Tag SkyECC

Eerste Hoge Raad arrest na prejudiciële vragen over EncroChat en SkyECC

jjoerlemans

Op 13 februari 2024 heeft de Hoge Raad het eerste arrest gewezen (ECLI:NL:HR:2024:192) na de na de beantwoording van prejudiciële vragen door de Hoge Raad over de EncroChat- en SkyECC-zaken (HR 13 juni 2023, ECLI:NL:HR:2023:913, zie ook ‘Antwoorden op prejudiciële vragen in de EncroChat- en SkyECC-zaken‘). Dit bericht is voornamelijk gebaseerd op de samenvatting van de website van de Hoge Raad en de samenvatting in het arrest zelf.

De prejudiciële vragen gingen over de betekenis van het ‘interstatelijke vertrouwensbeginsel’ voor de beoordeling van de rechtmatigheid en betrouwbaarheid van dergelijke vanuit het buitenland ontvangen onderzoeksgegevens en de mogelijkheden voor de verdediging om de rechtmatigheid van die bewijsverkrijging te onderzoeken. De Hoge Raad antwoordde dat het interstatelijke vertrouwensbeginsel van toepassing is. Dat betekent onder meer dat het niet op de weg van de Nederlandse strafrechter ligt om de rechtmatigheid van het in Frankrijk uitgevoerde onderzoek naar EncroChat en SkyECC te toetsen.

De advocaten van de verdachte vroegen de Hoge Raad de uitspraak van het hof te vernietigen. Zij hebben meerdere cassatieklachten ingediend tegen deze uitspraak. De cassatieklachten richtten zich onder meer tegen de weigering van het hof om de zaak uit te stellen tot de Hoge Raad de door de rechtbank Noord-Nederland gestelde prejudiciële vragen over Encrochatdata beantwoord zou hebben. Verder klaagden de advocaten over de afwijzing door het hof van verschillende onderzoekswensen van de verdediging en over het oordeel van het hof dat de EncroChat-berichten voor het bewijs kunnen worden gebruikt. Daarnaast deden de advocaten van de verdachte het verzoek aan de Hoge Raad om prejudiciële vragen te stellen aan het Europese Hof voor de Rechten van de Mens (EHRM) en het Hof van Justitie van de EU.

Oordeel Hoge Raad

De Hoge Raad heeft ten eerste geoordeeld dat een rechter, als in een andere strafzaak prejudiciële vragen zijn gesteld over een rechtsvraag die ook speelt in de zaak die hij behandelt, de behandeling van de door hem behandelde zaak kan schorsen, maar daartoe niet verplicht is. Het is aan rechter om beslissing te nemen over schorsen van verdere behandeling in licht van belangen die in betreffende zaak aan de orde zijn (vgl. HR 13 juni 2023, ECLI:NL:HR:2023:913). Het hof kon dus het aanhoudingsverzoek van de verdediging afwijzen.

Verder heeft de Hoge Raad geoordeeld dat het hof kon oordelen dat op de toetsing van de inzet van de interceptietool het vertrouwensbeginsel van toepassing is, nu de inzet van de interceptietool plaatsvond onder verantwoordelijkheid van de Franse en dus buitenlandse autoriteiten. Het is niet aan de Nederlandse rechter om te toetsen of de wijze waarop die inzet heeft plaatsgevonden strookt met de rechtsregels die daarvoor gelden in Frankrijk. De omstandigheid dat de inzet van de interceptietool meebracht dat ook gegevens van EncroChat-toestellen die zich op het moment van interceptie in Nederland bevonden werden verzameld en gekopieerd en vervolgens ook met Nederland werden gedeeld, leidt daarbij niet tot een ander oordeel. Ook art. 31 Richtlijn 2014/41/EU geeft geen aanleiding hierover anders te oordelen (vgl. HR 13 juni 2023, ECLI:NL:HR:2023:913). Het hiertegen gerichte cassatiemiddel is verworpen.

Recht op een eerlijk proces

Ook het oordeel van het hof dat de procedure in haar geheel voldoet aan het door artikel 6 EVRM gewaarborgde recht op een eerlijk proces en de daaraan verbonden notie van ‘the overall fairness of the trial’ acht de Hoge Raad juridisch juist en voldoende gemotiveerd. De Hoge Raad wijst erop dat het hof bij zijn oordeel onder meer heeft betrokken dat de EncroChat-dataset die betrekking heeft op deze zaak, woordelijk uitgewerkt in het dossier is gevoegd en dat de verdachte van de inhoud daarvan kennis heeft kunnen nemen en zich daartegen heeft kunnen verdedigen. Dat technische informatie over de inzet van de interceptietool van EncroChat niet in het dossier is gevoegd, leidt niet tot een ander oordeel. Deze cassatieklacht slaagt dan ook niet. Dat geldt eveneens voor een aantal andere cassatieklachten.

Geen aanleiding tot prejudiciële vragen EHRM of het HvJ EU

De Hoge Raad ziet ook geen reden prejudiciële vragen te stellen aan het EHRM en het Hof van Justitie van de EU. N.a.v. namens verdachte ingediende reactie op CAG merkt HR nog op dat ook uitspraak van EHRM 26 september 2023, nr. 15669/20, ECLI:CE:ECHR:2023:0926JUD001566920 (Yüksel Yalçinkaya/Turkije) in relatie tot bestreden uitspraak geen aanleiding geeft tot doen van zo’n verzoek. Door EHRM uiteengezette “general principles” zijn al betrokken in HR 13 juni 2023, ECLI:NL:HR:2023:913. In cassatie voorliggende zaak verschilt bovendien sterk van zaak die aan orde was in deze uitspraak van EHRM. Daarin ging het immers om veroordeling van klager o.g.v. gebruik dat hij maakte van specifieke applicatie voor cryptocommunicatie en mogelijkheden om in dat verband authenticiteit en integriteit van bewijs voor dat gebruik te betwisten. Bewijsvergaring onder verantwoordelijkheid van buitenlandse autoriteiten was daarbij niet aan orde.

Cybercrime jurisprudentieoverzicht dec. 2023

jjoerlemans

Nederlandse hacker veroordeeld voor afpersing en witwassen

Op 3 november 2023 heeft de rechtbank Rotterdam een Nederlandse hacker veroordeeld (ECLI:NL:RBAMS:2023:6967) voor een fikse gevangenisstraf van vier jaar (waarvan één jaar voorwaardelijk). De verdachte moet ook honderdduizenden euro’s aan schadevergoeding betalen. Hij heeft zich onder meer schuldig gemaakt aan computervredebreuk, afpersing, heling van niet-openbare gegevens, ransomware en het witwassen van een bedrag van meer dan een miljoen euro.

Door het verwijderen van allerlei gegevens (ook over de slachtoffers) is het vonnis minder goed leesbaar en blijft de impact van de zaak onduidelijk. Daarom volgt eerst een korte inleiding en daarna zoals gebruikelijk een samenvatting van het vonnis.

Inleiding

Het gaat in deze zaak om een Nederlandse hacker. Eerder verscheen op Follow the Money een artikel over de zaak (en een achtergrondverhaal over de hacker). Samen met anderen zou hij (ook door gebruik van ransomware) slachtoffers hebben gemaakt in onder meer de VS, Engeland, Letland, Nederland en Rusland. 

RTL nieuws schreef ook een interessant artikel over het Nederlandse bedrijf Ticketcounter die slachtoffer was geworden. Alleen al bij Ticketcounter ging het om persoonlijke gegevens van honderdduizenden Nederlanders die via Ticketcounter een kaartje hebben gekocht voor een pretpark, dierentuin, evenement of museum. Gegevens van 1,5 miljoen ticketkopers, met daarin ook geboortedatums, adressen, telefoonnummers en bankrekeningnummers werden aangeboden op hackersforum RaidForums (nu offline). 

In het artikel worden ook andere slachtoffers genoemd, zoals de uitgever van seniorenblad Plus Magazine en de website PlusOnline, de cryptobeurs Litebit en de Hogeschool van Arnhem en Nijmegen (HAN) (deze gingen allen niet in op de afpersing). In een artikel op AD.nl wordt ook gesproken over een gezondheidsorganisatie en een internetforum voor prostitutieklanten die slachtoffer werden van afpersing.

Strafbare feiten

De verdachte heeft in de periode van 1 juli 2021 tot en met 23 januari 2023 een onder andere een gezondheidsorganisatie heeft afgeperst met ransomware (‘Tortilla-ransomware’). Dit betreft daarmee een de weinige veroordelingen voor het gebruik van ransomware in Nederland (zie verder het bericht over CoinVault op deze blog).

Daarnaast was hij in het bezit van software benodigd voor phishing en gestolen databases met gegevens van miljoenen mensen (7,3 miljoen mensen) die bij uitstek informatie bevatten die niet bedoeld was om openbaar te worden. De rechtbank ontslaat de verdachte van alle rechtsvervolging van door de verdachte zelf gehackte niet-openbare gegevens. Hoewel dit niet volgt uit de bewoordingen van artikel 139g Sr, kan volgens de rechtbank uit de parlementaire geschiedenis (Kamerstukken II 2015-2016, 34372, nr. 3, par. 4.1 en 4.2) worden afgeleid dat de wetgever het toepassingsbereik van dit artikel heeft willen beperken tot gegevens die uit een door een ander gepleegd misdrijf zijn verkregen. Ter voorkoming van automatisch dubbele strafbaarheid is het vaste jurisprudentie bij de heling van een goed als bedoeld in artikel 416 Sr dat de omstandigheid, dat iemand een helingshandeling begaat ten aanzien van een goed dat hij zelf door enig misdrijf heeft verkregen, aan zijn veroordeling wegens heling in de weg staat (zie bijvoorbeeld HR 30 oktober 2001, ECLI:NL:HR:2001:AD5149). Dit wordt ook wel de heler-steler-regel genoemd. 

Witwassen

De verdachte heeft een bekennende verklaring afgelegd ten aanzien van het witwassen, maar niet ten aanzien van de hoogte van het bedrag. Volgens de officier van justitie is € 2.214.923,68 (!) in cryptovaluta witgewassen en € 46.405 in contanten. De rechtbank is van oordeel dat op grond van de bekennende verklaring van verdachte en de bewijsmiddelen kan worden bewezen dat verdachte een hoeveelheid cryptovaluta en een geldbedrag van € 46.510,- tezamen en in vereniging heeft witgewassen. Het contante geld is bij verdachte aangetroffen en hij heeft bekend dat hij dit bedrag heeft witgewassen. Verdachte heeft dit geld uit misdrijf ontvangen in cryptovaluta en deze valuta omgezet in contanten door het geld op te (laten) nemen. Ten aanzien van de cryptovaluta heeft verdachte bekend dat alle binnengekomen cryptovaluta uit misdrijf afkomstig is.

De rechtbank stelt vast dat de cryptovaluta uit eigen misdrijf van verdachte afkomstig is, al dan niet via deelneming aan strafbare feiten gepleegd door anderen. Door de cryptovaluta telkens om te zetten naar andere valuta (zoals Monero (JJO: dit is één van de weinige keren dat deze cryptovaluta in jurisprudentie wordt genoemd)) en deze te mixen via mixing services, heeft verdachte de herkomst en de vindplaats verhuld en heeft hij verhuld wie de rechthebbende(n) op die cryptovaluta en/of het geldbedrag waren, en wie het geld voorhanden had. De rechtbank stelt ook vast de verdachte een cryptovaluta van € 1.024.666,35 heeft witgewassen uit afpersing dan wel afdreiging. De rechtbank stelt dat vast dat voor het overige bedrag (JJO: meer dan 1,2 miljoen euro (!)), op basis van de verklaringen van de verdachte, het voldoende aannemelijk is geworden dat de berekening van het Openbaar Ministerie dubbeltellingen bevat. De rechtbank kan daarom niet met voldoende mate van zekerheid vaststellen hoeveel cryptovaluta uit onbekende bron is witgewassen.

Strafmotivering

De rechtbank heeft in het voordeel van verdachte in de strafoplegging rekening gehouden met zijn persoonlijke omstandigheden, waaronder PTSS, zijn jonge leeftijd en zijn proceshouding. De verdachte heeft op den duur actief meegewerkt aan het onderzoek en een – grotendeels – bekennende verklaring afgelegd.

Alles afwegende vindt de rechtbank een gevangenisstraf van vier jaren passend. De rechtbank zal hiervan één jaar voorwaardelijk opleggen om verdachte ervan te weerhouden om in de toekomst strafbare feiten te plegen. De rechtbank verbindt aan het voorwaardelijk strafdeel de volgende bijzondere voorwaarden: een meldplicht bij de reclassering, dagbesteding, meewerken aan schuldhulpverlening en ambulante behandeling. De rechtbank ziet – gelet op de ernst van de feiten – aanleiding om aan het voorwaardelijk strafdeel een langere proeftijd te koppelen en legt een proeftijd van drie jaren op.

Moderator op een forum voor seksueel misbruik van minderjarigen veroordeeld

Op 4 oktober 2023 heeft de rechtbank Rotterdam een verdachte voor vijf jaar gevangenisstraf veroordeeld (ECLI:NL:RBROT:2023:10960) vanwege deelname aan een criminele organisatie, het bezit en verspreiding van een grote hoeveel kinderporno en het bezit en verspreiden van dierenporno.

De verdachte was actief op het online chatplatform ‘The Annex’. The Annex is een ‘hidden service’ website op het darkweb en alleen bereikbaar via het TOR-protocol. Op dit chatplatform verspreidde de verdachte kinderporno, bood hij dit aan en heeft hij zich daarnaast ook in zijn rol als ‘apprentice moderator’ ingespannen om de werking van die website te verbeteren en uit te breiden.

Criminele organisatie

De rechtbank stelt vast dat het platform The Annex werd gerund door een hiërarchisch ingerichte organisatie met een eigenaar, diverse administrators en (daaronder) moderators van verschillende rangen. Deze functionarissen werden alle tot de staf gerekend en zij namen online deel aan ‘staffmeetings’. Deze vergaderingen vonden regelmatig plaats met een steeds wisselende agenda. Tijdens deze meetings werden zaken besproken zoals de ontwikkeling van (het gebruik van) de site en de promotie daarvan, technische aspecten, maar ook regels waaraan gebruikers zich moesten houden.

Waar geregistreerde gebruikers toegang hadden tot de zogeheten ‘Annex Gateway’ en pas toegang konden krijgen tot specifieke chatrooms wanneer zij kinderporno deelden en deelnamen aan de conversatie binnen die chatomgeving, hadden de administrators en moderators meer rechten en privileges dan de geregistreerde gebruikers. Alleen zij hadden toegang tot bepaalde voor gebruikers afgeschermde gedeeltes van de sites. De hiervoor genoemde functies en rol-en taakverdeling geven blijk van een georganiseerd verband. Het spreken over en het aanbieden en verspreiden van kinderpornografisch beeldmateriaal is de kern van het bestaan van The Annex en daarmee is ook het oogmerk van de organisatie gegeven, aldus de rechtbank.

Strafmotivering

De rechtbank overweegt ook dat de verdachte een zeer grote hoeveelheid kinderporno gedownload. In totaal zijn er op de inbeslaggenomen gegevensdragers bij de verdachte 120.213 foto’s en 11.379 films/video’s aangetroffen die aan de criteria van kinderpornografisch materiaal voldeden, waarvan 98.215 foto’s makkelijk benaderbaar waren. Het ging om foto’s en video’s van ernstig seksueel misbruik van jonge kinderen. Gezien de ernst van de feiten en gelet op straffen die in vergelijkbare zaken zijn opgelegd zal een onvoorwaardelijke gevangenisstraf van langere duur worden opgelegd. In strafverzwarende zin wordt daarbij meegewogen de lange periode van de strafbare feiten alsmede de ernst en het veelal gewelddadige karakter van het kinderporno- en dierenpornografisch materiaal.

Het lekken van persoonsgegevens en medeplichtigheid bij een aanslag

De rechtbank Gelderland heeft op 6 november 2023 een verdachte veroordeeld (ECLI:NL:RBGEL:2023:6115) voor twee jaar gevangenisstraf vanwege computervredebreuk, het doorgeven van deze gegevens aan een ander en medeplichtigheid aan het medeplegen van de voorbereiding van opzettelijk een ontploffing teweegbrengen en brandstichting op een woning. Deze aanslag is voorkomen door vroegtijdig ingrijpen van de politie.

De verdachte was ‘senior klant contact specialist’ bij een verzekeraar en had daarmee toegang tot persoonlijke informatie van verzekerden en de Basis Registratie Personen (BRP). Gegevens uit deze systemen werden via Whatsapp met derden gedeeld. Deze gegevens zijn beide keren gebruikt voor (voorgenomen) aanslagen op woningen. Eén daarvan ziet op de afpersingszaak van een fruithandel (onderzoek ‘Panter’).

Crystal methlabs, Pablo-icecobar en witwassen met bitcoins

De rechtbank Oost-Brabant heeft op 29 november 2023 enkele verdachten veroordeeld voor het produceren en voorhanden hebben van metamfetamine (ook wel ‘ice’ of ‘crystal meth’ genoemd) in drugslabs in Drempt, Moerdijk, Willemsoord en Hauwert. De leider van de criminele organisatie krijgt een gevangenisstraf opgelegd van 14 jaar en 10 maanden (ECLI:NL:RBOBR:2023:5522). Uiteraard heeft de media ook over de zaak bericht. Lees bijvoorbeeld dit achtergrondartikel over de zaak in Panorama of luister deze podcast over de zaak van Radio1.

De zaak begon toen op 19 juni 2020 uit politie-informatie bleek dat een Mexicaanse burger woonachtig op zoek zou zijn naar een loods in het buitengebied van Nederland om een drugslab op te zetten. Naar aanleiding van deze informatie werd diezelfde dag een onderzoek opgestart onder de naam ‘26Inn’. Dat onderzoek richt met name op de organisatie achter deze drugslabs. Op basis van observaties, taps en het ontsleutelen van cryptoberichten zijn in het onderzoek 26Inn meerdere drugslabs in beeld gekomen en meerdere verdachten aangemerkt die volgens het Openbaar Ministerie strafbare betrokkenheid hebben gehad bij de grootschalige synthetische drugsproductie.

Voor deze blog is met name relevant dat voor de bewijsvoering de inhoud van chatberichten van EncroChat- en Sky ECC relevant zijn geweest. Ook is gebruik gemaakt van tapgesprekken en locatiegegevens. Uit schattingen naar aanleiding van EncroChat-berichten tussen de bij de labs betrokken personen leidt de rechtbank af dat er alleen al in de maanden januari tot en met juni 2020 meer dan 450 kilogram metamfetamine is geproduceerd. Uitgaande van een verkoopprijs in april 2020 van € 7.000,- betekent dat een omzet van € 3.150.000,-. Een deel van de hierbij verkregen geldbedragen werd door een medeverdachte via een derde omgezet in bitcoins. Ook werden er vele geldbedragen door middel van moneytransfers via diverse kantoren in Den Haag naar Zuid-Amerika, Spanje en Amerika verzonden. In 2020 betrof dat 95 transfers voor een bedrag van € 80.894,-.

Eén van de verdachten met het EncroChat-account ‘Pablo-icecobar’ is als leider van de criminele organisatie aangemerkt. Hij vernam welke grondstoffen nodig waren en zorgde dat deze in de labs werden geleverd, regelde de ‘koks’ voor de verschillende drugslabs, stuurde deze aan en zorgde dat ze betaald kregen. Ook ontving hij na het productieproces het eindproduct en verkocht dat of zorgde dat dat verkocht werd. De criminele organisatie waaraan de verdachten hebben deelgenomen of leidinggegeven, bracht ‘de Mexicaanse methode’ naar Nederland, waarbij veelal Latijns-Amerikaanse laboranten naar Nederland werden gehaald om deze bereidingswijze van metamfetamine toe te passen.

De rechtbank overweegt dat de productie van metamfetamine gezondheidsrisico’s en grote schade toe aan het milieu en de leefomgeving met zich meebrengt. Het bereiden van metamfetamine gaat gepaard met het gebruik van zeer gevaarlijke stoffen en chemisch afval. Deze stoffen en afval komen terecht in de aardbodem, open wateren of openbare ruimtes. Dit leidt tot immense schade aan het milieu en deze komt veelal geheel voor rekening van de (lokale) gemeenschap. De ontdekking van een crystal meth-lab gaat daarnaast gepaard met onrust en een gevoel van onveiligheid voor de (lokale) gemeenschap. Deze drugslabs zijn dan volgens de rechtbank dan ook een zware vorm van ondermijning voor de Nederlandse samenleving.

Vrijspraak voor drugshandel in SkyECC-zaak

Op 8 november 2023 heeft de rechtbank Den Haag een verdachte vrijgesproken (ECLI:NL:RBDHA:2023:16698) voor handel in verdovende middelen. De rechtbank kan niet buiten redelijke twijfel vaststellen dat alleen de verdachte de gebruiker is geweest van Sky-accounts in de tenlastegelegde periode. Hierdoor kon niet worden bewezen dat de verdachte ook de gebruiker was van voornoemde Sky-accounts op de momenten dat er over drugshandel werd gesproken.

De rechtbank stelt wel vast dat er een relatie is tussen deze drie accounts. Uit het dossier volgt namelijk dat de Sky-accounts een gezamenlijke nickname hadden, dat er in de chatberichten van de Sky-accounts werd verwezen naar een account uit EncroChat en dat zowel de telefoon met het EncroChat-account als de telefoons met de Sky-accounts in de voor nachtrust bestemde tijd vaak gebruik maakten van een ‘basisstation’ op een locatie. Ook kunnen een aantal chatberichten van de drie accounts aan de verdachte kunnen worden toegeschreven. Zo wordt in de chatberichten geschreven over de dochter van de verdachte en een bepaalde motor van de verdachte (een “Ducati Monster”). Ook is enkele keren afgesproken op of nabij het adres van de verdachte.

Echter, ziet de rechtbank ook data en chatberichten die juist niet naar de verdachte wijzen en zelfs tegenspreken dat hij de gebruiker van de accounts is. Zo wordt de accountnaam ook door anderen gebruikt. Zo zijn er chatgesprekken in het Pools, terwijl de verdachte de Poolse taal niet machtig is. Ook zijn er andere aanwijzingen, waardoor de rechtbank niet kan uitsloten dat niet alleen de verdachte, maar ook een ander of anderen in periodes gebruik heeft/hebben gemaakt van de voornoemde Sky-accounts. Ten aanzien van de ten laste gelegde gesprekken waarin over – kort gezegd – drugshandel wordt gesproken, is voor de rechtbank niet vast te stellen dat het de verdachte is geweest die op die momenten van de accounts gebruikmaakte.

Veroordeling voor drugshandel via het darkweb in hoger beroep

In een hoger beroepszaak veroordeelt (ECLI:NL:GHARL:2023:8583) het Hof Arnhem Leeuwarden op 12 oktober 2023 een verdachte voor zes jaar gevangenisstraf vanwege drugshandel en witwassen, onder andere gepleegd via het darkweb. De zaak in eerste aanleg is in dit jurisprudentieoverzicht uit 2020 opgenomen.

Voor de bewijsvoering in de zaak van verdachte en in die van medeverdachten komt het in belangrijke mate aan op de inhoud van de ter beschikking gekomen chatberichten. Er werd gebruikgemaakt van telefoons van met name het merk ‘Wileyfox’ en laptops waarop de applicatie ‘Ironchat’ was geïnstalleerd. De verdachten communiceerden over de handel met elkaar – en met onbekend gebleven derden – door middel van de hiervoor beschreven versleutelde Ironchat-accounts. Op verschillende plaatsen in Nederland hadden zij werkhuizen en ‘stashplekken’ voor de te produceren en/of te verhandelen drugs. In die panden zijn door de politie niet alleen machines en toebehoren voor de productie van drugs aangetroffen, maar ook verpakkings- en verzendingsmaterialen.

De verdachten waren op het darkweb als verkopers actief en maakten gebruik van Bitcoin voor het betalingsverkeer. De verdachten verkochten onder andere cocaïne, speed, MDMA, 2-CB, xtc-pillen, LSD, ketamine, hash en heroïne en verkochten deze wereldwijd. Uit de zwaar geanonimiseerde uitspraak (ook de namen van de drugsmarktplaats zijn geanonimiseerd) blijkt dat Team Darkweb van de Landelijke politie de databases ervan had veiliggesteld. Verder heeft de politie pseudokopen gedaan en de blockchain datatool Chainalysis gebruikt om na te gaan waar bitcoinstransacties vandaan kwamen.

De bitcoins werden op gezette tijden omgewisseld in contant geld. De verdachte en zijn mededaders hebben door de opbrengsten van de grootschalige drugshandel via het darkweb aanzienlijke bedragen verworven en voorhanden gehad die van misdrijf afkomstig zijn. De verdachte heeft in de tenlastegelegde periode twee geldwissels uitgevoerd waarbij hij telkens bitcoins heeft ingewisseld voor geldbedragen die uiteindelijk optellen tot een totaalbedrag van 85.000 euro. Daarbij is sprake van witwassen.

Het hof stelt in navolging van de rechtbank Overijssel in eerste aanleg (ECLI:NL:RBOVE:2020:1597)  vast dat de verdachte zich samen met zijn medeverdachten gedurende langere tijd bezig heeft gehouden met omvangrijke drugshandel. Daarbij werden drugs geproduceerd en verhandeld. Verdachte en medeverdachten maakten daarbij onder meer gebruik van het darkweb en verzonden de bestelde drugs in vermomde postpakketten, zoals bijvoorbeeld DVD-hoesjes.

The future of data driven investigation in light of the Sky ECC operation

jjoerlemans Een reactie plaatsen

In our article, ‘The future of data driven investigations in light of the Sky ECC operation’, we examine whether or not, and on what terms, there is a future for data driven criminal investigations.  To answer the research question, we identified the main characteristics and legal criteria for data driven investigations. We use the Sky ECC operation to contextualise data driven investigations. The legal criteria are derived from the right to privacy and the right to a fair trial. Finally, we examine the impact of a violation of these criteria for the use of evidence in criminal proceedings.

The full article is published in open access in the New Journal of European Criminal Law (.pdf). It is part of a thematic issue ‘Bridging the Regulatory Disconnection Between Data Collection and Data Analysis in Criminal Investigation’. In this blog post, we share our main findings.

The Sky ECC operation

Sky ECC is an app on so-called cryptophones, which were widely used by individuals involved in organised crime. The app used encryption techniques to communicate more securely and entailed additional features to anonymise its users.

French, Dutch and Belgium law enforcement authorities cooperated in a Joint Investigation Team (JIT) to gather evidence about the criminal activities of Sky Global and its users and share technical knowhow. In our article we explain the events of the operation as detailed as possible. Most notably, French law enforcement authorities were able to collect and decrypt messages and other data sent by Sky ECC cryptophones from 18 December 2020 until presumably approximately 9 March 2021.

According to Belgian law enforcement officials, 1 billion (!) messages were intercepted by French law enforcement authorities in France and shared with the JIT partners. At least 500 million messages of this ‘bulk interception’ were decrypted within the first month. We believe that these messages represent a treasure trove or “jackpot” for law enforcement authorities, due to the potential evidence of crimes and intelligence that can be derived from them. Law enforcement officials have made similar statements in interviews.

Therefore, the Sky ECC operation is a prime example of a data driven investigation. This type of investigation involves the processing of data that has been collected by law enforcement authorities in an earlier phase, which is then enriched, and linked with other data for future investigations. Of course, the bulk collection and subsequent analyses of data for use of evidence, raises questions relating to the right to privacy and the right to a fair trial.

  1. Right to privacy

In our article, we examine the privacy interference in an operation such as Sky ECC and identify which minimum safeguards the European Court of Human Rights (ECtHR) would probably require in a (future) case involving this type of operation. We explain that the bulk collection in Sky ECC significantly interferes with the right to privacy and the ECtHR would probably require at least the same safeguards as identified in the case of Big Brother Watch and Centrum för Rättvisa.

We find it particularly noteworthy that the minimum safeguards do not only focus on the collection phase, but require safeguards during all phases, including the (further) processing of data. Obviously, only a warrant provided by a judge or independent authority to justify bulk interception of communications is not enough. With these minimum safeguards, the ECtHR makes clear that throughout the phases of bulk data investigations, principles of data protection regulations apply. Here, the ECtHR clearly establishes a connection between criminal procedural law and data protection law.

In order to minimise the risk of the bulk interception power being abused, the ECtHR emphasises the need for ‘end-to-end safeguards’. This entails the following key elements: (a) a necessity and proportionality assessment should be made at each stage of the process; (b) bulk interception should be subject to independent authorisation at the outset, when the object and scope of the operation are being defined; and (c) the operation should be subject to supervision and independent ex post facto review.

  1. Right to a fair trial

In our analysis of the right to fair trial, we focused on the ‘equality of arms’, a key principle of the right to a fair trial. The ECtHR has consistently judged that criminal procedure should be adversarial and that there should be ‘equality of arms’ between prosecution and defence. Building upon earlier work of others, we identified three main elements of the equality of arms in the context of the Sky ECC operation: (1) transparency; (2) reliability of evidence; and (3) access to datasets.

We noted that the use of algorithms, key word indexes, or network analysis techniques is rarely mentioned in case law. Yet, this information may be relevant when discussing the reliability of the evidence. Compared to earlier work, we made a more in-depth analysis regarding the issue of the reliability of evidence.

The legal evaluation of the authenticity and reliability of digital evidence, and therefore the opportunity for the defence to challenge digital forensics expertise, depends on the selected digital forensic process, methods, and tools for each forensic task. There must be sufficient documentation and possibilities to challenge the reliability of evidence. At the same time, we point out that Sky ECC messages are rarely the only source of evidence used to convict individuals of crimes. Oftentimes, additional sources of evidence are available, such as data production orders directed at telecommunication service providers to gather subscriber and location data, data production orders to gather passenger name records, seizing a suspect’s cryptophone, correlating the nicknames of suspects from other sources of evidence to Sky ECC messages, and, of course, obtaining testimonials or even confessions from suspects. Taken together, this may be factored in when assessing the reliability of evidence.

With regard to access to datasets, we reiterated that all information that is deemed relevant in a particular case and that can be used against the suspect in a criminal case (the tertiary dataset), should be disclosed to the suspect. In addition, the defence should have sufficient facilities (an ‘effective opportunity’) to access and analyse the data. The defence can request and should motivate why they require further access to the secondary dataset. When the Public Prosecution Service denies access to the data, it must motivate this refusal, for example by referring to ongoing (other) criminal investigations or the risk of reprisals for individuals who are also part of the dataset.

  1. Exclusion of evidence

In general, the ECtHR keeps aloof when it comes to the assessment of evidence, as this is rather a task for the national judges, especially assessing the admissibility or weight of specific pieces of evidence. In other words, the ECtHR provides for a large margin of appreciation on this matter by national judges. Nevertheless, some overall observations should be made.

In our article we first point out that the ECtHR has repeatedly found that evidence obtained through a violation of the right to privacy does not necessarily amount to a violation of the right to a fair trial. Hence, privacy violations should not lead to the exclusion of evidence and could have little to no impact on ongoing and future possible criminal cases. However, it is uncertain this will remain so, due to case law of the Court of Justice of the European Union.

Second, violations of the right to a fair trial may have serious consequences for the outcome of an investigation. Not only can evidence be excluded from the procedure, e.g., when evidence is not reliable, but a violation of the right to a fair trial can also render the procedure as a whole inadmissible or lead to the acquittal of suspects, e.g., when the defendant has not had proper access to the evidence.

Conclusion

The Sky ECC operation illustrates a law enforcement practice in which intelligence and criminal investigations have become intricately intertwined, potentially spawning hundreds, if not thousands, of criminal cases from a single activity involving bulk data collection.

We posit that Sky ECC may serve as a precursor to future operations in which law enforcement authorities target similar ‘grey infrastructures’, employing investigative techniques such as the seizure of servers, hacking, or the interception of communications, or all of these at the same time. However, law enforcement authorities must tread carefully on the fine line between intelligence gathering and criminal investigation. There is a danger that the main objective becomes a fishing expedition, because the sought-after data may be a treasure trove for other criminal investigations, but not sufficiently related to the investigation at hand. There is also the risk of a slippery slope, as it is unclear what proportion of criminal activity makes an infrastructure exactly ‘grey’ and thereby a potential target for law enforcement agencies.

When regulating data-driven investigations, the main take-away of our analysis relating to the right to privacy is that a warrant authorising the acquisition of the data is not a sufficient safeguard. The ECtHR requires that data protection regulations are also applied and overseen by independent and effective oversight bodies. Criminal procedural law, which regulates the collection of data, and data protection law, which regulates the processing of data, are connected and intertwined.We also emphasise that violations of the right to a fair trial may have serious consequences for criminal proceedings, since they may lead to the exclusion of evidence. Therefore, we anticipate an ongoing discourse on the transparency and reliability concerns in operations like Sky ECC.

Jan-Jaap Oerlemans & Sofie Royer

This is a cross-post from sofieroyer.be and Montaigne Centre Blog.

Antwoorden Hoge Raad op prejudiciële vragen in de EncroChat- en SkyECC-zaken

jjoerlemans 2 reacties

Op 13 juni 2023 antwoordde (ECLI:NL:HR:2023:913) de Hoge Raad de prejudiciële vragen over EncroChat en SkyECC. Voor het Nederlands Juristenblad (NJB) hebben Bart Schermer en ik een artikel (.pdf) geschreven waarin wij de antwoorden op deze vragen analyseren.

In dit blogbericht delen wij onze belangrijkste conclusies.

Interstatelijk vertrouwensbeginsel

De antwoorden van de Hoge Raad met betrekking tot het interstatelijke vertrouwensbeginsel zijn over het geheel genomen niet verassend. De Hoge Raad maakt (wederom) duidelijk dat het niet behoort tot de taak van de Nederlandse strafrechter om de rechtmatigheid van de uitvoer van het buitenlandse onderzoek te toetsen.

Nederlandse rechters moeten dus uitgaan van de rechtmatigheid van het verzamelde bewijs in Frankrijk in de EncroChat en SkyECC-zaken. Wanneer in Frankrijk onherroepelijk vast komt te staan dat het onderzoek niet in overeenstemming met de daarvoor geldende rechtsregels is verricht, dan kan de Nederlandse rechter daar op grond van het Nederlandse strafprocesrecht consequenties aan verbinden. Gezien de stand van zaken op dit moment, zal dit niet snel gebeuren.

Recht op een eerlijk proces

De Hoge Raad oordeelt ook dat het uitgangspunt is dat het dat het door de buitenlandse autoriteiten verkregen materiaal betrouwbaar moet worden geacht. Als er echter concrete aanwijzingen voor het tegendeel bestaan, dan is de rechter gehouden de betrouwbaarheid van die resultaten te onderzoeken. Die aanwijzingen kunnen voortkomen uit een specifiek verweer.

Wij plaatsen hierbij de kanttekening dat een verweer op dit punt voor de verdediging lastig is te onderbouwen, omdat deze (indirect) ook betrekking hebben op de toetsing van de rechtmatigheid van het Franse onderzoek waar het interstatelijke vertrouwensbeginsel aan in de weg staat. De ‘Catch 22’ die de verdediging ervaart wordt helaas voor hen niet opgelost door de Hoge Raad.

Wij wijzen erop dat de overwegingen omtrent het interstatelijke vertrouwensbeginsel betrekking hebben op de verzameling van de gegevens door en onder verantwoordelijkheid van buitenlandse autoriteiten. Echter, het interstatelijk vertrouwensbeginsel houdt op bij de Nederlandse grens.

Verweer op de verdere verwerking (analyse) van de gegevens

Advocaten kunnen dus verweer voeren op deze verdere verwerking van gegevens en de betrouwbaarheid van de ruwe data zelf en de daarop verrichte analyses ter discussie stellen. Met andere woorden: hoewel de verzameling van het bewijs niet te controleren valt, valt het verdere gebruik van het bewijs dat wél. Voor zover daartoe aanleiding is, bijvoorbeeld omdat de verdediging ontkent dat het digitale bewijs betrekking heeft op de cliënt, moet de verdediging hierop effectief verweer kunnen voeren.

De analyse van de gegevens in Nederland, waarbij ook gebruik wordt gemaakt van algoritmen en AI, staat volledig open ter toetsing aan het recht op een eerlijk proces. Als daartoe aanleiding is, moet de verdediging uitleg krijgen hoe het resultaat van die verdere gegevenswerking – het bewijs – tot stand is gekomen en daar verweer op kunnen voeren. Onzes inziens ligt op dit punt nog ruimte voor verweren en jurisprudentievorming.

Jan-Jaap Oerlemans & Bart Schermer

Cybercrime jurisprudentieoverzicht maart 2023

jjoerlemans Een reactie plaatsen

Bewijsoverweging na inzet van de hackbevoegdheid

Op 22 februari 2023 heeft de rechtbank Den Haag een interessante uitspraak (ECLI:NL:RBDHA:2023:1960) gewezen in een drugshandelzaak. Het verweer over de hackbevoegdheid en de wijze waarop bewijs wordt verzameld n.a.v. de SkyECC operatie zijn hierbij met name relevant.

De verdediging stelt – naar mijn weten voor de eerste keer in strafzaken – het gebruik van de onderzoeksresultaten van een hack voor het bewijs ter discussie. De raadsman heeft betoogd dat het bewijs dat is verkregen door middel van de hackbevoegdheid in artikel 126nba Sv niet mag worden gebruikt voor het bewijs. De raadsman heeft daartoe aangevoerd dat uit het dossier niet blijkt dat bij het Openbaar Ministerie de juiste procedure is doorlopen en dat toestemming is verzocht aan het College van procureurs-generaal voordat de machtiging is gevorderd bij de rechter-commissaris.

De rechtbank overweegt dat ‘de te volgen procedure voorafgaand aan de in de wet geregelde vordering tot een machtiging ex artikel 126nba Sv is niet aan rechterlijke toetsing onderworpen. Het gaat om een interne werkafspraak en een interne belangenafweging bij het Openbaar Ministerie. De regels die het Openbaar Ministerie daarbij volgt, zijn geen recht in de zin van de wet op de rechterlijke organisatie, en de daarop betrekking hebbende stukken maken overigens ook geen onderdeel uit van het strafdossier. De verdachte kan aan die stukken ook geen rechten ontlenen. Niet is gebleken dat sprake is van enig vormverzuim in het voorbereidend onderzoek als bedoeld in artikel 359a Sv’. De rechtbank verwerpt om bovenstaande reden het verweer.

Daarnaast is in de uitspraak te lezen hoe bewijs uit de SkyECC-operatie wordt gebruikt In een strafrechtelijk onderzoek. In een onderzoek dat zich richt de criminele samenwerkingsverbanden van de anonieme gebruikers van SkyECC-telefoons is door de door de rechter-commissaris op 15 december 2020 bepaald dat de in dat onderzoek beschikbare ontsleutelde informatie slechts mag worden gebruikt ter opsporing indien daartoe een aanvullende toestemming is verleend. Op voorhand is door de rechter-commissaris toestemming verleend om voor een gelimiteerd aantal categorieën misdrijven en met gebruik van een lijst met zoekwoorden onderzoek te doen aan de binnen het onderzoek beschikbare ontsleutelde informatie. De chatgesprekken die naar aanleiding van deze zoekslag uit de ontsleutelde informatie naar voren komen mochten, na voornoemde aanvullende toestemming van de rechter-commissaris, ter opsporing nader worden onderzocht.

De chats tussen de gebruikers van cryptocommunicatie-aanbieder zijn geautomatiseerd geanalyseerd en geclassificeerd. Die analyse heeft in de categorie “cocaïne” hits opgeleverd op onder de woorden: ‘cocaïne’, ‘haven’, een plaatsnaam, ‘airco’, een locatie, ‘uithaal’, en ‘oog’. Op basis van deze hits zijn berichten naar voren gekomen van enkele gebruikers van SkyECC-telefoons. Na goedkeuring van de officieren van justitie van het onderzoek naar de criminele samenwerkingsverbanden van de anonieme gebruikers van SkyECC-telefoon is de bovenstaande informatie op 20 juli 2022 ter beschikking gesteld aan het onderzoek naar de verdachte in het onderhavige onderzoek. In het dossier bevindt zich daarnaast ook een toestemmingsbrief van de officier van justitie waaruit blijkt dat op 5 augustus 2022 toestemming is verleend de gegevens te gebruiken in het strafrechtelijk onderzoek naar de verdachte.

Uit de inhoud van de chatberichten komen gegevens naar voren die herleidbaar zijn tot de verdachte. In de uitspraak is ook te lezen hoe uit de ‘historische verkeersgegevens’ het adres van de moeder van de verdachte 26x keer voorkwam. De rechtbank overweegt het bewijs wordt gevormd door vele chatberichten, die op verschillende data en tijden door de verdachte zijn verstuurd en waaraan betekenis toekomt als ze met elkaar in verband worden gebracht. Daarnaast omvat het bewijs processen-verbaal met bevindingen over de (familie van) de verdachte, op basis waarvan de verdachte geïdentificeerd kon worden als de gebruiker van een SkyECC-telefoon. De door de verdediging aangevoerde stelling dat het bewijsminimum niet wordt gehaald, gaat volgens de rechtbank dus niet op.

De verdachte heeft zich, al dan niet in vereniging, schuldig gemaakt aan een woninginbraak, fraude met coronavaccinatiebewijzen, wapenbezit en voorbereidingshandelingen voor de handel, invoer, uitvoer en bereiding van harddrugs. Uit het onderzoek van de politie is gebleken dat de verdachte zich onder meer heeft bezig gehouden met het opzetten van een drugslijn tussen Colombia en Nederland. De QR fraude is voor de verdachte een zeer lucratief feit geweest, waaraan blijkens de WhatsApp-gesprekken slechts een einde lijkt te zijn gekomen doordat zijn – overigens in dit onderzoek onbekend gebleven – compagnon tegen de lamp is gelopen. De rechtbank legt de verdacht een onvoorwaardelijke gevangenisstraf van vijf jaar op.

‘Zeer ingrijpende inbreuk’ bij onderzoek aan smartphone

Op 18 november 2022 heeft de rechtbank Rotterdam een interessante uitspraak (ECLI:NL:RBROT:2022:10279) gedaan met betrekking tot onderzoek op een smartphone. In deze zaak over roekeloos rijden en rijden onder invloed waarbij een andere bestuurder zwaar lichamelijk letsel heeft opgelopen, had de officier van justitie toestemming gegeven om een beperkt onderzoek te verrichten aan de smartphone van de verdachte en de opdracht ook duidelijk gespecificeerd.

Gelet op de toelichting van de verdediging op zitting is echter om onduidelijke redenen door de politie van de opdracht van de officier van justitie afgeweken. Dit alles heeft er in geresulteerd dat door het volledig kopiëren van de telefoon en die bestanden vast te leggen op een tweetal gegevensdragers een min of meer compleet beeld kan zijn verkregen van bepaalde aspecten van het persoonlijk leven van de verdachte. Hierbij is ook tenminste een aantal berichten van de verdachte aan of van een advocaat toegankelijk geworden voor derden. De rechtbank acht dit een onjuiste en zeer ongewenste gang van zaken.

Gelet op de grote ernst van het verzuim en het nadeel voor het privéleven van de verdachte dat door het verzuim is veroorzaakt, kan het echter niet bij een enkele constatering blijven. Gelet op de aard en inhoud van het eerder in dit vonnis vastgestelde vormverzuim in de zin van artikel 359a van het Wetboek van Strafvordering zal de straf worden verminderd met drie maanden gevangenisstraf. Aan de verdachte zal een gevangenisstraf worden opgelegd van 15 maanden, waarvan 5 maanden voorwaardelijk.

Rol voor digitaal bewijs bij aanslagen op Poolse supermarkten

In een zaak (ECLI:NL:RBNHO:2023:1518) van de rechtbank Noord-Holland op 24 februari 2023 speelde digitaal bewijs een bijzondere rol. Het ging in deze zaak om aanslagen op Poolse supermarkten. Uit de aangehaalde processtukken blijkt dat er contact was tussen de verdachte en een persoon bekend met het initiaal “W.” kort voor, rondom en kort na de aanslagen. Het bleek namelijk dat de telefoon van W. via het IP-adres van de woning van de verdachte op drie tijdstippen contact maakte, te weten op 8 december 2020 om 00:53, uur en op 9 december 2020 om 01:07 en 02:47 uur.

De explosie in Heeswijk-Dinther vond rond 04:05 uur plaats. Enkele minuten daarna wisselen de verdachte en medeverdachte N. enkele chatberichten uit, waarna de verdachte hem om 04:14 uur belt. Uit de chats die voor het bewijs worden gebruikt blijkt onder meer dat zij afspreken dat medeverdachte N. naar de verdachte komt. De rechtbank concludeert dat ‘uitgesloten dient te worden geacht, mede gezien het tijdstip, dat dit contact geen direct verband houdt met de ontploffing’. Van belang is ook dat in de communicatie tussen de verdachte en medeverdachte N.  op 8 december 2020 overdag gesproken wordt over de “big boss” in relatie tot de klus die medeverdachte N] voor de verdachte heeft gedaan.

Kortom, opgevraagde verkeersgegevens van de telefoon van de verdachte, onderzoek aan de telefoons van de verdachte en gegevens over de auto van de verdachte (mogelijk ANPR-gegevens?) spelen in samenspel een belangrijke bewijsrol in de zaak. De rechtbank overweegt dat, uitgaand van het patroon dat daarbij naar boven komt, dat de verdachte telkens in meer of mindere mate, sturende informatie heeft gegeven, bij zijn woning de uitvoerders heeft laten instappen, materialen heeft doen inladen of heeft ingeladen en zich met betalingen bezighield.

De verdachte wordt daarop veroordeeld voor acht jaar gevangenisstraf, onder andere vanwege het ‘medeplegen van opzettelijk een ontploffing teweegbrengen, terwijl daarvan gemeen gevaar voor goederen en levensgevaar voor een ander te duchten is’.

Veroordeling voor witwassen en computervredebreuk

Op 24 februari 2023 veroordeelde de rechtbank Amsterdam een verdachte voor witwassen en computervredebreuk (ECLI:NL:RBAMS:2023:989). De bewijsoverwegingen zijn in deze zaak interessant.

De rechtbank vindt bewezen dat de verdachte opzettelijk wederrechtelijk de servers van ABN AMRO, Volksbank, ING en Rabobank is binnengedrongen. De rechtbank stelt op grond van de bewijsmiddelen het volgende vast. De banken hebben aangifte gedaan, omdat meerdere van hun klanten zeggen het slachtoffer te zijn geworden van fraude. Daarbij zouden de fraudeurs hun inloggegevens hebben bemachtigd en daadwerkelijk hebben ingelogd op de bankomgevingen van de klanten. Uit onderzoek van de banken blijkt dat de bankomgevingen van de klanten zonder toestemming benaderd zijn vanaf een specifiek IP-adres. De verdachte heeft 314 keer op zijn eigen bankomgeving bij ABN AMRO ingelogd vanaf dit IP-adres. Verdachte woonde bij zijn moeder en zij maakte voor haar eigen ING-bankrekening ook veelvuldig gebruik van dit IP-adres. De rechtbank leidt daaruit af dat in de bewezenverklaarde periode de internetaansluiting in de woning van verdachte aan dit IP-adres kan worden gekoppeld. Dat vanaf dit IP-adres waarvan verdachte vanuit zijn woning vaak gebruik maakte, is ingelogd op de bankomgevingen van slachtoffers, schreeuwt om een verklaring van verdachte, die hij niet heeft gegeven. Op basis van deze omstandigheden stelt de rechtbank vast dat het verdachte is geweest die vanaf genoemd IP-adres heeft ingelogd op de bankomgevingen van de klanten.

De rechtbank overweegt dat het bij witwassen gaat om uit misdrijf verkregen geld of spullen. De rechtbank kan op basis van het dossier geen concreet misdrijf vaststellen waarmee verdachte het geld heeft verdiend of waardoor hij de spullen heeft verkregen. Ook als een concreet misdrijf niet kan worden vastgesteld kan witwassen onder omstandigheden worden bewezen. Er moet dan op basis van de feiten en omstandigheden sprake zijn van een ernstig vermoeden dat het geld en de spullen van misdrijf afkomstig zijn. Als dat vermoeden er is, dan mag van verdachte worden verwacht dat hij een verklaring geeft over de herkomst ervan. De verdachte heeft geen verklaring willen afleggen over het geld. Op de zitting heeft hij verklaard dat hij de luxe kleding en tassen van vrienden had geleend. Die verklaring vindt de rechtbank onvoldoende concreet en verifieerbaar. De rechtbank komt dus tot de conclusie dat het niet anders kan zijn dan dat het geld en de luxe goederen van misdrijf afkomstig zijn en dat verdachte dit ook wist. Omdat het om veel transacties gaat gedurende anderhalf jaar vindt de rechtbank dat verdachte hiervan een gewoonte heeft gemaakt. De rechtbank vindt niet bewezen dat de verdachte dit samen met een ander of anderen heeft gedaan. De rechtbank spreekt verdachte daarom vrij van medeplegen.

De rechtbank kan op basis van het dossier bovendien niet vaststellen dat de verdachte de slachtoffers op de tenlastelegging heeft opgelicht of dat hij phishingpanels voorhanden heeft gehad. Weliswaar heeft hij van een slachtoffer geld op zijn rekening ontvangen, maar niet duidelijk wordt wie de oplichtingshandelingen heeft verricht. Ook van de andere slachtoffers ontbreekt bewijs om verdachte als (een van) de oplichter(s) aan te merken. Dat het IP-adres van verdachte betrokken is geweest bij het inloggen op de bankrekeningen is onvoldoende om te kunnen bewijzen dat verdachte bij de oplichtingen zelf betrokken is geweest. Hetzelfde geldt voor het voorhanden hebben van de phishingpanels, een van de oplichtingsmiddelen waar aangevers melding van maken. Anders dan de officier van justitie vindt de rechtbank dat uit het dossier onvoldoende blijkt dat de frauduleuze betaallinks vanaf het IP-adres van verdachte zijn verzonden. Ook uit zijn telefoon blijkt niet dat hij phishingpanels voorhanden heeft gehad.

Ten slotte is nog opvallend dat de reclassering adviseert dat de verdachte meewerkt aan gedragsinterventie Hack_Right, maar de officier van justitie en de rechtbank deze interventie niet geschikt vinden. De rechtbank overweegt dat de verdachte onvoldoende intrinsiek gemotiveerd lijkt om hieraan mee te werken. De rechtbank legt de verdachte een voorwaardelijke gevangenisstraf op en een taakstraf op van 120 uur. Ook moet de verdachte een schadevergoeding betalen aan de betrokken banken.

Veroordeling voor opruiing tot een terroristisch misdrijf en bedreiging van de minister-president

Op 30 december 2022 veroordeelt (ECLI:NL:RBDHA:2022:14261) de rechtbank Den Haag een verdachte voor opruiing tot een terroristisch misdrijf en bedreiging van de minister-president door middel van het plaatsen van berichten op een openbaar Telegram-kanaal.

De raadsman heeft ter zitting bepleit dat de benadering van de verdachte door de undercoveragenten zonder wettelijke basis is geschied, nu artikel 3 van de Politiewet hiertoe niet toereikend was omdat de politie zijn cliënt reeds als verdachte had aangemerkt. Daarnaast stelt de raadsman dat de complete telefoon van de verdachte niet had mogen worden uitgelezen zonder een daartoe strekkende machtiging van de rechter-commissaris. De raadsman stelt dat in beide gevallen sprake is van een onherstelbaar vormverzuim dat tot bewijsuitsluiting dient te leiden.

De rechtbank verwerpt dit het verweer. Uit het dossier blijkt dat de verdachte pas na de tweede ontmoeting met de agenten, op 12 juli 2021, als verdachte is aangemerkt. Voor deze datum waren alleen de twee IP-adressen waaronder de berichten op Telegram waren geplaatst, bekend. Deze IP-adressen waren nog niet aan de verdachte gekoppeld. Om te achterhalen wie achter deze IP-adressen zat en om een inschatting te kunnen maken over de ernst van de uitlatingen, heeft de politie op grond van artikel 3 van de Politiewet nader onderzoek gedaan. De rechtbank is van oordeel dat dit artikel in de gegeven omstandigheden voldoende grondslag biedt voor dit onderzoek. Er is daarom geen sprake van een vormverzuim volgens de rechtbank.

Daarnaast zijn zijn de overwegingen van de rechtbank of in dit geval sprake is van opruiing zijn helder en interessant om te lezen. Het ging in deze zaak om berichten zoals: “Regel eerst strijders. En niet zomaar strijders, serieuze mensen die wat willen doen. Die het zat zijn, en schijt hebben. En hun vrijheid eisen. Ik zoek geen demonstranten. Ik zoek revolutionairen. Shooters/hitters/gewapend/geweld. Alles toegestaan.” En: “Zou je het in je hebben om ze allemaal te shooten? Gwn vanuit een auto. Raam open. Gun naar buiten. En knallen maar.”  

In artikel 131 van het Wetboek van Strafrecht (Sr) is opruiing strafbaar gesteld. Allereerst is vereist dat de uitlating in het openbaar is gedaan. Dat wil zeggen dat het uiten van opruiende woorden onder zodanige omstandigheden en op zodanige wijze moet plaatsvinden dat deze door het publiek gehoord, gelezen, of gezien konden worden. Door het plaatsen van zijn uitlatingen in de Telegram-groepen worden deze in de openbaarheid gebracht. De groepen waren immers openbaar en voor een ieder toegankelijk. Uit het dossier blijkt ook dat de verdachte op zoek was naar mensen om de groep uit te breiden. Het verweer van de raadsman dat de verdachte ervan uitging dat zijn uitlatingen slechts door een beperkt aantal gelijkgestemden zou worden gelezen, snijdt dan ook geen hout. De uitlating moet daarnaast mondeling of bij geschrift of afbeelding zijn gedaan. Daaronder zijn inbegrepen tekstberichten op internet en social media. Ook aan dit vereiste is voldaan. Daarnaast moet met de uitlatingen zijn aangezet tot iets ongeoorloofds. Dit ongeoorloofde moet een naar Nederlands recht strafbaar feit zijn. Uit feiten en omstandigheden moet kunnen worden afgeleid dat voldoende duidelijk is dat indien datgene waartoe wordt opgeroepen daadwerkelijk wordt uitgevoerd, dit een strafbaar feit zou opleveren.

De rechtbank stelt voorop dat uitlatingen die worden geplaatst in een openbare groep op Telegram, in principe door iedereen kunnen worden gelezen. Hoe groter het bereik van een uitlating, hoe groter de kans dat iemand door het lezen ervan daadwerkelijk overgaat tot het handelen waartoe wordt opgeroepen. De raadsman heeft bepleit dat het nooit de bedoeling van de verdachte is geweest om met zijn uitpersonen op te ruien. Hij wilde voornamelijk aandacht. De door de verdachte gebruikte woorden in de berichten en de context waarin deze uitlatingen zijn gedaan, kunnen echter zonder meer worden opgevat als een aanmoediging om een misdrijf te plegen. Het gaat om uitlatingen als ‘de oude wereld vernietigen’, ‘shooten’, ‘het parlement bestormen en met dodelijk geweld die zooi opruimen’ en ‘shooters/hitters/gewapend/geweld. Alles toegestaan’. Deze termen zijn naar het oordeel van de rechtbank voldoende feitelijk voor wat betreft het aanzetten tot strafbare feiten. Op grond van het voorgaande concludeert de rechtbank dat de berichten opruiend zijn.

Overigens komt het Hof Arnhem-Leeuwarden in een ander arrest (ECLI:NL:GHARL:2023:528) van 20 januari 2023 over opruiing in een Whatsapp-groep tot een andere conclusie, omdat niet was voldaan aan het bovengenoemde openbaarheidsvereiste. In deze zaak werd in een Whatsapp-groep met 14 actieve gebruikers berichten verzonden waarin werd aangespoord om te gaan rellen en het gebruik van geweld daarbij niet te schuwen. Het hof stelt voorop dat berichten en gesprekken in Whatsapp end-to-end versleuteld zijn. Zonder toevoeging van telefoonnummers door de beheerder(s) van de groep kan niemand buiten een groep de berichten lezen of beluisteren. Het hof overweegt daarbij ook dat eerder verzonden berichten niet te lezen zijn voor personen die later aan de Whatsapp-groep zijn toegevoegd. Uit het dossier blijkt dat er op enig moment veertien actieve deelnemers aanwezig waren in de Whatsapp-groep. Naar het oordeel van het hof is dit enkele feit onvoldoende om te kunnen spreken van openbaarheid, waarmee niet is voldaan aan de delictsomschrijving van art. 131 Sr. In deze zaak verklaart het Hof niet bewezen dat de verdachte het tenlastegelegde heeft begaan en spreekt de verdachte daarvan vrij.

Terug naar de onderhavige uitspraak van de rechtbank Den Haag overweegt de rechtbank dat als laatste de vraag moet worden beantwoord of sprake is van opzet. Opzet ligt besloten in de delicthandeling ‘opruiing’. Ook degene die met zijn uitlating willens en wetens de aanmerkelijke kans heeft aanvaard dat zijn uitlating derden zou kunnen bewegen tot het plegen van een strafbaar feit, handelt opzettelijk (in de vorm van voorwaardelijk opzet). Van belang is ook of degene die de uitlatingen doet, de bedoeling heeft om ze ‘in het openbaar’ te brengen.

De rechtbank is van oordeel dat het opzet van de verdachte voldoende blijkt uit de uitlatingen en de context waarin hij deze heeft gedaan. De door de verdachte gebruikte termen laten weinig aan de verbeelding over. Dat verdachte zwakbegaafd en gemakkelijk beïnvloedbaar is, doet aan het opzet niet af. Door de uitlatingen in een openbare groep op Telegram te plaatsen, heeft de verdachte de kans dat iemand zijn uitlatingen zou opvatten als een aanmoediging tot het plegen van een strafbaar feit bewust aanvaard. Ook verdachte zelf kan zich voorstellen – zoals hij ter terechtzitting heeft verklaard – dat mensen misschien dachten dat hij serieus was. Tot slot overweegt de rechtbank dat het niet ging om één op zichzelf staande uitspraak, maar meerdere uitlatingen van verdachte gedurende een langere periode waarin hij in zijn uitlatingen en plannen steeds serieuzer werd.

Tot slot is de rechtbank van oordeel dat ook het terroristisch oogmerk bij de opruiing door de verdachte kan worden bewezen. Dit blijkt simpelweg uit de termen die de verdachte heeft gebruikt. Met oproepen tot het vernietigen van de oude wereld, een revolutie en het bestormen van het parlement, riep de verdachte op tot geweld tegen dan wel ontwrichting van de fundamentele politieke structuren van Nederland.

De verdachte wordt veroordeeld tot een gevangenisstraf van 21 maanden, waarvan 12 maanden voorwaardelijk met een proeftijd van drie jaar.

Datagedreven opsporing en toezicht

jjoerlemans 2 reacties

In januari 2023 hebben prof. mr. Marianne Hirsch Ballin en ik een artikel (.pdf) geschreven over datagedreven opsporing en toezicht in het tijdschrift voor strafrecht ‘Delikt en Delinkwent’. In deze blogpost leiden wij ons artikel in.  

Datagedreven opsporing

Datagedreven opsporing is de verwerking van gegevens die eerder door de politie bij hun taakuitoefening in andere onderzoeken zijn verzameld en daarna ten behoeve van nieuwe opsporingsonderzoeken worden geanalyseerd. De zogenoemde ‘cryptotelefoon-operaties’ zijn een bekend voorbeeld van deze datagedreven opsporing.

In deze operaties zijn tot wel honderden miljoenen berichten in één operatie veiliggesteld van cryptotelefoonaanbieders zoals ‘EncroChat’ en ‘SkyECC’ (zie ook dit overzicht op deze blog). Deze gegevens vormen (ten dele) bewijs voor honderden toekomstige strafzaken. In politiepraktijk worden deze operaties ook wel beschreven als een game changer.  

In ons artikel stellen wij dat datagedreven opsporing ook een ‘game changer’ zou moeten zijn voor de wijze waarop digitale opsporingsbevoegdheden worden genormeerd. Het gaat dan in het bijzonder om de relatie tussen het Wetboek van Strafvordering (waarbinnen onder andere opsporingsbevoegdheden worden geregeld) en de Wet politiegegevens (waar de verwerking van gegevens wordt geregeld) en het bijbehorende toezicht.

We zetten in ons artikel het model uiteen van datagedreven opsporing en illustreren dat aan de hand van de daarover bekende strafrechtspraak en de praktijk bij het Team High Tech Crime (THTC) van de politie. Over deze praktijk is ook het lezenswaardige WODC-rapport ‘Opsporen, vervolgen en tegenhouden van cybercriminaliteit’ verschenen, waar ook wordt gewezen op het spanningsveld tussen deze praktijk en strafvordering.

De praktijk van het Team High Tech Crime laat zien dat er bij datagedreven opsporing slechts een beperkte rol is voor controle door de strafrechter via strafzaken. Als bijvoorbeeld het doel is een cybercriminele (ICT-)infrastructuur onderuit te halen en het verdienmodel aan te tasten, dan zijn dat activiteiten die vaak niet leiden tot vervolging van een concrete verdachte waardoor die activiteiten buiten het zicht van de strafrechter blijven. En wanneer de inzet van de opsporing ook het vergaren van intelligence ten behoeve van nieuwe onderzoeken omvat, is dat een aspect dat de strafrechter in de regel niet in zijn beoordeling betrekt. Recentelijk wees ook prof. Bart Schermer hierop in zijn inaugurele rede ‘De gespannen relatie tussen privacy en cybercrime’ bij de Universiteit Leiden.

Het spanningsveld met strafvordering

De cryptotelefoon-operaties laten zien dat het model van het Team High Tech Crime ook wordt toegepast in andere strafzaken, buiten de context van de cybercriminaliteit. Vastgesteld kan worden dat daarmee het verwerven van intelligence verweven is geraakt met de opsporingspraktijk. Deze ontwikkeling legt uit normatief oogpunt druk op het huidige stelsel van strafvordering in Nederland.

De verzameling van de gegevens bij datagedreven opsporing vindt plaats met toepassing van bijzondere opsporingsbevoegdheden die worden gereguleerd in het Wetboek van Strafvordering. In ons artikel leggen wij uit dat de verwerking en analyse van deze gegevens plaatsvindt op grond van de Wet politiegegevens (Wpg) en dat de daaropvolgende interventie een nieuw opsporingsonderzoek kan betreffen, maar bijvoorbeeld ook ‘verstoring’ met een grondslag in de Politiewet. De naleving van de Wet politiegegevens bij de strafrechter lijkt tot op heden geen rol van betekenis te spelen bij sanctionering van eventuele vormverzuimen.

Verder leggen wij uit dat deze praktijk een normatieve verbinding vergt tussen de reguleringskaders. De wetgever moet daarom de keuze maken óf normering van data-analyses in het Wetboek van Strafvordering óf voor nadere normering van analysebevoegdheden in de Wpg. Daarbij moet recht worden gedaan aan (basis)beginselen van strafvordering zodat de verbinding tussen de normeringskaders wordt gelegd.

Deze boodschap vindt bredere steun. Zie bijvoorbeeld ook het rapport van prof. Fedorova e.a. over ‘Strafvorderlijke gegevensverwerking’ en het artikel van B.W. Schermer & M. Galič, ‘Biedt de Wet politiegegevens een stelsel van ‘end-to-end’ privacywaarborgen?’. In ons artikel komen wij nu, in aanvulling daarop, tot de conclusie dat die constatering ook vraagt om veranderingen in de wijze waarop het stelsel van toezicht op de opsporing en verwerking van politiegegevens is georganiseerd.

Beter toezicht

Ruimte bieden voor bredere doelstellingen dan opsporing bij de inzet van bijzondere opsporingsbevoegdheden, betekent ook dat in de normering de bakens moeten worden verzet.

De totstandkoming van het nieuwe Wetboek van Strafvordering biedt de ruimte om op een weloverwegen manier te komen tot een herpositionering van de opsporing vanwege deze praktijk van datagedreven opsporing en interventies waarop rechtstreekse controle door de strafrechter ontbreekt. Het is daarbij noodzakelijk dat in de normering de verbinding tussen het Wetboek van Strafvordering en de Wet politiegegevens tot uitdrukking wordt gebracht en, in aansluiting daarop, het stelsel van toezicht op datagedreven opsporing wordt heringericht.

Met betrekking tot het toezicht achten wij een nieuwe vorm van toezicht wenselijk, die mede ziet op de inzet van data-analyses ten behoeve van de politietaken (inclusief de opsporing en aldus de datagedreven opsporing). Het verdient aanbeveling daarvoor een nieuw onafhankelijk extern toezichtsorgaan op te richten.

Gelet op de bredere consensus over de noodzaak van herijking van het stelsel van strafvordering in relatie tot de Wet Politiegegevens in de wetenschappelijke literatuur (zie de eerdere verwijzingen in deze blog), hopen wij dat onze aanbevelingen zich een weg naar het nieuwe Wetboek van Strafvordering zullen vinden.

Marianne Hirsch Ballin & Jan-Jaap Oerlemans

Citeerwijze artikel:

M.F.H. Hirsch Ballin & J.J. Oerlemans, ‘Datagedreven opsporing verzet de bakens in het toezicht op strafvorderlijk optreden’, DD 2023/2, nr. 1, p. 18-38

Cybercrime jurisprudentieoverzicht januari 2023

jjoerlemans Een reactie plaatsen

Prejudiciële vragen over EncroChat en SkyECC

Op 19 december 2022 heeft de rechtbank Noord-Nederland in het onderzoek ‘Shifter’ prejudiciële zaken gesteld (ECLI:NL:RBNNE:2022:4797) aan de Hoge Raad. De vragen zien onder meer op de toepassing van het van het interstatelijke vertrouwensbeginsel. In deze zaak is sprake is van uit Frankrijk afkomstige informatie van EncroChat- en SkyECC.

Het gaat om de volgende prejudiciële vragen aan de Hoge Raad:

Interstatelijke vertrouwensbeginsel

1. Is het interstatelijke vertrouwensbeginsel zonder meer van toepassing op bewijs verkregen door de inzet van een opsporingsmiddel in het buitenland, in het kader van een JIT waarbij Nederland partner is?

  • Meer in het algemeen: op welke wijze speelt de (mate en intensiteit van) (juridische en/of feitelijke) samenwerking tussen Nederland en (een) andere EU-lidsta(a)ten bij grensoverschrijdende (digitale) opsporing en interceptie een rol bij de beoordeling van een beroep op het interstatelijke vertrouwensbeginsel?
  • In hoeverre is in de situatie waarin sprake is van een Joint Investigation Team voor de toepassing van het interstatelijke vertrouwensbeginsel van belang dat de onderzoeksresultaten uit het buitenland verkregen zijn in een ander onderzoek (26Lemont en/of 26Argus) dan het onderzoek waar de rechtbank een oordeel in dient te geven (het onderzoek Shifter)?
  • Kan daarbij een rol spelen dat de startinformatie in het onderzoek Shifter afkomstig is uit de onderzoeken 26Lemont en 26Argus en/of dat de resultaten uit de onderzoeken 26Lemont en 26Argus van bepalende invloed zijn geweest voor het verloop van het opsporingsonderzoek naar en/of de vervolging van de verdachten in de zaak Shifter?

2. Geldt het interstatelijke vertrouwensbeginsel (onverkort) als, zoals in de zaak Shifter, de gebruikers van de telecommunicatiediensten waarvan gegevens worden onderschept zich (steeds) op Nederlands grondgebied gebied bevinden, terwijl de interceptie en/of het veiligstellen van gegevens in/vanuit een andere EU-lidstaat plaatsvindt?

3. Is voor de interceptie en/of het veiligstellen van gegevens in/vanuit het buitenland van telecomgegevens waarvan duidelijk is dat de gebruikers van de telecomdiensten zich (ook) op Nederlands grondgebied bevinden een machtiging van een Nederlandse rechter vereist?

4. Indien dit het geval is, kan dan 126uba, 126nba Sv of enig ander wetsartikel als grondslag voor een dergelijke machtiging dienen?

5. Hoe verhoudt het internationale vertrouwensbeginsel zich tot het equality of arms- beginsel dat volgt uit artikel 6 EVRM en de mogelijkheden voor de verdediging om de rechtmatigheid van het bewijsgaringsproces te kunnen onderzoeken, meer in het bijzonder in de zaak Shifter de verzoeken van de verdediging om stukken aan het dossier toe te voegen met betrekking tot het bewijsgaringsproces in het buitenland en stukken met betrekking tot de Joint Investigation Teams?

  • Brengt het beginsel van equality of arms mee dat ook in procedures waarin sprake is van grensoverschrijdende (digitale) opsporing en internationale samenwerking tussen EU-lidstaten kennisname van en inzicht in het buitenlandse digitale bewijsgaringsproces gegeven dient te worden door de vervolgende autoriteiten of kan van de verdediging eerst worden verlangd dat zij concrete aanknopingspunten of sterke aanwijzingen naar voren brengt dat sprake zou zijn van een vormverzuim voordat verzoeken om nadere stukken aan het dossier toe te voegen gehonoreerd kunnen worden?
  • Hoe verhoudt het internationale vertrouwensbeginsel zich tot de verantwoordelijkheid die iedere lidstaat van het EVRM heeft om de uit dat verdrag voortvloeiende rechten te waarborgen, waaronder het beginsel van equality of arms?
  • Is daarbij in dit geval van belang dat de onderzoeksresultaten uit het buitenland verkregen zijn in een ander onderzoek (26Lemont en/of 26Argus) dan het onderzoek waar de rechtbank een oordeel dient te geven (het onderzoek Shifter)
  • Kan daarbij in dit geval een rol spelen dat de startinformatie in het onderzoek Shifter afkomstig is uit de onderzoeken 26Lemont en 26Argus en/of dat de resultaten uit de onderzoeken 26Lemont en 26Argus van bepalende invloed zijn geweest voor het verloop van het opsporingsonderzoek naar en/of de vervolging van de verdachten in de zaak Shifter?
  • In hoeverre kan daarbij van de verdediging worden verlangd dat zij concrete aanknopingspunten naar voren brengt dat sprake zou zijn van een vormverzuim of mag daarbij van het openbaar ministerie worden verlangd dat eerst de relevante stukken ter beoordeling daarvan worden ingebracht?

6. Zijn, indien het interstatelijke vertrouwensbeginsel niet onverkort geldt, (mogelijke) gebreken bij het bewijsgaringsproces en de interceptie en/of het veiligstellen van gegevens vanuit het buitenland ‘afgedekt’ door de door de machtigingen van de rechters-commissarissen, zoals de machtiging van de rechter-commissaris te Rotterdam d.d. 27 maart 2020 en de machtigingen van de rechters- commissarissen te Amsterdam d.d. 7 en 11 februari 2021 (en de eventuele vervolgmachtigingen)?

7. Als er sterke aanwijzingen zijn dat gebreken kleven aan het buitenlandse opsporingsonderzoek, in het licht van uitspraken van het land waar dat opsporingsonderzoek plaatsvindt, wat zijn dan de consequenties voor de toepassing van het interstatelijke vertrouwensbeginsel?

8. In hoeverre en naar welke maatstaven dient de Nederlandse strafrechter daar dan nader onderzoek naar te (laten) verrichten?

Bewaren en gebruiken van gegevens

9. Is een wettelijke grondslag vereist voor het bewaren en gebruiken van de metadata en communicatie van gebruikers van een elektronische communicatiedienst door de Nederlandse autoriteiten, ten behoeve van de opsporing en vervolging van strafbare feiten, als deze is verkregen van een andere lidstaat, nadat die andere lidstaat deze data heeft geïntercepteerd?

  • Zo ja, wat is de wettelijke grondslag hiervoor en is daarbij van belang of er sprake is van een concrete verdenking ten aanzien van één van deze gebruikers?
  • Onder welke voorwaarden kunnen deze gegevens worden gebruikt en is daartoe een machtiging van de rechter-commissaris vereist?

Jurisprudentie na de prejudiciële vragen over EncroChat en SkyECC

Nadat de prejudiciële vragen over EncroChat en SkyECC door de rechtbank Noord-Nederland (ECLI:NL:RBNNE:2022:4797) zijn gesteld, zijn verschillende verdachten in (mega)zaken veroordeeld op basis van bewijs uit EncroChat en SkyECC zaken. Neem bijvoorbeeld aan het mega-onderzoek ‘Cherokee’ (ECLI:NL:RBAMS:2022:7693), dat ziet op de verdenking van deelname aan een criminele organisatie met als oogmerk de grootschalige handel in cocaïne en gewoontewitwassen, waarbij ook vele afzonderlijke drugstransporten en witwasfeiten ten laste zijn gelegd. De rechtbank legt gevangenisstraffen op, variërend van 18 maanden tot 12 jaar en daarnaast een geldboete aan het autoverhuurbedrijf. De rechtbank Amsterdam neemt tevens beslissingen over de rechtmatigheid van het gebruik van SkyECC berichten als bewijs.

De rechtbank Amsterdam ziet geen aanleiding gezien de zaak aan te houden in afwachting van de beantwoording van de Hoge Raad van prejudiciële vragen van de rechtbank Noord-Nederland in het onderzoek Shifter. Zolang de Hoge Raad nog niet gesproken heeft, plegen de rechtbanken de zaken voort te zetten en zeker niet een inhoudelijke behandeling aan te houden. De rechtbank maakt uit de stukken op dat het inderdaad zo is dat de IP-tap in Frankrijk is gezet in het kader van een Frans onderzoek met machtiging van een Franse rechter. In zoverre is het vertrouwensbeginsel naar het oordeel van de rechtbank onverkort van kracht. De rechtbank gaat er nog steeds vanuit dat de interceptie in Frankrijk op basis van een toereikende wettelijke grondslag en in overeenstemming met artikel 8 van het Europees Verdrag voor de Rechten van de Mens (hierna: EVRM) heeft plaatsgevonden en het recht op privacy dus bij de opsporingshandelingen in acht is genomen. De rechtbank betrekt daarbij dat het feit dat de Franse rechter zich mede heeft gebaseerd op informatie afkomstig van Nederlandse opsporingsambtenaren geen afbreuk doet aan dit uitgangspunt, te meer nu niet is gebleken van enige onregelmatigheid of onjuistheid ten aanzien van deze informatie. Ook ten aanzien van de op deze interceptie volgende verstrekking van de SkyECC data aan Nederland geldt dat erop mag worden vertrouwd dat deze heeft plaatsgevonden met inachtneming van op Frankrijk rustende wettelijke en verdragsrechtelijke verplichtingen.

De rechtbank ziet in de Nederlandse betrokkenheid bij de interceptietool en de interceptie zelf een toenemende mate van bepalende invloed. De Nederlandse inbreng, die speciaal voor dit doel werd ontwikkeld, lijkt cruciaal te zijn geweest voor het welslagen van de interceptie, in die zin dat uiteindelijk ook van de inhoud van de berichten kennis kon worden genomen. Deze betrokkenheid van de Nederlandse opsporingsambtenaren roept de vraag op of zij niet medeverantwoordelijk moeten worden gehouden voor de interceptie. Dat leidt tot de vraag of de Nederlandse officier van justitie zich in dat verband niet had moeten wenden tot de rechter-commissaris teneinde een machtiging te verkrijgen voor deze interceptie. Bij de officier van justitie was immers bekend dat een aanzienlijk deel van de gebruikers van SkyECC zich in Nederland bevond. Daarbij komt de vraag of ingevolge artikel 5.4.18 Sv een eerdere gang naar de rechter-commissaris niet aangewezen was geweest. Dit artikel schrijft voor dat de officier van justitie de rechter-commissaris kennisgeeft van een interceptie op Nederlands grondgebied, nadat hij daarover middels een daartoe strekkend formulier is geïnformeerd door een lidstaat, waarna de rechter-commissaris aangeeft of met de interceptie kan worden ingestemd. Weliswaar blijkt in geval van de SkyECC hack niet van een dergelijk formulier, maar dat de Nederlandse officier van justitie op de hoogte was van de interceptie die ook vele gebruikers in Nederland trof, is evident.

Een positieve beantwoording van ieder van deze twee vragen zou kunnen betekenen dat een vormverzuim moet worden vastgesteld. De rechtbank Amsterdam laat de beantwoording van deze vragen echter in het midden en wel om de reden dat – zo er al sprake is van een vormverzuim – dit verzuim niet van bepalende aard is geweest in het onderzoek naar de verdachten in het onderzoek Cherokee en derhalve zonder consequenties kan blijven.

Relevant is nog de laatste overweging van de rechtbank Amsterdam dat er geen begin van aannemelijkheid is dat het OM, zoals door een deel van de verdediging is gesuggereerd, bewust de rechtsmacht van de rechter-commissaris heeft omzeild en voor een U-bochtconstructie heeft gekozen. Het OM heeft de rechter-commissaris immers op meerdere momenten juist wel betrokken, zowel bij het verzoek een image (kopie) te mogen maken als bij het verzoek de ontsleutelde berichten te mogen gebruiken. De gang van zaken rondom de interceptie en daaropvolgende ontsleuteling blijkt bovendien voor een groot deel uit de door het OM verstrekte stukken, wat zich moeizaam met een bewuste misleiding verhoudt. Dat de stukken eerder niet duidelijk waren over de betrokkenheid bij de ontwikkeling en inzet van de interceptietool en dat de informatievoorziening aanvankelijk te summier was, rechtvaardigt nog niet de conclusie dat het OM de rechter-commissaris, de verdediging en de rechtbank bewust verkeerd of onvolledig heeft geïnformeerd.

De rechtbank Gelderland heeft in de uitspraak (ECLI:NL:RBGEL:2022:7105) van 20 december 2022 in een moordzaak in essentie hetzelfde oordeel als de rechtbank Amsterdam in de zaak Cherokee. Wel maakt zij nog de kritische opmerking dat de informatievoorziening door het openbaar ministerie ‘te weinig transparant en zeer moeizaam is verlopen’. Zij overweegt:

“Doordat het openbaar ministerie aanvankelijk slechts zeer beperkt informatie verschafte over de Nederlandse inbreng bij de hack van SkyECC, hebben advocaten in meerdere strafzaken door het hele land veel moeite moeten doen om hierover meer duidelijkheid te krijgen. Dit heeft bij de verdediging geleid tot gevoelens van wantrouwen jegens het openbaar ministerie. De rechtbank onderkent uiteraard dat de samenstelling van het procesdossier in beginsel aan het openbaar ministerie is en dat de betreffende zaaksofficieren van justitie afhankelijk zijn van diverse andere collega-officieren van justitie om hen van informatie te voorzien.”

Dat neemt niet weg dat het wenselijk was geweest dat het openbaar ministerie vanaf het begin duidelijkheid had verschaft en inzage had gegeven in de Nederlandse bijdrage bij de hack van SkyECC, zoals uiteindelijk pas bij brief van 2 juni 2022 is gedaan. De rechtbank concludeert dat het openbaar ministerie tekort is geschoten in de informatievoorziening door niet direct openheid van zaken te geven, maar niet zodanig dat hierdoor een ernstige inbreuk is gemaakt op de beginselen van een behoorlijke procesorde, met name nu de volledige gang van zaken uiteindelijk in de brief van 2 juni 2022 uiteen is gezet.

Ten slotte overweegt ook het Hof Den Haag op 5 januari 2022 in een lezenswaardig arrest (ECLI:NL:GHDHA:2023:6) dat de prejudiciële vragen aan de Hoge Raad niet leidt tot aanhouding van een zaak, waarbij het bewijs dat is vergaard uit de EncroChat-operatie. Het hof Den Haag overweegt daarbij dat kortgezegd dat (1) niet nu aan te nemen is dat de Hoge Raad die prejudiciële vragen zal kwalificeren als rechtsvragen in de zin van artikel 553, eerste lid Sv en dat een prejudiciële procedure zal volgen (opmerking JJO: dit was een onduidelijke, maar opvallende zin en ik hoop dat ik het goed begrijp), (2) uit het aanhoudingsverzoek volgt dat de (verwacht) te stellen – en inmiddels gestelde – rechtsvragen in de kern betrekking hebben op de toepassing van het vertrouwensbeginsel en/of de reikwijdte daarvan. Daarover is recente jurisprudentie van de Hoge Raad beschikbaar (2010/2022) waarin duidelijk uitleg wordt gegeven over de aspecten van toepassing en reikwijdte, (3) geen rechtsregel dwingt tot het aanhouden van de behandeling van de zaak om het enkele feit dat prejudiciële vragen zijn gesteld of zullen worden gesteld, en (4) dat door buitenlandse rechters uitspraken worden of zijn gedaan in EncroChat-zaken/-kwesties, maakt het bovenstaande niet anders.

Het hof merkt nog op dat uit het arrest van het Franse ‘Cour de Cassation’ (Hof van cassatie), van 11 oktober 2022 (ECLI:FR:CCASS:2022:CR01226), niet reeds nu de conclusie kan worden getrokken dat sprake zou zijn van onrechtmatig handelen in EncroChat-zaken. Het hof overweegt: “Eerder zijn er aanwijzingen voor het tegendeel. Het Cour de Cassation stelt namelijk in dit arrest vast dat “door alle in het dossier opgenomen documenten van de procedure van Lille zowel de verdachten als de onderzoekskamer in staat zijn gesteld om de régularité en loyauté (regelmatigheid/rechtmatigheid en billijkheid) van het aanvankelijk verzamelde bewijsmateriaal te beoordelen, zonder enige afbreuk op hun fundamentele rechten.” (r.o. 14). Voorts verwijst het Cour de Cassation (r.o. 21) naar het antwoord dat de Franse ‘Conseil Constitutionnel’ (Grondwettelijke Raad) op 8 april 2022 ((Besluit nr. 2022-987) heeft gegeven op de vraag van het Cour de Cassation of het artikel waarop de interceptie is gebaseerd (artikel 706-102-1 van het Franse Wetboek van Strafvordering) strijdig is met de Franse grondwet. Het antwoord van de Conseil Constitutionnel luidt dat dit artikel hiermee niet in strijd is.”

Het verweer dat het OM niet-ontvankelijk is omdat “moedwillig” onjuiste en/of onvolledige informatie is verstrekt aan de verdediging heeft het hof verworpen. Het hof Den Haag overweegt dat:

“de verdediging wel terecht heeft opgemerkt dat het openbaar ministerie – in ieder geval bij de aanvang van de verschillende EncroChat-zaken – onvoldoende heeft gecommuniceerd, namelijk op een wijze waardoor werd aangegeven dat de informatiedeur hermetisch gesloten behoorde te blijven en lange tijd ook bleef. Daardoor is bij de verdediging wantrouwen ontstaan, resulterend in suggesties en aannames die veel tijd en aandacht hebben gevraagd waarmee werd afgeleid van de kern van de individuele en onderhavige zaak.”

Het OM had wel veel eerder informatie of documenten kunnen en moeten verstrekken. Dit is echter geen ‘welbewuste grove veronachtzaming van de rechten van de verdediging’. Het openbaar ministerie heeft, naar het oordeel van het hof, een ‘(te) strikt standpunt ingenomen over de noodzaak/mogelijkheid van het verstrekken van informatie en documenten, dat – zoals hierboven is vermeld – gelet op de bijzondere omstandigheden, zeer onwenselijk en hoogst ongelukkig is te noemen’. Het hof verwerpt daarop het verweer strekkende tot niet-ontvankelijkverklaring van het openbaar-ministerie.

De verweren ten aanzien van de verkrijging en het gebruik van EncroChat-berichten worden ook verworpen. Het hof legt kortgezegd uit dat de inzet van de interceptietool betreft een bevoegdheid naar Frans recht verkregen na toestemming van een Franse rechter. Dat de inzet van deze methode naar Frans recht als ‘staatsgeheim’ kwalificeert doet hier niet aan af.

Darknet vendors veroordeeld

Op 21 december 2022 heeft de rechtbank Noord-Nederland een verdachte veroordeeld (ECLI:NL:RBNHO:2022:11405) voor drugshandel en het voorhanden hebben van een vuurwapen met munitie in zijn woning. De drugshandel vond plaats op internet.

De rechtbank typeert de verdachte als de figuurlijke ‘spin-in-het-web’ in een criminele organisatie. In totaal zijn 11 verdachten veroordeeld. Deze verdachte adverteerde onder zijn accountnaam op verschillende darknet markets en verstuurde PGP-telefoons naar vaste klanten om direct met hen te communiceren. Hij nam de bestellingen op en kwam ook in de loods in Hillegom onder meer om bestellingen in te pakken voor verzending. Alles bij elkaar gaat het in ieder geval om meer dan 100 kilo harddrugs die op deze wijze Nederland zijn uitgevoerd dan wel gereed lagen om Nederland te worden uitgevoerd. Voor het inpakken door de medeverdachten, verstrekte een andere verdachte de bestellijsten en stuurde hij de werkzaamheden aan. Verder zorgde hij voor de inrichting van de inpakruimtes. Verder zorgde hij samen met medeverdachten voor de inkoop van de drugs, inde hij de bitcoins van de kopers, zorgde hij voor het omwisselen van de bitcoins en deelde hij met twee medeverdachten in gelijke delen de winst.

Het ‘Cargo Harc-team Schiphol’ kwam de verdachte op het spoor via postpakketten en openbronnenonderzoek op online drugsmarkten op het darkweb (‘darknet markets’ genoemd). In dit geval ging het om de darknet markets ‘Alphabay’ en ‘Dream Market’. Ook berichtte de Verenigde Staten de Nederlandse autoriteiten over een online handelaar in verdovende middelen genaamd die zich vermoedelijk in Nederland bevond. In de uitspraak is te lezen dat ‘Homeland Security Investigations’ gebruik maakte van de online identiteit van een aangehouden afnemer van drugs. Daarop heeft de Nederlandse justitie documenten opgevraagd bij de Amerikaanse autoriteiten voor de verzameling van bewijs. Uit de correspondentie en berichten op een PGP-telefoon is bewijsmateriaal voor het versturen van pakketjes met drugs te vinden. Ook zijn voor het onderzoekgegevens gebruikt uit de Ennetcom-dataset. Daarvoor is twee machtigingen van een rechter-commissaris verkregen. Daarbij kwamen ook anderen verdachten in beeld, die tevens zijn veroordeeld.

De rechtbank legt een onvoorwaardelijke gevangenisstraf op van 85 maanden.

Verdachte krijgt in hoger beroep hogere gevangenisstraf voor phishing

Het Hof Arnhem-Leeuwarden heeft op 15 december 2022 een verdachte veroordeeld (ECLI:NL:GHARL:2022:10845) voor onder andere phishing.

Het hof legt in het arrest uit dat het in deze zaak om phishing (‘password harvesting fishing’). Phishing is een vorm van internetfraude. In deze zaak bestaat het uit het oplichten van mensen door ze via een e-mail die afkomstig lijkt te zijn van hun bank of creditcardverstrekker, nietsvermoedend hun inloggegevens voor hun bankrekening of creditcardrekening en/of pincode van hun bankpas te laten invullen en/of hun bankpas op te (laten) sturen. Hierdoor krijgt de fraudeur de beschikking over de inloggegevens van de bank-/creditcardrekening en/of de bankpas met bijbehorende pincode van de gedupeerden van de phishing. Vervolgens heeft de fraudeur toegang tot een individuele bankrekening of creditcardrekening om dure aankopen te doen of om grote geldbedragen van deze rekeningen af te halen.

In deze strafzaak is de betrokkenheid bij deze internetfraude aan verdachte tenlastegelegd als een reeks verschillende delicten:

  1. – het maken van en gebruiken van phishingmails;
    – de daarmee verworven inloggegevens voorhanden hebben en ter beschikking stellen met de bedoeling om daarmee toegang te verschaffen tot het betalingsverkeer van anderen (artikel 139d van het Wetboek van Strafrecht (Sr));
  2. het oplichten van mensen door hen via de phishingsmails te bewegen hun inloggegevens en/of pincode en/of bankpassen ter beschikking te stellen (artikel 326 Sr);
  3. het gebruiken van de verworven gegevens voor toegang tot de bank-/creditcardrekeningen (artikel 138ab Sr);
  4. het wijzigen van de gegevens in de bank-/creditcardaccounts van de opgelichte personen (artikel 350a Sr);
  5. diefstal van geld door het doen van betalingen en pinnen van geldbedragen vanaf de bank-/creditcardaccounts van de opgelichte personen, met behulp van de verworven toegangsgegevens en/of bankpas met bijbehorende pincode (artikel 311 Sr);
  6. witwassen van de opbrengst van de phishing (artikel 420bis Sr).

Het hof is van oordeel dat de verdachte e-mailadressen verzamelde van de slachtoffers, de phishingmail maakte (al dan niet met instructies van anderen), de phishingmail stuurde naar de slachtoffers en de gephishte (inlog)gegevens ontving. Met deze door verdachte gephishte en overgedragen (inlog)gegevens zijn de overige onder 2, 3, 4 en 5 tenlastegelegde delictshandelingen gepleegd. Hij is de noodzakelijke en wezenlijke eerste schakel geweest in het geheel van de tenlastegelegde handelingen. Zonder zijn bijdrage had er geen sprake kunnen zijn van succesvolle phishing. Er was sprake van een nauwe en bewuste samenwerking tussen verdachte en een of meer mededaders. Het geheel aan handelen van de dadergroep kan daarom aan verdachte als mededader worden toegerekend. Bij elk van de slachtoffers genoemd in de tenlastelegging, is er voldoende wettig en overtuigend bewijs dat de dadergroep van verdachte verantwoordelijk is voor de oplichtingshandelingen en diefstallen jegens dat slachtoffer.

Interessant is nog dat de verdachte samen met medeverdachte in speciale Whatsapp- en Snapchatgroep zaten, waarbij personen verzoekberichten plaatsten om bestelde goederen (op rekening van de slachtoffers besteld) op te halen (de bestellers) en personen die daarop reageerden en aangaven het pakket op te halen (de afhalers). In de bewijsvoering is te lezen hoe de verdachte phishing-servers had ingericht en de politie één van de servers heeft onderzocht. Uit de logingegevens van ‘ZAP-hosting’ blijkt dat er met deze server verbinding is gemaakt vanaf het IP-adres van het woonadres van verdachte. Op de laptop van de verdachte is te zien dat er in de periode 29 maart 2018 tot en met 14 januari 2019 600 keer verbinding is geweest met de mailbox van de verdachte. Op de inbeslaggenomen telefoons en computers van de verdachte is ook bewijs van de phishingberichten en oplichting zelf gevonden.

De verdachte wordt veroordeeld voor een hogere gevangenisstraf dan de rechtbank heft opgelegd, namelijk 30 maanden gevangenisstraf waarvan 12 maanden voorwaardelijk en een proeftijd van 2 jaar. Het hof is van oordeel dat de daarvoor opgelegde gevangenisstraf van beperkte duur onvoldoende recht doet aan de ernst van de feiten en de schade die is berokkend door het handelen van verdachte. Niet onbelangrijk is dat de verdachte ook fikse schadevergoedingen moet betalen, waaronder een bedrag van € 129.945,64 vanwege geleden materiële schade.

Meer duidelijkheid over de SkyECC-operatie

jjoerlemans 5 reacties

‘SkyECC’ is de naam van het bedrijf dat een versleutelde berichtendienst aanbood. De telefoons werden aangeboden door het bedrijf ‘Sky Global’. Een SkyECC-toestel is een mobiele telefoon die voorgeprogrammeerd is op iPhones, Google Pixels, Blackberry’s en Nokia’s en met een abonnement ter beschikking werd gesteld. Met de telefoon was het mogelijk versleuteld met elkaar te communiceren. In 2021 had het bedrijf wereldwijd 70.000 gebruikers.

De CEO en werknemers van Sky Global werden in de Verenigde Staten aangeklaagd wegens het opzettelijk faciliteren van criminele organisaties (zie bijvoorbeeld dit artikel ‘Arrest warrants issued for Canadians behind Sky ECC cryptophone network used by organised crime’). Sinds 19 maart 2021 is Sky Global niet meer actief. Vanaf medio februari 2021 konden opsporingsdiensten live meekijken met de berichten die op SkyECC-telefoons werd verstuurd.

Volgens het Openbaar Ministerie zijn tijdens operatie ‘Argus’ honderden miljoenen berichten (!) van de SkyECC app uitgelezen tijdens de operatie. Belgische media, zoals HLN.be, spreken van het onderscheppen van 1 miljard (!!) berichten, waarvan er 500 miljoen zijn ontcijfert (RTL Nieuws). Daar zijn al naar verluidt meer dan 2.000 verdachten geïdentificeerd, waarvan er 360 aangehouden konden worden. Er lopen 268 strafonderzoeken waarin de gelekte berichten worden benut. Het gros daarvan, 192 zaken, zijn nieuwe dossiers dankzij de kraak (JDVS/RL, Al 2000 verdachten ontmaskerd na kraak misdaadtelefoons, HLN, 25 september 2021).

In dit blogbericht zet ik de feiten uit de rechtspraak over de operatie en de Nederlandse rol daarbij op een rijtje. De informatie is met name afkomstig uit proces-verbalen en een brief van 2 juni 2022 van het Openbaar Ministerie over de SkyECC operatie die worden geciteerd in vonnissen. Daarbij zijn met name de uitspraken ECLI:NL:RBAMS:2022:6816 van de rechtbank Amsterdam van 21 november 2022 en ECLI:NL:RBGEL:2022:7425 en ECLI:NL:RBGEL:2022:7440 van de rechtbank Gelderland van 20 december 2022 belangrijk.

Sky telefoon

SkyECC bood meerdere modules voor de telefoons aan die functionaliteiten boden voor e-mail, instant chats, instant groepchats, notities, voicemail, beelden en berichten die na bepaalde tijd automatisch worden vernietigd. Ook beschikten de telefoons over verschillende kenmerken waaronder een ‘distress wachtwoord’ en een ‘remote wipe’ waarmee het mogelijk is om (op afstand) alle data op het toestel te wissen. Bellen is met een ‘Skytelefoon’ niet mogelijk.De telefoons werden volledig anoniem en enkel tegen contante betaling verhandeld.

Een toestel geconfigureerd voor het gebruik van de Sky ECC-app kostte tenminste € 729,-. Een abonnement op de Sky ECC app kostte € 2.200,- per jaar of € 600,- per 3 maanden. Om van Sky ECC gebruik te kunnen maken krijgt iedere gebruiker een unieke combinatie van zes tekens welke bestaat uit cijfers en letters, de zogenoemde Sky-ID (User ldentifier). Dit unieke nummer is nodig om een gebruiker toe te voegen als contact.

Onderzoek ’13Yucca’

Het onderzoek begon in Nederland op 30 oktober 2018 met het onderzoek ‘13Yucca’. Uit meerdere strafrechtelijke onderzoeken bleek dat door personen die zich bezighielden met het beramen en plegen van zware criminaliteit, in de periode vanaf augustus 2015 gebruik maakten van SkyECC telefoons om versleuteld te communiceren. Het onderzoek ‘13Yucca’ was erop gericht om de criminele samenwerkingsverbanden inzichtelijk te krijgen en zicht te krijgen op gepleegde en nog te plegen strafbare feiten.

Door Nederlandse opsporingsambtenaren reeds vastgesteld dat de servers van SkyECC zich in Frankrijk bevonden. Nederland was ermee bekend dat ook België voornemens was om een strafrechtelijk onderzoek naar de onderneming SkyECC te starten. Aangezien de servers van SkyECC zich bij hostingbedrijf ‘OVH’ in de Franse plaats Roubaix bevonden, hebben de Nederlandse en Belgische autoriteiten contact gezocht met Frankrijk en heeft op 9 oktober 2018 een verkennend overleg plaatsgevonden. Het doel van dit overleg was om toelichting te geven op de aanstaande EOB’s van Nederland en België en helderheid te verkrijgen over de vraag of Frankrijk de onderzoeken zou kunnen verrichten.

Nederland heeft vervolgens op 6 december 2018 een Europees Onderzoeksbevel (EOB) naar Frankrijk verzonden met het verzoek om een image te maken van de servers. Met een image kon de technische inrichting van de servers kon worden onderzocht met het oog op nader onderzoek, zoals het tappen en ontsleutelen van de via die servers gevoerde communicatie, en zodat inzicht kon worden verkregen in de organisatie van SkyECC. Verder werd verzocht om informatie te verstrekken ten aanzien van historische en toekomstige klantgegevens van SkyECC, alsmede het verstrekken van technische gegevens van de server.

Voordat dit EOB werd verzonden, is door de officier van justitie aan de rechter-commissaris om een machtiging gevraagd om een vordering ex artikel 126ug lid 2 Sv te kunnen doen. De rechter-commissaris verleende die machtiging op 30 november 2018 en gaf toestemming voor het maken van een image, maar met de uitdrukkelijke restrictie dat de vergaarde informatie uitsluitend mocht worden aangewend voor het onderzoek naar de technische mogelijkheden voor het tappen en de ontsleuteling. De inhoud van de eventueel op de servers aan te treffen berichten mocht niet zonder uitdrukkelijke voorafgaande toestemming van de rechter-commissaris worden gebruikt in een strafrechtelijk onderzoek. België heeft eerder op 21 november 2018 een soortgelijk EOB naar Frankrijk gezonden.

Frankrijk heeft uitvoering gegeven aan de EOB’s en heeft de architectuur van de servers geanalyseerd. Uit het onderzoek bleek dat er twee servers werden gehost bij OVH, te weten een hoofdserver die rechtstreeks met het internet verbonden was en een back-upserver. Deze twee servers communiceerden onderling met elkaar via een intranet-netwerk dat binnen OVH overeenkwam met de handelsnaam ‘vRack’. Deze vRack-technologie is ontwikkeld door OVH en maakt het mogelijk om compatibele OVH-producten binnen een of meer privénetwerken te verbinden, isoleren of verdelen.

Naar aanleiding van dat onderzoek besloot de Franse officier van justitie bij de rechtbank van Lille op 13 februari 2019 een opsporingsonderzoek te openen naar SkyECC. Binnen dat onderzoek heeft de Franse officier van justitie toestemming gevraagd aan de Franse rechter om over te gaan tot interceptie, opname en transcriptie van de communicatie tussen de SkyECC servers, welke toestemming op 14 juni 2019 is verleend.

Op 24 juni en 26 juni 2019 zijn vervolgens IP-taps geplaatst op de twee servers. Nederland was niet aanwezig bij het plaatsen van de IP-tap. Op 8 juli 2019 is Nederland hierover geïnformeerd en op 11 juli 2019 zijn de data van de IP-tap beschikbaar geworden voor Nederland. In het tweede EOB van Nederland aan Frankrijk staat dat Nederland formeel het verzoek doet om die verkregen data te verstrekken aan Nederland. Voorts blijkt uit een ‘bericht van overdracht’ van 20 augustus 2019 dat de geïntercepteerde data door de rechter-commissaris van de rechtbank Lille uit eigen beweging op grond van artikel 26 van het Cybercrimeverdrag en artikel 7 van het Rechtshulpverdrag zijn overgedragen aan twee officieren van justitie van het parket Rotterdam. Daarbij is verzocht om de bevindingen naar aanleiding van de data weer terug te koppelen aan Frankrijk.

Onderzoek ’26Werl’

Op 1 november 2019 is opsporingsonderzoek ‘26Werl’ opgestart, waarbij de verdenking was gericht jegens het bedrijf SkyECC. Op 13 december 2019 hebben Nederland, België en Frankrijk een JIT-overeenkomst gesloten. Onderzoek Werl maakte deel uit van het JIT. Vanaf dit moment zijn de door Frankrijk geïntercepteerde data aan het gemeenschappelijke onderzoeksteam verstrekt en op die wijze gedeeld met Nederland en België.

De IP-tap data zijn geanalyseerd en verwerkt en tijdens de analyse is gebleken dat de getapte IP-communicatie versleutelde communicatie bevat. Sommige informatie was niet versleuteld. Zo werd in de loop van juli 2019 inzicht verkregen in de onderwerpregels van sommige groepsgesprekken en de SkyECC-ID’s van de deelnemers aan deze groepsgesprekken. Ook werd uit de interceptie op dit netwerk inzicht verkregen in de nicknames van SkyECC-gebruikers en bleek dat berichten om andere gebruikers als contactpersoon uit te nodigen niet versleuteld werden verstuurd. Op 15 november 2019 is gebleken dat een deel van de groepsberichten mogelijk kon worden ontsleuteld en is bij wijze van test een eerste groepsbericht succesvol ontsleuteld. De JIT-partners hebben besloten om de groepsberichten tot nader order niet te ontsleutelen, omdat deze mogelijke dataset beperkt en zeer incompleet zou zijn en daardoor onvoldoende mogelijkheden zou bieden om onderzoek te verrichten. Met uitzondering van enige testberichten zijn er overeenkomstig het besluit van het JIT tot aan de aanloop van de live fase geen groepsberichten ontsleuteld.

Nederlandse technici hebben binnen het JIT een techniek ontwikkeld om een kopie te maken van het werkgeheugen van één van de SkyECC-servers zonder dat die offline zou gaan. Op 14 mei 2020 en 3 juni 2020 heeft Frankrijk die ontwikkelde techniek ingezet. Deze techniek is op 18 november 2020 aangesloten en geactiveerd, nadat de Franse adviescommissie, die een oordeel moet vellen over apparatuur die inbreuk kan maken op de persoonlijke levenssfeer en het briefgeheim, hier een vergunning voor heeft verleend.

In de brief van het Openbaar Ministerie van 2 juni 2022 met als onderwerp ‘Franse vertaalde processtukken gevoegd in Belgische strafzaken’ staat hierover het volgende:

Gedurende dit gezamenlijke onderzoek werd in Nederland een techniek ontwikkeld om een kopie van het werkgeheugen van één van de servers van Sky ECC te maken. Het doel hiervan was om versleutelingselementen en/of wachtwoorden te verkrijgen die gebruikt worden om de verbinding tussen toestellen en de Sky ECC servers te kunnen ontcijferen en de Sky ECC servers later forensisch te kunnen onderzoeken. In november 2019 zijn Nederlandse en Belgische rechercheurs er in geslaagd een deel van de groepsberichten te ontsleutelen.

en

Binnen het gemeenschappelijke onderzoeksteam zijn Nederlandse rechercheurs en technici er uiteindelijk in november 2020 in geslaagd een techniek te ontwikkelen om met behulp van een zogeheten Man in the Middle (MITM) de versleutelingselementen te verkrijgen die zijn opgeslagen op elke telefoon die de Sky ECC-applicatie gebruikte. De techniek is gedeeld met de Fransen, zodat zij de techniek konden gebruiken, indien en voor zover de techniek paste binnen de voorwaarden die de Franse wet stelt aan de door hen gekozen vorm van interceptie. Teneinde aan de voorwaarden van de Franse wet te voldoen is voorafgaand aan de Franse machtiging van 17 december 2020 tot inzet van dit middel door Frankrijk een vergunning aangevraagd. Het betreft een vergunning die moet worden aangevraagd waarbij de techniek wordt getoetst. De vergunning is vervolgens afgegeven door de Franse adviescommissie die een oordeel moet vellen over apparatuur die inbreuk kan maken op de persoonlijke levenssfeer en het briefgeheim (artikel r.226-2 van de Code Pénal)

(§ 3.4.1 Brief van het Landelijk Parket van 2 juni 2022. O.a. in het vonnis van Rb. Gelderland, 20 december 2022, ECLI:NL:RBGEL:2022:7425 en Rb. Gelderland 11 april 2023, ECLI:NL:RBGEL:2023:2011 wordt uit de brief geciteerd).

Huib Modderkolk heeft op 13 oktober 2023 in de Volkskrant een achtergrondartikel over de operatie en de ontwikkeling van een hacking-tool gepubliceerd.

Onderzoek ’26Argus’

Op 11 december 2020 startte in Nederland het onderzoek ‘26Argus’, dat zich richt op de criminele samenwerkingsverbanden van de NN-gebruikers van SkyECC (een ‘Titel V-onderzoek’). Het onderzoek had onder meer tot doel “het aan de hand van de inhoudelijke data in beeld brengen en analyseren van de criminele samenwerkingsverbanden die gebruikmaken van cryptotelefoons van SkyECC“.

De rechtbank Amsterdam legt nog in ECLI:NL:RBAMS:2022:6816 uit dat 26Argus een onderzoek is waarin onderzoek wordt gedaan naar een crimineel verband en de rol die verschillende personen bij dat verband spelen. Bij enkele in titel V geregelde bevoegdheden, namelijk het opnemen van telecommunicatie en het opnemen van vertrouwelijke communicatie, is de kring van personen beperkt tot personen ten aanzien van wie een redelijk vermoeden bestaat dat zij betrokken zijn bij het in georganiseerd verband beramen of plegen van ernstige misdrijven. Zij behoeven geen verdachte te zijn in de zin van artikel 27 Sv, maar zij dienen wel een meer dan toevallige betrokkenheid te hebben bij het criminele handelen van de groepering, die bijvoorbeeld blijkt uit meer dan incidentele contacten met de criminele organisatie of haar leden.

In het onderzoek 26Argus heeft het Openbaar Ministerie op 14 december 2020 een vordering ingediend bij de rechters-commissarissen om een machtiging te verstrekken voor een bevel op grond van artikelen 126t en 126t, zesde lid Sv. Op 15 december 2020 hebben de rechters-commissarissen deze machtiging verleend. Op 5 en 11 februari 2021 heeft het Openbaar Ministerie een (aanvullende) vordering ingediend bij de rechters-commissarissen op grond van artikel 126uba Sv, welke machtigingen op 7 en 11 februari 2021 zijn verleend.

In een proces-verbaal van bevindingen van de rechters-commissarissen hebben zij inzicht gegeven in de gang van zaken en hun afwegingen en beslissingen. Aangezien de wet geen procedure kent voor dit soort gevallen, hebben de rechters-commissarissen zich allereerst afgevraagd of er wel een machtiging van hen vereist was en waarop hun bevoegdheid in dat geval was gebaseerd. Zij concludeerden dat hoewel op voorhand niet vaststaat dat een beslissing van de Nederlandse rechter-commissaris noodzakelijk is voor de rechtmatigheid van het gebruik van de SkyECC-data, een toetsing van de proportionaliteit door de rechter-commissaris toch aangewezen is, met het oog op de bescherming van de persoonlijke levenssfeer van de betrokkenen. De rechters-commissarissen hebben afwegingen gemaakt en voorwaarden gesteld, om op die manier de privacy schending zoveel mogelijk in te kaderen en zogenaamde ‘fishing expeditions’ te voorkomen.

De voorwaarden die de rechters-commissarissen aan de uitvoering van de machtiging hebben gesteld luiden als volgt:

  1. De vergaarde en ontsleutelde informatie mag slechts worden onderzocht met toepassing van vooraf aan de rechter-commissaris voorgelegde zoeksleutels, zoals:
    – informatie over SkyECC-gebruikers (en hun tegencontacten en eventueel daar weer de tegencontacten van) uit lopend onderzoek naar criminele samenwerkingsverbanden;
    – zoektermen (steekwoorden) en/of afbeeldingen die naar hun aard wijzen op ernstige criminele activiteiten in georganiseerd verband;
  2. Het onderzoek met de zoeksleutels moet zo worden ingericht dat desgewenst achteraf reproduceerbaar en verifieerbaar is voor de rechtbank en verdediging welke resultaten/dataset de zoekslag heeft opgeleverd, en dus welke gegevens ter beschikking zijn gesteld voor het desbetreffende opsporingsonderzoek;
  3. Er wordt bij het onderzoek recht gedaan aan het verschoningrecht van geheimhouders waaronder advocaten. Voor zoveel mogelijk wordt geheimhouderscommunicatie actief uitgefilterd;
  4. De rechter-commissaris wordt inzage gegeven in de onderliggende Franse rechterlijke beslissingen;
  5. De vergaarde informatie wordt na het onderzoek zoals hiervoor omschreven voorgelegd aan de rechter-commissaris om de inhoud en omvang te controleren, en de relatie tot concrete vermoedelijke strafbare feiten te beoordelen;
  6. De vergaarde informatie zal pas na uitdrukkelijke toestemming van de rechter-commissaris aan het Openbaar Ministerie of de politie ter beschikking worden gesteld ten behoeve van (verder) opsporingsonderzoek. Daarbij moet (gelet op voorwaarde 2) duidelijk zijn op welke gegevens de toestemming ziet, en welke gegevens aan het onderzoeksteam worden verstrekt;
  7. De vergaarde informatie zal slechts ter beschikking worden gesteld voor onderzoeken naar strafbare feiten die naar hun aard, in georganiseerd verband gepleegd of beraamd, een ernstige inbreuk maken op de rechtsorde, dan wel misdrijven met een terroristisch oogmerk.

(zie Rb. Amsterdam 24 november 2022, ECLI:NL:RBAMS:2022:6803 in onderzoek ’26Zenne’)

In de verlenging van de machtiging ex artikel 126t Sv van 11 januari 2021 zijn de voorwaarden waaronder aanvullende toestemming kan worden verkregen voor het gebruik van de data nader uitgewerkt. De aanvragen zijn onderverdeeld in vier categorieën en steeds is bepaald wat de omvang is van de SkyECC-data waarvoor toestemming werd gegeven en van welke kaders de communicatie mocht worden ingezien en gebruikt.

Late informatievoorziening en prejudiciële vragen

Bovenstaande feiten staan in overwegingen van uitspraken, omdat advocaten het Openbaar Ministerie verwijten dat zij onvolledig en onjuist zijn geïnformeerd over de wijze waarop SkyECC-data is verkregen. Ook zou Nederland een zeer belangrijke en bepalende rol gehad in de verkrijging van de data, onder andere omdat Nederland de interceptietools heeft ontwikkeld. Hierover zijn prejudiciële vragen gesteld aan de Hoge Raad.

Arrest Hoge Raad

De Hoge Raad heeft deze prejudiciële vragen op 13 juni 2023 in een arrest (ECLI:NL:HR:2023:913beantwoord. Kortgezegd maakt de Hoge Raad (wederom) duidelijk dat het niet behoort tot de taak van de Nederlandse strafrechter om de rechtmatigheid van de uitvoer van het buitenlandse onderzoek te toetsen. Nederlandse rechters moeten dus uitgaan van de rechtmatigheid van het verzamelde bewijs in Frankrijk in de EncroChat en SkyECC-zaken.

De Hoge Raad oordeelt ook dat het uitgangspunt is dat het dat het door de buitenlandse autoriteiten verkregen materiaal betrouwbaar moet worden geacht. Als er echter concrete aanwijzingen voor het tegendeel bestaan, dan is de rechter gehouden de betrouwbaarheid van die resultaten te onderzoeken. Die aanwijzingen kunnen voortkomen uit een specifiek verweer.

Zie ook uitgebreid hierover ons artikel: J.J. Oerlemans & B.W. Schermer, ‘Antwoorden op prejudiciële vragen in de EncroChat- en SkyECC-zaken‘, NJB 2023/2244, afl. 31, p. 2610-2618.

Cybercrime jurisprudentieoverzicht september 2022

jjoerlemans

Meer details bekend over SkyECC operatie

In de afgelopen maanden is er meer duidelijkheid gekomen over de SkyECC-operatie door jurisprudentie en gepubliceerde beslissingen van rechtbanken op onderzoekswensen van de verdediging.

SkyECC is een chatapplicatie waarmee gebruikers op versleutelde wijze met elkaar kunnen communiceren. Met de app was het mogelijk berichten, foto’s en audioberichten uit te wisselen. Bellen is met een ‘Skytelefoon’ niet mogelijk. De app werd aangeboden door het bedrijf ‘Sky Global’ en deze installeerde de versleutelingssoftware op iPhones, Google Pixels, Blackberry’s en Nokia’s.

Op 1 november 2019 is het strafrechtelijk onderzoek ‘Werl’ gestart, dat zich richt op de rechtspersoon Sky Global en de bestuurders en/of werknemers daarvan wegens verdenking van deelneming aan criminele organisatie en (gewoonte)witwassen. In die periode zijn ook in Frankrijk en België strafrechtelijke onderzoeken tegen de aanbieder gestart. De Franse autoriteiten hebben in hun onderzoek een ‘interceptietool’ ingezet, waarvoor een Franse onderzoeksrechter een machtiging heeft verleend. Met de inzet van deze ‘interceptietool’ zijn vanaf medio juni 2019 data van de toestellen van SkyECC verzameld. Vanaf de start van het onderzoek Werl hebben de Franse autoriteiten de onderzoeksbevindingen die zij hebben verkregen met de inzet van de interceptietool gedeeld met het Nederlandse onderzoeksteam.

Op 11 december 2019 startte in Nederland het onderzoek ‘26Argus’, dat zich richt op de criminele samenwerkingsverbanden van de NN-gebruikers van SkyECC. Het had onder meer tot doel ‘het aan de hand van de inhoudelijke data in beeld brengen en analyseren van de criminele samenwerkingsverbanden die gebruikmaken van cryptotelefoons van SkyECC’.

Na de uitvoering van de EOB’s is Frankrijk een onderzoek gestart naar het bedrijf SkyECC. Op 17 december 2020 heeft een Franse rechter in het Franse onderzoek naar SkyECC, op aanvraag van het Franse Openbaar Ministerie, toestemming gegeven voor het gebruik van een interceptiemiddel op een server van SkyECC in Frankrijk. Vervolgens is, met toestemming van de Franse rechter, een interceptietool met de mogelijkheid tot het ontsleutelen van het berichtenverkeer geplaatst op de SkyECC-servers. Het Nederlandse Openbaar Ministerie noemt daarbij in een uitspraak dat daarbij een ‘man-in-the-middle’ MITM-techniek is gebruikt, waarbij een server (door de Fransen) is overgenomen. “De genoemde interceptietool is door Nederlandse rechercheurs en technici ontwikkeld”, aldus de rechtbank Amsterdam. De verkregen data zijn vervolgens door Frankrijk gedeeld met Nederland en België. Nederland, België en Frankrijk hebben een JIT-overeenkomst gesloten waarbinnen de verkregen data onderling konden worden gedeeld.

Over de inzet van het door Nederland ontwikkelde interceptietool zijn rechtbanken in de SkyECC tot nu toe eensgezind. Het wordt gezien als een Frans onderzoek, op Frans grondgebied, met toepassing van Franse rechterlijke machtigingen. De verantwoordelijkheid voor het opsporingsonderzoek ligt daarom bij de Franse autoriteiten (zie bijvoorbeeld de rechtbank Den Haag (ECLI:NL:RBDHA:2022:4585 en ECLI:NL:RBDHA:2022:6764 en de rechtbank Amsterdam (ECLI:NL:RBAMS:2022:4257).

Op 11 december 2020 is een nieuw Nederlands onderzoek gestart, gericht op de onbekende gebruikers van de diensten van SkyECC. Dit onderzoek was een voortzetting van eerder onderzoek. Net als bij EncroChat zijn er ook machtigingen door een Nederlandse rechter-commissaris afgegeven voor de SkyECC operatie. Op 15 december 2020 heeft een Nederlandse rechter-commissaris een machtiging afgegeven op grond van artikel 126t en 126t, zesde lid Sv voor het opnemen en ontsleutelen van de communicatie gevoerd door de Nederlandse NN-gebruikers van SkyECC. Daarbij zijn zeven voorwaarden geformuleerd, die onder meer zien op de zoeksleutels waarmee de ontsleutelde gegevens mogen worden doorzocht, die recht doen aan het verschoningsrecht van geheimhouders en die zien op de verifieerbaarheid en reproduceerbaarheid van de gegevens die voor het betreffende onderzoek beschikbaar zijn gesteld.

Verder heeft een Nederlandse rechter-commissaris ook op 7 februari 2021 een machtiging verleend op grond van artikel 126uba Sv tot binnendringen in het communicatienetwerk van SkyECC. De daaraan gekoppelde mobiele telefoons van NN-gebruikers maken volgens de machtiging ook deel uit van het netwerk. In deze machtiging is overwogen dat het binnendringen in het geautomatiseerde werk ondersteunend is aan de uitvoering van een machtiging op grond van artikel 126t Sv.

Afwijkende benadering Rb. Noord-Holland inzake EncroChat operatie

De rechtbank Noord-Holland heeft op 4 mei 2022 een opvallende uitspraak (ECLI:NL:RBNHO:2022:3845) gedaan over de samenwerking met Frankrijk in de EncroChat operatie. In veel strafzaken waar cryptophones een rol spelen verwijst de rechtbank naar het interstatelijk vertrouwensbeginsel en toetst vervolgens niet het handelen van de Franse Gendarmerie in de operatie. De rechtbank Noord-Holland baseert haar oordeel echter op het (Europese) beginsel van wederzijds vertrouwen dat ten grondslag ligt aan deze samenwerking. Dat moet volgens de rechtbank het vertrekpunt vormen bij de beoordeling van de rechtmatigheid van het opsporingsonderzoek.

De rechtbank overweegt eerst dat onderzoek ‘26Lemont’ was mede gericht op de NN-gebruikers van telefoontoestellen voorzien van de applicatie EncroChat. Deze gebruikers, van wie de namen niet of nog niet bekend waren, werden door de officier van justitie in de fase van de aanvraag van de machtiging ex art. 126uba Sv als verdachten aangemerkt. En de officier van justitie beoogde van de rechter-commissaris een machtiging te verkrijgen om binnen te dringen (ook wel aangeduid als “hacken”) in de telefoontoestellen van die individuele gebruikers en om het berichtenverkeer dat plaatsvond via die toestellen te onderscheppen en vast te leggen (door vermelding van art. 126t Sv als grondslag). De rechtbank ziet onderzoek 26Lemont dan ook als voorbereidend onderzoek in de zin van artikel 359a Sv. Dit brengt volgens de rechtbank mee dat ‘het materiële interstatelijke vertrouwensbeginsel zoals dat de officier van justitie in deze zaak voor ogen staat in strikte zin niet van toepassing is’. De rechtbank overweegt daartoe allereerst dat er sprake is geweest van een sterke verwevenheid van de opsporingsactiviteiten in Frankrijk en Nederland. Er is binnengedrongen in de server van EncroChat die in Frankrijk was gestationeerd maar ook op telefoontoestellen van gebruikers in Nederland.

Volgens de rechtbank werkt Nederland samen met Frankrijk in een JIT, waar die verwevenheid van opsporingshandelingen ook wordt voorondersteld. In lijn met die verdragsregels is door de bevoegde autoriteiten aan de Franse rechter gevraagd om toestemming te verlenen voor opsporing op Frans grondgebied, te weten het binnendringen in de server van EncroChat. Deze heeft zijn beslissingen gegeven in de context van een rechtsstelsel dat als geheel het vertrouwen van de lidstaten geniet.

In aansluiting daarop heeft de rechter-commissaris een machtiging gegeven voor alle opsporingsactiviteiten die in het kader van het JIT op Nederlands grondgebied zijn uitgevoerd. Dat is in overeenstemming met de, aan de EU-rechtshulpovereenkomst ontleende, vereisten van art. 5.2.2 Sv. Volgens de rechtbank is gehandeld in overeenstemming met de EU-regeling voor samenwerking in JIT-verband en de daarop gebaseerde Nederlandse wetgeving. In samenspel met de beschikking van de rechter-commissaris in de Nederlandse rechtsorde is een rechtsbasis verschaft aan het binnendringen in de telefoons van NN-gebruikers. De daaraan voorafgaande hack op de server van EncroChat heeft zijn legitimatie in de beslissingen van de Franse rechter en de daarvoor gegeven motivering. Om die reden is er geen sprake van vormverzuimen en worden alle verweren strekkend tot toepassing van het sanctie-instrumentarium van artikel 359a Sv verworpen.

Zoals ik vaker heb gesignaleerd, stellen andere rechtbanken en gerechtshoven dat de machtiging van de rechter-commissaris moet worden gezien als een “extra machtiging” en de machtigingen die in Frankrijk zijn verstrekt feitelijk zien op de opsporingshandelingen in Frankrijk. Met een beroep op het interstatelijk vertrouwensbeginsel worden verweren die zien op de vormverzuimen met betrekking tot de operatie in Frankrijk doorgaans verworpen.

De verdachte wordt overigens veroordeeld voor 12 jaar gevangenisstraf voor de invoer van 400 kilo cocaïne, het medeplegen van het runnen van een methamfetamine-lab, de dumping van het afval, de groothandel in ketamine en deelneming aan een criminele organisatie.

Hof Den Haag: ‘website’ niet voldoende omschreven als ‘geautomatiseerd werk’

Op 23 augustus 2022 heeft het Hof Den Haag een verdachte vrijgesproken (ECLI:NL:GHDHA:2022:1551) van computervredebreuk. De verdachte werd door het Openbaar Ministerie het inbreken op een website en vervolgens overnemen van gegevens voor zichzelf verweten.

Op Twitter leidde het arrest tot enige consternatie onder ICT-ers, omdat het evident zou moeten zijn dat een ‘website’ een ‘geautomatiseerd is’. Het Hof overweegt dat ‘nu een website feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert, op grond van het voorgaande voldoende aanleiding bestaat om een website niet aan te merken als geautomatiseerd werk. Zulks is in overeenstemming met het (onherroepelijke) arrest van dit hof van 22 september 2020 (ECLI:NL:GHDHA:2020:2005) waarin het ging om een Facebook-account’.

Het Hof Den Haag herhaalt in het arrest in feite staande jurisprudentie dat in de tenlastelegging moet worden uitgelegd waarom een website als een geautomatiseerd werk kwalificeert in de zin van artikel 80sexies Sr betreft (‘onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken’). Nu deze uitleg ontbreekt wordt de verdachte vrijgesproken.

Inloggen in een WhatsApp en Google-account

Op 6 mei 2022 is een opmerkelijke beschikking van een rechter-commissaris gepubliceerd (ECLI:NL:RBDHA:2022:4288) over het inloggen op een WhatsApp- en Google-account van een overleden persoon (het slachtoffer van een misdrijf). Zoals vaker is voorgekomen geeft de rechter-commissaris dan het bevel af aan een opsporingsambtenaar om zich toegang te verschaffen tot de accounts op grond van art. 181 jo 177 Sv, met analoge toepassing van art. 126ng Sv.

In de beschikking overweegt de rechter-commissaris waarom er géén sprake is van binnendringen in een geautomatiseerd werk als bedoeld in art. 126nba Sv (de ‘hackbevoegdheid’). De officier van justitie heeft in de vordering betoogd dat art. 126nba Sv niet van toepassing is, omdat wordt ingelogd “op een normale wijze, zonder kunstgrepen, met toestemming van de nabestaande, welke doorgaans ook door een provider in staat wordt gesteld om een duplicaat simkaart aan te vragen als iemand overlijdt”.

De rechter-commissaris overweegt echter dat de handelingen van de opsporingsambtenaar vergelijkbaar zouden zijn met een rechtmatige gebruiker, zoals het terugzetten van een back-up, zoals bij WhatsApp of het invullen van een beveiligingsvraag of de procedure van ‘wachtwoord vergeten’. Blijkbaar is de rechter-commissaris niet goed op de hoogte dat ook niet rechtmatige gebruikers (hackers) deze technieken gebruiken om computervredebreuk (art. 138ab Sr) te plegen.