht altijd een kritische blik vereist, kan hieruit niet zonder meer en niet zonder nadere specifieke toelichting de onbetrouwbaarheid van (de inhoud van) die berichten afgeleid worden.