Tag Smartphone

Cybercrime jurisprudentieoverzicht november 2025

jjoerlemans

Bron: afbeelding automatisch gegenereerd door WordPress.com

Nieuw arrest Hoge Raad over onderzoek aan smartphones

Op 9 september 2025 heeft de Hoge Raad een nieuw arrest gewezen (ECLI:NL:HR:2025:1247) over onderzoek aan smartphones.

De Hoge Raad herhaalt de relevante overwegingen uit HR 8 maart 2025, ECLI:NL:HR:2025:409 (zie ook mijn annotatie) over de eisen die moeten worden gesteld aan onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones.

De raadsman betoogde kortgezegd dat een ernstige inbreuk plaatsvond, omdat de inhoud van de volledige telefoon is verwerkt: 44.000 foto’s, sociale media (waaronder Facebook) en notities. Dat niet van alle gegevens kennis is genomen doet niet ter terzake, omdat er sprake is van een verwerking van gegevens in de zin van het Unierecht.

Het Hof Arnhem-Leeuwarden stelt vast dat de politie bij de verdachte smartphones heeft aangetroffen. Deze zijn met toestemming van de officier van justitie “doorzocht”. Daarbij is gezocht naar voor het strafrechtelijk onderzoek relevante informatie, zoals zaken die te maken hebben met handel in verdovende middelen, crimineel samenwerkingsverband en witwassen, alsmede gegevens die de gebruiker van de telefoons konden identificeren.

Het doel van het “uitlezen” van de telefoons was het verzamelen van informatie over de gebruikers van de telefoons en het onderzoek naar strafbare feiten, eventuele medeverdachten en mogelijke witwassen. Volgens het hof heeft de politie bij het zoeken in de telefoons uitsluitend gekeken naar zaken die verband hielden met dit onderzoek. Er is volgens het hof ‘geen onderzoek verricht naar ‘privé gevoelige’ informatie’. Wanneer dergelijke gegevens werden aangetroffen, heeft de verbalisant de betreffende app of het gesprek onmiddellijk afgesloten. De verbalisant gebruikte zoektermen die te maken hadden met de aard van het onderzoek.

Het Hof Arnhem-Leeuwarden oordeelde dat de algemene bevoegdheid van opsporingsambtenaren, neergelegd in art. 94 jo. art. 95 en 96 Sv, voldoende legitimatie bood voor dit onderzoek aan de smartphones van de verdachte en dat geen toestemming van een rechter-commissaris (RC) nodig was, “nu er geen min of meer compleet beeld is verkregen van zijn privéleven”. Dit is in het licht van wat hiervoor is vastgesteld en van wat door de verdediging in hoger beroep naar voren is gebracht, volgens de Hoge Raad onvoldoende gemotiveerd. 

Uit die vaststellingen volgt immers niet dat het onderzoek aan de smartphones beperkt is gebleven tot onderzoek dat slechts strekte tot het identificeren van de gebruiker, of tot bijvoorbeeld onderzoek dat een opsporingsambtenaar in het kader van zijn taakuitoefening deed waarbij hij de bij de verdachte aangetroffen smartphones heeft bekeken en daarbij slechts enkele beperkte waarnemingen heeft gedaan over het feitelijk gebruik daarvan op dat moment of direct daaraan voorafgaand, bijvoorbeeld door na te gaan welke contacten de gebruiker van een telefoon kort tevoren had gelegd. Ook blijkt daaruit niet dat zich hier “spoedeisend geval” voordeed, zoals als uitzondering in HR 8 maart 2025, ECLI:NL:HR:2025:409 was geformuleerd.

De Hoge Raad vernietigt de uitspraak van het hof, maar uitsluitend wat betreft de beslissingen over het in de zaak tenlastegelegde en de strafoplegging en wijst de zaak terug naar het gerechtshof Arnhem-Leeuwarden, zodat de zaak ten aanzien daarvan opnieuw wordt berecht en afgedaan.

Veroordeling in hoger beroep i.v.m. Genesis Market

Het Hof Den Haag heeft op 23 september 2025 in hoger beroep een arrest gewezen (ECLI:NL:GHDHA:2025:1996) met betrekking tot een verkoper van de ‘datamarkt’ Genesis Market.

De verdachte heeft gedurende meer dan twee jaar bots gekocht van Genesis Market, waardoor hij toegang kreeg tot inloggegevens van anderen, waaronder gebruikersnamen en wachtwoorden. Deze gegevens gebruikte hij om bij verschillende webshops op accounts van derden in te loggen en producten te bestellen onder hun naam en ten koste van hen. Dit handelen is bewezen verklaard als het verwerven en voorhanden hebben van niet-openbare gegevens, terwijl de verdachte redelijkerwijs had moeten vermoeden dat deze door misdrijf waren verkregen (art. 139g Sr), het ontvangen, zich verschaffen en voorhanden hebben van gegevens waarvan hij weet dat zij bestemd zijn tot het plegen van een in art. 231b Sr omschreven misdrijf (art. 234 Sr), misbruik van identificerende persoonskenmerken door met behulp daarvan op naam van 34 personen met voornoemde persoonsgegevens bestellingen bij webwinkels te doen (art. 231b Sr) en computervredebreuk door gebruik te maken van door misdrijf verkregen combinaties van gebruikersnamen en/of e-mailadressen en/of bijbehorende wachtwoorden, tot het gebruik waarvan verdachte niet gerechtigd was (art. 138ab Sr).

Het gerechtshof legt een hogere gevangenisstraf op dan de rechtbank. In eerste aanleg werd de verdachte veroordeeld tot twee jaar gevangenisstraf, waarvan acht maanden voorwaardelijk met een proeftijd van twee jaren. Het Hof Den Haag legt een gevangenisstraf van drie jaar op. Deze verhoging is gemotiveerd door de lange periode waarin de verdachte zich schuldig heeft gemaakt aan de bewezen feiten, het aantal bots en slachtoffers, het leed en de onzekerheid die zijn handelen veroorzaakte bij slachtoffers die ontdekten dat hun (inlog-)gegevens in verkeerde handen waren gevallen. Daarnaast weegt mee de achteloosheid en geslepenheid waarmee de verdachte te werk ging, alsmede het feit dat hij al eerder voor relatief veel vermogensdelicten is veroordeeld. Tot slot merkt het hof op dat zij de inschatting van de reclassering met betrekking tot een laag recidiverisico – mede gezien het strafblad van de verdachte – niet deelt.

Veroordeling van darkweb vendor ‘Team Sonic’

De rechtbank Oost-Brabant heeft op 25 juli 2024 (ECLI:NL:RBOBR:2025:4704) een verdachte veroordeeld tot een gevangenisstraf van 9 jaar en 8 maanden. De verdachte was een online verkoper van harddrugs, voornamelijk amfetamine en MDMA. De organisatie verwerkte dagelijks bestellingen via verschillende darkmarkets, waarbij klanten betaalden met cryptovaluta zoals Bitcoin en Monero. De verdachte en – bij diens afwezigheid vanwege detentie – zijn echtgenote hadden een sturende rol in de organisatie.

Het opsporingsonderzoek startte op basis van artikel 126dd van het Wetboek van Strafvordering (Sv) verstrekte EncroChat- en SkyECC-berichten. Uit deze berichten bleek dat niet-geïdentificeerde verdachten zich gezamenlijk bezighielden met de export en verkoop van verdovende middelen, met name amfetamine en MDMA, via het darkweb door middel van postpakketten. Zij traden op als de ‘vendor’ (leverancier) ‘Team Sonic’ en verkochten vanaf maart 2020 grootschalig harddrugs uit lijst I van de Opiumwet aan klanten in het buitenland.

Het onderzoek, gebaseerd op de cryptoberichten en andere informatie zoals gegevens van darknets, richtte zich op de periode 2020 tot en met mei 2022 en betrof historische bevindingen (de ‘terugkijk-fase’). In deze fase werden negen pakketten onderschept in Oostenrijk, Finland, Hongarije, Denemarken en Duitsland die rechtstreeks te herleiden waren tot de cryptogesprekken. Alle pakketten bevatten amfetamine en xtc-pillen.

Ook na mei 2022, tijdens de ‘live-fase’, werd het team onderzocht. Deze fase bestond onder meer uit (stelselmatige) observaties, analyses van bakengegevens onder voertuigen van verdachten en analyse van mast- en telecomgegevens van hun telefoons. Uit deze bevindingen bleek dat de organisatie gebruik maakte van verschillende inpaklocaties. De verdovende middelen werden verborgen in normale postzendingen en via legale postbedrijven verzonden. De bestellingen werden verpakt in een deklading van honden- of kattenvoer. De pakketten werden steeds vanuit Limburg met de auto naar Duitsland gebracht en aldaar gepost bij Duitse postkantoren of (onbemande) pakketpunten, veelal van DHL, om vervolgens via de reguliere poststroom naar afnemers in heel Europa te worden verzonden.

Het bedrijf had verschillende ‘medewerkers’ die betrokken waren bij de verwerking en verzending van bestellingen. In totaal werden 8347 verkopen geregistreerd op veertien (geanonimiseerde) darkwebmarkten. De organisatie maakte gebruik van fictieve afzenders en specifieke verpakkingsmaterialen (zoals piepschuimvlokken en stickers) om hun activiteiten te camoufleren. Op 29 november 2022, de ‘actiedag’, werden een groot aantal verdachten aangehouden, woningen en inpak- en opslaglocaties doorzocht, en goederen in beslag genomen, waaronder bij de verdachte een jammer, een vuurwapen, vier schietpennen en munitie. Op een aangetroffen USB-stick werden bijvoorbeeld 133 afbeeldingen van verdovende middelen gevonden, waarbij bijna elke afbeelding het product met een poppetje van het karakter Sonic toonde.

Naar het oordeel van de rechtbank kan uit de bewijsmiddelen worden afgeleid dat sprake was van een crimineel samenwerkingsverband dat online drugshandel als oogmerk had. De verdachte is veroordeeld voor het medeplegen van de export, de verkoop, het bewerken en het verwerken van hoeveelheden amfetamine en MDMA, deelname aan een criminele drugsorganisatie, het medeplegen van het opzettelijk aanwezig hebben van hoeveelheden harddrugs op verschillende inpak- en opslaglocaties die aan de organisatie gelinkt zijn (de handelsvoorraad), en het opzettelijk voorhanden hebben van wapens en munitie.

Annotatie bij het arrest van de Hoge Raad over gegevensdragers

jjoerlemans

Bron: WordPress. Automatisch gegenereerd met prompt: “Create a featured image for a blog post discussing the recent High Court ruling on data carriers, focusing on the theme of legal analysis and technology.”

De Hoge Raad stelt naar aanleiding van de zaak Landeck (HvJ EU 4 oktober 2024, C-548/21, ECLI:EU:C:2024:830 (CG t. Bezirkshauptmannschaft Landeck)) zijn eigen rechtspraak bij over het onderzoek op gegevensdragers. In mijn annotatie (.pdf) (gepubliceerd in Computerrecht 2025/90) bespreek ik achtereenvolgens de aanleiding van het arrest HR 18 maart 2025, ECLI:NL:HR:2025:409, schets ik de ontwikkeling ten aanzien van de Smartphone-arresten van de Hoge Raad, en analyseer ik de belangrijkste overwegingen uit het arrest. Hieronder volgt een verkorte versie van de annotatie.  

Ontwikkeling Smartphone-arresten

Het onderhavige arrest van de Hoge Raad betreft de cassatie op een arrest van het Hof Den Haag, waarin de raadsheren stelden dat als het voorzienbaar is dat als op voorhand is te voorzien dat een min of meer compleet beeld kan worden verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van die gegevensdrager, de rechter-commissaris moet overwegen beperkingen aan dat onderzoek te verbinden. Het ging daarmee verder dan de Hoge Raad in eerdere jurisprudentie over het onderzoek aan gegevensdragers had geoordeeld. In een ander arrest overwoog het Hof Den Haag iets heel anders (ECLI:NL:GHDHA:2023:324), namelijk dat uit het (eerste Smartphone)-arrest van de Hoge Raad van 4 april 2017 (ECLI:NL:HR:2017:584) zou volgen dat de doorzoekings- en inbeslagnemingsbevoegdheden van de rechter-commissaris mede de bevoegdheid inhouden om de gegevens op de gegevensdrager ongeclausuleerd te onderzoeken. 

De Hoge Raad verwijst naar eerdere jurisprudentie en merkt op dat voor de waarheidsvinding onderzoek mag worden gedaan aan in beslag genomen voorwerpen – waaronder in computers opgeslagen gegevens – teneinde gegevens voor het strafrechtelijk onderzoek ter beschikking te krijgen. In de bekende ‘Smartphone-arresten’, stelde de Hoge Raad eerder dat voor stelselmatig onderzoek aan ‘elektronische gegevensdragers’ en ‘geautomatiseerde werken’ (hierna: gegevensdragers) een bevel van een officier van justitie of machtiging van een rechter-commissaris noodzakelijk is. Stelselmatigheid betekende in deze context dat ‘een min of meer compleet beeld is verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van de gegevensdrager of het geautomatiseerde werk’ wordt verkregen.  

Bijstelling Smartphone-jurisprudentie

De Hoge Raad doet een krachtige bijstelling van de geformuleerde norm uit de voorgaande Smartphone-arresten. Het ‘stelselmatigheidscriterium’ wordt namelijk losgelaten. In plaats daarvan noemt het bepaalde typen gegevens op een gegevensdrager, waarbij toegang tot die gegevens kunnen leiden tot een ernstige of bijzonder ernstige inbreuk op het recht op privacy en de bescherming van persoonsgegevens van de betrokkene. Daar is sprake van als op voorhand is te voorzien dat door het onderzoek aan de smartphone (of andere elektronische gegevensdrager of geautomatiseerd werk) inzicht wordt verkregen in verkeers- en locatiegegevens, of in andersoortige gegevens (zoals foto’s, de browsergeschiedenis, de inhoud van via die smartphone uitgewisselde communicatie, en gevoelige gegevens). Het sluit daarbij aan op de typen gegevens die ook door het HvJ EU in de Landeck-uitspraak worden genoemd. Als de politie en justitie in zo’n geval onderzoek willen verrichten aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken, dan is voor dat onderzoek – behalve in spoedeisende gevallen – een voorafgaande toetsing door de rechter-commissaris vereist. Daarbij neemt de Hoge Raad in aanmerking dat het openbaar ministerie niet kan worden aangemerkt als een onafhankelijk bestuursorgaan. De verdachte zal in het algemeen van deze gronden op de hoogte komen als de stukken die op het onderzoek betrekking hebben, bij de processtukken worden gevoegd.

Daarbij gelden de volgende procedureregels. De officier van justitie kan een vordering sturen tot het verkrijgen van een machtiging van de rechter-commissaris voor het verrichten van het onderzoek aan de betreffende gegevensdrager. In geval van dringende noodzaak kan de machtiging van de rechter-commissaris mondeling worden gegeven. In dat geval stelt de rechter-commissaris de machtiging binnen drie dagen op schrift. Als de officier van justitie een machtiging van de rechter-commissaris vordert, moet in deze vordering voldoende concreet worden omschreven welk onderzoek aan de gegevensdrager zal worden verricht en hoe dit onderzoek zal worden uitgevoerd. Bij het verlenen van een machtiging voor het gevorderde onderzoek kan de rechter-commissaris zo nodig nadere eisen stellen aan het te verrichten onderzoek.

De Hoge Raad stelt dat onderzoek aan gegevensdragers ook een beperkte inmenging in de grondrechten van de gebruiker kan meebrengen, afhankelijk van de keuzes en de inrichting van de aard van het te verrichten onderzoek. De bevoegdheden van opsporingsambtenaren zoals neergelegd in artikel 94 in samenhang met artikel 95 en 96 Sv en in artikel 141 en 148 lid 1 Sv bieden een toereikende grondslag voor een onderzoek aan voorwerpen – waaronder ook elektronische gegevensdragers en geautomatiseerde werken – als de met dat onderzoek samenhangende inbreuk op de persoonlijke levenssfeer als beperkt kan worden beschouwd. De wet vereist in zo’n geval geen voorafgaande rechterlijke toetsing of tussenkomst van de officier van justitie. De Hoge Raad noemt daarbij twee situaties waarbij daar sprake van kan zijn: 1. onderzoek dat slechts strekt tot het identificeren van de gebruiker; en 2. Het bekijken van een aangetroffen gegevensdrager bij een verdachte, waarbij ‘enkele beperkte waarnemingen’ worden gedaan over ‘het feitelijk gebruik daarvan op dat moment of direct daaraan voorafgaand’. Als nadere toelichting wordt dan genoemd dat het kan gaan om welke contacten de gebruiker van een telefoon kort tevoren heeft gelegd.

De Hoge Raad bevestigd ook dat de rechter-commissaris gehouden is een instructie te geven welk onderzoek moet plaatsvinden en hoe dit onderzoek moet worden uitgevoerd. De rechter-commissaris kan beperkingen aanbrengen bij het te verrichten onderzoek. Het Hof Den Haag gaf meer concrete suggesties mee. Beperkingen kunnen worden aangebracht ten aanzien van het aantal te onderzoeken gegevensdragers, van de te onderzoeken gegevens (zoals afbeeldingen, communicatie, internetgedrag, et cetera), of van de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd of op de betreffende elektronische gegevensdrager zijn terechtgekomen. Ook kan volgens het hof worden gekozen voor fasering van toegestane onderzoekshandelingen, waarbij de rechter-commissaris tussentijds beslist tot uitbreiding of (verdere) beperking van het toegestane onderzoek. De Hoge Raad noemt verder dat door het onderzoek geautomatiseerd uit te voeren met behulp van een technisch hulpmiddel (forensische software) en door schriftelijke vastlegging van de uitkomsten van dat onderzoek, de inrichting en omvang van het onderzoek duidelijk kan worden. Dit kan bijdragen aan het waarborgen dat geen grotere inbreuk wordt gemaakt op de persoonlijke levenssfeer van de gebruiker dan noodzakelijk is.

Nabeschouwing

De Hoge Raad meent zelf dat het Landeck-arrest met zich meebrengt dat het onderzoek aan gegevensdragers op een “enigszins andere manier moet worden genormeerd”. Dat is nogal eufemistisch, omdat de praktijk helemaal anders moet. Veel vaker dan voorheen moet nu een machtiging van een rechter-commissaris worden verkregen bij onderzoek op gegevensdragers, omdat het al snel voorzienbaar is dat een ernstige inbreuk op het privéleven van een persoon kan plaatsvinden. In het recente verleden werd in de lagere rechtspraak bijvoorbeeld nog het kennisnemen van ‘enkele foto’s’ of ‘enige Whatsapp-berichten’ gezien als een ‘beperkte privacy-inbreuk’ (Zie bijvoorbeeld HR 10 juli 2018, ECLI:NL:HR:2018:1121 (foto’s in een fotogalerij op een smartphone), Hof Arnhem-Leeuwarden 14 juli 2017, ECLI:NL:GHARL:2017:6069 (afbeeldingen op een SD-kaart), Hof Arnhem-Leeuwarden 3 november 2023, ECLI:NL:GHARL:2023:9312 (sms en Whatsapp verkeer), en Rb. Rotterdam 17 april 2024, ECLI:NL:RBROT:2024:3887 (openstaand Whatsapp-gesprek)). Vanwege de nieuwe categorieën van de inhoud van communicatie en foto’s, worden deze handelingen nu gezien als een ernstige privacy-inbreuk, waarvoor voortaan toestemming van de rechter-commissaris noodzakelijk is. Bovendien is het onderzoek aan gegevens niet standaard ongeclausuleerd; nu moet worden uitgelegd op welke wijze het onderzoek moet worden uitgevoerd.

De Hoge Raad maakt, in navolging van de conclusie van Advocaat Generaal Harteveld, een wat vreemde vergelijking met de dataretentie-zaak La Quadrature du Net II (zie ook HvJ EU 30 april 2024, C-470/21, ECLI:EU:C:2024:370 (La Quadrature du Net e.a. II), EHRC-Updates.nl, m.nt. J.J. Oerlemans & M. Hagens). Uit deze dataretentie-uitspraak zou namelijk zijn af te leiden dat onderzoek aan gegevensdragers ook een beperkte inmenging in de grondrechten van de gebruiker kan meebrengen, afhankelijk van de keuzes en de inrichting van de aard van het te verrichten onderzoek. Het opvragen van gebruikersgegevens bij een elektronische communicatiedienst laat zich echter lastig vergelijken met onderzoek aan smartphones. In Landeck wordt niet gerept over een beperkte privacy-inbreuk, maar overweegt het HvJ EU wel dat de ernst van de inmenging met het recht op privacy en het recht op bescherming van persoonsgegevens (onder andere) afhangt van ‘de aard en de gevoeligheid van de gegevens’ waartoe de bevoegde politiediensten zich toegang kunnen verschaffen. In het geschetste scenario van een beperkte privacy-inmenging door de Hoge Raad, is het lastig na te gaan of de opsporingsambtenaar zich ook aan het beperkte onderzoek houdt.

De Hoge Raad acht het noodzakelijk dat in de aanvraag van de officier van justitie of de machtiging van de rechter-commissaris voor onderzoek aan de gegevensdrager beschreven staat welk onderzoek moet plaatsvinden, en hoe dit onderzoek moet worden uitgevoerd. Dat neemt niet weg dat er in de praktijk nog steeds sprake kan zijn van een tamelijk breed onderzoek op apparaten, zeker als niet vooraf duidelijk is welke informatie zal worden aangetroffen, terwijl deze gegevens mogelijk wel relevant kunnen zijn voor het opsporingsonderzoek. De suggestie van het Hof Den Haag van gefaseerde onderzoekshandelingen – evenals beperkingen in het aantal te onderzoeken gegevensdragers, de te onderzoeken gegevens, of de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd – zou de evenredigheid van een dergelijk onderzoek kunnen waarborgen.

In de literatuur is vooral de vraag opgeworpen of het arrest ertoe leidt dat bij het maken van een kopie (een ‘image’) van een gegevensdrager, zoals een smartphone, een machtiging van een rechter-commissaris is vereist. Ik sluit mij aan bij Taylor Parkins-Ozephius & Van Toor dat het maken van een image doorgaans een onderzoekshandeling is waarvoor een machtiging van een rechter-commissaris is vereist, omdat op voorhand redelijk is te voorzien dat een ernstige privacy-inbreuk zal plaatsvinden vanwege de verkeers- en locatiegegevens en gevoelige gegevens die zich op deze apparaten bevinden. In het bevel of in de machtiging moet vervolgens worden gemotiveerd op welke wijze het onderzoek zal plaatsvinden en waarom dat proportioneel is.

Aanpassen van wetgeving

Op 1 april 2025 heeft de Tweede Kamer ingestemd met boek 2 van het nieuwe Wetboek van Strafvordering over het opsporingsonderzoek. Artikel 2.7.38 van dit nieuwe Wetboek van Strafvordering bevat echter nog de driedeling n.a.v. de oude Smartphone-arresten. Deze driedeling is nu door de Hoge Raad vervangen door de tweedeling (de beperkte en ernstige privacy-inbreuk), met veel meer concrete categorieën van persoonsgegevens i.p.v. het criterium van ‘stelselmatigheid’ om te bepalen dat sprake is van een ernstige privacy-inbreuk. Naar aanleiding van het onderhavige arrest zal dit artikel daarom moeten worden aangepast.

Daarnaast is het belangrijk na te gaan welke consequenties het arrest moet hebben voor andere bevoegdheden (en de voorgestelde regelingen in het nieuwe Wetboek van Strafvordering) met betrekking tot het onderzoek op gegevensdragers. In het bijzonder denk ik aan de bevoegdheid tot het doorzoeken van een plaats ter vastlegging van gegevens op deze plaats die op een gegevensdrager zijn opgeslagen of vastgelegd (art. 125i Sv) en aan de netwerkzoeking in art. 125j Sv. Het ligt voor de hand hierbij hetzelfde criterium aan te leggen voor het bepalen van een ernstige privacy-inbreuk en dezelfde procedurele waarborg aan te leggen van voorafgaande toestemming van een onafhankelijke autoriteit. Zoals ik eerder in mijn annotatie met Anna Berlee bij HR 5 april 2022, ECLI:NL:HR:2022:475Computerrecht 2022/186 heb aangegeven zou de wetgever daarbij ook een nieuwe autoriteit kunnen overwegen, in plaats van deze voorafgaande machtiging bij de rechter-commissaris te beleggen. In de tussentijd moet de praktijk geïnstrueerd worden over deze nieuwe normering voor onderzoek aan gegevensdragers. Vermoedelijk levert het een stevige verzwaring van het takenpakket van de rechter-commissaris, gezien het feit dat smartphones en andere gegevensdragers een dankbare bron aan bewijs in strafzaken lijken te zijn.

Cybercrime jurisprudentieoverzicht maart 2025

jjoerlemans

Bron: afbeelding gegenereerd met Dall-E (prompt: A realistic digital illustration depicting bank helpdesk fraud and crypto scams via social media influencers)

Fraude door middel van crypto-investeringen

De cybercrimekamer van de rechtbank Zeeland-West-Brabant heeft op 30 januari 2025 vijf mannen veroordeeld voor onder andere verschillende vormen van online oplichting, computervredebreuk en witwassen. De rechtbank legde celstraffen op variërend van 8 tot 36 maanden. Daarnaast moeten de mannen gezamenlijk meer dan 600.000 euro aan schadevergoedingen betalen. Bovendien is hen een betalingsverplichting van ruim driehonderdduizend euro aan de Staat opgelegd, als ontneming van wederrechtelijk verkregen voordeel. Zie ook het persbericht, Celstraffen en schadevergoedingen voor cybercriminaliteit.

In een uitspraak van 30 januari 2025 (ECLI:NL:RBZWB:2025:499) veroordeelde de rechtbank Zeeland-West-Brabant bijvoorbeeld één van de verdachten voor oplichting door middel van crypto-investeringen. De werkwijze van de verdachten was als volgt.

De slachtoffers werden gebeld door iemand die zich voordeed als een bankmedewerker en hen wees op een verdachte transactie of een ander probleem met hun rekening. In meerdere gevallen werden de slachtoffers overtuigd om geldbedragen van hun spaarrekening over te boeken naar hun lopende rekening, waarna deze bedragen werden doorgestort naar een zogenaamde “kluisrekening” of “depositorekening”. In werkelijkheid betrof dit een rekening op naam van een katvanger (‘money mule’).

Deze money mules kwamen via een promotiefilmpje van een ‘influencer’ op Snapchat in contact met verschillende Snapchataccounts. In deze zaak was de verdachte verantwoordelijk voor deze accounts. In het promotiefilmpje werd geïnteresseerden gevraagd hun bankrekening beschikbaar te stellen. Wie hierop inging, kwam in gesprek met de gebruiker van de betreffende Snapchataccounts. De potentiële money mule kreeg vervolgens een ‘pitch’ te zien waarin werd beloofd dat hij of zij 25 tot 40% zou ontvangen van het bedrag dat naar zijn of haar rekening werd overgemaakt. In werkelijkheid kregen velen helemaal niets en verloren zij zelfs hun eigen spaargeld. Vervolgens kreeg een loopjongen of ‘pinner’ de beschikking over de pinpas en inloggegevens van de money mule. In korte tijd werden grote geldbedragen gepind en goederen aangeschaft.

De verdachte is veroordeeld voor het witwassen van ruim € 500.000. De rechtbank past daarbij het volwassenstrafrecht toe op de verdachte. Zowel de Raad voor de Kinderbescherming als de jeugdreclassering adviseerden toepassing van het sanctierecht voor volwassenen. De rechtbank acht bewezen dat de verdachte gedurende langere tijd een groot aantal strafbare feiten heeft gepleegd. Daarnaast heeft hij, direct na een eerdere veroordeling door de rechtbank Den Haag, opnieuw soortgelijke delicten begaan. Volgens de rechtbank wijst dit op een “pro-criminele levenshouding”. De verdachte lijkt bovendien niet open te staan voor pedagogische beïnvloeding en is al eerder veroordeeld voor soortgelijke feiten. De verdachte wordt daarop veroordeeld tot een gevangenisstraf van drie jaar en moet verschillende schadevergoedingen betalen.

Principiële overwegingen n.a.v. het arrest Landeck

Op 22 januari 2025 veroordeelde het Hof Den Haag (ECLI:NL:GHDHA:2025:66) een verdachte voor het aanschaffen van ongeveer 1.885 zogeheten ‘bots’ op Genesis Market, voor diefstal en voor het voorhanden hebben van gegevens die bestemd waren voor het plegen van strafbare feiten. Zie dit blogbericht over de veroordelingen naar aanleiding van operatie ‘CookieMonster’ en de ontmanteling van Genesis Market.

De principiële overwegingen van het gerechtshof over het onderzoek van een smartphone zonder toestemming van de rechter-commissaris zijn met name interessant, mede in het licht van het Landeck-arrest van het Hof van Justitie van de Europese Unie (HvJ EU) (ECLI:EU:C:2024:830). De verdediging voerde aan dat de smartphone (een iPhone XS) van de verdachte in beslag was genomen en volledig (geautomatiseerd) werd uitgelezen.

Het hof stelt met de verdediging vast dat inderdaad sprake was van een uitvoerig en intensief onderzoek van de telefoon. Dit onderzoek omvatte onder meer:

  • Het bekijken van foto’s, waaruit onder andere informatie over het gezinsleven van de verdachte naar voren kwam.
  • Het lezen van notities van de verdachte, waaronder informatie over zijn ernstig zieke moeder.
  • Het in kaart brengen van e-mailadressen en het koppelen van telefoonnummers aan andere informatie.
  • Het bekijken van chatgesprekken.
  • Het vinden van een boardingpass met reisgegevens.
  • Het analyseren van de internetgeschiedenis.
  • Het bekijken en integraal opnemen in het dossier van een notitie met de titel ‘my life’, waarin privacygevoelige informatie stond over het gezinsleven en medische gegevens van de verdachte.

Hierdoor konden zeer nauwkeurige conclusies over het privéleven van de verdachte worden getrokken, wat volgens het hof neerkomt op een zeer ernstige inmenging in zijn fundamentele rechten. Het hof stelt tevens met de verdediging vast dat voor dit onderzoek geen machtiging is aangevraagd bij de rechter-commissaris; in het dossier wordt slechts vermeld dat het onderzoek plaatsvond ‘met toestemming van de officier van justitie’.

Het hof stelt voorop dat uit de zogeheten Smartphone-arresten (HR 4 april 2017, ECLI:NL:HR:2017:584, ECLI:NL:HR:2017:588 en ECLI:NL:HR:2017:592) volgt dat voor het verrichten van onderzoek aan gegevens van een in beslag genomen geautomatiseerd werk of digitale gegevensdrager een getrapte bevoegdheidstoedeling geldt. Dit betekent dat:

  • Een opsporingsambtenaar onderzoek mag verrichten indien op voorhand te voorzien is dat de inbreuk op de persoonlijke levenssfeer beperkt zal zijn.
  • De officier van justitie (door of namens deze) onderzoek mag verrichten indien op voorhand te voorzien is dat sprake zal zijn van een meer dan beperkte inbreuk.
  • De rechter-commissaris (door of namens deze) toestemming moet geven indien op voorhand te voorzien is dat de inbreuk zeer ingrijpend zal zijn.

Waar het hof eerder (in het arrest van 20 november 2023, ECLI:NL:GHDHA:2023:2538) nog overwoog dat dit beoordelingskader in voldoende mate tegemoetkwam aan de door het HvJ EU verlangde waarborgen bij onderzoek aan gegevens, moet, mede in het licht van hetgeen door de verdediging is aangevoerd, de vraag worden beantwoord of dat na het arrest van het HvJ EU in de zaak CG/Bezirkshauptmannschaft Landeck (HvJ EU 4 oktober 2024, C-548/21, ECLI:EU:C:2024:830) nog steeds het geval is.

Kort gezegd, luidt het antwoord dat in dit geval toestemming van de rechter-commissaris noodzakelijk was voor het onderzoek aan de telefoon. Omdat die toestemming ontbrak, is sprake van een vormverzuim in het voorbereidend onderzoek in de zin van artikel 359a Sv.

Bij de beoordeling of aan deze schending een rechtsgevolg moet worden verbonden, moet het hof overwegen of: (a) de verdachte daadwerkelijk nadeel van de schending had ondervonden, (b) dit nadeel was veroorzaakt door het verzuim, (c) het nadeel geschikt was voor compensatie door middel van strafvermindering, en (d) strafvermindering, in het licht van het belang van het geschonden voorschrift en de ernst van het verzuim, gerechtvaardigd was.

Het hof concludeerde dat als de rechter-commissaris om toestemming was gevraagd, hij deze zonder nadere beperkingen had kunnen verlenen. De verdachte was door het vormverzuim dus niet in een nadeliger positie geraakt. Daarom oordeelde het hof dat bewijsuitsluiting, noch strafvermindering, een gerechtvaardigd rechtsgevolg is. Daarom volstaat het hof met de constatering van het vormverzuim.

Rol van Nederlandse opsporingsinstanties in het Exclu-onderzoek

In een tussentijdse beslissing in hoger beroep (ECLI:NL:GHDHA:2025:274) van 21 januari 2025 verduidelijkt het gerechtshof Den Haag de rol van de Nederlandse opsporingsinstanties in het Exclu-onderzoek. Daarnaast bevat de uitspraak interessante overwegingen over het interstatelijk vertrouwensbeginsel.

Het hof overweegt ten aanzien van het interstatelijk vertrouwensbeginsel het volgende. Beslissingen van rechters van de aangezochte autoriteit (Duitsland) hebben betrekking op de rechtmatigheid van de Duitse tenuitvoerlegging van het door Nederland uitgevaardigde Europees Onderzoeksbevel (hierna: EOB). De Nederlandse strafrechter komt daarover in beginsel geen oordeel toe (HR 13 juni 2023, ECLI:NL:HR:2023:913, r.o. 6.16.3). Van belang is ook dat volgens de Hoge Raad de enkele omstandigheid dat Nederlandse opsporingsambtenaren aanwezig mochten zijn bij de uitvoering van een onderzoekshandeling door een buitenlandse autoriteit, of dat zij technische assistentie verleenden, niet betekent dat de betreffende onderzoekshandelingen onder de verantwoordelijkheid van de Nederlandse opsporingsautoriteiten hebben plaatsgevonden (HR 13 juni 2023, ECLI:NL:HR:2023:913, r.o. 6.18). Evenmin kan uit het feit dat vanuit Nederland onderzoekshandelingen met grensoverschrijdende invloed zijn verricht (zoals het binnendringen in een zich in het buitenland bevindend geautomatiseerd werk), worden afgeleid dat deze handelingen onder Nederlandse verantwoordelijkheid vielen (HR 13 februari 2024, ECLI:NL:HR:2024:192).

De verdediging heeft betoogd dat Nederland verantwoordelijk is voor de in de onderzoeken 26Samber en 26Lytham verrichte onderzoekshandelingen. Volgens de raadsman heeft Nederland niet slechts EOB’s uitgevaardigd, maar ook zelfstandig onderzoekshandelingen in Duitsland uitgevoerd.

Het hof overweegt hierover dat uit de bewoordingen van het EOB, inzake de machtiging ex artikel 126uba Sv van de rechter-commissaris van 26 augustus 2022, volgt dat aan de Duitse autoriteiten is verzocht om Nederlandse opsporingsambtenaren toestemming te verlenen om vanaf Nederlands grondgebied binnen te dringen in een zich in Duitsland bevindende Exclu-berichtenserver. Tevens is verzocht om technische bijstand te mogen verlenen bij de plaatsing en monitoring van het interceptiemiddel. Daarnaast staat in het EOB vermeld dat de ontsleuteling van de Exclu-berichten in Nederland zal plaatsvinden. Het hof constateert op basis van het dossier dat de Nederlandse politie (team DIGIT) de in het Exclu-communicatieprotocol toegepaste versleuteling heeft geanalyseerd en ongedaan heeft gemaakt. Zoals door de advocaat-generaal ter terechtzitting is bevestigd, had Nederland een ‘leidende rol’ over dit onderdeel van de Exclu-operatie. Daaruit blijkt van een vergaande vorm van technische bijstand door Nederland met betrekking tot de voor de ontsleuteling van de Exclu-berichten benodigde onderzoekshandelingen.

De advocaat-generaal heeft uitdrukkelijk erkend dat Nederlandse opsporingsambtenaren in het Exclu-onderzoek zelfstandig opsporingshandelingen hebben verricht. Hij heeft hun rol zelfs als ‘leidend’ bestempeld. Het dossier bevat een grote hoeveelheid stukken, waaronder vorderingen tot machtiging ex artikel 126uba Sv, beslissingen van de rechter-commissaris, bevelen van de officier van justitie, EOB’s en processen-verbaal van politie, waarin gedetailleerd wordt omschreven welke onderzoekshandelingen zijn verricht. Het gerechtshof overweegt daarop dat de onderzoekshandelingen onder de verantwoordelijkheid van de Duitse autoriteiten hebben plaatsgevonden. Het hof acht het vertrouwensbeginsel ook in deze omstandigheden onverkort van toepassing.

De verdediging heeft verzocht om specificering van het onderzoek dat de Nederlandse autoriteiten op Duits grondgebied hebben uitgevoerd. Het hof is van oordeel dat uit het algemeen proces-verbaal 26Lytham voldoende duidelijk blijkt welke onderzoekshandelingen zijn verricht. Tegen deze achtergrond acht het hof het verzoek van de verdediging onvoldoende specifiek en wijst het af. Wel wordt het verzoek tot verstrekking van alle EOB’s in het kader van dit onderzoek toegewezen. Bijna alle andere verzoeken worden verder afgewezen, met uitzondering van een proces-verbaal van het Team High Tech Crime en een observatieverslag. Na de verstrekking van deze stukken zal de strafzaak verder gaan.

Medeplegen van cybercriminaliteit door hosting provider

Op 21 februari 2025 heeft de rechtbank Rotterdam een verdachte veroordeeld (ECLI:NL:RBROT:2025:2488) voor medeplichtigheid en medeplegen van computervredebreuk via een hostingprovider. Volgens de rechtbank heeft de verdachte met zijn dienstverlening een Mirai-botnetinfrastructuur gefaciliteerd, waarmee cybercriminelen onder meer DDoS-aanvallen konden uitvoeren. Daarnaast zijn via de servers van de verdachte ten minste drie geautomatiseerde werken wederrechtelijk binnengedrongen, al zijn er aanwijzingen dat dit in werkelijkheid op grotere schaal heeft plaatsgevonden.

Ten tijde van de ten laste gelegde feiten was de verdachte, samen met zijn medeverdachte, aandeelhouder en bestuurder van een hostingbedrijf. De servers van [medeverdachte rechtspersoon] bevonden zich in een datacentrum in Amsterdam en werden verhuurd aan klanten. Op 1 en 18 april 2019 ontving de politie van het Nationaal Cyber Security Centrum (NCSC) meldingen dat de hostingprovider mogelijk via het aan hen toebehorende IP-block een Mirai-afgeleide DDoS-botnetinfrastructuur faciliteerde, en dat er vanaf dit IP-block meer dan 30.000 DDoS-aanvallen waren uitgevoerd. Het Mirai-computervirus infecteert computers en maakt deze onderdeel van een botnet.

De rechtbank stelt vast dat de hostingprovider sinds 31 januari 2018 verantwoordelijk was voor dit IP-block (bestaande uit 256 IP-adressen). Uit onderzoek blijkt dat tussen 5 juni 2018 en 25 juli 2019 bij URLHaus (een organisatie die abusemeldingen verzamelt en openbaar maakt) 3.772 meldingen over dit IP-block zijn ingediend. Van de 2.740 malware-samples die konden worden veiliggesteld, zijn 2.372 geclassificeerd als Mirai. Verder blijkt dat 61 van de 256 IP-adressen in het IP-block in de periode van 10 februari 2018 tot 11 september 2019 Mirai-gerelateerd waren. The Spamhaus Project (een organisatie vergelijkbaar met URLHaus) classificeerde het IP-block als malafide. Bovendien zijn vanaf verschillende IP-adressen binnen het IP-block Mirai-aanvallen en een ransomware-aanval uitgevoerd, waarbij wederrechtelijk is binnengedrongen in geautomatiseerde werken. Gelet hierop stelt de rechtbank vast dat via de door [medeverdachte rechtspersoon] ter beschikking gestelde servers en IP-adressen een Mirai-botnet is gehost (feit 2) en computervredebreuk is gepleegd (feit 1).

Vervolgens beoordeelt de rechtbank of de verdachte en zijn medeverdachten medeplichtig waren aan deze strafbare feiten. Voor medeplichtigheid moet niet alleen worden bewezen dat de verdachten opzet hadden op het ter beschikking stellen van de desbetreffende servers en IP-adressen, maar ook dat hun opzet (al dan niet in voorwaardelijke zin) gericht was op de door de daders gepleegde gronddelicten: het hacken en het hosten/verspreiden van het Mirai-botnet.

Op basis van de bewijsmiddelen stelt de rechtbank vast dat de verdachten op de hoogte waren van de geldende gedragscode, maar zich hier niet aan hebben gehouden. Uit verklaringen blijkt dat zij wisten dat misbruik werd gemaakt van hun servers. Zo ontving een NAS-server tussen 18 maart en 1 oktober 2019 in totaal 8.012 e-mails, waarvan 138 betrekking hadden op ‘Mirai’ en gerelateerd waren aan het IP-block. Dagelijks kwamen meldingen over Mirai binnen. De rechtbank oordeelt dat de verdachten onvoldoende actie hebben ondernomen om dit misbruik te bestrijden.

Daarnaast blijkt uit onderzoek naar de klanten van [medeverdachte rechtspersoon] dat zij diensten konden afnemen zonder authentieke contactgegevens te verstrekken. Klanten gebruikten bijvoorbeeld e-mailadressen die te relateren zijn aan cybercriminaliteit, betaalden anoniem via bitcoins en gaven niet-bestaande adressen op, zoals ‘420 Hacktown’. Ook blijkt uit de communicatie tussen de verdachten en hun klanten dat malafide klanten bewust werden toegelaten. Zo geven reacties op klanttickets aan dat [medeverdachte rechtspersoon] ‘DDoS’ en ‘spoofing’ toestaat zolang dit geen problemen oplevert, en dat ‘botnets’ en ‘bins’ toegestaan zijn mits ze verborgen blijven. In sommige gevallen werd klanten zelfs uitgelegd hoe ‘malware binaries’ het beste konden worden verborgen. Toen een pseudokoper van de politie op 12 september 2019 vroeg of er gecontroleerd werd op abuse-rapporten, luidde het antwoord dat dit niet gebeurde.

Gelet op deze omstandigheden concludeert de rechtbank dat de verdachten bewust de aanmerkelijke kans hebben aanvaard dat hun servers en IP-adressen gebruikt zouden worden voor het verspreiden van een Mirai-botnet en voor computervredebreuk. De rechtbank acht de verdachte in deze zaak schuldig aan medeplegen en medeplichtigheid aan computervredebreuk door het beschikbaar stellen van de daarvoor benodigde middelen.

De verdachte in de onderhavige had een kleinere rol dan zijn medeverdachte. Hoewel een gevangenisstraf passend wordt geacht, houdt de rechtbank rekening met persoonlijke omstandigheden en het tijdsverloop. Daarom wordt een voorwaardelijke gevangenisstraf van vier maanden opgelegd, een taakstraf van 180 uur, met een proeftijd van twee jaar. De medeverdachte, die binnen het bedrijf verantwoordelijk was voor sales en klantencontacten en volgens de rechtbank een grotere rol speelde, krijgt een taakstraf van 240 uur en een voorwaardelijke gevangenisstraf van zes maanden opgelegd (zie ECLI:NL:RBROT:2025:2492).

Cybercrime jurisprudentieoverzicht juni 2024

jjoerlemans

1. Ontwikkelaar Tornado Cash veroordeeld

Op 14 mei 2024 heeft de rechtbank Oost-Brabant heeft een 31-jarige Rus (woonachtig in Amstelveen), veroordeeld (ECLI:NL:RBOBR:2024:2069) tot een gevangenisstraf van vijf jaar en vier maanden. De verdachte ontwikkelde samen met twee anderen ‘Tornado Cash’.

Door bestudering van de GitHub pagina van Tornado Cash ontstond het vermoeden dat verdachte één van de ontwikkelaars van Tornado Cash is. Het strafrechtelijk onderzoek richtte zich vervolgens ook op verdachte.

Werking Tornado Cash

Tornado Cash hanteert zogenaamde pools, een soort verzamelbakjes, aldus de rechtbank, die stortingen van cryptovaluta vanaf het ene walletadres accepteren en opnames via een ander walletadres mogelijk maken. Tornado Cash verbreekt op deze manier het transactiespoor op de blockchain. Hierdoor verhult of verbergt Tornado Cash wat de oorspronkelijke herkomst van de opgenomen cryptovaluta is, wie de daadwerkelijke eigenaar is en waar de cryptovaluta naartoe wordt verplaatst. Doordat Tornado Cash het mogelijk maakt volledig anoniem stortingen in en opnames uit Tornado Cash te doen, wordt eveneens verborgen of verhuld wie de feitelijke beschikkingsmacht over de cryptovaluta heeft, oftewel wie de cryptovaluta voorhanden heeft. Het praktisch onmogelijk om Tornado Cash offline te halen.

In de uitspraak wordt de werking van het systeem ook verder in detail uitgelegd. Zo heeft een gebruiker van Tornado Cash bij het doen van een opname uit Tornado Cash de keus om die opname zelf te doen, via een eigen gekozen walletadres, of om die opname door een zogenaamde ‘relayer’ te laten doen. Relayers zijn extern beheerde systemen, servers, die uit naam van een gebruiker een transactie uitvoeren nadat zij daartoe een instructie hebben gekregen. Naar het oordeel van de rechtbank kan de verdachte niet worden beschouwd als een tussenpersoon zoals bedoeld in art. 54a Sr of een dienstverlener in de zin van art. 138g Sr.

1,2 miljard witgewassen

Volgens de rechtbank is er met Tornado Cash 535.809 ETH (Ether) witgewassen met een waarde van ongeveer 1.217.343.820 USD (1,2 miljard Amerikaanse dollar) (!!). Ether worden daarbij als voorwerpen gezien, zoals bedoeld in art. 420bis. Net als Bitcoins zijn Ether cryptovaluta, digitale geldeenheden, die een reële waarde in het economische verkeer vertegenwoordigen, die voor menselijke beheersing vatbaar zijn en die overdraagbaar zijn. De rechtbank overweegt dat deze cryptovaluta afkomstig zijn van 36 verschillende digitale diefstallen.

Het dieptepunt is de Axie Infinity hack, gepleegd door de Lazarus Group, waarbij 625 miljoen Amerikaanse dollar aan cryptovaluta is gestolen. Daarvan is volgens de rechtbank bijna 450 miljoen dollar in Tornado Cash gestort en witgewassen. Hieruit volgt dat de tenlastegelegde Ether afkomstig zijn van diefstal met een valse sleutel (artikel 311 Sr), al dan niet in samenhang met andere misdrijven. De tenlastegelegde Ether zijn daarmee afkomstig van concreet aanwijsbare misdrijven.

De rechtbank concludeert dat Tornado Cash witwashandelingen heeft uitgevoerd, namelijk het verhullen of verbergen van de herkomst en de verplaatsing van uit misdrijf afkomstige cryptovaluta, Ether, wie de rechthebbenden daarvan waren en wie deze daadwerkelijk voorhanden hebben (gehad). De verdediging heeft aangevoerd dat verdachte geen enkele invloed (meer) had op de autonoom werkende smart contracts van Tornado Cash. De verdediging plaatst de verdachte daarmee ‘als een willoze en onmachtige derde op afstand van de niet te stoppen witwashandelingen van Tornado Cash’.

Verdachte verantwoordelijk voor Tornado Cash en veroordeeld voor medeplegen witwassen

De rechtbank overweegt dat Tornado Cash functioneert zoals het door de verdachte en zijn medeoprichters is ontworpen en valt qua werking volledig onder hun verantwoordelijkheid. Als de verdachte mogelijkheden had willen hebben om op te kunnen treden tegen eventueel misbruik, dan had hij die moeten inbouwen. Dit deed hij echter niet. Tornado Cash werpt geen enkele drempel op voor de gebruiker die over crimineel vermogen beschikt en dit vermogen wil witwassen. De verdachte is daarom schuldig aan (gewoonte)witwassen.

De verdachte wordt zelfs schuldig bevonden aan het medeplegen van witwassen. Volgens de rechtbank dat sprake is geweest van een nauwe en bewuste samenwerking tussen verdachte en zijn mededaders die in de kern bestaat uit een gezamenlijke uitvoering. Die samenwerking heeft de gehele tenlastegelegde periode geduurd. Dat maakt dat verdachte en zijn mededaders gedurende de gehele tenlastegelegde periode als medeplegers van de tenlastegelegde witwashandelingen kunnen worden aangemerkt

De rechtbank stelt vast de verdachte wetenschap had van het feit dat in Tornado Cash grote hoeveelheden uit misdrijf afkomstige Ether werden gestort. Met andere woorden, hij was zich bewust van de aanmerkelijke kans daarop. Die aanmerkelijke kans strekte zich ook uit over de specifiek in de tenlastelegging genoemde Ether die afkomstig waren uit hacks. Volgens de rechtbank is het algemeen bekend dat een ‘cryptomixer’ of vergelijkbare diensten zoals Tornado Cash, gebruikt worden bij het witwassen van cryptovaluta. Daarbij was de verdachte actief in verschillende chatgroepen waarin werd gesproken over hacks waarbij Ether was gestolen en over het feit dat cryptovaluta met een criminele herkomst in Tornado Cash werden gestort. 

Dit weerhield de verdachte er niet van om Tornado Cash te ontwikkelen en zonder begrenzing (bijvoorbeeld door het inbouwen van maatregelen) aan te bieden aan het publiek. Integendeel, hij ging tot zijn aanhouding door met het verder ontwikkelen en de uitrol van Tornado Cash, waarbij vrijwel elke vervolgstap de verhullende werking en de anonimiteit van de gebruikers versterkte. De verdachte nam het eenvoudige, onbegrensde, voorzienbare en evidente gebruik door criminelen op de koop toe. 

To be continued..

De rechtbank vindt net als de officier van justitie een celstraf van 5 jaar en 4 maanden op zijn plaats. Daarnaast wordt een inbeslaggenomen Porsche en ongeveer 1,9 miljoen euro aan cryptovaluta verbeurdverklaard. Voor deze uitspraak is hoger beroep ingesteld.

Na een eerste lezing blijf ik het een ingewikkelde zaak vinden. Het is technisch lastig te begrijpen en ik moet ook verder nadenken over de juridische overwegingen omtrent Tornado Cash als tussenpersoon en de veroordeling voor medeplegen. We wachten eerst eens maar de zaak in hoger beroep af.

2. Veroordeling uitlokken tot hacken in CoronIT systeem

Op 27 mei 2024 is een verdachte veroordeeld (ECLI:NL:RBMNE:2024:3434) voor uitlokking van computervredebreuk (art. 47 lid 1 onderdeel 2 jo art. 138ab Sr) en het overnemen van niet-openbare gegevens uit een geautomatiseerd werk (art. 47 lid 1 onderdeel 2 jo art. 138c Sr). Zie eerder ook deze veroordeling in het jurisprudentieoverzicht van juni 2022.

500 euro voor set persoonsgegevens

De verdachte heeft zich hieraan schuldig door een ander een geldbedrag te beloven om screenshots te sturen van persoonsgegevens (telefoonnummers) die in het computersysteem van de GGD stonden. Persoon ‘A’ heeft ook daadwerkelijk tientallen screenshots met gegevens naar verdachte verstuurd. Het ging daarbij om weten 67 identificerende persoonsgegevens zoals naam, geboortedatum, burgerservicenummer (BSN), adres en telefoonnummer. Haar werd 500,00 euro geboden voor de gegevens.

Identificatie verdachte

Namens de GGD GHOR Nederland is aangifte gedaan, omdat een medewerker via Snapchat werd benaderd om persoonsgegevens uit het computersysteem van de GGD GHOR te delen. Zowel het Snapchataccount als het telefoonnummer waren herleidbaar tot verdachte. De gebruikersnaam van het snapchataccount was te koppelen aan een facebookaccount waarop een advertentie geplaatst werd voor een woningruil. Verdachte stond op dat moment op het adres van deze woning ingeschreven en er werd voor de advertentie gebruik gemaakt van het telefoonnummer van de moeder van verdachte. Tijdens de doorzoeking bij verdachte is een iPhone 6s gevonden in de bank waar hij kort daarvoor had gezeten. Aan deze iPhone 6s was in de periode dat de uitlokking werd gepleegd het telefoonnummer van de verdachte gekoppeld. Het Telegramaccount was ook actief op dit toestel en het toestel straalde in de relevante periode telecommasten aan in de buurt van het woonadres van verdachte. De rechtbank concludeert hieruit dat het verdachte was die in de tenlastegelegde periode gebruik maakte van het telefoonnummer en van het Snapchataccount, en dus degene is geweest die [A] heeft benaderd.

Computervredebreuk en overnemen niet-openbare gegevens

Met de strafbaarstelling in artikel 138ab van het Wetboek van Strafrecht is aansluiting gezocht bij de bestaande strafbaarstelling betreffende de huisvredebreuk. Een wachtwoord kan daarbij worden aangemerkt als een sleutel die de gebruiker toegang geeft tot het systeem of tot een deel daarvan. Wanneer de autorisatie die verleend is voor de toegang tot specifieke onderdelen van het geautomatiseerde werk wordt overschreden, kan het wachtwoord (een sleutel), door het onbevoegd gebruik maken daarvan, een valse sleutel worden.

Ook heeft verdachte zich daarmee schuldig gemaakt aan uitlokking van het opzettelijk en wederrechtelijk voor zichzelf of een ander overnemen van niet-openbare gegevens als bedoeld in artikel 138c Wetboek van Strafrecht. Een dergelijk handelen is gericht tegen de onmiskenbare wil van de beheerder van het systeem en in strijd met het doel daarvan en tast de integriteit van het systeem aan. De uitlokking ziet enkel op het verkrijgen van telefoonnummers uit patiëntendossiers uit CoronIT. Dit impliceert volgens de rechtbank dat verdachte heeft uitgelokt tot het plegen van zowel computervredebreuk als het overnemen van niet openbare gegevens. De rechtbank is daarom van oordeel dat sprake is van eendaadse samenloop.

De verdachte veroordeelt de verdachte tot een taakstraf van 120 uur en een proeftijd van twee jaar.

3. Veroordeling bankhelpdeskfraude

Op 16 mei 2024 veroordeelde (ECLI:NL:RBNNE:2024:1893) de rechtbank Noord-Nederland een verdachte voor 34 maanden gevangenisstraf vanwege bankhelpdeskfraude, in de vorm van het (mede)plegen van oplichting (art. 326 Sr), diefstal met valse sleutels (art. 311) en het voorhanden hebben van leads (art. 139g Sr), en voor online handelsfraude (art. 326e Sr).

Werkwijze

De verdachte en medeverdachten hebben zich in telefoongesprekken met de slachtoffers voorgedaan als een bankmedewerker van de Rabobank en gezegd dat criminelen (in het buitenland) bezig waren geld van hun rekening te halen. Vervolgens hebben ze de slachtoffers overgehaald om hun geld over te boeken naar zogenaamd ‘veilige’ bankrekeningen. Vanaf deze bankrekeningen hebben de verdachte en medeverdachten het geld doorgestort naar verschillende platformen voor de handel in cryptovaluta (Coinbase en Litebit).

In de uitspraak staat gedetailleerd beschreven hoe de verdachten de slachtoffers ook zelf een cryptocurrency app lieten downloaden of account bij een cryptocurreny uitwisselingskantoor lieten openen om het geld over te laten maken. Vervolgens is het geld onder de daders verdeeld. De verdachte heeft zich daarnaast schuldig gemaakt aan vijf gevallen van Marktplaatsfraude.

Toepassing Smartphone-arrest bij verweer

Interessant is nog de overweging van de rechtbank over het onderzoek op de iPhone van de verdachte. In het onderhavige geval stelt de rechtbank vast dat er in de telefoons gericht onderzoek is gedaan naar specifieke zaaksinformatie, zoals leads, cryptovaluta, foto’s van bankpassen en identiteitsbewijzen en afbeeldingen en video’s die mogelijk verband houden met het plegen van vermogensfraude.

Naar het oordeel van de rechtbank kon daardoor echter wel een min of meer compleet beeld worden verkregen van bepaalde aspecten van het persoonlijke leven van de gebruiker van de telefoon. Tussenkomst van de officier van justitie of voorafgaande rechterlijke toetsing was dus vereist. De rechtbank is van oordeel dat hierbij volstaan kon worden met toestemming van de officier van justitie en dat, anders dan de verdediging heeft gesteld, géén sprake is van een situatie waarin een machtiging van de rechter- commissaris is vereist. Op voorhand was immers niet te voorzien dat sprake zou zijn van een zeer ingrijpende inbreuk op de persoonlijke levenssfeer (zoals bijvoorbeeld zeer gevoelige informatie over het privéleven van verdachte), en ook achteraf is dat niet gebleken. Daarmee is de inbreuk op de persoonlijke levenssfeer beperkt gebleven.

4. Waardering van bewijs uit SkyECC operatie

Op 28 mei 2024 heeft de rechtbank Rotterdam een bijzondere uitspraak (ECLI:NL:RBROT:2024:4916) gedaan in een (mega)zaak waar uitgebreid en helder wordt in gegaan op verweren over bewijs dat afkomstig is van SkyECC telefoons.

Verweer 1: Andere gebruiker Sky-ID?

De verdediging stelt zich ten eerste op het standpunt gesteld dat niet kan worden vastgesteld dat de verdachte de (enige) gebruiker is geweest van het Sky-ID [Sky-ID 1]. De zendmastgegevens leveren daarvoor geen sluitend bewijs op. Ook zijn er geen concrete aanwijzingen, zoals selfies, het noemen van verjaardagen, of andere specifieke berichten die duiden op het gebruik van het Sky-ID door de verdachte. De rechtbank overweegt vervolgens uitvoerig waarom dit wel gekoppeld kan worden. Uit een vergelijking van de metadata en de historische gegevens blijkt bijvoorbeeld dat het Sky-ID met het daarbij behorende IMEI-nummer [nummer 1] in de periode tussen december 2019 en januari 2021 het vaakst de zendmast aan de Rietdekkerweg te Rotterdam aanstraalt. Deze zendmast is gelegen in de wijk [naam wijk], waarin ook de woning van de verdachte aan het [adres 1] is gelegen. Ook kon de inhoud uit berichten geverifieerd worden met andere sporen die tijdens de doorzoeking zijn aangetroffen geverifieerd worden.

Verweer 2: Niet voldaan aan bewijsminimum (zelfde bron)?

De verdediging stelt dat niet is voldaan aan het bewijsminimum, omdat de verdenking enkel is gebaseerd op de inhoud van de SkyECC berichten en dit één bron betreft. De verdediging verwijst ten aanzien van dit verweer naar een uitspraak van de rechtbank Zeeland-West-Brabant van 13 september 2022 (ECLI:NL:RBZWB:2022:5151). De rechtbank overweegt dat ten aanzien van alle in het dossier aanwezig chatgesprekken via SkyECC niet worden gesproken van bewijs uit één bron. Er is immers sprake van verschillende, afzonderlijke chatgesprekken, gevoerd door verschillende personen of groepen, op verschillende momenten. Het feit dat deze gesprekken zijn gevoerd via hetzelfde communicatienetwerk (SkyECC), maakt niet dat zij ook alle afkomstig zijn uit één bron.

Bovendien is er in de onderhavige zaak, zoals blijkt uit de verdere inhoud van dit vonnis, op belangrijke onderdelen sprake van andere bewijsmiddelen die de inhoud van de chatberichten ondersteunen. Zo zijn er in twee zaaksdossiers daadwerkelijk verdovende middelen aangetroffen en onderzocht. Ook zijn er afbeeldingen verstuurd die de inhoud van de tekstberichten ondersteunen.

Verweer 3: Niet betrouwbaar vanwege ontbrekende berichten?

De verdediging stelt vraagtekens bij de betrouwbaarheid van de chatberichten die in deze zaak het belangrijkste bewijs vormen en verwijst daarvoor naar een rapport van het Nederlands Forensisch Instituut (hierna: NFI). Uit dit rapport blijkt dat 2,5% van de berichten niet wordt gezien door de software en dat van de ‘veiliggestelde’ berichten meer dan een kwart van de inhoud ontbreekt/onleesbaar is. Hierdoor ontstaat een gemankeerd beeld en is terughoudendheid geboden. Dit leidt er volgens de verdediging namelijk toe dat de context van de chats niet kan worden geduid.

De rechtbank overweegt hierover dat het feit dat niet alle data van het berichtenverkeer volledig is onderschept, er niet aan af doet dat mag worden uitgegaan van de juistheid en betrouwbaarheid van de wél verkregen data. Van de overige 97,5% (1546 berichten) is 73,7% succesvol ontcijferd. Verder beschrijft het NFI dat de Toolboxgegevens een correcte weergave van de chats en hun metadata zijn. Dat door de beperkte weergave van de data sprake zou zijn van niet betrouwbaar bewijs is niet onderbouwd met nadere, verifieerbare, informatie. Van de verdediging mag worden verwacht dat zij concrete feiten en omstandigheden naar voren brengt die de betrouwbaarheid van de data in twijfel kunnen stellen.

Bewijs voor invoer van cocaïne o.b.v. chatberichten en andere bewijsmiddelen

Op basis van versleutelde berichten die zijn verstuurd met de chatapplicatie SkyECC, in combinatie met observaties, onderzoek naar historische telecomgegevens en camerabeelden is de verdenking ontstaan dat de verdachte betrokken is geweest bij de voorbereiding van de invoer in Nederland van de partij verdovende middelen. Uit de (groeps)gesprekken, waaraan de verdachte actief heeft deelgenomen, blijkt dat hij ervan op de hoogte was dat de voorbereidingen die door hem en zijn medeverdachten werden getroffen betrekking hadden op een ‘klus’ die een grote waarde vertegenwoordigde. Uit die gesprekken bleek immers dat bij het bemachtigen van de inhoud van de container sprake was van een nauwe en bewuste samenwerking tussen een groot aantal betrokkenen, dat een uitgebreid plan werd gemaakt voor het uithalen van de lading, compleet met verschillende scenario’s en dat het gebruik van geweld, zo nodig met gebruik van vuurwapens, niet zou worden geschuwd. De rechtbank leidt uit de chatberichten, in onderlinge samenhang bezien, af dat, ook wanneer deze behoedzaamheid wordt betracht, onmiskenbaar over de invoer van cocaïne wordt gesproken.

Bewijs voor georganiseerd en crimineel samenwerkingsverband

Uit de bewijsmiddelen volgt ook dat van een georganiseerd en crimineel samenwerkingsverband sprake is geweest. Via SkyECC wordt er gedurende een aantal weken tussen de betrokkenen in diverse samenstellingen gecommuniceerd over routeinformatie, de status van de betreffende container en de transporteur die de container met een pincode moet ophalen van het haventerrein en hiervoor diverse handelingen moet verrichten, zoals het huren van een oplegger en het voormelden in Portbase. Ook wordt er gesproken over het betalen van betrokkenen en back-up-plannen (plannen b en c) voor het geval het plan van het ophalen van de container met de pincode (plan a) niet zal lukken. Voorts hebben er in dit kader diverse ontmoetingen plaatsgevonden tussen een aantal van de betrokkenen om de werkwijze met elkaar door te nemen. Nadat bekend is geworden dat de transporteur zich moet melden bij de politie wordt er gecommuniceerd over het wissen van zijn telefoon en tablet en het bieden van steun door het dragen van de advocaatkosten. Dit alles duidt op een mate van organisatie, structuur en samenwerking gericht op het plegen van Opiumwetmisdrijven. Kort gezegd heeft de verdachte zich samen met anderen schuldig gemaakt aan de invoer van twee verschillende cocaïnetransporten van in totaal meer dan 2.600 kilogram. Ook heeft hij voorbereidingshandelingen verricht gericht op de invoer van een partij van 665 kilogram cocaïne. De verdacht wordt veroordeeld tot 8,5 jaar gevangenisstraf.

Uitzondering voor overschrijding van redelijke termijn

Als laatste zegt de rechtbank nog iets interessants over de redelijke termijn. Als uitgangspunt heeft te gelden dat een behandeling ter terechtzitting dient te zijn afgerond met een eindvonnis binnen vierentwintig maanden. Van dit uitgangspunt kan worden afgeweken als sprake is van bijzondere omstandigheden. De rechtbank is van oordeel dat in deze zaak sprake is van bijzondere omstandigheden, welke zijn gelegen in het aantal verdachten (14 in totaal), de omvang van het politiedossier en de juridische complexiteit en onderzoekswensen in verband met de SkyECC problematiek. De rechtbank acht vanwege al deze bijzondere omstandigheden een redelijke termijn van drie jaren voor de behandeling van de zaken van alle verdachten in Bolero in dit geval gerechtvaardigd.

Rapport over de rol van encryptie in de opsporing

jjoerlemans

In opdracht van het WODC heeft de NHL Stenden Hogeschool in samenwerking met de Open Universiteit en de Politieacademie op 11 april 2023 een rapport gepubliceerd over de rol van encryptie in de opsporing. Dit blogbericht is gebaseerd op het persbericht en samenvatting van het rapport.

De onderzoekers stellen dat encryptie in opsporingsonderzoeken gemeengoed geworden. Dat is voor een belangrijk deel te wijten aan mobiele telefoons die in beslag worden genomen in opsporingsonderzoeken. Op die telefoons zit vrijwel altijd een vorm van encryptie. Andere vormen van encryptie waarmee de opsporing zich geconfronteerd ziet, zijn versleutelde chatdiensten, vergrendelde devices anders dan mobiele telefoons (bijvoorbeeld laptops), versleutelde e-maildiensten en cryptotelefoons. Bij sommige typen criminaliteit komt encryptie vaker voor dan bij andere. Encryptie komt het meest voor bij georganiseerde (drugs)criminaliteit, cybercrime en kinderporno.

Om toegang te krijgen tot versleutelde informatie, heeft de opsporing ruwweg twee mogelijkheden: 1. encryptie omzeilen en 2. encryptie kraken. Beide kunnen veel capaciteit vergen, maar dat is niet altijd het geval. Het stellig kwantificeren van ‘de benodigde tijd’ was binnen de grenzen van het onderzoek niet haalbaar. Omzeilen kan door het vinden van de sleutel, het raden van de sleutel, het afdwingen van de sleutel, het exploiteren van een lek in de encryptiesoftware, het verkrijgen van toegang tot leesbare tekst als het apparaat in gebruik is en door het lokaliseren van een kopie van de leesbare tekst. Voor het technisch kraken – ofwel toegang krijgen tot een computersysteem met behulp van forensische hulpmiddelen – is adequate soft- en hardware nodig. Het kraken wordt volgens respondenten veelal uitbesteed aan een andere partij of afdeling, zoals het NFI. In geval van een internationale samenwerking kan Europol een rol vervullen. In hoeverre het kraken lukt, hangt af van het toegepaste cryptografische algoritme en de sleutellengte. Daarbij geldt in algemene zin: hoe langer de sleutel hoe lastiger te kraken.

Omtrent het inzetten van opsporingsbevoegdheden bepaalt het OM bijvoorbeeld of capaciteit en tijd van de Nationale Politie of het NFI wordt ingezet om versleutelde data te kraken. De opsporing beschikt verder over het decryptiebevel (art. 126nh lid 1 Sv) en de hackbevoegdheid (artt. 126nba, 126uba en 126zpa Sv). Hiervan wordt weinig gebruik gemaakt, omdat deze bevoegdheden alleen onder strikte voorwaarden mogen worden ingezet. Daarnaast is de opsporing bij rechtshulpverzoeken afhankelijk van onder andere wet- en regelgeving of opgevraagde data (tijdig) geleverd worden en of ze bruikbaar zijn voor het opsporingsonderzoek. Toch betekent het niet kunnen omzeilen of kraken van encryptie niet het einde van een opsporingsonderzoek. Soms werken de verdachten mee door data te ontsleutelen en de politie kan voor het bewijs ook andere wegen bewandelen. Denk daarbij aan metadata, bijvoorbeeld via telefoons die op een bepaald tijdstip in de buurt van een bepaalde telefoonpaal zijn.

Wanneer het lukt om encryptie te kraken, kan dit het opsporingsonderzoek vaak juist versnellen. De waarde van ontsleutelde data wordt bovendien gezien als zuiverder dan bijvoorbeeld (getuigen)verklaringen. Tevens is het beeld over criminele samenwerkingsverbanden vollediger is geworden na decryptie van communicatie van cryptotelefoniediensten, in plaats van globaal en fragmentarisch in de situatie voor en/of zonder encryptie. Bovendien, op het moment dat achter de encryptie gekomen kan worden (de fase van decryptie), ligt er potentieel een schat aan data waarmee de opsporing haar voordeel kan doen.

Het is niet vast te stellen hoeveel zaken er niet worden opgelost of hoeveel tijd verloren gaat door encryptie. Ook kon niet worden vastgesteld hoeveel zaken er extra worden opgelost of hoeveel tijd er wordt gewonnen dankzij gekraakte encryptie. De opsporing is daarvoor een te complex geheel van feiten, toevalligheden en omstandigheden. De onderzoekers stellen wel de vraag wat encryptie écht anders maakt voor het opsporingswerk. Het beschermen en verkrijgen van informatie is altijd al onderdeel van het zogenoemde kat-en-muisspel tussen politie en criminelen. Uiteindelijk, zo stellen de onderzoekers, vraagt digitalisering van politie en haar partners meebewegen en aanpassen aan wat er op hen af komt.

Strafvordering in het digitale tijdperk

jjoerlemans Een reactie plaatsen

Posted on op Oerlemansblog

Waar moet de Nederlandse regeling voor de opsporing in het digitale tijdperk aan voldoen? De Commissie-Koops heeft getracht op deze vraag antwoord te geven en heeft in juni 2018 een indrukwekkend rapport afgeleverd over ‘de regulering van opsporingsbevoegdheden in het digitale tijdperk’. Het rapport bevat maar liefst 72 aanbevelingen voor de wetgever om het onderdeel over opsporing (“Boek 2”) in het nieuwe Wetboek van Strafvordering beter in te richten.

Mijn artikel is een beschouwing van het rapport waar ik de belangrijkste aanbevelingen van de commissie in het rapport samenvat en kritisch bespreek. Ook betoog ik dat het onderwerp van data-analyse in de opsporing in het rapport onvoldoende is uitgewerkt.

In deze blogpost volsta ik verder met de conclusie van mijn artikel. Het gehele artikel is door een open access regeling direct te lezen via het ‘Platform Modernisering Strafvordering’.

Paragraaf 6 – Slotbeschouwing

De Commissie-Koops heeft een waardevolle bijdrage geleverd aan het project Modernisering Strafvordering door verbeteringen voor te stellen met betrekking tot het conceptwetsvoorstel Boek 2. De Commissie heeft een grondige en systematische analyse gedaan van de voorgestelde regelingen en aandacht besteed aan de relevante maatschappelijke ontwikkelingen. De wetgever doet er goed aan alle 72 aanbevelingen uit het rapport serieus mee te nemen in het wetgevingsproces.

De nieuwe rol en invulling van ‘stelselmatigheid’ is bovendien waardevol om de zwaarte van de privacy-inmenging en bijpassende autoriteit in te vullen. Het nieuwe normeringscriterium loopt als een rode draad door het rapport voor de normering van bijzondere opsporingsbevoegdheden, zoals openbronnenonderzoek, het beslag op digitale gegevensdragers, het vorderen van gegevens en onderzoek aan (tele)communicatie.

Toch is het criterium van stelselmatigheid naar mijn mening niet voor alle opsporingshandelingen even geschikt. In sommige gevallen kan bij de normering van opsporingsmethoden beter voor duidelijkheid worden gekozen met een vooraf ingevulde inbreuk op de persoonlijke levenssfeer en bijbehorende autoriteit om het bevel voor de opsporingshandeling te geven. Ik doel daarbij in het bijzonder op het beslag op bepaalde gegevensdragers en de inzet van scrapers ten behoeve van de opsporing. De Commissie-Koops gaat in plaats daarvan mee met de ruime normen die in de praktijk zijn ontwikkeld en achteraf door de rechtspraak zijn goedgekeurd of bijgestuurd. Daarbij worden suggesties gedaan voor een zeer genuanceerde invulling van het criterium afhankelijk van de verschillende omstandigheden van het geval, waarbij met tal van factoren rekening moet worden gehouden.

Het is echter belangrijk dat ook de maatschappij, bij monde van de wetgever, zich uitspreekt en beslissingen neemt over belangrijke zaken, zoals de wenselijke wettelijke bescherming bij het onderzoek van gegevens in een smartphone en de vraag of scrapers op grote schaal (persoons)gegevens mogen verzamelen. Ook geeft een regeling voor opsporingsmethoden zonder stelselmatigheid als normeringscriterium de reikwijdte van een opsporingsbevoegdheid duidelijker aan en biedt daarmee meer rechtszekerheid voor alle betrokkenen in het strafproces.

In dit artikel heb ik opnieuw betoogd dat de zwaarte van de privacy-inmenging bij de inbeslagname van en het onderzoek op smartphones ernstig is en dat simpelweg kan worden gekozen voor een vereiste machtiging van een rechter-commissaris (behoudens enkele uitzonderingen bij wet). Zeker voor de jongere generaties zijn opsporingshandelingen met betrekking tot smartphones, PC’s en laptops, waarbij de bijbehorende gegevens al dan niet in de cloud zijn opgeslagen, zeer privacy-intrusief. Het arrest van de Hoge Raad en het voorstel van de Commissie-Koops houden hier mijns inziens onvoldoende rekening mee en leggen een onduidelijk criterium aan om de ernst van de privacy-inmenging te bepalen. De aanbeveling een wetsvoorstel voor het beslag op gegevensdragers en openbronnenonderzoek al eerder naar de Tweede Kamer te sturen ondersteun ik daarom ten volle. Hopelijk bestaat daarbij ook nog ruimte voor een debat over het alternatief van een eenvoudiger regeling met een duidelijke bevoegde autoriteit voor de inbeslagname en het onderzoek van gegevens op bovengenoemde gegevensdragers en de inzet van scrapers.

Daarnaast is de uitwerking over de ‘dataficering van de opsporing’ en in het bijzonder het gebruik van data-analysetechnieken in het rapport ondermaats gebleven. Een commissie die zich buigt over ‘strafvordering in het digitale tijdperk’ zou ook hierover uitgebreid moeten adviseren, waarbij kan worden voortgebouwd op adviezen die hier al eerder over zijn gegeven.

Het advies had zich moeten richten op concrete suggesties voor strafprocessuele waarborgen bij de verwerking van gegevens binnen het opsporingsproces, inclusief het daaraan gerelateerde vermeende gebrek aan toezicht. In plaats daarvan worden slechts voorzichtige aanbevelingen gedaan en tegelijkertijd een nieuwe vergaande bevoegdheid voorgesteld om een bevel tot data-analyses bij derden ten behoeve van de opsporing mogelijk te maken. Tegenover al het potentieel dat data-analyse voor de politie biedt, moet voldoende bescherming voor de betrokken burgers staan. Op dit punt is het rapport niet in balans.

Het is echter geenszins mijn bedoeling dit artikel over het rapport van de Commissie-Koops in mineur af te sluiten. De bovenstaande kritiek doet niet af aan de waarde en het belang van de voorstellen van de Commissie. Over het geheel genomen heeft de Commissie-Koops een mooie en waardevolle prestatie geleverd, waar de wetgever – getuige de 72 aanbevelingen gericht op het Wetboek van Strafvordering – concreet mee uit te voeten kan.

A warrant requirement for analysing data stored on smartphones

jjoerlemans Een reactie plaatsen

Posted on 28/05/2015

On 22 April 2015, the Dutch high court of Arnhem-Leeuwarden possibly set a precedent with far-reaching consequences. In this particular criminal case, a law enforcement official seized a smartphone and subsequently read and copied WhatsApp messages stored on the smartphone. The defence successfully argued that the investigation method was in violation of the right to privacy as articulated in art. 8 ECHR. The high court of Arnhem-Leeuwarden agreed and deemed the current regulations not foreseeable.

Currently, as explained in my previous blog post, law enforcement officials can seize a smartphone and examine all data stored on it in the context of a criminal investigation to obtain evidence without any notable legal thresholds. However, the high court points out that smartphones contain “not only access to traffic data, but also the contents of communications and private information of a smartphone user” . Because the analysis of such data severely infringes in the right to privacy, the current regulations for seizing and analysing data stored on smartphones are not adequately regulated according to the court.

Right to privacy and analysis of information on smartphones

Indeed, the European Court of Human Rights (ECtHR) recently decided in the case of Prezhdarovi v Bulgaria that (1) a judicial warrant requirement and (2) a limitation of the scope of the sought after data on computers is preferable when law enforcement authorities seize computers and analyse data stored on computers. Considering the serious privacy infringement that takes place when personal data that is stored on computers is analysed by law enforcement authorities, adequate safeguards in the domestic laws of States should protect the involved individuals against arbitrary interferences of State in their personal lives according to the ECtHR.

The decisions of the high court of Arnhem-Leeuwarden and ECtHR indicate that the Dutch regulations for the seizure of computers such as smartphones require amendments in order to adequately protect the right to privacy. In June 2014, the Dutch Ministry of Security and Justice already suggested that amendments were required for analysing data on computer systems. Yet, these amendments only suggested the legal thresholds of an order of a public prosecutor, whereas the ECtHR seems to prefer a prior review of an investigating judge – i.e., basically a warrant requirement – to analyse data on computer systems.

International trend?

Interestingly, almost a year ago, the U.S. Supreme Court decided in the landmark case of Riley v. California that a judge’s warrant is required in order to seize a smartphone and analyse data stored on a smartphone. The protection of the warrant requirement was deemed appropriate, because: “Modern cell phones are not just another technological convenience. With all they contain and all they may reveal, they hold for many Americans “the privacies of life”.

Obviously, modern cell phones do not contain the ‘privacies of life’ only for Americans. So tell me, does your domestic State law require a warrant to seize computers and analyse data stored on those devices?

This is a cross-post from LeidenLawBlog.nl.

=== Updata ===

My commentary (in Dutch) on the case of 22 April 2015 is available here (in .pdf).

Note that, in the meantime, the Dutch courts of Oost-Brabant and Noord-Holland desmissed the verdict of the high court of Arnhem-Leeuwarden, stating that article 94 of the Dutch Code of Criminal Procedure allows for the seizure of smartphones and subsequent search of data stored on the device.

The court of Amsterdam decided on 18 June 2015 that art. 8 ECHR was not infringed, because law enforcement restricted the search of data stored on the smartphone to  contact details. Thefefore, the search was not deemed disproportionate. Interestingly, other judges of the court of Noord-Holland decided on 4 June 2015 in a different case that seizing a smartphone based on art. 94 DCCP does infringe art. 8 ECHR. Clearly, the courts in the Netherlands are devided on the question whether seizing a smartphone based on art. 94 DCCP infringes art. 8 ECHR. Apparently, the Public Prosecution’s Office went in appeal and the question will be brought  to the Dutch Surpeme Court.