Tag PGP

Meer duidelijkheid over de Ironchat-operatie

jjoerlemans 1 reactie

Bron afbeelding: https://nos.nl/artikel/2258309-beveiliging-door-politie-gekraakte-cryptofoons-was-twijfelachtig

Op 6 november 2018 maakte het Openbaar Ministerie bekend dat de politie Oost-Nederland en het Openbaar Ministerie (OM) er in 2017 waren geslaagd de versleutelde chatapplicatie ‘Ironchat’ te ontsleutelen. In het persbericht is de lezen:

“Dankzij deze operatie hebben politie en Openbaar Ministerie een goede informatiepositie gekregen. Er zijn ruim 258.000 chatberichten meegelezen en dat levert veel informatie op. Deze informatie kan leiden tot beslissende doorbraken in lopende onderzoeken. Ook kunnen de gegevens worden gebruikt om nieuwe strafrechtelijke onderzoeken op te starten. Op deze manier is er bewijs in lopende onderzoeken verkregen en kunnen nieuwe criminele activiteiten gestopt worden.”

Ironchat betrof een applicatie die stond op zogenoemde ‘cryptotelefoons’ of ‘PGP-telefoons’, waarbij PGP staat voor de versleutelingstechniek ‘Pretty Good Privacy’. Zie ook dit NOS-artikel voor meer informatie.

Rechtspraak

In 2020 en 2022 is er enige rechtspraak op rechtspraak.nl gepubliceerd waar het verloop van de Ironchat-operatie wordt toegelicht (zie ECLI:NL:RBOVE:2020:1563, ECLI:NL:RBOVE:2020:1587, ECLI:NL:RBOVE:2020:1558, ECLI:NL:RBOVE:2020:1592 en ECLI:NL:RBLIM:2022:8793). De rechtbank Overijssel heeft op 23 april 2020 in die uitspraken zes verdachten veroordeeld voor ernstige misdrijven, waarbij gebruik is gemaakt van de chatberichten. Na onderzoek van de gegevens die zijn veilig gesteld in de Ironchat-operatie kwamen er een aantal mensen naar voren kwam die ‘via bepaalde Ironchataccounts met elkaar chatte over – kort gezegd – de bereiding en het voorhanden hebben van, de handel in en de export van harddrugs’. Daarnaast werd gechat over het voorbereiden van een aanslag op personen en panden (mogelijk) gelieerd aan een voormalige motorclub. Vervolgens is in het TGO (Team Grootschalige Opsporing) onderzoek naar deze strafbare feiten verricht’. De meer recente uitspraak van rechtbank Limburg van 8 november 2022 gaat over drugshandel en de toepasselijkheid van het vertrouwensbeginsel op de operatie.

Onderzoek naar de leverancier Ironchat

In het onderzoek ‘Orwell’ werd een in Nederland gevestigd bedrijf onderzocht in verband met de verdenking dat dit bedrijf encrypted communicatiemiddelen faciliteerde voor onder andere criminele organisaties. Dit Nederlandse bedrijf maakte gebruik van een telecomserver in het Verenigd Koninkrijk.

Middels een Europees Onderzoeksbevel kreeg het onderzoeksteam de beschikking over een kopie (een ‘image’) van de server van het Nederlandse bedrijf. Uit digitaal onderzoek bleek dat de server werd gebruikt voor het versturen van versleutelde berichten en belangrijke informatie bevatte, die zicht gaf op onder andere verschillende chataccounts, chatnamen en de NN (op dat moment anonieme)-gebruikers van de producten van het Nederlandse bedrijf.

In het Verenigd Koninkrijk werd zelfstandig onderzoek gedaan naar de versleutelde berichten die via deze server waren verzonden. Van 3 oktober 2018 tot 2 november 2018 werd overgegaan tot het ‘live intercepteren en decrypten van de server’. De Britse autoriteiten hebben toestemming gegeven voor het gebruik daarvan in opsporingsonderzoeken in Nederland.

Onderzoek naar de gebruikers van Ironchat

De telecommunicatie werd vervolgens ter beschikking gesteld aan het onderzoek ‘Goliath’. Dit onderzoek, dat op 30 mei 2018 is ingesteld door de politie Oost-Nederland, richtte zich naar “criminele NN-gebruikers” van zogenaamde encrypted telefoons die de chatapp Ironchat gebruikten.

Door de officier van justitie werd overeenkomstig artikel 126dd Sv toestemming gegeven voor het gebruik van de overgedragen onderzoeksgegevens ten behoeve van het onderzoek ‘Metaal’, dat zich richtte op het achterhalen van de identiteit van de (NN-)gebruikers. In dit onderzoek kwam vervolgens een account naar voren dat kon worden gekoppeld aan de verdachte.

De rechtbank Overijssel overweegt dat zij ‘naar eigen recht, op basis van eigen bevoegdheden en met medeweten van een ander bedrijf de chatberichten onderschept, ontsleuteld en vervolgens die chatberichten heeft doorgeleid naar de Nederlandse autoriteiten’.

Ontvankelijkheid OM

De rechtbank Overijssel en Limburg overwegen dat ‘voldoende duidelijk is op welke wijze de inhoud van de chatgesprekken is verkregen’. De rechtbank Overijssel overweegt simpelweg dat ‘niet gebleken van enig vormverzuim. Het verweer wordt verworpen. De officier van justitie is ontvankelijk in de vervolging’.

De rechtbank Limburg overweegt dat de onderzoekshandelingen waarvan de uitvoering plaatsvond onder verantwoordelijkheid van het Verenigd Koninkrijk. De taak van de Nederlandse strafrechter is volgens de rechtbank ertoe beperkt te waarborgen dat de wijze waarop van de resultaten van dat onderzoek in de strafzaak tegen de verdachte gebruik wordt gemaakt, geen inbreuk maakt op zijn recht op een eerlijk proces, zoals bedoeld in artikel 6, eerste lid, EVRM.

Het behoort volgens de rechtbank niet tot de taak van de Nederlandse strafrechter om te toetsen of de wijze waarop dit onderzoek in het buitenland is uitgevoerd, strookt met de dienaangaande in het desbetreffende buitenland geldende rechtsregels. Er dient, op grond van het vertrouwensbeginsel, dan ook van de rechtmatigheid van de verkrijging van deze gegevens te worden uitgegaan. De verdediging heeft in zijn geheel niet onderbouwd dat er bij de verkrijging van de gegevens sprake is van een onrechtmatigheid en op welke wijze deze zou zijn ontstaan en onder wiens verantwoordelijkheid. Niet is gebleken dan ook van enige schending van het recht op een eerlijk proces.

Voor wat betreft het gebruik van de verkregen resultaten in verschillende onderzoeken in Nederland, overweegt de rechtbank Limburg dat op grond van artikel 126dd Sv de officier van justitie bevoegd is om die gegevens te verstrekken aan een ander onderzoek. Een beschikking van de rechter-commissaris is niet vereist. Het verweer wordt dan ook verworpen. De officier van justitie is ontvankelijk in de vervolging.

Hoge Raad acht gegevensverzameling Ennetcom rechtmatig

jjoerlemans 1 reactie

Op 28 juni 2022 heeft de Hoge Raad een arrest (ECLI:NL:HR:2022:900) gewezen over de rechtmatigheid van de verkrijging van Ennetcom-data en de omgang met deze data in Nederland.

Ennetcom was een Nederlandse dienstverlener voor “pgp” communicatie. Zie in dat kader ook: Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (veroordeling oprichter Ennetcom). Deze dienst maakte het mogelijk om berichten te versturen en te ontvangen op een versleutelde wijze. Voor dit ontvangen en verzenden werd typisch – en ook in de onderhavige zaak – gebruik gemaakt van Blackberry-telefoons die ongeschikt waren gemaakt voor ‘gewoon’ gebruik, in die zin dat er niet mee gebeld, ge-sms’t of gewhatsappt kon worden en er geen foto’s mee konden worden gemaakt (zie HR 8 maart 2022, ECLI:NL:PHR:2022:219, concl. AG Hartveld, r.o. 2.3).

In deze uitgebreide samenvatting (let op: het is geen commentaar of annotatie), ga ik nader op de feitelijkheden, het oordeel van de Hoge Raad over de gegevensverzameling, de uitgebreide overwegingen van het gevolgde advies van AG Harteveld over de verstrekking van Ennetcom-data en het daarop volgende oordeel van de Hoge Raad.

Gegevensverzameling en voorwaarden Canadese rechter

De feiten over de gegevensverzameling worden kort en goed opgesomd in de conclusie van de AG (r.o. 2.5-2.8).

Op 8 april 2016 is aan Canada een rechtshulpverzoek gedaan. Hierbij is een beroep gedaan op het Rechtshulpverdrag dat Nederland en Canada hebben gesloten. Dit verzoek strekte ertoe dat de data op de BES-servers in Toronto zouden worden veiliggesteld door het maken van forensische kopieën van de data op deze servers, en dat alle beschikbare gegevens van deze servers zouden worden overgedragen aan Nederland ten behoeve van nader onderzoek in Nederland. De bevoegdheid die hier naar Nederlands recht aan ten grondslag lag, betrof, althans volgens een zich tussen de stukken bevindende vordering, de doorzoeking ter vastlegging van gegevens als bedoeld in art. 125i Sv.

Op 18 april 2016 – dus één dag na de in deze zaak bewezenverklaarde moord – is het rechtshulpverzoek door de Canadese rechter toegewezen, waarna de volgende dag een doorzoeking heeft plaatsgevonden. Hier zijn, althans opnieuw volgens een zich tussen de stukken van het geding bevindende vordering, zonder tussenkomst van derden door de Canadese politie forensische kopieën van de gevraagde data gemaakt. Tussen deze data bevonden zich niet (alleen) de zogenaamde “keys” om inbeslaggenomen telefoons mee te ontsleutelen, maar ook communicatiegegevens: de inhoud van verstuurde berichten van een grote hoeveelheid gebruikers was opgeslagen op deze servers.

Op 13 september 2016 is door het Ontario Superior Court of Justice een “sending order” uitgevaardigd waarin hij het verzoek tot toezending van de data aan Nederland heeft toegewezen. Uit deze uitspraak blijkt dat in de aanloop naar deze beslissing namens Ennetcom nog bezwaar is aangetekend tegen het verzenden van deze data aan Nederland. Dit bezwaar is door de Canadese rechter gepasseerd. Uit de uitspraak wordt duidelijk dat de Canadese rechter zich realiseert dat de te verzenden data mogelijk een grote hoeveelheid privégegevens van nog onbekend gebleven personen bevatten. Dit leidt ertoe dat hij aan de verzending een aantal voorwaarden verbindt. De gestelde voorwaarden houden onder meer in dat de data in beginsel slechts gebruikt zouden mogen worden bij de berechting van enkele nader genoemde misdrijven en slechts in de vier op dat moment bij de Canadese rechter bekende strafrechtelijke onderzoeken (zie hiervoor onder 2.4).

De Canadese rechter voorzag echter dat het waarschijnlijk zou zijn dat de Ennetcom-data ook in andere Nederlandse strafrechtelijke onderzoeken relevant zou blijken. Voor dergelijke gevallen gelastte hij dat voorafgaand aan gebruik in deze onderzoeken, ter bescherming van de privégegevens van de gebruikers van Ennetcom, steeds voorafgaande toestemming van een Nederlandse rechter (“court”) nodig zou zijn.

Ten behoeve van de onderhavige moordzaak is tweemaal om toestemming gevraagd aan een rechter-commissaris – en deze is ook verkregen, om gebruik te maken van de Ennetcom-data uit Canada (2.9-2.16). Voor het samenstellen van dataset werden andere BlackBerry telefoons gebruikt. De verdachte werd kort na de liquidatie in de nabijheid van de plaats delict aangehouden. Kort na zijn aanhouding werd in een tas twee doorgebroken BlackBerry aangetroffen. Daarnaast werd een telefoon van het slachtoffer in het onderzoek betrokken.

Oordeel gegevensverzameling Hoge Raad

De Hoge Raad acht kortgezegd het verzamelen van de gegevens op basis van een rechtshulpverzoek en met toestemming van een Canadese rechter rechtmatig. Volgens de Hoge Raad mag de officier van justitie ook een machtiging mag vorderen van de rechter-commissaris voor het gebruik van dergelijke gegevens in andere strafrechtelijk onderzoeken. De Hoge Raad verwijst daarbij naar (weliswaar in een enigszins andere context HR 5 april 2022, ECLI:NL:HR:2022:475, r.o. 6.11.3). In de onderhavige zaak betrof het door het OM aanvullen van processtukken, waarbij i.v.m. een voorwaarde zoals gesteld in uitspraak van Canadese rechter, een rechterlijke machtiging diende te worden verkregen voor gebruik van gegevens in een ander onderzoek dan de vier onderzoeken ten behoeve waarvan rechtshulpverzoek aan Canadese rechter.

e-Privacy richtlijn

De Hoge Raad overweegt dat aan Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie; hierna: Richtlijn 2002/58/EG) alleen van toepassing is op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken. In hoger beroep is niet aangevoerd en ook uit de vaststellingen van het hof volgt niet dat in deze zaak bij het gebruikmaken van de toestellen van Ennetcom en het vastleggen van gegevens op servers in Canada sprake was van een zodanige verwerking van persoonsgegevens.

Inzage tot gegevens

De voeging van “alle Ennetcom-data” als processtuk of het bieden van gelegenheid voor inzage is kortgezegd volgende Hoge Raad ook niet nodig. De Hoge Raad herhaalt in dat kader de overwegingen uit HR:2021:218, met daarin de maatstaf bij de beoordeling van verzoek tot voeging van stukken bij processtukken. De verdediging kan gemotiveerd verzoek doen tot verkrijgen van inzage in specifiek omschreven stukken. Tijdens vooronderzoek kan dergelijk verzoek worden gedaan o.g.v. de in art. 34.2-34.4 Sv geregelde procedure. Na aanvang van onderzoek ter terechtzitting beslist de zittingsrechter of en zo ja, in welke mate en op welke wijze, die inzage kan worden toegestaan.

Overwegingen AG Harteveld over voeging van Ennetcom-data

AG Harteveld overwoog hierover dat “naar Nederlands recht bestaat er zoals bekend geen als zodanig benoemd recht op inzage in of afschrift van ruwe onderzoeksdata. De verdachte kan op de voet van art. 34 Sv de officier van justitie verzoeken om specifiek omschreven stukken bij de processtukken te voegen (lid 1) en daartoe toestemming verzoeken om kennisname van bepaalde stukken (lid 2). De officier van justitie kan dit echter weigeren op de grond dat het geen processtukken zijn, waarvoor getoetst moet worden aan het relevantiecriterium (art. 149a Sv)” (6.3-6.4)

Met betrekking tot relevante EHRM-rechtspraak (met name in de zaken Rook t. Duitsland, Sigurður Einarsson e.a. t. Duitsland), overweegt de AG:

6.12 Uit het voorgaande kunnen naar het mij voorkomt de volgende gezichtspunten worden afgeleid die van belang zijn voor de vraag of de omgang met grote datasets de toets van art. 6 EVRM kan doorstaan. Daarbij is steeds van belang om welk niveau van analyse het gaat.

6.13 Op het eerste niveau gaat het om het onderzoek naar de ruwe, ongefilterde data (de pimaire dataset). Het Europees Hof lijkt de verdediging in beginsel een recht toe te kennen om mee te denken over de wijze waarop die data (de “full collection of data”) wordt onderzocht. In de praktijk kan dit betekenen dat de verdediging zelf trefwoorden kan aandragen waarop zij de data wil laten onderzoeken. In dit stadium mag wat het EHRM betreft echter wel het nodige van de verdediging verwacht worden om te specificeren wat en te motiveren waarom daarnaar gezocht moet worden. Aan verzoeken die neer zouden komen op “fishing expeditions” van de zijde van de verdediging hoeft niet tegemoet te worden gekomen. Ook schrijft het EHRM niet voor dat de verdediging dit onderzoek zelf zou moeten kunnen uitvoeren. De mogelijkheid om aan te geven hoe de data onderzocht moeten worden is in deze fase voldoende. Overigens lijkt mij dat, indien de primaire dataset door bijvoorbeeld het OM reeds is onderzocht op een moment dat de verdediging hier nog bij betrokken kon worden, niets eraan in de weg staat dat dit later wordt ingehaald, in die zin dat de verdediging dan op een later moment alsnog de gelegenheid wordt geboden om dit onderzoek te (laten) doen.

6.14. Op het tweede niveau gaat het om nader onderzoek naar de resultaten van het hierboven bedoelde initiële onderzoek. Dus om de “hits” die het resultaat zijn van het doorzoeken van de data aan de hand van zoektermen (de secundaire dataset). De aldus verworven dataset zal in de regel resultaten bevatten die lang niet allemaal relevant zijn voor de zaak en kan alsnog een grote, moeilijk overzienbare hoeveelheid data bevatten. Het EHRM constateert nochtans dat de verdediging op enige wijze de mogelijkheid moet worden geboden tot het nader (laten) onderzoeken van deze data en dat “any refusal to allow the defence to have further searches of the “tagged” documents carried out would in principle raise an issue under Article 6 § 3(b) with regard to the provision of adequate facilities for the preparation of the defence.” Hoe ernstig dit “issue” zou zijn en in hoeverre dit vatbaar is voor compensatie specificeert het hof niet. Uit de rest van de uitspraak leidt ik in elk geval wel af dat ook in deze fase nog de nodige inspanningen van de verdediging verwacht mogen worden om duidelijk te maken wat zij wil onderzoeken en waarom zij dit wil. Ook valt uit het feit dat het hof redeneert dat er in de zaak Sigurður Einarsson tegen IJsland niet genoeg redenen waren om de verdediging geen toegang te verlenen tot de secundaire dataset (“tagged documents”) op te maken dat die redenen er in andere situaties wel kunnen zijn. Het recht op toegang tot de “tagged” data is dus niet absoluut. Beperkingen aan de toegang, bijvoorbeeld op grond van privacy van andere betrokkenen, blijven in deze fase dus toelaatbaar, maar zullen wel beter uitgelegd moeten worden.

6.15. In de uitspraken van het EHRM klinkt voorts door dat het in deze fase eerder in de rede ligt dat de verdediging in staat wordt gesteld om zelf onderzoek naar de data te (laten) doen. De eis wordt echter niet gesteld dat de verdediging fysiek de beschikking krijgt over de “tagged” datasets, bijvoorbeeld in de vorm van afschrift of digitale kopieën. Wanneer de verdediging de mogelijkheid krijgt tot het doen van onderzoek op bijvoorbeeld het politiebureau of – zoals in Nederland de praktijk lijkt te zijn – bij het NFI, is dat in beginsel voldoende, mits de verdediging maar voldoende tijd krijgt dit onderzoek adequaat te verrichten. Wat precies voldoende tijd is lijkt me af te hangen van de omstandigheden van het geval en dus niet in algemene zin te zeggen, al geeft de beoordeling in de zaak Rook tegen Duitsland wel enig houvast. Wel lijkt uit de rechtspraak van het EHRM te kunnen worden afgeleid dat de verdediging een effectieve mogelijkheid tot het onderzoeken moet worden geboden, waaruit dan weer volgt dat – zoals ook in Nederland gebruik lijkt te zijn – de verdediging gebruik moet kunnen maken van software die geschikt is om de data te onderzoeken. Naar Nederlands recht zou een verzoek tot inzage in en de mogelijkheid tot het doen van onderzoek aan de secundaire dataset kunnen worden ingekleed als een verzoek als bedoeld in art. 34 lid 2 Sv.

6.16. Op het derde niveau gaat het om de dataset die het gevolg is van onderzoek op het tweede niveau. Het betreft dus de data die, na een tweede (al dan niet handmatige) selectie als relevant zijn aangemerkt: de tertiaire dataset. Het gaat hier dus in wezen om de selectie van de data die gevoegd zullen worden bij de processtukken. Deze selectie zal in Nederland in de regel onder verantwoordelijkheid van het officier van justitie geschieden – hij draagt in elk geval de verantwoordelijkheid voor de samenstelling van de processtukken (art. 149a lid 1 Sv) – al heeft de verdediging op de voet van art. 34 lid 1 Sv de mogelijkheid om te verzoeken om voeging van stukken, bijvoorbeeld indien de relevantie hiervan uit het hiervoor bedoelde eigen onderzoek is gebleken. De kennisneming van de data die tot de processtukken gaan behoren kan – behoudens de mogelijkheid van art. 149b of onder uitzonderlijke omstandigheden art. 8 EVRM – niet anders dan tijdelijk (vgl. art. 30 Sv) aan de verdachte en de zittingsrechter worden onthouden. De verdachte kan van deze stukken in beginsel tevens afschrift ontvangen (art. 32 Sv).

6.17. Wanneer ik het voorgaande toepas op de onderhavige zaak leidt dit tot de volgende conclusies. Voor zover het middel rust op de opvatting dat de verdediging het recht zou hebben op kennisneming of zelfs verstrekking van alle Ennetcom-data (de primaire dataset) kan het gelet op het onder 6.13 overwogene niet slagen. Uit hetgeen ter zitting is aangevoerd (zie hiervoor onder 2.16) blijkt voorts niet dat de verdediging op enige wijze heeft gespecificeerd en gemotiveerd wat het in de primaire dataset onderzocht wilde hebben. Het hof hoefde hier dus ook niet nader op te reageren.

Oordeel Hoge Raad

De Hoge Raad overweegt dat het Hof Arnhem-Leeuwarden (ECLI:NL:GHARL:2021:1917) in deze zaak het verzoek afgewezen omdat noodzaak daarvan niet is gebleken. Daarin ligt het oordeel besloten dat deze stukken redelijkerwijs niet van belang kunnen zijn voor de door zittingsrechter te nemen beslissingen. Het Hof heeft hieraan ten grondslag gelegd dat:

  • door verdediging niet is aangevoerd dat de door OM verstrekte stukken onjuist zijn of zodanig onvolledig zijn dat hof niet in staat is vragen genoemd in art. 348 en 350 Sv goed te beantwoorden;
  • door verdediging niet is gemotiveerd dat en, zo ja, waarom sprake zou zijn van onjuistheden of onvolledigheden die betrouwbaarheid van waarheidsvinding in twijfel trekken; en
  • door verdediging geen aanwijzingen zijn genoemd of anderszins zijn gebleken dat enige informatie onrechtmatig is verkregen.

Op grond van dit een en ander heeft het hof kennelijk ook geen aanleiding gezien de verdediging inzage te geven in de verzochte stukken en daarom dat verzoek afgewezen. Voor de afwijzing van dit laatste verzoek is bovendien van belang dat het hof, naar aanleiding van het verweer dat de PGP-gesprekken (die deel uitmaken van de in deze strafzaak wel gevoegde Ennetcom-data) van het bewijs moeten worden uitgesloten, heeft overwogen dat de inhoud van de PGP-gesprekken op een groot aantal onderdelen overeenkomt met en dus bevestiging vindt in de inhoud van andere bewijsmiddelen, dat die gesprekken “de nog ontbrekende puzzelstukjes” opleveren in die zin dat de nieuwe informatie uit die gesprekken past en aansluit bij de al bekende informatie en dat uit de stukken van de zaak blijkt op welke wijze de politie de identiteit van de personen die deelnemen aan de PGP-gesprekken heeft vastgesteld (r.o. 4.5).

Het oordeel van het Hof berust niet op onjuiste rechtsopvatting en is niet onbegrijpelijk (met andere woorden: is juist). Het beroep wordt verworpen.

AI, strafrecht en het recht op een eerlijk proces

jjoerlemans 1 reactie

Voor het themanummer ‘AI en Recht’ van het tijdschrift Computerrecht, hebben Bart Schermer en ik een artikel geschreven over AI, strafrecht en het recht op een eerlijk proces (.pdf). Mijn annotatie over de veroordeling van de oprichter van Ennetcom in het Tijdschrift voor Bijzonder Strafrecht & Handhaving is ook hier (.pdf) te lezen.

Het artikel bespreekt eerst de zogenoemde ‘Ennetcom-casus’ en gaat daarna in op de inzet van kunstmatige intelligentie voor het (geautomatiseerd) nemen van strafvorderlijke beslissingen.

Ennetcom

In 2016 heeft het Nederlandse Team High Tech Crime een grote hoeveelheid gegevens (7 Terabyte) in beslag genomen van ‘Ennetcom’, een bedrijf dat werd verdacht van witwassen. Het Nederlandse bedrijf Ennetcom leverde diensten op het gebied van versleutelde communicatie. Tijdens een doorzoeking bij het bedrijf BitFlow Technologies Inc. in Canada (op basis van een rechtshulpverzoek) zijn 3,6 miljoen versleutelde berichten in beslag genomen die zijn verstuurd via zo’n 40.000 smartphones van naar schatting 19.000 klanten.

Klanten konden met speciale BlackBerry-telefoons, voorzien van specifieke software, versleutelde tekstberichten en notities versturen. De encryptiesleutels waren opgeslagen op de ‘Blackberry Enterprise Servers’ van Ennetcom. Deze servers bevonden zich bij BitFlow Technologies Inc. in Toronto, Canada. Na een rechtshulpverzoek van Nederland en een machtiging van een rechter-commissaris aan de Canadese autoriteiten zijn op 19 april 2016 de encryptiesleutels op de servers veilig gesteld zodat daarmee de berichten konden worden ontsleuteld door de Nederlandse opsporingsautoriteiten.

Het Nederlands Forensisch Instituut (NFI) heeft software ontwikkeld waarmee zeer grote hoeveelheden gegevens snel en diepgaand geanalyseerd kunnen worden. Datasets zijn snel te doorzoeken om zo verbanden te leggen tussen verschillende attributen, zoals gebruikersnamen, bijnamen, telefoonnummers en e-mailadressen. Hierdoor kunnen rechercheurs en analisten vele malen sneller en effectiever werken in een opsporingsonderzoek. De software, genaamd ‘Hansken’, is ook ingezet voor de analyse van de Ennetcom-data.

Verdachten worden in strafzaken geconfronteerd met belastend bewijs dat afkomstig is uit een grootschalige data-analyse met het Hansken systeem. In het artikel leggen wij uit dat het recht op een eerlijk proces in artikel 6 EVRM het deelrecht kan worden afgeleid dat de verdachte toegang moet hebben tot gegevens die tegen hem worden gebruikt in belastende en ontlastende zin. De verdediging moet daarbij de mogelijkheid hebben de gegevens met betrekking tot de verdachte te bestuderen en te betwisten. Het openbaar ministerie heeft volgens ons ook tot op zekere hoogte ook zelf een verantwoordelijkheid de technische mogelijkheden aan de verdediging te bieden om de gegevens in een strafproces te bestuderen en te betwisten.

De inrichting van een ‘data room’, waarbij de gegevens die betrekking hebben op de verdachte veilig en relatief eenvoudig kunnen worden geraadpleegd, betreft een voorstel die wij doen om aan het recht invulling te geven. In de toekomst zullen nog veel zaken volgen waarbij verdachten geconfronteerd worden met het resultaat van een grootschalige data-analyse die zijn veilig gesteld in andere strafzaken.

AI en geautomatiseerde besluitvorming

Naast geavanceerde data-analyse of data mining kan ook kunstmatige intelligentie worden toegepast in het kader van de opsporing en vervolging. Zo zijn er onder de noemer predictive policing tal van experimenten binnen de politie die er op gericht zijn om met behulp van kunstmatige intelligentie crimineel gedrag te voorspellen. Daarnaast kan kunstmatige intelligentie worden ingezet voor het nemen of ondersteunen van strafvorderlijke beslissingen door de officier van justitie, rechter-commissaris en rechter.

In het tweede deel gaan wij na in hoeverre de inzet van kunstmatige intelligentie raakt aan de beginselen van een eerlijk proces bij het geautomatiseerd nemen van strafvorderlijke beslissingen.

In het artikel leggen wij uit dat het in het bijzonder bij geautomatiseerde besluitvorming van belang is dat de motivering van de besluitvorming deugdelijk is. Dit betekent dat de gekozen toepassingen transparant, uitlegbaar en controleerbaar zijn.

Hoe deugdelijk de motivering van algoritmische besluitvorming in de praktijk moet zijn, is echter nog onduidelijk. Grofweg zijn er in de context van het strafrecht twee problemen met betrekking tot een voor deugdelijke motivering noodzakelijke transparantie van algoritmes, te weten 1) complexiteit, en 2) de angst voor manipulatie/misbruik. In het artikel gaan we verder in op deze problemen en leggen wij uit hoe met deze problemen kan worden omgegaan.

Gaming the system?

Met betrekking tot het tweede probleem is de angst dat kwaadwillenden het systeem gaan manipuleren of beïnvloeden om tot voor hen gunstige uitkomsten te komen (gaming the system). Inzicht in algoritmische besluitvorming kan daarmee de effectiviteit van de opsporing ondermijnen.

Het kabinet lijkt in haar bijlage bij een Kamerbrief uit oktober 2019 over algoritmes in de opsporing het transparantiebeginsel uit te zonderen door hen in een aparte categorie te plaatsen. In een meer recente beantwoording van Kamervragen over het gebruik van AI bij de politie wordt in punt 76 herhaald dat:

het voor de politie in voorkomende gevallen noodzakelijk is om (delen van) de gegevensverwerking niet inzichtelijk te maken. Dit kan nodig zijn om te voorkomen dat personen zich kunnen onttrekken aan een effectieve taakuitoefening door de politie. Inzicht in de gebruikte analysemethode kan immers aanleiding zijn om het gedrag bewust zodanig aan te passen dat men in de gegevensanalyse buiten zicht blijft. Daarnaast kan geheimhouding nodig zijn omdat inzicht in de gegevensverwerking raakt aan de nationale veiligheid

(deze antwoorden op Kamervragen zijn na het artikel gepubliceerd en daarom niet meegenomen in het artikel zelf).  

Conclusie

Wij waarschuwen dat het voornemen van het kabinet om algoritmische besluitvorming in de opsporing niet te onderwerpen aan de eisen van transparantie en uitlegbaarheid zorgelijk zijn, omdat zij een bedreiging vormen voor de equality of arms en het recht op een eerlijk proces.

Ook in de opsporing moet een concrete invulling worden gegeven aan het recht op een eerlijk proces bij grootschalige data-analyes en het gebruik van algoritmes voor algoritmische besluitvorming. De komende jaren zullen we zien wat van deze invulling terecht komt. 

Bart Schermer & Jan-Jaap Oerlemans

B.W. Schermer en J.J. Oerlemans – AI strafrecht en het recht op een eerlijk proces – 2020Download

Cybercrime jurisprudentieoverzicht – juni 2018

jjoerlemans Een reactie plaatsen

Posted on 18/06/2018

Dit jaar kom ik steeds meer strafzaken te maken die te maken hebben met cybercrime. Het wordt zo langzamerhand een uitdaging alles bij te houden. Ik heb een selectie gemaakt van de zaken van de afgelopen drie maanden en hieronder op een rijtje gezet.

Uitspraak over het gebruik van PGP berichten

De Amsterdamse topcrimineel Naoufal ‘Noffel’ F. is door de Rechtbank Amsterdam op 19 april 2018 veroordeeld (ECLI:NL:RBAMS:2018:2504) tot 18 jaar gevangenisstraf. De zaak is voor deze rubriek relevant, omdat de politie en het Openbaar Ministerie voor de bewijsvoering gebruik hebben gemaakt van grootschalige data-analyse technieken op een server met PGP-berichten die met speciale Blackberry’s werden verstuurd. De Rechtbank acht het gebruik van deze gegevens toelaatbaar. Het Openbaar Ministerie heeft de gegevens op de server op een rechtmatige manier via rechtshulp van Canada verkregen met een bevel op grond van artikel 126ng lid 2 Sv (het vorderen van opgeslagen gegevens bij elektronische communicatieaanbieders). De gegevens zijn bovendien op een rechtmatige manier geanalyseerd door het NFI met het geavanceerde ‘Hansken-systeem’.

De rechters stellen vast dat de onderzoekers zich bij de analyse niet hebben gehouden aan het vooraf opgezette zoekplan en dat er extra steekwoorden zijn gebruikt om tot bewijs te komen. Er worden geen sancties verbonden aan dit vormverzuim. Het Openbaar Ministerie is volgens de rechtbank voldoende zorgvuldig geweest met de geheimhoudercommunicatie, alhoewel het niet de geïdentificeerde geheimhoudercommunicatie terstond heeft vernietigd.

Arrest gewezen in Jumbo afpersing zaak

Op 20 april 2018 heeft het Hof Arnhem-Leeuwarden arrest gewezen (Hof Arnhem-Leeuwarden 20 april 2018, ECLI:NL:GHARL:2018:3737) in de ‘Jumbo-afpersingszaak’. De bedreiger plaatste in 2015 explosieven Jumbo-supermarktketen, waarvan één explosief is afgegaan. Voor het versturen van de mailberichten maakte hij gebruik van het Tor-netwerk en een proxydienst (freeproxy.net). Ook verstuurde hij een bombrief. Daarbij werden 2000 bitcoins als losgeld geëist. De verdachte is geïdentificeerd aan de van DNA-materiaal op de postzegel van een bombrief. Ook was de user-agent in de dreigmail overeenkomstig de user-agent in de TOR-browser op de in beslag genomen computer. Hij is in hoger beroep veroordeeld tot 10 jaar gevangenisstraf.

Hacker van BN-ers veroordeeld

Op 16 mei 2018 is door de Rechtbank Amsterdam een verdachte veroordeeld (ECLI:NL:RBAMS:2018:3297) voor het hacken van de o.a. de ‘online accounts’ van bekende Nederlanders. De hacker bleek amateuristisch te werk te gaan, omdat er steeds werd ingelogd op de accounts door een iPhone vanaf een IP-adres dat stond geregistreerd op het woonadres van de verdachte. Met de daaropvolgende doorzoeking is de verdachte geïdentificeerd en is het benodigde bewijsmateriaal op computers in beslag genomen. De verdachte is veroordeeld tot één jaar gevangenisstraf, waarvan zes maanden voorwaardelijk en een proeftijd van drie jaar.

Lid van beruchte ‘LizardSquad’ veroordeeld

‘LizardSquad’ is de naam van een hackergroep die voornamelijk in 2014 ddos-aanvallen uitvoerde op gamingplatforms, zoals Xbox Live en PlayStation Network. Op 17 mei 2018 is een Nederlandse verdachte die door de rechtbank Den Haag veroordeeld (ECLI:NL:RBDHA:2018:5775) voor een taakstraf van 180 uur.

De verdachte is door de FBI geïdentificeerd op basis van onder meer een Skype-account waarvan telkens werd gebeld. Ook heeft de politie de gebruikersgegevens van het Twitteraccount achterhaald waar de verdachte gebruik van maakte. Het IP-adres was door KPN uitgegeven aan de internetaansluiting van de moeder van de verdachte. Zij woonden beiden op hetzelfde adres. Dat IP-adres was ook aan de dos-aanvallen te linken, omdat de verdachte daarmee zes keer verbinding maakte met een webserver waar een internettap op stond waarbij voor de ddos-aanvallen werd geadverteerd. De verdachte gaf aan dat hij de ‘support tickets’ voor de website behandelde en daarmee vragen van gebruikers heeft beantwoord. Voor deze bijdrage aan een criminele organisatie is hij veroordeeld voor deelname aan een criminele organisatie (art. 140 Sr). Daarnaast is de verdachte veroordeeld voor “phonebombing” (art. 285 Sr) en het plegen van ddos-aanvallen (art. 138b, art. 161sexies en art. 350a Sr)

Teruggave van bestanden aan kinderpornoverdachte?

Op 3 mei 2018 heeft het Hof Den Haag een interessant arrest (ECLI:NL:GHDHA:2018:1074) gewezen over de inbeslagname van computers en de omgang met de daarop opgeslagen gegevens. In deze zaak heeft een kinderpornoverdachte verzocht om een kopie te maken van een specifieke selectie van niet-strafbare gegevensbestanden. De computer van de verdachte is inbeslaggenomen en onttrokken aan het verkeer, omdat daar 9 kinderpornoafbeeldingen op gevonden waren. De verdachte biedt aan met een externe schijf naar het politiebureau te komen, om daar in ieder geval zijn jeugdfoto’s en -films te kopiëren.

De Advocaat-Generaal was van mening dat het formeel strafrecht geen ruimte laat tot deze selectie van bestanden als een computer in beslag is genomen en wordt onttrokken aan het verkeer. Het Hof Den Haag beslist echter dat de wetgever bij de totstandkoming van de regeling over de inbeslagname van voorwerpen de wetgever zich nog geen mening heeft kunnen vormen over dit vraagstuk. Uit EHRM-jurisprudentie (zie ook mijn artikel met Sofie Royer) leidt het Hof af dat een rechter wel degelijk kan een selectie kan (laten) maken van de gegevens op een inbeslaggenomen computer.

Als een verdachte gemotiveerd verzoekt om verstrekking van duidelijk omschreven gegevensbestanden dan dient een belangenafweging plaatsvinden. Die afweging gaat tussen de strafvorderlijke en maatschappelijke belangen bij onttrekking enerzijds en de persoonlijke belangen van de verdachte bij behoud c.q. verkrijging van de verzochte gegevensbestanden anderzijds. Op basis daarvan moet worden beslist of het onderzoek of het om wel of niet-strafbaar materiaal gaat bij de teruggave geen onevenredige inspanning voor de politie met zich meebrengt.

Miljoenen met bitcoins witgewassen

Op 30 mei 2018 heeft de rechtbank Rotterdam negen verdachten in het onderzoek ‘Ijsberg’ veroordeeld voor gevangenisstraffen tussen de zes maanden en zes jaar voor het witwassen van bitcoins en drugshandel. De verdachten waren bijna allemaal bitcoinshandelaren.

In de onderhavige zaak (ECLI:NL:RBROT:2018:4291) kwam de verdachte via een advertentie op localbitcoins.com in contact met bitcoin verkopende klanten. Vervolgens werd er afgesproken in een openbare gelegenheid, zoals Starbucks, waarna de bitcoins tegen contant geld werden door de verdachte werden gekocht. De bitcoins werden vrijwel onmiddellijk na de inkoop via de Bitcoin exchangebedrijf Kraken weer verkocht. De bedragen dat op de bankrekeningen werden ontvangen werden daarna grotendeels in contant opgenomen om nieuwe bitcoins aan te schaffen. Een van de verdachten heeft binnen twee jaar tijd via exchanges 1,5 miljoen euro ontvangen en 1,4 miljoen euro gepind.

De rechtbank vermoed witwassen omdat de bitcoinhandelaar anonimiteit biedt aan zijn klanten en een (onredelijk hoge) commissie rekent voor zijn diensten. Ook komen de verdachten niet met een verklaring voor de herkomst van de bitcoins. Onderzoek van de FIOD laat zien dat de bitcoinportemonnees van de door de verdachte genoemde klanten voor een groot deel – ruim meer dan 50% – werden gevoed uit darkweb-markten. De verdachte kreeg twee jaar gevangenisstraf opgelegd, waarvan 8 maanden voorwaardelijk.

Belangrijke bewijsrol voor PGP-telefoons

jjoerlemans Een reactie plaatsen

Op 20 juli 2017 heeft de Rechtbank Amsterdam veroordeeld (ECLI:NL:RBAMS:2017:5130) voor poging tot moord in opdracht op klaarlichte dag in een woonwijk. De verdachte was één van de schutters. Op het slachtoffer werden 34 kogels afgevuurd, waarbij het slachtoffer is geraakt in zijn buik en rug. De Rechtbank spreekt dan ook van een ‘wonder dat het slachtoffer de aanslag heeft overleefd’.  Verder is de verdachte vooroordeeld voor het voorhanden hebben van (semi-)automatische wapens en twee kilo springstof, heling van gestolen voortuigen en witwassen. De verdachte kreeg een opvallend hoge onvoorwaardelijke gevangenisstraf opgelegd van 20 jaar en een schadevergoeding van € 17.980,01 aan materiële schade en € 25.000,- aan immateriële schade. De rechtbank merkte op dat met de uitspraak hopelijk een preventief effect uitgaat, omdat de liquadatiegolf in Amsterdam maar doorgaat en daarmee mensenlevens verwoest. Daarnaast worden de inwoners van Amsterdam met vuurwapengeweld in hun woonomgeving geconfronteerd.

De uitspraak is voor deze rubriek interessant, omdat bijzonder uitgebreid wordt ingegaan op het gebruik van locatiegegevens uit de telecommunicatie van verdachten en bewijs dat wordt verkregen uit uit PGP-telefoons. Voor het ‘uitpeilen’  van de locatie van de verdachte werd gebruik gemaakt van de zogenaamde ‘IMSI-catcher’. Met de IMSI-catcher is een IMEI-nummer (een identificerend gegeven van een mobiele telefoon) geïdentifcierend dat toebehoorde aan bepaald type Blackberry, waarvan de verdachte gebruik van heeft gemaakt. Dit heeft in de bewijsconstructie bijgedragen.

PGP-telefoons zijn geprepareerde mobiele telefoon, waarmee op een meer gebruikersvriendelijke wijze gebruik kan worden gemaakt van het programma ‘Pretty Good Privacy’ (PGP). Met het programma kan op versleutelde wijze worden gecommuniceerd met anderen die daarvan gebruik maken. In dit geval heeft het NFI de wachtwoorden achterhaalt van PGP-telefoons, en daarmee de communicatie tussen de verdachten over de ten laste gelegde feiten. Het is onduidelijk of het een relatie heeft met de politieactie van het Team High Tech Crime in 2016, waarbij de servers inbeslag zijn genomen van een van witwassen verdacht bedrijf dat zich specialiseerde in het aanleveren van geprepareerde PGP-telefoons. Daarbij werd in totaal 7 Terabyte aan data gevonden met 3,6 miljoen versleutelde berichten die zijn verstuurd via zo’n 40.000 smartphones die op het Ennetcom-netwerk geregistreerd stonden. Naar aanleiding van deze inbeslagname worden naar verluidt netwerken tussen criminelen in kaart gebracht en communiatie tussen verdachten worden geanalyseerd.

De verdachte maakte ook gebruik van een Blackberry-telefon met het PGP-programma. Bij het moederbedrijf van Blackberry, RIM, zijn gegevens gevorderd over verschillende verdachten op basis van hun IMEI-nummers (een identifcicerend gegeven van een mobiele telefoon). Dit leverde een e-mailadres op die gekoppeld kan worden aan andere e-mailadressen in combinatie met bijnamen in de contactlijst van de telefoon. Ten slotte kon uit onderzoek naar de historische telecomgegevens van de PGP-telefoon en observaties worden nagegaan dat deze vaak zendmasten heeft aangestraald in de directe omgeving van het verblijfadressen van medeverdachten. Deze gegevens droegen bij aan het koppelen van de verdachten aan de apparaten, waarop belastende gegevens zijn gevonden.

Uiteindelijk is de rechtbank aan de hand van de historische telecomgegevens van de (PGP-)telefoons, de peilbakengegevens van zowel de auto’s , historische wegverkeersgegevens, observaties, camerabeelden, gesprekken die zijn opgenomen door middel van een microfoon in een auto en e-mailberichten uit de PGP-telefoons, nagegaan waar de verdachten zich bevonden in de periode voorafgaand aan de schietpartij en op de dag van de schietpartij zelf. Dit heeft geleid tot de overtuiging van schuld op basis van het bewijs en de uiteindelijke veroordeling van de verdachte.