AI, strafrecht en het recht op een eerlijk proces

Voor het themanummer ‘AI en Recht’ van het tijdschrift Computerrecht, hebben Bart Schermer en ik een artikel geschreven over AI, strafrecht en het recht op een eerlijk proces (.pdf).

Het artikel bespreekt eerst de zogenoemde ‘Ennetcom-casus’ en gaat daarna in op de inzet van kunstmatige intelligentie voor het (geautomatiseerd) nemen van strafvorderlijke beslissingen.

Ennetcom

In 2016 heeft het Nederlandse Team High Tech Crime een grote hoeveelheid gegevens (7 Terabyte) in beslag genomen van ‘Ennetcom’, een bedrijf dat werd verdacht van witwassen. Het Nederlandse bedrijf Ennetcom leverde diensten op het gebied van versleutelde communicatie. Tijdens een doorzoeking bij het bedrijf zijn 3,6 miljoen versleutelde berichten in beslag genomen die zijn verstuurd via zo’n 40.000 smartphones van naar schatting 19.000 klanten.

Klanten konden met speciale BlackBerry-telefoons, voorzien van specifieke software, versleutelde tekstberichten en notities versturen. De encryptiesleutels waren opgeslagen op de ‘Blackberry Enterprise Servers’ van Ennetcom. Deze servers bevonden zich in Toronto, Canada. Na een rechtshulpverzoek van Nederland en een machtiging van een rechter-commissaris aan de Canadese autoriteiten zijn op 19 april 2016 de encryptiesleutels op de servers veilig gesteld zodat daarmee de berichten konden worden ontsleuteld door de Nederlandse opsporingsautoriteiten.

Het Nederlands Forensisch Instituut (NFI) heeft software ontwikkeld waarmee zeer grote hoeveelheden gegevens snel en diepgaand geanalyseerd kunnen worden. Datasets zijn snel te doorzoeken om zo verbanden te leggen tussen verschillende attributen, zoals gebruikersnamen, bijnamen, telefoonnummers en e-mailadressen. Hierdoor kunnen rechercheurs en analisten vele malen sneller en effectiever werken in een opsporingsonderzoek. De software, genaamd ‘Hansken’, is ook ingezet voor de analyse van de Ennetcom-data.

Verdachten worden in strafzaken geconfronteerd met belastend bewijs dat afkomstig is uit een grootschalige data-analyse met het Hansken systeem. In het artikel leggen wij uit dat het recht op een eerlijk proces in artikel 6 EVRM het deelrecht kan worden afgeleid dat de verdachte toegang moet hebben tot gegevens die tegen hem worden gebruikt in belastende en ontlastende zin. De verdediging moet daarbij de mogelijkheid hebben de gegevens met betrekking tot de verdachte te bestuderen en te betwisten. Het openbaar ministerie heeft volgens ons ook tot op zekere hoogte ook zelf een verantwoordelijkheid de technische mogelijkheden aan de verdediging te bieden om de gegevens in een strafproces te bestuderen en te betwisten.

De inrichting van een ‘data room’, waarbij de gegevens die betrekking hebben op de verdachte veilig en relatief eenvoudig kunnen worden geraadpleegd, betreft een voorstel die wij doen om aan het recht invulling te geven. In de toekomst zullen nog veel zaken volgen waarbij verdachten geconfronteerd worden met het resultaat van een grootschalige data-analyse die zijn veilig gesteld in andere strafzaken.

AI en geautomatiseerde besluitvorming

Naast geavanceerde data-analyse of data mining kan ook kunstmatige intelligentie worden toegepast in het kader van de opsporing en vervolging. Zo zijn er onder de noemer predictive policing tal van experimenten binnen de politie die er op gericht zijn om met behulp van kunstmatige intelligentie crimineel gedrag te voorspellen. Daarnaast kan kunstmatige intelligentie worden ingezet voor het nemen of ondersteunen van strafvorderlijke beslissingen door de officier van justitie, rechter-commissaris en rechter.

In het tweede deel gaan wij na in hoeverre de inzet van kunstmatige intelligentie raakt aan de beginselen van een eerlijk proces bij het geautomatiseerd nemen van strafvorderlijke beslissingen.

In het artikel leggen wij uit dat het in het bijzonder bij geautomatiseerde besluitvorming van belang is dat de motivering van de besluitvorming deugdelijk is. Dit betekent dat de gekozen toepassingen transparant, uitlegbaar en controleerbaar zijn.

Hoe deugdelijk de motivering van algoritmische besluitvorming in de praktijk moet zijn, is echter nog onduidelijk. Grofweg zijn er in de context van het strafrecht twee problemen met betrekking tot een voor deugdelijke motivering noodzakelijke transparantie van algoritmes, te weten 1) complexiteit, en 2) de angst voor manipulatie/misbruik. In het artikel gaan we verder in op deze problemen en leggen wij uit hoe met deze problemen kan worden omgegaan.

Gaming the system?

Met betrekking tot het tweede probleem is de angst dat kwaadwillenden het systeem gaan manipuleren of beïnvloeden om tot voor hen gunstige uitkomsten te komen (gaming the system). Inzicht in algoritmische besluitvorming kan daarmee de effectiviteit van de opsporing ondermijnen.

Het kabinet lijkt in haar bijlage bij een Kamerbrief uit oktober 2019 over algoritmes in de opsporing het transparantiebeginsel uit te zonderen door hen in een aparte categorie te plaatsen. In een meer recente beantwoording van Kamervragen over het gebruik van AI bij de politie wordt in punt 76 herhaald dat:

het voor de politie in voorkomende gevallen noodzakelijk is om (delen van) de gegevensverwerking niet inzichtelijk te maken. Dit kan nodig zijn om te voorkomen dat personen zich kunnen onttrekken aan een effectieve taakuitoefening door de politie. Inzicht in de gebruikte analysemethode kan immers aanleiding zijn om het gedrag bewust zodanig aan te passen dat men in de gegevensanalyse buiten zicht blijft. Daarnaast kan geheimhouding nodig zijn omdat inzicht in de gegevensverwerking raakt aan de nationale veiligheid

(deze antwoorden op Kamervragen zijn na het artikel gepubliceerd en daarom niet meegenomen in het artikel zelf).  

Conclusie

Wij waarschuwen dat het voornemen van het kabinet om algoritmische besluitvorming in de opsporing niet te onderwerpen aan de eisen van transparantie en uitlegbaarheid zorgelijk zijn, omdat zij een bedreiging vormen voor de equality of arms en het recht op een eerlijk proces.

Ook in de opsporing moet een concrete invulling worden gegeven aan het recht op een eerlijk proces bij grootschalige data-analyes en het gebruik van algoritmes voor algoritmische besluitvorming. De komende jaren zullen we zien wat van deze invulling terecht komt. 

Bart Schermer & Jan-Jaap Oerlemans

Cybercrime jurisprudentieoverzicht – juni 2018

Posted on 18/06/2018

Dit jaar kom ik steeds meer strafzaken te maken die te maken hebben met cybercrime. Het wordt zo langzamerhand een uitdaging alles bij te houden. Ik heb een selectie gemaakt van de zaken van de afgelopen drie maanden en hieronder op een rijtje gezet.

Uitspraak over het gebruik van PGP berichten

De Amsterdamse topcrimineel Naoufal ‘Noffel’ F. is door de Rechtbank Amsterdam op 19 april 2018 veroordeeld (ECLI:NL:RBAMS:2018:2504) tot 18 jaar gevangenisstraf. De zaak is voor deze rubriek relevant, omdat de politie en het Openbaar Ministerie voor de bewijsvoering gebruik hebben gemaakt van grootschalige data-analyse technieken op een server met PGP-berichten die met speciale Blackberry’s werden verstuurd. De Rechtbank acht het gebruik van deze gegevens toelaatbaar. Het Openbaar Ministerie heeft de gegevens op de server op een rechtmatige manier via rechtshulp van Canada verkregen met een bevel op grond van artikel 126ng lid 2 Sv (het vorderen van opgeslagen gegevens bij elektronische communicatieaanbieders). De gegevens zijn bovendien op een rechtmatige manier geanalyseerd door het NFI met het geavanceerde ‘Hansken-systeem’.

De rechters stellen vast dat de onderzoekers zich bij de analyse niet hebben gehouden aan het vooraf opgezette zoekplan en dat er extra steekwoorden zijn gebruikt om tot bewijs te komen. Er worden geen sancties verbonden aan dit vormverzuim. Het Openbaar Ministerie is volgens de rechtbank voldoende zorgvuldig geweest met de geheimhoudercommunicatie, alhoewel het niet de geïdentificeerde geheimhoudercommunicatie terstond heeft vernietigd.

Arrest gewezen in Jumbo afpersing zaak

Op 20 april 2018 heeft het Hof Arnhem-Leeuwarden arrest gewezen (Hof Arnhem-Leeuwarden 20 april 2018, ECLI:NL:GHARL:2018:3737) in de ‘Jumbo-afpersingszaak’. De bedreiger plaatste in 2015 explosieven Jumbo-supermarktketen, waarvan één explosief is afgegaan. Voor het versturen van de mailberichten maakte hij gebruik van het Tor-netwerk en een proxydienst (freeproxy.net). Ook verstuurde hij een bombrief. Daarbij werden 2000 bitcoins als losgeld geëist. De verdachte is geïdentificeerd aan de van DNA-materiaal op de postzegel van een bombrief. Ook was de user-agent in de dreigmail overeenkomstig de user-agent in de TOR-browser op de in beslag genomen computer. Hij is in hoger beroep veroordeeld tot 10 jaar gevangenisstraf.

Hacker van BN-ers veroordeeld

Op 16 mei 2018 is door de Rechtbank Amsterdam een verdachte veroordeeld (ECLI:NL:RBAMS:2018:3297) voor het hacken van de o.a. de ‘online accounts’ van bekende Nederlanders. De hacker bleek amateuristisch te werk te gaan, omdat er steeds werd ingelogd op de accounts door een iPhone vanaf een IP-adres dat stond geregistreerd op het woonadres van de verdachte. Met de daaropvolgende doorzoeking is de verdachte geïdentificeerd en is het benodigde bewijsmateriaal op computers in beslag genomen. De verdachte is veroordeeld tot één jaar gevangenisstraf, waarvan zes maanden voorwaardelijk en een proeftijd van drie jaar.

Lid van beruchte ‘LizardSquad’ veroordeeld

‘LizardSquad’ is de naam van een hackergroep die voornamelijk in 2014 ddos-aanvallen uitvoerde op gamingplatforms, zoals Xbox Live en PlayStation Network. Op 17 mei 2018 is een Nederlandse verdachte die door de rechtbank Den Haag veroordeeld (ECLI:NL:RBDHA:2018:5775) voor een taakstraf van 180 uur.

De verdachte is door de FBI geïdentificeerd op basis van onder meer een Skype-account waarvan telkens werd gebeld. Ook heeft de politie de gebruikersgegevens van het Twitteraccount achterhaald waar de verdachte gebruik van maakte. Het IP-adres was door KPN uitgegeven aan de internetaansluiting van de moeder van de verdachte. Zij woonden beiden op hetzelfde adres. Dat IP-adres was ook aan de dos-aanvallen te linken, omdat de verdachte daarmee zes keer verbinding maakte met een webserver waar een internettap op stond waarbij voor de ddos-aanvallen werd geadverteerd. De verdachte gaf aan dat hij de ‘support tickets’ voor de website behandelde en daarmee vragen van gebruikers heeft beantwoord. Voor deze bijdrage aan een criminele organisatie is hij veroordeeld voor deelname aan een criminele organisatie (art. 140 Sr). Daarnaast is de verdachte veroordeeld voor “phonebombing” (art. 285 Sr) en het plegen van ddos-aanvallen (art. 138b, art. 161sexies en art. 350a Sr)

Teruggave van bestanden aan kinderpornoverdachte?

Op 3 mei 2018 heeft het Hof Den Haag een interessant arrest (ECLI:NL:GHDHA:2018:1074) gewezen over de inbeslagname van computers en de omgang met de daarop opgeslagen gegevens. In deze zaak heeft een kinderpornoverdachte verzocht om een kopie te maken van een specifieke selectie van niet-strafbare gegevensbestanden. De computer van de verdachte is inbeslaggenomen en onttrokken aan het verkeer, omdat daar 9 kinderpornoafbeeldingen op gevonden waren. De verdachte biedt aan met een externe schijf naar het politiebureau te komen, om daar in ieder geval zijn jeugdfoto’s en -films te kopiëren.

De Advocaat-Generaal was van mening dat het formeel strafrecht geen ruimte laat tot deze selectie van bestanden als een computer in beslag is genomen en wordt onttrokken aan het verkeer. Het Hof Den Haag beslist echter dat de wetgever bij de totstandkoming van de regeling over de inbeslagname van voorwerpen de wetgever zich nog geen mening heeft kunnen vormen over dit vraagstuk. Uit EHRM-jurisprudentie (zie ook mijn artikel met Sofie Royer) leidt het Hof af dat een rechter wel degelijk kan een selectie kan (laten) maken van de gegevens op een inbeslaggenomen computer.

Als een verdachte gemotiveerd verzoekt om verstrekking van duidelijk omschreven gegevensbestanden dan dient een belangenafweging plaatsvinden. Die afweging gaat tussen de strafvorderlijke en maatschappelijke belangen bij onttrekking enerzijds en de persoonlijke belangen van de verdachte bij behoud c.q. verkrijging van de verzochte gegevensbestanden anderzijds. Op basis daarvan moet worden beslist of het onderzoek of het om wel of niet-strafbaar materiaal gaat bij de teruggave geen onevenredige inspanning voor de politie met zich meebrengt.

Miljoenen met bitcoins witgewassen

Op 30 mei 2018 heeft de rechtbank Rotterdam negen verdachten in het onderzoek ‘Ijsberg’ veroordeeld voor gevangenisstraffen tussen de zes maanden en zes jaar voor het witwassen van bitcoins en drugshandel. De verdachten waren bijna allemaal bitcoinshandelaren.

In de onderhavige zaak (ECLI:NL:RBROT:2018:4291) kwam de verdachte via een advertentie op localbitcoins.com in contact met bitcoin verkopende klanten. Vervolgens werd er afgesproken in een openbare gelegenheid, zoals Starbucks, waarna de bitcoins tegen contant geld werden door de verdachte werden gekocht. De bitcoins werden vrijwel onmiddellijk na de inkoop via de Bitcoin exchangebedrijf Kraken weer verkocht. De bedragen dat op de bankrekeningen werden ontvangen werden daarna grotendeels in contant opgenomen om nieuwe bitcoins aan te schaffen. Een van de verdachten heeft binnen twee jaar tijd via exchanges 1,5 miljoen euro ontvangen en 1,4 miljoen euro gepind.

De rechtbank vermoed witwassen omdat de bitcoinhandelaar anonimiteit biedt aan zijn klanten en een (onredelijk hoge) commissie rekent voor zijn diensten. Ook komen de verdachten niet met een verklaring voor de herkomst van de bitcoins. Onderzoek van de FIOD laat zien dat de bitcoinportemonnees van de door de verdachte genoemde klanten voor een groot deel – ruim meer dan 50% – werden gevoed uit darkweb-markten. De verdachte kreeg twee jaar gevangenisstraf opgelegd, waarvan 8 maanden voorwaardelijk.

Belangrijke bewijsrol voor PGP-telefoons

Op 20 juli 2017 heeft de Rechtbank Amsterdam veroordeeld (ECLI:NL:RBAMS:2017:5130) voor poging tot moord in opdracht op klaarlichte dag in een woonwijk. De verdachte was één van de schutters. Op het slachtoffer werden 34 kogels afgevuurd, waarbij het slachtoffer is geraakt in zijn buik en rug. De Rechtbank spreekt dan ook van een ‘wonder dat het slachtoffer de aanslag heeft overleefd’.  Verder is de verdachte vooroordeeld voor het voorhanden hebben van (semi-)automatische wapens en twee kilo springstof, heling van gestolen voortuigen en witwassen. De verdachte kreeg een opvallend hoge onvoorwaardelijke gevangenisstraf opgelegd van 20 jaar en een schadevergoeding van € 17.980,01 aan materiële schade en € 25.000,- aan immateriële schade. De rechtbank merkte op dat met de uitspraak hopelijk een preventief effect uitgaat, omdat de liquadatiegolf in Amsterdam maar doorgaat en daarmee mensenlevens verwoest. Daarnaast worden de inwoners van Amsterdam met vuurwapengeweld in hun woonomgeving geconfronteerd.

De uitspraak is voor deze rubriek interessant, omdat bijzonder uitgebreid wordt ingegaan op het gebruik van locatiegegevens uit de telecommunicatie van verdachten en bewijs dat wordt verkregen uit uit PGP-telefoons. Voor het ‘uitpeilen’  van de locatie van de verdachte werd gebruik gemaakt van de zogenaamde ‘IMSI-catcher’. Met de IMSI-catcher is een IMEI-nummer (een identificerend gegeven van een mobiele telefoon) geïdentifcierend dat toebehoorde aan bepaald type Blackberry, waarvan de verdachte gebruik van heeft gemaakt. Dit heeft in de bewijsconstructie bijgedragen.

PGP-telefoons zijn geprepareerde mobiele telefoon, waarmee op een meer gebruikersvriendelijke wijze gebruik kan worden gemaakt van het programma ‘Pretty Good Privacy’ (PGP). Met het programma kan op versleutelde wijze worden gecommuniceerd met anderen die daarvan gebruik maken. In dit geval heeft het NFI de wachtwoorden achterhaalt van PGP-telefoons, en daarmee de communicatie tussen de verdachten over de ten laste gelegde feiten. Het is onduidelijk of het een relatie heeft met de politieactie van het Team High Tech Crime in 2016, waarbij de servers inbeslag zijn genomen van een van witwassen verdacht bedrijf dat zich specialiseerde in het aanleveren van geprepareerde PGP-telefoons. Daarbij werd in totaal 7 Terabyte aan data gevonden met 3,6 miljoen versleutelde berichten die zijn verstuurd via zo’n 40.000 smartphones die op het Ennetcom-netwerk geregistreerd stonden. Naar aanleiding van deze inbeslagname worden naar verluidt netwerken tussen criminelen in kaart gebracht en communiatie tussen verdachten worden geanalyseerd.

De verdachte maakte ook gebruik van een Blackberry-telefon met het PGP-programma. Bij het moederbedrijf van Blackberry, RIM, zijn gegevens gevorderd over verschillende verdachten op basis van hun IMEI-nummers (een identifcicerend gegeven van een mobiele telefoon). Dit leverde een e-mailadres op die gekoppeld kan worden aan andere e-mailadressen in combinatie met bijnamen in de contactlijst van de telefoon. Ten slotte kon uit onderzoek naar de historische telecomgegevens van de PGP-telefoon en observaties worden nagegaan dat deze vaak zendmasten heeft aangestraald in de directe omgeving van het verblijfadressen van medeverdachten. Deze gegevens droegen bij aan het koppelen van de verdachten aan de apparaten, waarop belastende gegevens zijn gevonden.

Uiteindelijk is de rechtbank aan de hand van de historische telecomgegevens van de (PGP-)telefoons, de peilbakengegevens van zowel de auto’s , historische wegverkeersgegevens, observaties, camerabeelden, gesprekken die zijn opgenomen door middel van een microfoon in een auto en e-mailberichten uit de PGP-telefoons, nagegaan waar de verdachten zich bevonden in de periode voorafgaand aan de schietpartij en op de dag van de schietpartij zelf. Dit heeft geleid tot de overtuiging van schuld op basis van het bewijs en de uiteindelijke veroordeling van de verdachte.