Tag Sky ECC

Overzicht cryptophone-operaties

jjoerlemans 2 reacties

Ongeveer vier jaar geleden, in november 2018, verscheen het eerste persbericht op OM.nl over het veiligstellen van berichten die zijn verstuurd met ‘cryptotelefoons’ (ook wel ‘PGP-telefoons’ genoemd).

De beschikbare informatie over cryptotelefoons heb ik in de volgende blogberichten hieronder op een rijtje gezet:

  1. Ennetcom (2016)
  2. PGP Safe (2017)
  3. Ironchat (2017)
  4. EncroChat (2020)
  5. Sky ECC (2020)
  6. ANOM (2021)

(Dit overzicht van 30 december 2021 is geüpdatet op 14 november 2022).

Waarom een overzicht?

Op 15 september 2022 zijn er al meer dan 400 uitspraken beschikbaar op rechtspraak.nl, waarin bewijs uit de cryptotelefoons een belangrijke rol speelt. In de media worden de cryptophone-berichten ook wel een ‘goudmijn aan bewijs’ genoemd en de gegevens vormen een game changer voor de politie. Strafrechtadvocaten trekken vaak de rechtmatigheid van de operaties in twijfel, maar vooralsnog lijkt de verdediging bot te vangen.

De operaties zijn blijkbaar bijzonder belangrijk voor de strafrechtpraktijk en toch is er relatief weinig bekend over de operaties. Ook geniet het nog vrij weinig aandacht van strafrechtwetenschappers.

De grote hoeveelheid jurisprudentie en onduidelijkheid over de ‘wat’, ‘wanneer’ en ‘hoe’-vragen vormde voor mij aanleiding een overzicht te maken (ook voor mijzelf voor toekomstige publicaties). Daarbij heb ik mij gebaseerd op persberichten van het OM, de politie en rechtspraak.

Wat en wanneer

  1. Ennetcom (2016)

Leverancier van cryptotelefoons met apps op een Blackberry telefoon. Oprichters van het bedrijf zijn uiteindelijk veroordeeld voor deelname aan een criminele organisatie, gewoontewitwassen en medeplegen van valsheid in geschrifte. Tijdens de operatie zijn 3,6 miljoen berichten veiliggesteld. De operatie werd bekend gemaakt op 9 maart 2017.

Leverancier van cryptotelefoons met apps op Android en Blackberry toestellen. Tijdens de operatie zijn 700.000 berichten veiliggesteld. De verdenking was aanvankelijk dat de verdachte zich tezamen met anderen als professionele facilitator van versleutelde communicatie schuldig zou hebben gemaakt aan overtreding van witwassen (art. 420bis Sr) en deelneming aan een criminele organisatie (art. 140 Sr). De verdachte wordt uiteindelijk alleen veroordeeld (ECLI:NL:RBROT:2022:363) voor valsheid in geschrifte en ‘begunstiging’. De operatie werd bekend gemaakt op 9 mei 2017.

Leverancier van Wileyfox-telefoons met Ironchat-app er op. Onderzoek gericht op de oprichters van het bedrijf (verdenkingen nog onduidelijk). Tijdens de operatie zijn 258.000 berichten veiliggesteld. De operatie werd bekend op 6 november 2018.

Leverancier van cryptotelefoons met EncroChat (en andere Encro) apps. Redelijk vermoeden dat Encro en de gebruikers zich in georganiseerd verband schuldig maakten aan o.a. witwassen en deelname aan criminele organisaties. Tijdens de operatie zijn 25 miljoen berichten veiliggesteld.  De operatie werd bekend gemaakt op 2 juli 2020.

Leverancier van cryptotelefoons met Sky ECC app. Sky ECC en de daaraan gelieerde (natuurlijke) personen verdacht van deelname aan een criminele organisatie en (gewoonte)witwassen.  Tijdens de operatie zijn honderden miljoenen berichten veiliggesteld.  De operatie werd bekend gemaakt op 9 maart 2021.

ANOM was een zogenoemde ‘store front’, oftewel een zelf opgezette communicatiedienst. De operatie stond onder leiding van de FBI en de Australische Federal Police met het doel om verdachten van criminele organisaties te identificeren. Tijdens de operatie zijn 27 miljoen berichten onderschept. De operatie ving al aan in 2019, maar werd pas na Sky ECC bekend op 8 juni 2021.

Hoe

1.      Ennetcom (2016)
Via een rechtshulpverzoek aan Canada, met machtiging van een Canadese rechter. NL grondslag: 125i Sv. Canadese rechter verbond voorwaarden aan verstrekking en gebruik van gegevens aan Nederlandse opsporingsinstanties.  

Zie ook: B.W. Schermer & J.J. Oerlemans, ‘AI, strafrecht en het recht op een eerlijk proces’, Computerrecht 2020/3 en Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (veroordeling oprichter Ennetcom). (HR uitspraak: HR 28 juni 2022, ECLI:NL:HR:2022:900 en blog).
 
2.      PGP Safe (2017)
Via een rechtshulpverzoek aan Costa Rica, met assistentie van Nederlandse politie. Machtiging voor bevel tot binnentreden, de doorzoeking en de beslaglegging afgegeven door het Gerecht in Strafzaken van het Eerste District San Jose. Aan de verstrekking van de veilig gestelde gegevens zijn geen beperkingen aan Nederland opgelegd.
 
3.      Ironchat (2017)
Gegevensvergaring via een Europees Opsporingsbevel aan het Verenigd Koninkrijk. Na eigen onderzoek vond verstrekking van een kopie van de server (een image) plaats. Grondslag strafvordering voor operatie vooralsnog onduidelijk.
 
4.      EncroChat (2020)
Via JIT en EOB’s. Franse autoriteiten verzamelden gegevens met inzet “interceptietool”.  Extra machtiging voor inzet hackbevoegdheid (126uba Sv) op verdachten met verdenking van betrokkenheid/beramen van het plegen van misdrijven in georganiseerd verband. Beperkingen en vereisten aan onderzoek opgelegd door Nederlandse rechter-commissaris in een machtiging voor het onderzoeken van gegevens van Nederlandse ingezetenen.

Zie ook: B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2.
 
5.      Sky ECC (2020)
Via JIT. Franse autoriteiten vergaren gegevens met inzet “interceptietool”. Door Nederlandse opsporingsambtenaren is technische expertise en/of bijstand geleverd met betrekking tot de ontwikkeling en plaatsing van de tool.

De in Frankrijk vergaarde informatie is aanvankelijk vrijwillig op basis van artikel 26 van het Cybercrimeverdrag gedeeld met het Nederlandse Openbaar Ministerie. Later zijn ook machtigingen Nederlandse rechter-commissaris verleend. De vorderingen en machtigingen zagen op de toepassing van de artikelen 126t lid 1 en 126t lid 6 Sv (onderzoek communicatie door middel van een geautomatiseerd werk bij georganiseerde criminaliteit) en later ook op aanvullende, ondersteunende vorderingen op de voet van artikel 126uba Sv (hackbevoegdheid bij verdenking betrokkenheid beramen/plegen misdrijven in georganiseerd verband).

6. ANOM (2021)

Door een ‘spontane eenzijdige verstrekking van informatie zonder een voorafgaand verzoek van de Nederlandse opsporingsdiensten’.

De Nederlandse opsporingsdiensten zouden niet betrokken zijn geweest bij de verkrijging van de gegevens. Wel heeft de Nederlandse software ontwikkeld waarmee de berichten konden worden geanalyseerd en geduid. Deze software is ook beschikbaar gesteld aan Europol, zodat deze dienst de gegevens kon analyseren en beschikbaar stellen aan andere landen.

Meer duidelijkheid over de ANOM-operatie

jjoerlemans 1 reactie

Op 8 juni 2021 traden verschillende politieorganisaties tegelijkertijd naar buiten met ‘Operation Trojan Shield’. Het Amerikaanse Federal Bureau of Investigation (FBI) startte in 2019 met het opzetten van een platform voor cryptotelefoons onder de naam ‘Anom’. Ook de ‘Australian Federal Police’ (AFP) nam het voortouw in de operatie ten aanzien van de distributie van de telefoons. Het doel van de operatie was om de georganiseerde criminaliteit aan te pakken door deze cryptotelefoons aan te bieden en inzicht te krijgen in de communicatie van de gebruikers.

De Hoge Raad heeft onlangs op 8 november 2022 een bezwaar op uitlevering van een belangrijk distributeur van ANOM-communicatiemiddelen verworpen (ECLI:NL:HR:2022:1589, zie ook de Conclusie van AG Hofstee: ECLI:NL:PHR:2022:877). Volgens de Amerikanen was het gemeenschappelijk doel van de distributeurs van ANOM: i) het creëren, onderhouden, gebruiken en controleren van een methode van beveiligde communicatie, om zo de handel in verdovende middelen in Australië, Azië, Europa en Noord-Amerika te bevorderen, ii) het witwassen van de opbrengsten van deze drugshandel en iii) het dwarsbomen van wetshandhavingsonderzoeken door middel van een systeem waarbij op afstand bewijs van illegale activiteiten kon worden verwijderd uit de chat-app.

Tijdens Operation Trojan Shield zijn ongeveer 27 miljoen berichten van de cryptocommunicatiedienst ANOM onderschept. In het persbericht van Europol is te lezen dat het in totaal ging om meer dan 12.000 apparaten die door meer dan 300 criminele organisaties werden gebruikt in meer dan 100 landen. Europol vermeldt in de onderstaande infographic de wereldwijde resultaten:

Bron: https://www.europol.europa.eu/media-press/newsroom/news/800-criminals-arrested-in-biggest-ever-law-enforcement-operation-against-encrypted-communication

Volgens de Australische politie konden veel verdachten worden gelinkt aan de Italiaanse mafia, criminele motorclubs, en georganiseerde misdaad uit Azië en Albanië. De operatie leidde daar tot de arrestatie van 224 verdachten. Inlichtingen uit de operatie leidde ook in 20 gevallen tot ingrepen in gevallen waarbij personen geliquideerd dreigden te worden.   

In het Nederlandse persbericht staat verder dat met ANOM in minstens 45 verschillende talen werd gecommuniceerd over zaken als de handel in drugs, wapens, munitie en explosieven, ram- en plofkraken, gewapende overvallen en, niet in de laatste plaats, liquidaties. De meeste berichten waren in het Nederlands, Duits en Zweeds. De Amerikaanse opsporingsdiensten konden data ontvangen en analyseren van 530 actieve, in Nederland gelokaliseerde, cryptotelefoons.

Volgens deze ‘affidavit’ (gepubliceerd door VICE) waren de meeste ANOM-telefoons in gebruik in Duitsland, Nederland, Spanje, Australië en Servië.

Landen waarin de cryptophones werden gebruikt. Bron: https://www.justice.gov/usao-sdca/pr/fbi-s-encrypted-phone-platform-infiltrated-hundreds-criminal-syndicates-result-massive

ANOM telefoons

In de tussenbeslissing van de rechtbank Oost-Brabant van 10 november 2022 (ECLI:NL:RBOBR:2022:4957) zijn meer details de te lezen over de ANOM-telefoons en de operatie.

Gebruikers van de ‘AN0M-app’ konden alleen contact hebben met andere gebruikers van Anom op basis van een gebruikers-ID. Zij konden afbeeldingen, video’s, notities en korte spraakberichten naar elkaar sturen. Gebruikers van de ‘AN0M-app’ konden alleen contact hebben met andere gebruikers van Anom op basis van een gebruikers-ID. Zij konden afbeeldingen, video’s, notities en korte spraakberichten naar elkaar sturen. De dienst werd geactiveerd via een app die oogde als een rekenmachine-app (en die ook als zodanig bruikbaar was). Dat kon door een wachtwoord in te voeren dat enkel geldig was op dat specifieke toestel.

De verzender van een audiobericht had verder bijvoorbeeld de mogelijkheid om de toonhoogte van de opname aan te passen voordat deze werd gemaakt, hetzij omhoog (optie bekend als ‘Helium’ in de app) of omlaag (optie bekend als ‘Jellyfish’ in de app). Traditionele functies die worden geassocieerd met mobiele telefoons, zoals spraak/videobellen, sms-berichten, sociale-mediatoepassingen en toegang tot openbare internetwebsites en e-maildiensten, konden niet worden gebruikt op een Anom-smartphone.

Zogenaamde resellers en Anom-beheerders konden nieuwe smartphones instellen, Anom-smartphones buiten gebruik stellen en op afstand wissen. Met een “dwang-PIN-code” kon de verwijdering van alle informatie vanuit de app in gang worden gezet. Toegang tot het netwerk was beschermd door een gebruikersnaam en een wachtwoord. De gebruiker moest verbinding maken een VPN-verbinding die alleen beschikbaar was voor diegenen die door de Anom-operator geautoriseerd waren.

De meest voorkomende modellen van ANOM-telefoons waren Google Pixel, Samsung Galaxy of Xiaomi. Op alle toestellen werd een versie van het Android-besturingssysteem gebruikt. De toestellen werden verkocht in combinatie met een verlengbaar abonnement (de kosten voor verlenging met 6 maanden waren bij benadering 1.000 dollar).  

Hoe?

Het onderzoek begon nadat het cryptophone bedrijf ‘Phantom Secure’ (gevestigd in Canada) door de FBI werd ontmandeld in 2018. De FBI beschrijft de operatie Trojan Shield als volgt:

“Operation Trojan Shield is an Organized Crime Drug Enforcement Task Forces (OCDETF) investigation.  OCDETF identifies, disrupts, and dismantles the highest-level drug traffickers, money launderers, gangs, and transnational criminal organizations that threaten the United States by using a prosecutor-led, intelligence-driven, multi-agency approach that leverages the strengths of federal, state, and local law enforcement agencies against criminal networks.”

De FBI maakte tijdens de operatie gebruik van een eigen ontwikkelde app, genaamd ‘AN0M’. Deze werd geïnstalleerd op telefoons waarmee alleen de berichten konden worden verstuurd naar gebruikers met dezelfde app. Op de telefoon was een eigen ‘master key’ ter onsleuteling van de berichten aangebracht. De Australische politie bracht de telefoons in circulatie bij verdachten. De FBI maakte een kopie van elk bericht dat werd verstuurd met de telefoon op een server in een ‘derde land’ (buiten de Verenigde Staten). De gegevens werden daarna naar de FBI verstuurd met de toepassing van een rechtshulpverdrag (‘mutual legal assistance agreement’) vanaf 7 oktober 2019 tot en met 7 juni 2021.

Gebruik resultaten in Nederlandse strafzaken

Op 23 maart 2021 hebben de Amerikaanse autoriteiten gemeld dat er ongeveer 530 cryptotelefoons van het netwerk in Nederland gelokaliseerd zijn, waarvan de nog niet nader geïdentificeerde gebruikers zich vermoedelijk schuldig maakten aan ernstige strafbare feiten zoals de internationale handel in drugs, witwassen, moord, ontvoering, fraude, economische delicten, wapenhandel en corruptie. Naar schatting van de Amerikaanse autoriteiten maakten de gebruikers van die in Nederland gelokaliseerde crypto-telefoons deel uit van 25 criminele samenwerkingsverbanden. Daarop startte op 26 maart 2021 het opsporingsonderzoek ‘26Eagles’, naar aanleiding van de op 23 maart 2021 van de Dienst Landelijke Informatie Organisatie ontvangen informatie.

Vanuit de Amerikaanse opsporingsdiensten werd driemaal per week een dataset met volledig ontsleutelde data verstrekt aan de Nederlandse autoriteiten. Binnen onderzoek 26Eagles is er geen sprake geweest van de toepassing van “telefoonhacks” of “interceptietools” (volgens een brief van 11 juni 2021 van de officieren van justitie bij het Landelijk Parket van het onderzoek 26Eagle). Er is door het Openbaar Ministerie een aantal uitgangspunten gehanteerd bij het onderzoek aan de ontvangen data. Kortgezegd houden die uitgangspunten in dat (1) gebruik wordt gemaakt van zoeksleutels, (2) dat het onderzoek achteraf reproduceerbaar en verifieerbaar moet zijn en (3) dat recht moet worden gedaan aan het verschoningsrecht van geheimhouders.

Nederlandse rol

De overheidsdiensten hebben de ANOM communicatiedienst zelf ontwikkeld en beheerd. De ‘Australian Federal Police’ (AFP) en de ‘Federal Bureau of Investigation’ (FBI) namen hierin het voortouw. Ook Nederland speelde een rol in de operatie.

In het Nederlandse persbericht is te lezen dat ‘binnen operatie Trojan Shield een prominente rol was weggelegd voor FBI, AFP, de Zweedse politie en de Landelijke Eenheid van de Nederlandse politie. Zij werkten nauw met elkaar samen. In totaal namen aan deze operatie 16 landen deel. Volgens Europol waren dit: Australië, Oostenrijk, Canada, Denemarken, Estland, Finland, Duitsland, Hongarije, Litouwen, Nieuw-Zeeland, Nederland, Noorwegen, Zweden, het Verenigd Koninkrijk, Schotland en de Verenigde Staten.

In het persbericht is te lezen dat:

“voor deze grootschalige operatie de Landelijke Eenheid innovatieve software ontwikkelde waarmee miljoenen berichten kunnen worden geanalyseerd en geduid. Deze software werd beschikbaar gesteld aan Europol, zodat deze dienst de data kon analyseren. De uitkomsten stelde Europol beschikbaar aan andere landen.”

In de eerste gepubliceerde rechtszaken zijn vragen gesteld over de Nederlandse rol. Daar is bijvoorbeeld in te lezen dat:

“Het OM heeft verklaard dat van enige betrokkenheid van Nederlandse opsporingsdiensten bij de verkrijging van de ANOM-data geen sprake is geweest en dat het OM niet is gebleken van enige aanwijzing dat deze niet rechtmatig zou zijn vergaard.”

Rb. Overijssel 9 juni 2022, ECLI:NL:RBOVE:2022:1767.

De door de Amerikaanse autoriteiten verstrekte informatie en de daaropvolgende datasets betroffen volgens het OM ‘een spontane eenzijdige verstrekking van informatie zonder een voorafgaand verzoek van de Nederlandse opsporingsdiensten’. In de rechtspraak wordt tot nu toe aangenomen dat Nederland de resultaten uit het onderzoek mag gebruiken, zonder opnieuw aan de regels in het Wetboek van Strafvordering te toetsten (op basis van het interstatelijk vertrouwensbeginsel). De Rechtbank Oost-Brabant overweegt bijvoorbeeld:

“dat de Nederlandse politie techniek ontwikkelt ten behoeve van analyse van datasets, maakt niet dat zij daarmee betrokken is bij de verkrijging van die data; met de verkrijging van die data heeft de Nederlandse politie niets van doen gehad. Die is aan ons verstrekt door de Amerikaanse autoriteiten, onder mededeling dat de informatie op rechtmatige wijze is verkregen en dat deze door de Nederlandse opsporingsdiensten in een strafrechtelijk onderzoek mag worden gebruikt”.

(Rb. Oost-Brabant 31 maart 2022, ECLI:NL:RBOBR:2022:1331).

Het genoemde “derde land” in het persbericht en ‘affidavit’ zou overigens niet Nederland betreffen. De rechtbank Overijssel overweegt hierover in een zaak (ECLI:NL:RBOVE:2022:1767) dat:

“Wanneer zou blijken dat Nederland het eerdergenoemde “derde land” is, het mogelijk wel tot de taak van de strafrechter behoort om de rechtmatigheid van die informatievergaring en -verstrekking te toetsen volgens de bepalingen van het Nederlandse strafrecht.

Ter terechtzitting hebben de officieren van justitie niet de garantie kunnen geven dat Nederland niet het bedoelde derde land is. Gelet hierop zal de rechtbank het openbaar ministerie opdragen te onderzoeken of Nederland het derde land is (waarin in het affidavit wordt gesproken) dan wel te garanderen dat Nederland niet het derde land is.”

Mijn Utrechtse collega’s hebben overigens een mooi artikel over de ANOM-operatie geschreven. De conclusie is als volgt: “In deze bijdrage nemen wij een voorschot op de discussie over de legaliteit van de opsporingshandelingen die in de feitenrechtspraak vermoedelijk los zal gaan barsten. Uit onze analyse blijkt dat geen evidente misstanden bestaan met betrekking tot de toetsing van de uitgevoerde opsporingshandelingen in het licht van het legaliteitsbeginsel.” Het hele artikel in Tijdschrift voor Bijzonder Strafrecht & Handhaving is in open access beschikbaar.

  

Cybercrime jurisprudentieoverzicht oktober 2022

jjoerlemans Een reactie plaatsen

Vorderingen gemeente Bodegraven tegen Twitter afgewezen

Op 4 oktober 2022 heeft de voorzieningsrechter van de rechtbank Den Haag vorderingen van de gemeente Bodegraven tegen Twitter afgewezen (ECLI:NL:RBDHA:2022:10082) over het verwijderen van onrechtmatige content over het ‘verhaal Bodegraven’. Volgens dat verhaal zou gedurende vele jaren in Bodegraven een pedo-satanisch netwerk hebben bestaan waar talloze jonge kinderen het slachtoffer van zijn geworden. In deze periode zijn (onder meer via Twitter) ernstige beschuldigingen geuit jegens bepaalde personen en oproepen gedaan om naar de begraafplaats van Bodegraven te komen voor het leggen van bloemen. Hierop heeft de Gemeente zich genoodzaakt gezien tijdelijk een noodverordening uit te vaardigen om de openbare orde te kunnen handhaven.

Bij vonnissen van 30 juni 2022 zijn twee verdachten al strafrechtelijk veroordeeld voor opruiing, bedreiging en smaad, onder meer in verband met het verspreiden van opruiende en bedreigende filmpjes op sociale media (zie ECLI:NL:RBDHA:2022:6263). In deze vonnissen is onder meer geoordeeld dat de rechtbank in het geheel niet heeft kunnen vaststellen dat sprake is geweest van een satanisch pedofielennetwerk. De discussie tussen de gemeente Bodegraven en Twitter spitst zich toe op de vraag of van Twitter nog meer mag worden verwacht dan zij al heeft gedaan. De Gemeente heeft betoogd dat Twitter verder verplicht is om – uit eigen beweging – uitlatingen soortgelijk aan de onrechtmatig bevonden uitlatingen van haar platform te verwijderen.

Het account van de verdacht werd door Twitter geschorst en de inhoud van de berichten zijn niet langer toegankelijk. Het maken van een filter en uit eigen beweging van andere tweets van anderen weigert Twitter met de argumentatie dat met de schorsing van het account voldaan is aan de vordering en de vordering voor het overige te algemeen is en strekt volgens Twitter tot oplegging van een op grond van artikel 15 lid 1 van de Richtlijn inzake elektronische handel ontoelaatbaar filterverbod. De rechtbank overweegt dat op grond van artikel 15 lid 1 van de Richtlijn inzake elektronische handel de lidstaten de dienstverleners geen algemene verplichting mogen opleggen om toe te zien op de informatie die zij doorgeven of opslaan, noch om actief te zoeken naar feiten of omstandigheden die duiden op onwettige activiteiten. Dit (algemene) filterverbod doet niet af aan de hiervoor vermelde mogelijkheid om in speciale gevallen een rechterlijk verbod te verkrijgen op grond waarvan bepaalde informatie moet worden verwijderd of ontoegankelijk moet worden gemaakt. Zo’n speciaal geval kan zijn bepaalde informatie die door de betrokken hostingprovider op verzoek van een bepaalde gebruiker van zijn netwerk is opgeslagen en die in een rechterlijk oordeel onrechtmatig is bevonden.

De vordering van de gemeente Bodegraven is niet toewijsbaar. Anders dan de Gemeente heeft betoogd kan dus niet van Twitter worden gevergd na een zoekslag op basis van een filter nog een autonome beoordeling van het zoekresultaat te verrichten. Er moet immers sprake zijn van een geautomatiseerde selectietechniek. Tijdens de mondelinge behandeling heeft Twitter verklaard dat het voor haar feitelijk onmogelijk is een algoritme te maken dat onrechtmatige uitlatingen die vergelijkbaar zijn met de onrechtmatige uitingen eruit filtert, zonder daarmee ook vele rechtmatige berichten te raken. Zo zouden bijvoorbeeld ook berichten waarin het bestaan van een satanisch pedofiel netwerk juist wordt ontkend, en/of beschrijvende, vragende, journalistieke en/of anderszins niet onrechtmatige berichten over aspecten van ‘het verhaal Bodegraven’ eruit worden gefilterd, terwijl die berichten niet onrechtmatig zijn. Dat is strijdig met de vrijheid van meningsuiting, aldus Twitter. Hiertegenover heeft de Gemeente voorshands onvoldoende aannemelijk gemaakt dat Twitter hier wel toe in staat is. De enkele stelling van de Gemeente dat Twitter goed is in het maken van algoritmes en genoeg geld en mankracht kan inzetten om een en ander voor elkaar te krijgen volstaat in dit kort geding niet. Daarbij weegt de voorzieningenrechter mee dat aan het spoedeisend belang naar voorlopig oordeel voldoende tegemoet kan worden gekomen door het notice-and-takedown systeem, zoals hierna zal worden besproken, te meer daar ook de (re)tweets de medeverdachte zijn verwijderd.

Het voorgaande betekent dat de Gemeente vooralsnog is aangewezen op de notice-and-takedown procedure om onrechtmatige content te doen verwijderen. Niet weersproken is dat de Gemeente op eenvoudige wijze kan aangeven welke tweets volgens haar onrechtmatig zijn en om verwijdering daarvan door Twitter kan verzoeken. Slechts indien Twitter vervolgens weigert een tweet met onrechtmatige inhoud te blokkeren, handelt zij jegens de Gemeente onrechtmatig. Die situatie doet zich hier echter vooralsnog niet voor.

Burgeropsporing bij vriend-in-nood fraude

De rechtbank Rotterdam heeft op 10 oktober 2022 een interessante uitspraak (ECLI:NL:RBROT:2022:8396) gedaan over burgeropsporing bij vriend-in-nood fraude. De feiten zijn als volgt. Op 25 augustus 2020 kreeg de politie een melding gekregen van een persoon die een televisieprogramma maakte over oplichters. In een hotel zou volgens de melder op dat moment vriend-in-nood fraude worden gepleegd, waarbij fraudeurs in de veronderstelling verkeerden dat zij een slachtoffer veel geld afhandig maakten. Volgens dit artikel in het AD gaat het blijkbaar over een programma van Kees van der Spek. Het Openbaar Ministerie zou volgens het artikel spreken over “belangrijke jurisprudentie”.

Het slachtoffer was door een onbekende benaderd die zich voordeed als haar kind en facturen had die dringend moest worden betaald. Zij had zelf geen kinderen en bood toen aan de melder aan dat zij de “oplichters” zou aanbieden om zelf het geld voor die facturen van haar bankrekening te halen. Zij zou dan een door de televisiemakers gemaakte namaak-bankapp met de inlogcodes aan de “oplichters” verstrekken. Deze applicatie creëerde een namaak-bankomgeving, waardoor het alleen leek of er geld werd overgemaakt. De app maakte ook video’s van drie seconden van degene die met de app (nep)geld overmaakte. Deze video’s, gegevens over de overboekingen en de GPS-locaties werden doorgestuurd naar een medewerker die de app had gemaakt. Zo kon men weten waar de oplichters waren en op welk moment zij (nep)geld overmaakten naar andere bankrekeningen en kon hij een foto van de “oplichters” laten zien.

De politieambtenaren zijn op 25 augustus 2020 om 18.10 uur samen met de melder het hotel binnengegaan. De baliemedewerker van het hotel heeft de verdachte en de medeverdachte herkend van een foto die de melder had verkregen via de bankapp. De baliemedewerker heeft het kamernummer gegeven. De politieambtenaren zijn daarop naar die hotelkamer gegaan. In die kamer werden omstreeks 18.29 uur vijf personen aangetroffen, de verdachten en nog drie anderen. Allen werden aangehouden. In de hotelkamer werden naast luxe kleding en schoenen ook zeven telefoons aangetroffen. Op alle telefoons zijn sporen van vriend-in-noodfraude aangetroffen.

Bij de aangifte werd tevens een kopie van het chatgesprek overgelegd dat de “oplichters” met het slachtoffer zouden hebben gevoerd. Ook is een transactieoverzicht met tijdstippen waarop de “oplichters” probeerden geld over te maken en videobestanden van de “oplichters” die de bankapp bedienden van diezelfde momenten. De tijdstippen van de fictieve transacties komen precies overeen met de tijdstippen waarop de videobeelden zijn gemaakt. De verbalisant heeft op die videobeelden steeds de verdachte en daarnaast in een aantal gevallen de verdachte en de medeverdachte herkend. Op de beelden die zijn gemaakt op de tijdstippen van de transacties zijn geen anderen te zien

Uit onderzoek naar de historische gegevens van de zeven telefoons is gebleken dat de telefoons van de verdachte en de medeverdachte en de telefoons op naam de verdachten meermalen rond dezelfde tijdstippen dezelfde masten aanstralen in Rotterdam aanstraalden. Uit de camerabeelden van het hotel is gebleken dat de verdachte en de medeverdachte om 13.38 uur het hotel binnenkomen. Zij worden op dat moment ook door de politieambtenaren op straat voor het hotel gezien, waar zij de melder als televisiepersoonlijkheid hebben herkend en selfies met hem hebben gemaakt. Op de camerabeelden van het hotel is te zien dat zij kort daarna het hotel zijn binnengegaan.

Onder omstandigheden dient bewijsmateriaal dat door burgers is verzameld van gebruik bij de bewijsbeslissing te worden uitgesloten. Dat is het geval als er sprake is van schending van algemene beginselen van een behoorlijke procesorde of veronachtzaming van de processuele rechten van de verdediging. Maar als uitgangspunt heeft te gelden dat bewijsmateriaal dat door burgers is verzameld bij de bewijsbeslissing mag worden gebruikt. Onrechtmatig of strafbaar handelen door die burgers bij het verzamelen van dat bewijsmaterieel doet daar in beginsel niet aan af. Dat laatste is anders als opsporingsambtenaren of ambtenaren van het Openbaar Ministerie enig invloed hebben gehad op de verkrijging van dat bewijsmateriaal (HR 14 januari 2003, ECLI:NL:HR:2003:AE9038). Gesteld noch gebleken is dat politie of Openbaar Ministerie enige invloed op de opsporing van de verdachte door de melder hebben gehad.

De verklaring van de melder is afgelegd ten overstaan van een opsporingsambtenaar. Het bewijsmiddel is het desbetreffende proces-verbaal. De rechtbank kan kennisnemen van dat bewijsmiddel en dit bij de bewijsbeslissing gebruiken. De waardering van de inhoud is aan de rechtbank voorbehouden.

De rechtbank overweegt dat er sprake is van computervredebreuk door het aannemen van een valse hoedanigheid en installeren van de namaakbank-app. Niet is gebleken dat de melder en zijn medewerkers verder zijn gegaan dan nodig om de bedriegers aan de kaak te stellen. Of daarmee de wederrechtelijkheid aan hun handelen ontbreekt, “kan in het midden blijven“, aldus de rechtbank. Het gaat erom dat aldus naar het oordeel van de rechtbank geen algemene beginselen van een behoorlijke rechtsorde zijn geschonden en geen processuele rechten van de verdediging zijn veronachtzaamd.

Wat betreft het door de verdediging aangevoerde onafhankelijke onderzoek begrijpt de rechtbank de verdediging zo, dat de burgeropsporing door een onafhankelijke opsporingsinstantie zou moeten worden gecontroleerd alvorens het bewijsmateriaal toelaatbaar is. Maar dit is een eis die het recht zo algemeen geformuleerd niet kent.

Gelet op de (relatief beperkte) overschrijding van de redelijke termijn, de eis van de officier van justitie, de jonge leeftijd van de verdachte en de al ingezette hulpverlening, legt de rechtbank in plaats van een onvoorwaardelijke gevangenisstraf een taakstraf en een voorwaardelijke gevangenisstraf met voorwaarden op.

Alleen maar bewijs uit Sky ECC-berichten is voor de rechtbank Breda niet genoeg

De rechtbank Zeeland-West-Brabant heeft op 13 september 2022 een opvallende uitspraak (ECLI:NL:RBZWB:2022:5151) gedaan over een zaak met uitsluitend bewijs uit de Sky ECC-operatie. De man werd verdacht van drugshandel in 40 kilo MDMA, 300.000 xtc-pillen en ruim twintig kilo ketamine.

De rechtbank overweegt dat er van wettig bewijs is sprake als er bewijsmiddelen zijn uit verschillende bronnen of als de bewijsmiddelen uit één bron worden ondersteund door andere feiten en omstandigheden. Uit die bewijsmiddelen moet de rechtbank vervolgens ook de overtuiging krijgen dat verdachte de tenlastegelegde feiten heeft gepleegd.

Evenals de verdediging beschikt de rechtbank niet over de dataset met alle Sky ECC-berichten van het account ‘546TCH’, zijnde het account dat aan verdachte wordt toegeschreven. Hierdoor kan zij de berichten in het procesdossier niet beoordelen in de context van andere berichten die door of aan het account zijn verstuurd. Het samenstellen van het procesdossier is een bevoegdheid van het Openbaar Ministerie. Het Openbaar Ministerie heeft er in deze zaak voor gekozen te volstaan met het toevoegen van specifieke delen van de dataset aan het procesdossier. De rechtbank kan hierdoor de verdenkingen tegen verdachte uitsluitend beoordelen aan de hand van deze selectie in het procesdossier.

De rechtbank stelt vast dat de verdenkingen tegen verdachte gebaseerd zijn op de in het procesdossier aanwezige Sky ECC-berichten. Deze berichten komen naar het oordeel van de rechtbank allemaal uit één bron, namelijk de gekraakte berichtendienst Sky ECC. Dat door het Openbaar Ministerie wordt verwezen naar meerdere chatsessies van het account met verschillende andere gebruikers van Sky ECC maakt dit niet anders. In het procesdossier zijn geen bewijsmiddelen opgenomen die de inhoud van de berichten ondersteunen. Hierdoor is de inhoud van de berichten niet te toetsen. De rechtbank is van oordeel dat hierdoor het wettige bewijs voor de tenlastegelegde feiten ontbreekt. Zij spreekt verdachte daarom vrij van alle tenlastegelegde feiten.

Brandbrief over het in beslag nemen, aftappen en hacken van versleutelde communicatiediensten

Overigens hebben meer dan 100 advocaten op 24 oktober 2022 een “brandbrief” geschreven over het in beslag nemen, aftappen en hacken van versleutelde communicatiediensten, zoals Ennetcom, PGPsafe, EncroChat en SkyECC. Volgens de advocaten is er onvoldoende transparantie over de inzet van nieuwe opsporingsmethoden in deze zaken, waardoor spanning ontstaat met het recht op een eerlijke proces en het recht op privacy. Ook maken zij zich zorgen over het risico van de glijdende schaal. Volgens hen worden ook andere (versleutelde) communicatiediensten, zoals Signal en Whatsapp, al ‘in verdachte hoek geplaatst of dreigen daar te komen, terwijl die verdachtmaking enkel is gebaseerd op het gebruik van sterke encryptie en het beschermen van de eigen privacy’.

De advocaten dringen in de brief aan op: (1) Kamervragen, waarmee uitleg kan worden verschaft over de rol van Nederlandse autoriteiten bij de internationale samenwerking in de onderzoeken naar,  voornoemde communicatiediensten; (2) transparantie vanuit het Ministerie van Justitie en Veiligheid en het openbaar ministerie over de rol van de Nederlandse autoriteiten bij die internationale samenwerking; en (3) kritisch onderzoek door rechters in individuele strafzaken waarin verdachten worden geconfronteerd met bewijsmateriaal dat voortvloeit uit die internationale samenwerking.

Gevangenisstraf voor verkoop RDW-gegevens

Op 27 september 2022 zijn medewerkers Belastingdienst door de rechtbank Overijssel veroordeelt (ECLI:NL:RBOVE:2022:2703) voor het verkopen van kentekengegevens uit het RDW-systeem. Een 41-jarige man kreeg een gevangenisstraf van achttien maanden opgelegd, waarvan zes maanden voorwaardelijk. De tweede medewerker, een 47-jarige vrouw, werd veroordeeld tot een voorwaardelijke gevangenisstraf van zes maanden.

Het onderzoek ‘26Bozeman’ naar de verdachten werd gestart op basis van ontsleutelde EncroChat-berichten. Uit verschillende chats kwam naar voren dat gegevens van bepaalde kentekenhouders, waaronder namen, adressen en automerken, tegen betaling werden ingewonnen via een medewerker van de Belastingdienst. De Rijksrecherche startte daarop onderzoek Rabenau en kwam bij verdachte en medeverdachte terecht.

De kentekengegevens werden vervolgens verkocht aan derden. Dit zou hebben plaatsgevonden van maart 2017 tot en met maar 2021. In totaal hebben de verdachten gegevens van 216 kentekens in systemen van de Belastingdienst opgevraagd. De data werd op een papiertje opgeschreven, daarna gefotografeerd en via EncroChat uitgewisseld. Per verstrekt kenteken zou de man een bedrag van tussen de 50 en 200 euro hebben ontvangen.

Volgens de rechter hebben de twee hun inloggegevens waarmee ze op het systeem inlogden voor een ander doel gebruikt dan waarvoor ze die hadden ontvangen. De verdachte wordt schuldige bevonden aan het schenden van zijn ambtsgeheim (art. 272 Sr), computervredebreuk (art. 138ab Sr) en ambtelijke omkoping (art. 363 Sr). Onlangs is overigens nog een artikel verschenen over ‘computervredebreuk met een valse sleutel’, zoals in het onderhavige geval, met de veelzeggende titel: ‘Niet elke grasduinende mol is een hacker – Waarom de Hoge Raad het begrip computervredebreuk te ver heeft opgerekt’ door M. Berndsen & C.J.J. Visser in Boom Strafblad, nr. 4, 2022. Doi: 10.5553/BSb/266669012022003004008.

Overigens is de rechtbank is van oordeel dat, anders dan de raadsman stelt, noch de wet, noch de jurisprudentie vereist dat voor overdracht van door inzet van bijzondere opsporingsbevoegdheden verkregen gegevens een machtiging van de rechter-commissaris is vereist. De Encrochat-berichten zijn naar het oordeel van de rechtbank rechtmatig verkregen en kunnen voor het bewijs worden gebezigd.

In de strafmotivering overweegt de rechtbank dat ‘de integriteit van de overheid en de ambtenaren die in dienst staan van de overheid is van fundamenteel belang voor de democratische rechtsstaat. Ambtenaren kunnen vaak over een grote hoeveelheid persoonsgegevens beschikken en de samenleving moet erop kunnen vertrouwen dat zij hier op een integere wijze mee omgaan’. De rechtbank overweegt ook dat de verdachten met hun handelen mogelijk mensen in groot gevaar hebben gebracht en rekent de verdachte aan dat ze veelvuldig gegevens hebben verstrekt en dit met groot gemak deden.

In de onderhavige zaak is de veroordeeld voor 18 maanden gevangenisstraf, waarvan zes maanden voorwaardelijk met een proeftijd van drie jaren. Naast de gevangenisstraf ontzet de rechtbank de verdachte ook het recht om een openbaar ambt te bekleden voor de duur van vijf jaar.

Veroordelingen voor misbruik Coronasysteem van de GGD

Op 14 september 2022 heeft de rechtbank Rotterdam een man veroordeeld (ECLI:NL:RBROT:2022:7659) voor valsheid in geschrifte. De verdachte heeft samen met anderen valse Corona vaccinatiebewijzen en een aantal negatieve Corona testuitslagen verkocht.

De verdachte in de onderhavige zaak zorgde voor de aanwas van ‘klanten’, die de medeverdachte, die op meerdere vaccinatielocaties van de GGD werkte, valselijk als gevaccineerd in het daartoe bestemd geautomatiseerd systeem van de GGD heeft geregistreerd. Ook hebben ze valse negatieve testuitslagen doen opmaken.

De verdachte heeft gezorgd dat de ‘klanten’ een afspraak maakten op de juiste vaccinatielocatie en dag en heeft de gegevens doorgegeven die nodig waren om hen als gevaccineerd te registeren.

De officier van justitie legde ook computervredebreuk ten laste, omdat de verdachte misbruik zou hebben gemaakt van het systeem van de GGD doordat hij gebruik heeft gemaakt van zijn account met een ander doel dan waarvoor hem dat account ter beschikking stond. De rechtbank spreekt de verdachte van dit feit vrij. Een medeverdachte slechts toegang tot een account van de GGD had en uit het dossier en het verhandelde ter terechtzitting is zijn betrokkenheid bij het gebruik van het account ook niet gebleken.

De verdachte wordt veroordeeld voor 12 maanden gevangenisstraf, waarvan negen maanden voorwaardelijk met een proeftijd van twee jaar alsmede een taakstraf voor de maximale duur van 240 uur.

De medeverdachte is wel veroordeeld (ECLI:NL:RBROT:2022:7657) voor computervredebreuk. Deze heeft in het CoronIT-systeem van de GGD gegevens van de betrokken personen heeft ingevoerd, zoals hun BSN-nummer, waarna zij in het systeem als gevaccineerd werden geregistreerd. Deze digitale registratie geldt als bewijs van vaccinatie. Daarentegen acht de rechtbank – in tegenstelling tot de officier van justitie – niet bewezen dat de verdachte al dan niet samen met een ander, valselijk QR-codes heeft opgemaakt. Dit betreffen immers wel documenten die de betrokkenen – nadat zij als gevaccineerd zijn geregistreerd – zelf kunnen aanmaken via hun DigiD. Dat de verdachte dit voor of met hen deed, is niet gebleken.

De rechtbank overweegt bij de strafoplegging dat de verdachte door zo te handelen misbruik gemaakt van zijn functie als administratief medewerker bij de GGD en het vertrouwen van zijn werkgever ernstig beschaamd. Voorts heeft de verdachte hiermee het vertrouwen van de burger ernstig beschaamd. De samenleving moet immers kunnen vertrouwen op de echtheid van dergelijke registraties en op de echtheid van de documenten die mensen die als gevaccineerd geregistreerd zijn vervolgens kunnen gebruiken. De rechtbank neemt het de verdachte kwalijk dat hij hierbij enkel oog heeft gehad voor zijn eigen financiële gewin.

WODC-onderzoek ‘Strafvorderlijke gegevensverwerking’ gepubliceerd

jjoerlemans Een reactie plaatsen

Op 25 oktober 2022 is het WODC-onderzoek ‘Strafvorderlijke gegevensverwerking’ gepubliceerd (zie ook de .pdf naar het volledige rapport). Het onderzoek is in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie en Veiligheid uitgevoerd door Fedorova en anderen van de Radboud Universiteit. En full disclosure: ik zat samen met anderen in de begeleidingscommissie van het onderzoek. Dat wil zeggen dat ik advies en feedback heb gegeven op eerdere versies van het rapport.

Hieronder geef ik de kern van het rapport weer en ga ik wat uitgebreider op het onderdeel over toezicht op de huidige praktijk van gegevensverwerking door de politie in opsporingsonderzoeken. Dit laatste heeft mijn bijzondere interesse, omdat ik daar zelf ook onderzoek naar doe.

Inleiding

In het persbericht op wodc.nl wordt de huidige praktijk mooi beschreven:

Door inbeslagname of hacks van grote gegevensdragers heeft de politie steeds vaker toegang tot enorme hoeveelheden persoonsgegevens. Dit biedt kansen voor het digitale opsporingswerk en de vervolging van verdachten van zware misdrijven. Denk aan de miljoenen recent gekraakte (criminele) berichten van Ennetcom, EncroChat of Sky ECC.

Zeker in de huidige gedigitaliseerde maatschappij waarin steeds meer gegevens en geavanceerde data-analyse technologieën voorhanden zijn, heeft de politie steeds meer mogelijkheden om gegevens die reeds in de politiesystemen aanwezig zijn, met elkaar te combineren en zodoende een min of meer volledig beeld van iemands privéleven te krijgen. Daar komt bij dat politie ook steeds vaker grote datasets in handen krijgt waarin nadere zoekslagen kunnen worden uitgevoerd, zonder dat er op het moment van verkrijging reeds een op het individu of een groep toegesneden verdenking sprake hoeft te zijn.

Met name voor grote hoeveelheden, in bulk verkregen gegevens geldt doorgaans dat de gegevens op zichzelf niet zoveel zeggen, maar relevant worden wanneer de politie deze gegevens nader analyseert, visualiseert of in verband brengt met andere gegevens.

Daarmee verplaatst het zwaartepunt van de door de overheid gemaakte privacy-inbreuk van de vergaring van gegevens veeleer naar de (verdere) verwerking van die gegevens. Het verkrijgen van bulkgegevens is volgens de onderzoekers vanuit het recht op privacygevoeliger dan het verkrijgen van gegevens die wel te relateren zijn aan een of meer personen die reeds onderwerp van onderzoek zijn.

Onderzoeksvragen

Uit het onderzoek blijkt dat in het Wetboek van Strafvordering vooral aandacht is voor de inzet van digitale opsporingsbevoegdheden: in welke gevallen, voor welke doelen en met toestemming van welke autoriteit mogen persoonsgegevens worden verzameld? Dat geldt zowel voor het huidige Wetboek van Strafvordering als voor (de plannen voor de) modernisering van het Wetboek van Strafvordering. Aan het verdere gebruik van die gegevens wordt in dat wetgevingstraject veel minder aandacht besteed, terwijl de politie juist door het verdere gebruik een (nieuwe) inbreuk op de privacy van burgers kan maken.

De onderzoekers hebben onderzocht hoe de Wet politiegegevens (Wpg) zich onder andere verhoudt tot het Wetboek van Strafvordering. Ook is nagegaan of het huidige kader wel voldoet aan de eisen die het Europese recht stelt en hebben ze naar het toezicht op de nieuwe politiepraktijk gekeken.

Normering

In de plannen inzake de modernisering van het Wetboek van Strafvordering wordt strikt onderscheid gemaakt tussen enerzijds de normering van de vergaring van gegevens langs de weg van het uitoefenen van strafvorderlijke bevoegdheden en anderzijds de verdere verwerking van gegevens. Plannen voor wijziging van de Wet politiegegevens zijn volgens de onderzoekers overigens op de lange baan geschoven (“Op korte termijn komt er geen nieuwe gegevensverwerkingswet”).

Volgens de onderzoekers valt de keuze in toekomstplannen van het moderniseringsproject Strafvordering om het onderscheid vergaren-verwerking strikt door te voeren, “in ieder geval niet goed te verdedigen”. Zij stellen voor om verwerkingshandelingen die zijn gericht op kennisvermeerdering en een strafvorderlijk doel dienen, in het Wetboek van Strafvordering onder de aandacht te brengen aldaar nader te normeren:

“Te veel normen die voor de uitoefening van digitale opsporingsbevoegdheden van belang zijn, – zoals doelspecificatie, verenigbaar gebruik, verwijdering en transparantie verplichtingen – zijn vooralsnog niet in het gemoderniseerde Sv terecht gekomen, terwijl ze wel van belang voor de opsporing.”

Ook pleiten de onderzoekers voor meer specifieke regels voor strafvorderlijk onderzoek aan bulkgegevens. Daarbij denken zij aan ‘nadere waarborgen in de vorm van een verzwaarde noodzakelijkheidstoets en een relevantietoets door analisten die niet bij het opsporingsonderzoek zijn betrokken’.

Toezicht

De onderzoekers schrijven – ook naar aanleiding van hun analyse van rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM) en het Hof van Justitie (HvJ EU) – dat meer nadruk komt te liggen op (effectief) toezicht bij de ‘verdere verwerking van gegevens’. Ik verwijs en citeer hierbij graag uit paragraaf 6.3.4 uit het rapport:

Het probleem

Het probleem is dat in de huidige toezichtspraktijk door de strafrechter (in rechtszaken) en door de Autoriteit Persoonsgegevens “doorgaans niet (mijn cursivering) uitvoerig wordt gecontroleerd of de Wpg en de daarin vervatte gegevensbeschermingsrechtelijke beginselen zijn nageleefd, nu dergelijke schendingen toch vaak niet tot rechtsgevolg hoeven te leiden. Voorts wordt ook aangenomen dat het niet tot de taak van de strafrechter behoort om de opsporing te controleren. De Autoriteit Persoonsgegevens lijkt deze rol ook niet voor haar rekening te willen nemen, nu deze autoriteit vooral systeemtoezicht houdt en niet op concrete zaken. Het gegevensbeschermingrecht is bovendien niet het enige gezichtspunt dat relevant is bij de normering van de verwerking van gegevens voor strafvorderlijke doeleinden.”

“Door het houden van toezicht wordt niet alleen de norm bevestigd (en eventueel afgedwongen), maar kan de norm – daar waar nodig – nader wordt uitgelegd. (…) In de kern is het probleem dat weliswaar verschillende onafhankelijke en niet-onafhankelijke toezichtsorganen toezicht kunnen houden op de verwerking van gegevens voor strafvorderlijke doeleinden, maar dat vanwege de taakopvatting en verschillende capaciteitsoverwegingen niet daadwerkelijk van effectief toezicht kan worden gesproken. Bij het nadenken over nieuwe systemen of andere inhoudelijk normering, kan een andere reflectie op het toezicht dus niet achterwege blijven.”

De aanbeveling: een nieuwe gespecialiseerde onafhankelijke toezichthouder

“Het verdient aanbeveling een toezichthouder in het leven te roepen die specifiek toezicht kan houden op de verwerking van gegevens voor strafvorderlijke doeleinden. Ook kan een gespecialiseerd toezichthouder voor een breder publiek inzichtelijk maken waar de vragen en dilemma’s liggen zodat daarover een breder maatschappelijke of politieke discussie kan plaatsvinden.”

De onderzoekers identificeren daarvoor twee opties. De eerste optie is een gespecialiseerde toezichthouders voor de gegevensverwerking door de opsporingsautoriteiten in het leven te roepen. De tweede optie is dat: ‘het toezicht binnen het strafvorderlijk kader wordt versterkt door naast het huidige AP en de strafrechter, een toezichthoudend orgaan op te richten naar het voorbeeld van de CTIVD dat toezicht uitoefent op het optreden van de inlichtingen- en veiligheidsdiensten. De CTIVD oefent immers toezicht uit zowel tijdens de uitoefenen van de bevoegdheden als achteraf. Over dit toezicht brengt de CTIVD verslag uit in openbare rapporten.’

“Het voordeel van het in het leven roepen van een met de CTIVD vergelijkbaar orgaan boven een specialistisch gegevensbeschermingsautoriteit, is dat de eerste een bredere taakopdracht kan worden toebedeeld binnen het strafvorderlijk kader, een taak die verder gaat dan die van een waakhondfunctie. Daardoor kan dit toezichthoudende orgaan ook een belangrijke rol vervullen op het gebied van normprecisiering. Dit orgaan zou wat ons betreft bovendien als klankbord kunnen fungeren bij vragen van de politie over de verwerking van gegevens gedurende de opsporing. Zo kan ook buiten de rechter om worden geborgd dat fundamentele rechten voldoende zijn beschermd alsmede dat de opsporing werkbaar blijft.”

En tot slot: over “goed toezicht”

“Goed toezicht wil echter niet zeggen dat elke (verwerkings)handeling vooraf gefiatteerd of achteraf bekeken moet worden; er zijn andere manieren om de vereiste volledigheid van toezicht te realiseren. Waar het momenteel vooral aan lijkt te ontbreken is een onafhankelijk toezichthouder die real-time mee kan kijken bij de uitoefening van digitale opsporingsbevoegdheden en waar nodig kan interfereren (en dat ook doet). Nu wordt bij onderzoek aan bulkgegevens op ad hoc basis de rechter-commissaris betrokken, maar dat lijkt niet een erg effectieve vorm van toezicht of gegevensbescherming te zijn. Immers, vaak is vooraf nog niet precies duidelijk wat men gaat tegenkomen in de bulk van gegevens. In het kader van de Wiv 2017 en de plannen tot hervorming van die regeling, denkt men momenteel na hoe een dergelijk vorm van toezicht gestalte kan krijgen.”

“De trend naar meer ex durante en ex post toezicht is ook in de jurisprudentie van het EHRM te zien, ook al formuleert het EHRM weinig harde eisen. Dat laat onverlet dat er alle aanleiding is om het stelsel van toezicht zoals we dat in Nederland kennen, te verstevigen. Op deze manier kan aan zorgen van burgers tegemoet worden gekomen en kunnen de belangen van de verdachte voldoende worden gewaarborgd.”

Bron: M.I. Fedorova e.a., ‘Strafvorderlijke gegevensverwerking. Een verkennende studie naar de relevante gezichtspunten bij de normering van het verwerken van persoonsgegevens voor strafvorderlijke doeleinden’, Den Haag: WODC / Nijmegen: Radboud University Press 2022.

Cybercrime jurisprudentieoverzicht september 2021

jjoerlemans Een reactie plaatsen

Veroordeling op basis van bewijs uit Sky ECC

Op 19 augustus 2021 heeft de rechtbank Amsterdam een van de eerste verdachten veroordeeld (ECLI:NL:RBAMS:2021:4320) (mede) op basis van de berichten die zijn veilig gesteld van de ‘cryptochat-app’ ‘Sky ECC’. In een operatie van Belgische, Franse en Nederlandse opsporingsinstanties in maart 2021 zijn honderden miljoenen berichten van ongeveer 70.000 Sky ECC-gebruikers onderschept. Deze berichten worden onderzocht op strafbare feiten, waarna opsporingsonderzoeken worden opgestart. Volgens Europol waren veel personen naar Sky ECC overgestapt na de EncroChat operatie in 2020. Wereldwijd maakten 170.000 personen gebruik van de tool, waarbij 3 miljoen berichten per dag tussen gebruikers werden verstuurd. Ongeveer 20 procent van de klanten komen volgens Europol uit België en Nederland. De servers van de elektronische communicatiedienst stonden in de Europese Unie.

In het onderzoek ‘26Chesham’ staat de uitvoer van cocaïne centraal. Het opsporingsonderzoek 26Chesham is gestart naar aanleiding van informatie afkomstig uit het onderzoek ‘26Argus’. 26Argus betreft het onderzoek naar een berichtenapp Sky ECC. Het bedrijf installeerde versleutelingssoftware op iPhones, Google Pixels, Blackberry’s en Nokia’s. Het berichtenverkeer liep via servers in Frankrijk en Canada. De rechtbank overweegt verder dat de CEO en werknemers van Sky Global in de Verenigde Staten zijn aangeklaagd wegens het opzettelijk faciliteren van criminele organisaties. In het onderzoek 26Argus worden chats van de gebruikers van deze software en cryptotelefoons op basis van vooraf door de rechters-commissaris in dat onderzoek goedgekeurde trefwoorden onderzocht.

De verdediging voert aan dat sprake is van vormverzuimen, omdat de officier van justitie heeft nagelaten tijdig de essentiële stukken te overleggen die nodig zijn om te kunnen toetsen of het gebruik van informatie uit het onderzoek 26Argus rechtmatig is geweest. Op deze wijze wordt de verdediging ervan weerhouden de verdediging effectief uit te kunnen voeren, waardoor de rechten van verdachte worden geschonden. De rechtbank overweegt dat – omdat verdachte zelf heeft verklaard dat hij niet actief gebruik heeft gemaakt van zijn Sky ECC-telefoon en dat hij daarop geen berichten heeft gezien – ‘het de rechtbank niet duidelijk wat het vermeende vormverzuim voor nadelige gevolgen voor de verdachte heeft gehad’. De verweren slagen daarom niet.

De rechtbank neemt de aanwezigheid van ‘encrypted telefoons’ bij alle vier de verdachten in aanmerking. Volgens de rechtbank is ‘het is een feit van algemene bekendheid dat criminelen met zulke telefoons over de uitvoering van strafbare feiten communiceren, omdat de daarmee verzonden versleutelde berichten moeilijk te onderscheppen zijn’. Gebleken is dat ‘aan de Sky-id van [naam 1] op 8 maart 2021 een bericht is gestuurd met het adres waar hij vlak daarna door [verdachte] is opgehaald en naar de loods is gebracht’. Dat ook over het transport is gecommuniceerd met encrypted telefoons blijkt ‘uit het bericht dat op de Sky ECC-telefoon van [naam 1] is aangetroffen, betreffende het adres waar hij op 8 maart [verdachte] zou ontmoeten’.

De rechtbank acht bewezen het medeplegen van een poging tot uitvoer van 125 kilogram cocaïne op 8 maart 2021 te Cruquius alsmede het medeplegen van het opzettelijk aanwezig hebben van die cocaïne op diezelfde dag bewezen. De verdachte in deze zaak krijgt een gevangenisstraf opgelegd van 5 jaar. 

Beslissing inzake inzet bevoegdheden EncroChat

Ik heb mijn cybercrime jurisprudentieoverzicht al meerdere keren strafzaken besproken (zie hier, hier en hier) die voortvloeien uit de EncroChat-operatie, waarbij miljoenen berichten zijn verzameld en geanalyseerd door politie en justitie. Uit deze operatie komen nog steeds strafzaken uit voort, waarvan in deze rubriek er één wordt uitgelicht, omdat het een nieuwe ontwikkeling betreft.

De rechtbank Den Haag besliste op 25 augustus 2021 over onderzoekwensen in verband met EncroChat (ECLI:NL:RBDHA:2021:9368). Het meest relevante onderdeel van de beslissing is het onderdeel over de verstrekking van (ook onderliggende gegevens) bij de machtiging van de rechter-commissaris voor het gebruik van EncroChat-gegevens voor strafzaken.

De verdediging voert aan dat de officier van justitie inmiddels de machtiging van de rechter-commissaris d.d. 27 maart 2020 bij de stukken heeft gevoegd, voorzien van een begeleidende brief van het OM d.d. 7 juli 2021. De voeging heeft plaatsgevonden op grond van de volgende overweging die door diverse rechtbanken (in vrijwel gelijkluidende zin) is gebruikt:

Het feit dat de rechter-commissaris diverse voorwaarden heeft gesteld aan het gebruik van de dataset 26Lemont voor andere opsporingsonderzoeken, doet vermoeden dat de rechter-commissaris belangen van de gebruikers heeft afgewogen tegen de relevante opsporingsbelangen en daarbij aan de vereisten van subsidiariteit en proportionaliteit heeft getoetst. De rechtbank kan dit op basis van de nu verkregen stukken echter niet nagaan. Zowel de verdediging als de rechtbank beschikt slechts over het dictum van de 126uba-machtiging en niet over de inhoudelijke afwegingen van de rechter-commissaris om tot verlening van de machtiging over te gaan. De rechtbank wil op dit punt nader worden geïnformeerd.

De rechtbanken willen dus vooral geïnformeerd worden over de afweging die de rechter-commissaris bij het opstellen van de voorwaarden voor het gebruik van de dataset heeft gemaakt met betrekking tot de belangen van de gebruikers en welke toets hij ten aanzien van de subsidiariteit en proportionaliteit heeft aangelegd.

De verdediging heeft echter nog een ander punt naar voren gebracht, namelijk het gebruik van de bevoegdheid van artikel 126uba Sv. De rechter-commissaris constateert dat de machtiging niet alle door de verdediging opgeworpen vragen lijkt te beantwoorden. De (deels gezwarte) machtiging bevat bijvoorbeeld niet (expliciet/zichtbaar) alle onderdelen van het bevel, zoals is voorgeschreven in artikel 126uba lid 3 juncto 126nba lid 4 Sv. In de machtiging wordt wel verwezen naar de vordering (p. 5: “machtigt (…) overeenkomstig de vordering”), processen-verbaal van de politie en een brief van de officier van justitie, maar deze stukken zijn niet gevoegd. Naar het oordeel van de rechter-commissaris moet de verdediging in de gelegenheid worden gesteld een rechtmatigheidstoets uit te voeren naar het gebruik/de verwerking van deze data met het oog op een eventueel verweer daaromtrent. Daarvoor kan niet worden volstaan met de machtiging, ook de andere daaraan gerelateerde stukken – zoals de vordering, de onderliggende processen-verbaal, de genoemde brief en het/de op de machtiging gevolgde bevel(en) (verzoek 1) – zullen moeten worden verstrekt. Datzelfde geldt voor de verlengingen (verzoek 2).

De rechter-commissaris ziet onder ogen dat het voegen van al deze stukken (in hun geheel) gevoelig ligt. Zo staat in de begeleidende brief bij het verstrekken van de machtiging beschreven dat het respecteren van het staatsgeheim van Frankrijk meebrengt dat door de zaaksofficieren van 26Lemont is besloten om de passages in de beschikking die op dat deel betrekking hebben, zwart te maken.

De rechter-commissaris is van oordeel dat de afweging welke stukken (en welke delen daaruit) wel en niet gevoegd kunnen worden, niet (uitsluitend) bij het OM moet liggen. De rechter- commissaris verwijst daarvoor naar artikel 149b Sv: als de officier van justitie vanwege belangen als vermeld in artikel 187d lid 1 Sv, zoals een zwaarwegend opsporingsbelang, de voeging van bepaalde stukken of gedeelten daarvan bij de processtukken achterwege wil laten, behoeft hij daartoe een schriftelijke machtiging van de rechter-commissaris.

Gelet op het voorgaande zal de rechter-commissaris beslissen dat de verzoeken 1 en 2 zullen worden toegewezen en dat de betreffende 126uba-machtiging en de daaraan gerelateerde stukken in beginsel volledig en ongezwart bij de processtukken dienen te worden gevoegd. Wel staat daarbij de weg van artikel 149b Sv open. De rechter-commissaris kan op vordering van de officier van justitie een machtiging verlenen om bepaalde stukken niet te voegen of onderdelen daaruit te ‘zwarten’. Anders dan de rechtbank kan de rechter-commissaris wel kennisnemen van de volledige inhoud van de stukken. Voor de goede orde merkt de rechter-commissaris op dat deze beslissing ook geldt voor de 126uba- machtiging die inmiddels al deels gezwart door het OM bij de stukken is gevoegd. Deze machtiging zal in beginsel ongezwart moeten worden gevoegd, tenzij de rechter-commissaris een machtiging voor het zwarten van bepaalde delen heeft verleend. De rechtbank is het hier mee eens.

Veroordeling voor professionele sextortion

Op 28 juli 2021 heeft de rechtbank Den Haag een uitspraak gewezen in een opvallende ‘sextortion-zaak’ (ECLI:NL:RBDHA:2021:8203). De verdachte wordt veroordeeld voor deelname aan een criminele organisatie (art. 140 Sr) die tot oogmerk had het plegen van oplichting (art. 326 Sr), afdreiging (art. 318 Sr) en gewoontewitwassen (art. 420ter Sr). Op sociale media is een groot aantal slachtoffers met gebruik van nepaccounts gelokt en vervolgens benaderd met – tegen betaling – het aanbod van een ontmoeting met een vrouw voor een seksdate of naaktfoto’s van een vrouw. De politie heeft 39 slachtoffers geïdentificeerd die ingegaan zijn op dit aanbod en/of een naaktfoto hebben gestuurd van zichzelf.

Uit de bewijsmiddelen leidt de rechtbank af dat steeds op min of meer dezelfde manier te werk werd gegaan. Een mogelijk slachtoffer (door de verdachten ook wel aangeduid als ‘clannies’) werd op internet of via sociale media met gebruikmaking van nepaccounts tegen betaling een afspraak of (naakt)foto’s aangeboden. Uit verklaringen van meerdere verdachten is duidelijk geworden dat dit bekend stond als ‘schetsen’. Na betaling bleef de afspraak of het beeldmateriaal uit. Het slachtoffer werd na betaling onder druk gezet om meer te betalen onder dreiging van openbaarmaking van de contacten tussen het slachtoffer en het betreffende account. Ook werd slachtoffers gevraagd een naaktfoto van zichzelf te sturen. Wanneer slachtoffers aan dat verzoek voldeden, werd vervolgens gedreigd de foto te verspreiden onder familie en vrienden, tenzij er zou worden betaald. (Soms bleef het overigens niet bij dreiging). Om de bedreigingen kracht bij te zetten, werden slachtoffers vaak benaderd op verschillende van hun sociale media. De slachtoffers ontvingen, om de gevraagde betalingen te kunnen verrichten, vaak opeenvolgende betaalverzoeken, al dan niet via ‘Tikkie’, vanaf rekeningen van een of meer personen. Het geld dat met deze praktijken werd verkregen, werd over verschillende rekeningen verspreid en vervolgens contant opgenomen of doorgeboekt.

Over bovenstaande feiten en omstandigheden is door de verdediging geen verweer gevoerd. De rechtbank stelt vast dat de handelingen die gepaard gingen met de hierboven beschreven werkwijze een behoorlijke mate van samenwerking en coördinatie vereisten, te weten het maken en promoten van nepaccounts, het contact leggen met en informatie verzamelen over potentiële slachtoffers, het sturen en ontvangen van foto’s, het sturen van betaalverzoeken vanaf verschillende bankrekeningen waarbij vaak gebruik werd gemaakt van dezelfde codes/afkortingen, en het opnemen van (grote) contante bedragen na al dan niet losse overboekingen. Uit de werkwijze blijkt ook van een zekere rolverdeling binnen de organisatie als afdreiger/oplichter en geldezel/bank, welke rollen de diverse leden afwisselend vervulden. Samen met de onderlinge verbanden tussen de incidenten en de verdachten, duidt dit alles naar het oordeel van de rechtbank op een samenwerkingsverband met een zekere duurzaamheid en structuur. De organisatie legde een duidelijke stelselmatigheid aan de dag gelet op de organisatiegraad van het handelen en het grote aantal slachtoffers.

De rechtbank is op basis van de bewijsmiddelen in onderlinge samenhang bezien van oordeel dat er sprake is geweest van een criminele organisatie, waarvan het oogmerk was het plegen van afdreiging, oplichting en gewoontewitwassen.

Het merendeel van de in het onderzoek geïdentificeerde slachtoffers was minderjarig ten tijde van de misdrijven. Veel van hen hebben tegenover de politie verklaard over vaak langdurige gevoelens van angst die de feiten bij hen teweeg hadden gebracht. De daders hebben de slachtoffers misleid en bedreigd en gevoelens van schaamte en angst maximaal uitgebuit om hen zoveel mogelijk geld afhandig te maken. Gebleken is dat slachtoffers uit schaamte en/of angst nauwelijks op eigen initiatief aangifte doen van dergelijke afdreigingen en oplichtingen. Dat de verdachte heeft deelgenomen aan een organisatie die zozeer gericht was op winstbejag ten koste van de slachtoffers rechtvaardigt volgens de rechtbank op zichzelf al een forse straf. Tegelijkertijd houdt de rechtbank ook rekening met de (zeer) jonge leeftijd van de verdachte (15 jaar) ten tijde van de bewezenverklaarde feiten. De rechtbank heeft bij de bepaling van de op te leggen straf ook meegewogen dat sprake is van overschrijding van de redelijke termijn, terwijl het – omvangrijke – opsporingsonderzoek naar deze ernstige verdenkingen al in januari 2020 was afgerond. De verdachte wordt voor het onvoorwaardelijke deel van zijn straf veroordeeld tot de tijd die de verdachte in voorlopige hechtenis heeft doorgebracht.

Heimelijk filmen van seksuele handelingen

Op 23 augustus 2021 heeft de rechtbank Amsterdam een 51-jarige man veroordeeld (ECLI:NL:RBAMS:2021:4470) tot 10 maanden gevangenisstraf (waarvan 4 voorwaardelijk) voor het heimelijk maken van opnamen in de slaapkamer van een woning waar hij als schoonmaker werkte. Dit vond plaats via het hacken van een router met verkregen inloggegevens van het WiFi-netwerk en het plaatsen van een IP-camera gericht op een bed. De verdachte wordt veroordeeld voor computervredebreuk, het plaatsen van afluisterapparatuur en het opzettelijk en wederrechtelijk vervaardigen van en het ter beschikking hebben van afbeeldingen van seksuele aard van de aangeefster en haar vriend.

Op grond van het dossier en de verklaring van verdachte stelt de rechtbank vast dat verdachte een camera in de kamer van aangeefster heeft geplaatst en deze heeft verbonden met het wifi-netwerk. Om toegang te krijgen tot het wifi-netwerk heeft verdachte het wifi-wachtwoord gebruikt dat hij van aangeefster had gekregen om via internet muziek te kunnen luisteren. Omdat de verdachte het wifi-wachtwoord heeft gebruikt met een ander doel dan waarvoor deze aan hem was verstrekt, is de rechtbank van oordeel dat verdachte opzettelijk wederrechtelijk is binnengedrongen in een geautomatiseerd werk (de router dan wel het wifi-netwerk), door middel van een valse sleutel.

Op de SD-kaart in de IP-camera zijn filmpjes aangetroffen waarop te zien is dat aangeefster en haar vriend seksuele handelingen verrichten. De rechtbank overweegt dat aangeefster en haar vriend geen toestemming hebben gegeven voor het plaatsen van de camera en het filmen. Gelet op de bedoeling van verdachte met het ophangen van de camera acht de rechtbank de verklaring van verdachte dat het niet zijn bedoeling was om filmpjes op te slaan niet aannemelijk. Hierbij speelt tevens mee dat verdachte een grote hoeveelheid filmpjes heeft opgeslagen op verschillende gegevensdragers en hij ter terechtzitting heeft verklaard geïnteresseerd te zijn in “voyeur”-filmpjes van internet en dat hij deze vaak opslaat. Op grond van het voorgaande acht de rechtbank dan ook bewezen dat verdachte opzettelijk en wederrechtelijk videobeelden heeft vervaardigd waarop te zien is dat aangeefster en haar vriend seksuele handelingen verrichten. De verdediging heeft zich op het standpunt gesteld dat verdachte geen beschikking heeft gehad over de SD-kaart in de camera, omdat die zich in de woning van aangeefster bevond. De rechtbank verwerpt dit verweer. Hoewel de camera met daarin de SD-kaart zich in de woning van aangeefster bevond, had verdachte daar – tot het moment van de ontdekking van de camera – wel degelijk beschikkingsmacht over.

Het openbaar ministerie verweet de verdachte ook dat hij grote hoeveelheid filmpjes van onbekende personen heeft gemaakt, op dezelfde manier gemaakt als de filmpjes van de aangeefster. De filmpjes zijn allemaal gemaakt met een IP-camera en hebben het bed als centraal punt in beeld. De rechtbank vindt het echter niet bewezen dat verdachte foto’s of beelden heeft opgenomen in een Bed & Breakfast en dat hij de beschikking heeft gehad over die beelden terwijl hij wist of redelijkerwijs moest vermoeden dat die beelden wederrechtelijk waren opgenomen (artikel 139h Sr). De verdachte wordt daarvan vrijgesproken, omdat niet bekend is wie de personen zijn die zijn gefilmd, of het filmen zonder hun toestemming heeft plaatsgevonden (er zijn geen aangiftes gedaan) en waar de beelden zijn opgenomen. Ook is niet komen vast te staan dat verdachte degene is die een camera heeft opgehangen en de betreffende personen heeft gefilmd. Al met al bevindt zich in het dossier te weinig informatie over deze beelden om tot een bewezenverklaring van het ten laste gelegde te komen. De rechtbank kan op basis van het dossier niet vaststellen dat de beelden wederrechtelijk zijn vervaardigd.

De verdachte wordt veroordeeld voor en de vergoeding van 190 euro materiële en 1000 euro immateriële schade.

Veroordeling voor ontwikkelen van betaalomgeving voor phishing

Op 2 juli 2021 heeft het Hof Arnhem-Leeuwarden een verdachte veroordeeld (ECLI:NL:GHARL:2021:6521) voor voorbereidingshandelingen gericht op het plegen van computervredebreuk. De verdachte heeft een niet van echt te onderscheiden betaalomgeving ontwikkeld en deze omgeving aan andere personen verstrekt om phishing-activiteiten mogelijk te maken. Daarmee heeft de verdachte een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van computervredebreuk (art. 139d Sr jo 138ab Sr).

Slachtoffers werden gevraagd 1 cent over te maken om (zogenaamd) de betrouwbaarheid van te controleren. Hierbij werd de betaalomgeving van de verdachte gebruikt, waarheen de slachtoffers werden geleid.

De verdachte is inmiddels werkzaam in de ICT-branche en lijkt volgens de rechtbank ‘op meerdere terreinen – hij heeft werk, een vaste relatie en een kind – zijn leven in de goede richting ter hand te hebben genomen’. Ook is de redelijke termijn van de berechting van deze zaak overschreden. Een en ander brengt het hof ertoe een de verdachte te veroordelen tot een gevangenisstraf van 20 maanden, waarvan 10 maanden voorwaardelijk en een proeftijd van 3 jaar.

WhatsApp-fraude

Op 23 juli 2021 heeft de rechtbank Rotterdam een minderjarige verdachte veroordeeld (ECLI:NL:RBROT:2021:7807) voor oplichting (WhatsApp- en Tikkie-fraude), het medeplegen van computervredebreuk, verboden vuurwapenbezit en gewoontewitwassen.

De werkwijze was als volgt. De verdachten beschikten over een telefoonnummer van een WhatsApp-gebruiker. De verdachten vroegen een verificatiecode voor het account dat zij over wilde nemen. Deze code werd vervolgens door WhatsApp via sms verstuurd naar de gebruiker van dat telefoonnummer. Vervolgens stuurden de verdachten aan deze gebruiker een bericht met het verzoek om de verificatiecode door te sturen. Dit bericht werd verzonden namens iemand uit de contactenlijst van het beoogde slachtoffer, van wie zij al eerder het account hadden overgenomen. Op die manier lijkt het voor het beoogde slachtoffer alsof hij of zij het verzoek krijgt van een bekende. Na het ontvangen van de verificatiecode voerden de verdachten deze code in en kregen zij op deze manier toegang tot het WhatsApp-account van het slachtoffer. Daarna stuurden zij iedereen uit de contactenlijst van het slachtoffer een bericht met de vraag of zij geld konden lenen. Zij namen daarmee WhatsApp-accounts van willekeurige personen over en benaderden via die WhatsApp-accounts vrienden en familieleden van die personen. Het oorspronkelijke, echte, account werd geblokkeerd en de verdachten deden zich voor als de persoon van wie het WhatsApp-account was. Zij meldden aan de vrienden en familieleden van die persoon dat zij dringend financiële hulp nodig hadden. Veelgebruikte excuses daarbij waren dat het om een spoedgeval ging en dat zij even niet bij hun spaargeld konden.

Als de vrienden en familieleden bereid waren om te helpen, kregen zij van de verdachten een Tikkie-betaalverzoek toegestuurd. Als daar een bevestigend antwoord op kwam, werd een Tikkie betaalverzoek voor het genoemde bedrag gestuurd. Deze betalingen kwamen terecht op bankrekeningen van geldezels. De ontvangen bedragen werden zo snel mogelijk opgenomen bij de pinautomaat. Op die manier werden de contacten van het overgenomen WhatsApp-account opgelicht en werd veel geld verdiend.

Voor de bewijsvoering zijn betaalverzoeken na oplichting van de slachtoffers op de mobiele telefoons van de verdachte en (onder andere) het IP-adres van de woning van de verdachte op die dag op de internetbankieren-omgeving van vier van de vijf begunstigde bankrekeningnummers ingelogd. De rechtbank achtte in deze zaak de oplichting van dertien slachtoffers en tweemaal computervredebreuk bewezen. De rechtbank ging ervan uit dat dit slechts het topje van de ijsberg is geweest en dat er door de verdachte en zijn medeverdachte meer slachtoffers zijn gemaakt. Op basis van de verklaring ter zitting van de verdachte zelf, waaruit volgt dat hij 20% van het bedrag ontving dat op basis van een Tikkie betaalverzoek werd overgemaakt en dat hij in totaal €20.000,- zou hebben verdiend met de door hem gepleegde WhatsApp-fraude, hebben hij en zijn medeverdachte hun slachtoffers in ieder geval voor een totaalbedrag van €100.000,- benadeeld. Uitgaande van de gemiddelde bedragen die de slachtoffers in de ten laste gelegde feiten hebben overgemaakt, gaat het daarmee bij de oplichting alleen al om meer dan honderd slachtoffers. Naast de WhatsApp-fraude heeft de verdachte zich ook schuldig gemaakt aan het witwassen van grote contante geldbedragen van in totaal ruim €75.000,- en luxe schoenen. Tot slot heeft de verdachte op zijn slaapkamer een vuurwapen en kogelpatronen voorhanden gehad.

De minderjarige verdachte is veroordeeld voor 282 dagen jeugddetentie waarvan 180 dagen voorwaardelijk, een werkstraf van 180 uur, en een proeftijd van 2 jaar met bijzondere voorwaarden.  

Daarnaast heeft de rechtbank Overijssel op 9 augustus 2021 een verdachte veroordeeld (ECLI:NL:RBOVE:2021:3149) voor oplichting. De man maakte samen met zijn mededaders in 1,5 jaar tijd zo’n 18 slachtoffers. Het begon met oplichting via WhatsApp en Marktplaats, uiteindelijk deed hij zich zelfs voor als fraudebestrijder bij een bank. De groep koos vooral slachtoffers met een hogere leeftijd uit.

Hij ging daarbij als volgt te werk. Hij benaderde slachtoffers en won het vertrouwen door zich voor te doen als dochter van de aangeefster. Vervolgens werd haar verzocht om geld over te maken voor de aanschaf van een nieuwe telefoon en laptop. Dit geld kwam terecht op een bankrekening waarover verdachte de beschikking had. Ook heeft hij mensen via Markplaats opgelicht, door zich als potentiële koper voor te doen en ‘ter verificatie’ een phisinglink te sturen. Daardoor werden de slachtoffers overgehaald tot het afgeven van inloggegevens van hun internetbankierenaccounts, waarna er bedragen van hun bankrekeningen werden afgehaald. Om deze vorm van oplichting mogelijk te maken heeft verdachte geldezels geronseld. Daarna werd de oplichting door verdachte en diens medeverdachten nog geavanceerder, stelselmatiger en grootschaliger uitgevoerd. Verdachte belde zijn slachtoffers, die bewust werden uitgekozen vanwege hun hogere leeftijd, volgens een vaststaand script en deed zich voor als een medewerker van de fraude afdeling van de bank waar het slachtoffer bankierde. Verdachte ontfutselde zijn slachtoffers op die manier codes om te kunnen inloggen op het internetbankierenaccount van zijn slachtoffers. Verdachte en zijn medeverdachten waren dan in staat om alle aan dit account gekoppelde rekeningen te beheren. Het afgeboekte geld werd vaak meteen overgeboekt naar een tussenrekening, vermoedelijk om cryptovaluta aan te schaffen. Soms werden meerdere slachtoffers op één dag gebeld. Een enkele keer werd dertig keer door een aangeefster een bedrag afgeboekt tot een bedrag van maar liefst € 28.795,00. De verdachte heeft volgens de rechtbank eraan bijgedragen dat het vertrouwen van de vijftien veelal oudere slachtoffers op grove wijze is geschaad en heeft misbruik gemaakt van zijn slachtoffers enkel en alleen ten behoeve van zijn eigen financiële gewin. Dit soort digitale oplichtingspraktijken hebben tot gevolg dat mensen minder vertrouwen hebben in elektronisch bankieren. De rechtbank rekent dat verdachte zwaar aan.

Gezien de ernst van de gepleegde feiten en de lange periode waarin deze hebben plaatsgevonden, kan naar het oordeel van de rechtbank niet anders worden gereageerd dan met het opleggen van een onvoorwaardelijke gevangenisstraf van aanmerkelijke duur, ondanks dat verdachte deels wordt vrijgesproken van hetgeen hem ten laste is gelegd. De verdachte is veroordeeld tot een gevangenisstraf van 30 maanden waarvan 10 maanden voorwaardelijk met een proeftijd van 3 jaar en bijzondere voorwaarden.