Tag smartphone-arrest

Cybercrime jurisprudentieoverzicht maart 2025

jjoerlemans

Bron: afbeelding gegenereerd met Dall-E (prompt: A realistic digital illustration depicting bank helpdesk fraud and crypto scams via social media influencers)

Fraude door middel van crypto-investeringen

De cybercrimekamer van de rechtbank Zeeland-West-Brabant heeft op 30 januari 2025 vijf mannen veroordeeld voor onder andere verschillende vormen van online oplichting, computervredebreuk en witwassen. De rechtbank legde celstraffen op variërend van 8 tot 36 maanden. Daarnaast moeten de mannen gezamenlijk meer dan 600.000 euro aan schadevergoedingen betalen. Bovendien is hen een betalingsverplichting van ruim driehonderdduizend euro aan de Staat opgelegd, als ontneming van wederrechtelijk verkregen voordeel. Zie ook het persbericht, Celstraffen en schadevergoedingen voor cybercriminaliteit.

In een uitspraak van 30 januari 2025 (ECLI:NL:RBZWB:2025:499) veroordeelde de rechtbank Zeeland-West-Brabant bijvoorbeeld één van de verdachten voor oplichting door middel van crypto-investeringen. De werkwijze van de verdachten was als volgt.

De slachtoffers werden gebeld door iemand die zich voordeed als een bankmedewerker en hen wees op een verdachte transactie of een ander probleem met hun rekening. In meerdere gevallen werden de slachtoffers overtuigd om geldbedragen van hun spaarrekening over te boeken naar hun lopende rekening, waarna deze bedragen werden doorgestort naar een zogenaamde “kluisrekening” of “depositorekening”. In werkelijkheid betrof dit een rekening op naam van een katvanger (‘money mule’).

Deze money mules kwamen via een promotiefilmpje van een ‘influencer’ op Snapchat in contact met verschillende Snapchataccounts. In deze zaak was de verdachte verantwoordelijk voor deze accounts. In het promotiefilmpje werd geïnteresseerden gevraagd hun bankrekening beschikbaar te stellen. Wie hierop inging, kwam in gesprek met de gebruiker van de betreffende Snapchataccounts. De potentiële money mule kreeg vervolgens een ‘pitch’ te zien waarin werd beloofd dat hij of zij 25 tot 40% zou ontvangen van het bedrag dat naar zijn of haar rekening werd overgemaakt. In werkelijkheid kregen velen helemaal niets en verloren zij zelfs hun eigen spaargeld. Vervolgens kreeg een loopjongen of ‘pinner’ de beschikking over de pinpas en inloggegevens van de money mule. In korte tijd werden grote geldbedragen gepind en goederen aangeschaft.

De verdachte is veroordeeld voor het witwassen van ruim € 500.000. De rechtbank past daarbij het volwassenstrafrecht toe op de verdachte. Zowel de Raad voor de Kinderbescherming als de jeugdreclassering adviseerden toepassing van het sanctierecht voor volwassenen. De rechtbank acht bewezen dat de verdachte gedurende langere tijd een groot aantal strafbare feiten heeft gepleegd. Daarnaast heeft hij, direct na een eerdere veroordeling door de rechtbank Den Haag, opnieuw soortgelijke delicten begaan. Volgens de rechtbank wijst dit op een “pro-criminele levenshouding”. De verdachte lijkt bovendien niet open te staan voor pedagogische beïnvloeding en is al eerder veroordeeld voor soortgelijke feiten. De verdachte wordt daarop veroordeeld tot een gevangenisstraf van drie jaar en moet verschillende schadevergoedingen betalen.

Principiële overwegingen n.a.v. het arrest Landeck

Op 22 januari 2025 veroordeelde het Hof Den Haag (ECLI:NL:GHDHA:2025:66) een verdachte voor het aanschaffen van ongeveer 1.885 zogeheten ‘bots’ op Genesis Market, voor diefstal en voor het voorhanden hebben van gegevens die bestemd waren voor het plegen van strafbare feiten. Zie dit blogbericht over de veroordelingen naar aanleiding van operatie ‘CookieMonster’ en de ontmanteling van Genesis Market.

De principiële overwegingen van het gerechtshof over het onderzoek van een smartphone zonder toestemming van de rechter-commissaris zijn met name interessant, mede in het licht van het Landeck-arrest van het Hof van Justitie van de Europese Unie (HvJ EU) (ECLI:EU:C:2024:830). De verdediging voerde aan dat de smartphone (een iPhone XS) van de verdachte in beslag was genomen en volledig (geautomatiseerd) werd uitgelezen.

Het hof stelt met de verdediging vast dat inderdaad sprake was van een uitvoerig en intensief onderzoek van de telefoon. Dit onderzoek omvatte onder meer:

  • Het bekijken van foto’s, waaruit onder andere informatie over het gezinsleven van de verdachte naar voren kwam.
  • Het lezen van notities van de verdachte, waaronder informatie over zijn ernstig zieke moeder.
  • Het in kaart brengen van e-mailadressen en het koppelen van telefoonnummers aan andere informatie.
  • Het bekijken van chatgesprekken.
  • Het vinden van een boardingpass met reisgegevens.
  • Het analyseren van de internetgeschiedenis.
  • Het bekijken en integraal opnemen in het dossier van een notitie met de titel ‘my life’, waarin privacygevoelige informatie stond over het gezinsleven en medische gegevens van de verdachte.

Hierdoor konden zeer nauwkeurige conclusies over het privéleven van de verdachte worden getrokken, wat volgens het hof neerkomt op een zeer ernstige inmenging in zijn fundamentele rechten. Het hof stelt tevens met de verdediging vast dat voor dit onderzoek geen machtiging is aangevraagd bij de rechter-commissaris; in het dossier wordt slechts vermeld dat het onderzoek plaatsvond ‘met toestemming van de officier van justitie’.

Het hof stelt voorop dat uit de zogeheten Smartphone-arresten (HR 4 april 2017, ECLI:NL:HR:2017:584, ECLI:NL:HR:2017:588 en ECLI:NL:HR:2017:592) volgt dat voor het verrichten van onderzoek aan gegevens van een in beslag genomen geautomatiseerd werk of digitale gegevensdrager een getrapte bevoegdheidstoedeling geldt. Dit betekent dat:

  • Een opsporingsambtenaar onderzoek mag verrichten indien op voorhand te voorzien is dat de inbreuk op de persoonlijke levenssfeer beperkt zal zijn.
  • De officier van justitie (door of namens deze) onderzoek mag verrichten indien op voorhand te voorzien is dat sprake zal zijn van een meer dan beperkte inbreuk.
  • De rechter-commissaris (door of namens deze) toestemming moet geven indien op voorhand te voorzien is dat de inbreuk zeer ingrijpend zal zijn.

Waar het hof eerder (in het arrest van 20 november 2023, ECLI:NL:GHDHA:2023:2538) nog overwoog dat dit beoordelingskader in voldoende mate tegemoetkwam aan de door het HvJ EU verlangde waarborgen bij onderzoek aan gegevens, moet, mede in het licht van hetgeen door de verdediging is aangevoerd, de vraag worden beantwoord of dat na het arrest van het HvJ EU in de zaak CG/Bezirkshauptmannschaft Landeck (HvJ EU 4 oktober 2024, C-548/21, ECLI:EU:C:2024:830) nog steeds het geval is.

Kort gezegd, luidt het antwoord dat in dit geval toestemming van de rechter-commissaris noodzakelijk was voor het onderzoek aan de telefoon. Omdat die toestemming ontbrak, is sprake van een vormverzuim in het voorbereidend onderzoek in de zin van artikel 359a Sv.

Bij de beoordeling of aan deze schending een rechtsgevolg moet worden verbonden, moet het hof overwegen of: (a) de verdachte daadwerkelijk nadeel van de schending had ondervonden, (b) dit nadeel was veroorzaakt door het verzuim, (c) het nadeel geschikt was voor compensatie door middel van strafvermindering, en (d) strafvermindering, in het licht van het belang van het geschonden voorschrift en de ernst van het verzuim, gerechtvaardigd was.

Het hof concludeerde dat als de rechter-commissaris om toestemming was gevraagd, hij deze zonder nadere beperkingen had kunnen verlenen. De verdachte was door het vormverzuim dus niet in een nadeliger positie geraakt. Daarom oordeelde het hof dat bewijsuitsluiting, noch strafvermindering, een gerechtvaardigd rechtsgevolg is. Daarom volstaat het hof met de constatering van het vormverzuim.

Rol van Nederlandse opsporingsinstanties in het Exclu-onderzoek

In een tussentijdse beslissing in hoger beroep (ECLI:NL:GHDHA:2025:274) van 21 januari 2025 verduidelijkt het gerechtshof Den Haag de rol van de Nederlandse opsporingsinstanties in het Exclu-onderzoek. Daarnaast bevat de uitspraak interessante overwegingen over het interstatelijk vertrouwensbeginsel.

Het hof overweegt ten aanzien van het interstatelijk vertrouwensbeginsel het volgende. Beslissingen van rechters van de aangezochte autoriteit (Duitsland) hebben betrekking op de rechtmatigheid van de Duitse tenuitvoerlegging van het door Nederland uitgevaardigde Europees Onderzoeksbevel (hierna: EOB). De Nederlandse strafrechter komt daarover in beginsel geen oordeel toe (HR 13 juni 2023, ECLI:NL:HR:2023:913, r.o. 6.16.3). Van belang is ook dat volgens de Hoge Raad de enkele omstandigheid dat Nederlandse opsporingsambtenaren aanwezig mochten zijn bij de uitvoering van een onderzoekshandeling door een buitenlandse autoriteit, of dat zij technische assistentie verleenden, niet betekent dat de betreffende onderzoekshandelingen onder de verantwoordelijkheid van de Nederlandse opsporingsautoriteiten hebben plaatsgevonden (HR 13 juni 2023, ECLI:NL:HR:2023:913, r.o. 6.18). Evenmin kan uit het feit dat vanuit Nederland onderzoekshandelingen met grensoverschrijdende invloed zijn verricht (zoals het binnendringen in een zich in het buitenland bevindend geautomatiseerd werk), worden afgeleid dat deze handelingen onder Nederlandse verantwoordelijkheid vielen (HR 13 februari 2024, ECLI:NL:HR:2024:192).

De verdediging heeft betoogd dat Nederland verantwoordelijk is voor de in de onderzoeken 26Samber en 26Lytham verrichte onderzoekshandelingen. Volgens de raadsman heeft Nederland niet slechts EOB’s uitgevaardigd, maar ook zelfstandig onderzoekshandelingen in Duitsland uitgevoerd.

Het hof overweegt hierover dat uit de bewoordingen van het EOB, inzake de machtiging ex artikel 126uba Sv van de rechter-commissaris van 26 augustus 2022, volgt dat aan de Duitse autoriteiten is verzocht om Nederlandse opsporingsambtenaren toestemming te verlenen om vanaf Nederlands grondgebied binnen te dringen in een zich in Duitsland bevindende Exclu-berichtenserver. Tevens is verzocht om technische bijstand te mogen verlenen bij de plaatsing en monitoring van het interceptiemiddel. Daarnaast staat in het EOB vermeld dat de ontsleuteling van de Exclu-berichten in Nederland zal plaatsvinden. Het hof constateert op basis van het dossier dat de Nederlandse politie (team DIGIT) de in het Exclu-communicatieprotocol toegepaste versleuteling heeft geanalyseerd en ongedaan heeft gemaakt. Zoals door de advocaat-generaal ter terechtzitting is bevestigd, had Nederland een ‘leidende rol’ over dit onderdeel van de Exclu-operatie. Daaruit blijkt van een vergaande vorm van technische bijstand door Nederland met betrekking tot de voor de ontsleuteling van de Exclu-berichten benodigde onderzoekshandelingen.

De advocaat-generaal heeft uitdrukkelijk erkend dat Nederlandse opsporingsambtenaren in het Exclu-onderzoek zelfstandig opsporingshandelingen hebben verricht. Hij heeft hun rol zelfs als ‘leidend’ bestempeld. Het dossier bevat een grote hoeveelheid stukken, waaronder vorderingen tot machtiging ex artikel 126uba Sv, beslissingen van de rechter-commissaris, bevelen van de officier van justitie, EOB’s en processen-verbaal van politie, waarin gedetailleerd wordt omschreven welke onderzoekshandelingen zijn verricht. Het gerechtshof overweegt daarop dat de onderzoekshandelingen onder de verantwoordelijkheid van de Duitse autoriteiten hebben plaatsgevonden. Het hof acht het vertrouwensbeginsel ook in deze omstandigheden onverkort van toepassing.

De verdediging heeft verzocht om specificering van het onderzoek dat de Nederlandse autoriteiten op Duits grondgebied hebben uitgevoerd. Het hof is van oordeel dat uit het algemeen proces-verbaal 26Lytham voldoende duidelijk blijkt welke onderzoekshandelingen zijn verricht. Tegen deze achtergrond acht het hof het verzoek van de verdediging onvoldoende specifiek en wijst het af. Wel wordt het verzoek tot verstrekking van alle EOB’s in het kader van dit onderzoek toegewezen. Bijna alle andere verzoeken worden verder afgewezen, met uitzondering van een proces-verbaal van het Team High Tech Crime en een observatieverslag. Na de verstrekking van deze stukken zal de strafzaak verder gaan.

Medeplegen van cybercriminaliteit door hosting provider

Op 21 februari 2025 heeft de rechtbank Rotterdam een verdachte veroordeeld (ECLI:NL:RBROT:2025:2488) voor medeplichtigheid en medeplegen van computervredebreuk via een hostingprovider. Volgens de rechtbank heeft de verdachte met zijn dienstverlening een Mirai-botnetinfrastructuur gefaciliteerd, waarmee cybercriminelen onder meer DDoS-aanvallen konden uitvoeren. Daarnaast zijn via de servers van de verdachte ten minste drie geautomatiseerde werken wederrechtelijk binnengedrongen, al zijn er aanwijzingen dat dit in werkelijkheid op grotere schaal heeft plaatsgevonden.

Ten tijde van de ten laste gelegde feiten was de verdachte, samen met zijn medeverdachte, aandeelhouder en bestuurder van een hostingbedrijf. De servers van [medeverdachte rechtspersoon] bevonden zich in een datacentrum in Amsterdam en werden verhuurd aan klanten. Op 1 en 18 april 2019 ontving de politie van het Nationaal Cyber Security Centrum (NCSC) meldingen dat de hostingprovider mogelijk via het aan hen toebehorende IP-block een Mirai-afgeleide DDoS-botnetinfrastructuur faciliteerde, en dat er vanaf dit IP-block meer dan 30.000 DDoS-aanvallen waren uitgevoerd. Het Mirai-computervirus infecteert computers en maakt deze onderdeel van een botnet.

De rechtbank stelt vast dat de hostingprovider sinds 31 januari 2018 verantwoordelijk was voor dit IP-block (bestaande uit 256 IP-adressen). Uit onderzoek blijkt dat tussen 5 juni 2018 en 25 juli 2019 bij URLHaus (een organisatie die abusemeldingen verzamelt en openbaar maakt) 3.772 meldingen over dit IP-block zijn ingediend. Van de 2.740 malware-samples die konden worden veiliggesteld, zijn 2.372 geclassificeerd als Mirai. Verder blijkt dat 61 van de 256 IP-adressen in het IP-block in de periode van 10 februari 2018 tot 11 september 2019 Mirai-gerelateerd waren. The Spamhaus Project (een organisatie vergelijkbaar met URLHaus) classificeerde het IP-block als malafide. Bovendien zijn vanaf verschillende IP-adressen binnen het IP-block Mirai-aanvallen en een ransomware-aanval uitgevoerd, waarbij wederrechtelijk is binnengedrongen in geautomatiseerde werken. Gelet hierop stelt de rechtbank vast dat via de door [medeverdachte rechtspersoon] ter beschikking gestelde servers en IP-adressen een Mirai-botnet is gehost (feit 2) en computervredebreuk is gepleegd (feit 1).

Vervolgens beoordeelt de rechtbank of de verdachte en zijn medeverdachten medeplichtig waren aan deze strafbare feiten. Voor medeplichtigheid moet niet alleen worden bewezen dat de verdachten opzet hadden op het ter beschikking stellen van de desbetreffende servers en IP-adressen, maar ook dat hun opzet (al dan niet in voorwaardelijke zin) gericht was op de door de daders gepleegde gronddelicten: het hacken en het hosten/verspreiden van het Mirai-botnet.

Op basis van de bewijsmiddelen stelt de rechtbank vast dat de verdachten op de hoogte waren van de geldende gedragscode, maar zich hier niet aan hebben gehouden. Uit verklaringen blijkt dat zij wisten dat misbruik werd gemaakt van hun servers. Zo ontving een NAS-server tussen 18 maart en 1 oktober 2019 in totaal 8.012 e-mails, waarvan 138 betrekking hadden op ‘Mirai’ en gerelateerd waren aan het IP-block. Dagelijks kwamen meldingen over Mirai binnen. De rechtbank oordeelt dat de verdachten onvoldoende actie hebben ondernomen om dit misbruik te bestrijden.

Daarnaast blijkt uit onderzoek naar de klanten van [medeverdachte rechtspersoon] dat zij diensten konden afnemen zonder authentieke contactgegevens te verstrekken. Klanten gebruikten bijvoorbeeld e-mailadressen die te relateren zijn aan cybercriminaliteit, betaalden anoniem via bitcoins en gaven niet-bestaande adressen op, zoals ‘420 Hacktown’. Ook blijkt uit de communicatie tussen de verdachten en hun klanten dat malafide klanten bewust werden toegelaten. Zo geven reacties op klanttickets aan dat [medeverdachte rechtspersoon] ‘DDoS’ en ‘spoofing’ toestaat zolang dit geen problemen oplevert, en dat ‘botnets’ en ‘bins’ toegestaan zijn mits ze verborgen blijven. In sommige gevallen werd klanten zelfs uitgelegd hoe ‘malware binaries’ het beste konden worden verborgen. Toen een pseudokoper van de politie op 12 september 2019 vroeg of er gecontroleerd werd op abuse-rapporten, luidde het antwoord dat dit niet gebeurde.

Gelet op deze omstandigheden concludeert de rechtbank dat de verdachten bewust de aanmerkelijke kans hebben aanvaard dat hun servers en IP-adressen gebruikt zouden worden voor het verspreiden van een Mirai-botnet en voor computervredebreuk. De rechtbank acht de verdachte in deze zaak schuldig aan medeplegen en medeplichtigheid aan computervredebreuk door het beschikbaar stellen van de daarvoor benodigde middelen.

De verdachte in de onderhavige had een kleinere rol dan zijn medeverdachte. Hoewel een gevangenisstraf passend wordt geacht, houdt de rechtbank rekening met persoonlijke omstandigheden en het tijdsverloop. Daarom wordt een voorwaardelijke gevangenisstraf van vier maanden opgelegd, een taakstraf van 180 uur, met een proeftijd van twee jaar. De medeverdachte, die binnen het bedrijf verantwoordelijk was voor sales en klantencontacten en volgens de rechtbank een grotere rol speelde, krijgt een taakstraf van 240 uur en een voorwaardelijke gevangenisstraf van zes maanden opgelegd (zie ECLI:NL:RBROT:2025:2492).

Modernisering strafvordering en digitale opsporing

jjoerlemans Een reactie plaatsen

Het wetsvoorstel voor een nieuw Wetboek van Strafvordering (.pdf) is op 20 maart 2023 naar de Tweede Kamer gestuurd. Dit wetsvoorstel moderniseert het strafprocesrecht door middel van de vaststelling van een nieuw Wetboek van Strafvordering. Het Wetboek van Strafvordering bevat regels voor de opsporing, vervolging en berechting van strafbare feiten. Door veroudering van het huidige Wetboek en door verschillende ontwikkelingen in de samenleving is een modernisering van het Wetboek nodig. Het voorstel regelt een grondige herstructurering van het Wetboek waardoor wordt bijgedragen aan de rechtszekerheid en de bruikbaarheid van het Wetboek in de praktijk. 

De memorie van toelichting telt welgeteld 1420 pagina’s en vergt nadere bestudering, dus in deze blogpost signaleer ik alleen enkele belangrijke bepalingen betrekking tot digitale opsporing. Enkele aanbevelingen, zoals het aanpassen van de netwerkzoeking, de kennisneming van binnengekomen berichten na inbeslagneming van een geautomatiseerd werk en de biometrische ontsleuteling, zijn reeds geïmplementeerd na de Innovatiewet Strafvordering (Stb. 2022, 276). De bepalingen worden vernummerd in het conceptwetsvoorstel (in respectievelijk artt. 2.7.40, 2.7.39 en 2.7.43).

Het wetsvoorstel bevat ten aanzien van digitale opsporing de volgende voorstellen:

  • De introductie van een titel voor ‘onderzoek van gegevens’ (Titel 7.3). Nieuw is onder andere de regeling voor onderzoek aan digitale-gegevensdragers en geautomatiseerde werken (artikel 2.7.38) (dit artikel betreft een codificatie van het Smartphone-arrest (ECLI:NL:HR:2017:584)).
  • Met betrekking tot het verstrekken van gegevens door derden wordt in Afdeling 7.3.3, net als in de huidige wet, onderscheid gemaakt naar de aard van de gegevens (identificerende gegevens, gevoelige gegevens en andere gegevens). Nieuw in deze afdeling zijn: de mogelijkheid tot het stellen van voorvragen (artikel 2.7.46, vijfde lid), het generiek bevel tot verstrekking van gegevens voor de periode van twee weken (artikel 2.7.46, zesde lid), het ‘bevel op naam’ (artikel 2.7.47, vijfde lid en 2.7.49, vijfde lid), de mogelijkheid te bevelen dat een derde een data-analyse uitvoert (artikel 2.7.50) en een bepaling over de vrijwillige verstrekking van gegevens (artikel 2.7.54).
  • In Hoofdstuk 8 van Boek 2 staan nieuwe bevoegdheden die betrekking hebben op gegevensvergaring door het stelselmatig overnemen van persoonsgegevens uit publiek toegankelijke bronnen (artikel 2.8.8) (met een bevel van de officier van justitie), een meer indringende vorm van stelselmatige inwinning van informatie (artikel 2.8.11, tweede lid) (met het een machtiging van een rechter-commissaris), infiltratie op een persoon (artikel 2.8.12) (met een machtiging van een rechter-commissaris) en stelselmatige locatiebepaling (artikel 2.8.18) (met een bevel van de officier van justitie). Voor het vastleggen van vertrouwelijke communicatie is in artikel 2.8.15 is een regeling opgenomen voor het betreden van een besloten plaats of woning ter voorbereiding van het daadwerkelijke vastleggen van de communicatie (leden 5 tot en met 7).
  • Hoofdstuk 9 van Boek 2 regelt het verkennend onderzoek. Nieuw is daarin de bevoegdheid om stelselmatig persoonsgegevens uit publiek toegankelijke bronnen over te nemen (artikel 2.9.1) (met een bevel van de officier van justitie).

Ten slotte is het van belang te noemen dat aanvankelijk het voornemen bestond om een nieuwe gegevensverwerkingswet op het terrein van politie en justitie tot stand te brengen ter vervanging van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. Inmiddels duidelijk geworden dat deze nieuwe gegevensverwerkingswet er niet komt, omdat voor de realisatie en implementatie daarvan geen financiële middelen beschikbaar zijn (Kamerstukken II 2021/22, 32761, nr. 218). Dat is pijnlijk, aangezien het ontbreken van een koppeling tussen de gegevensverwerkingsbepalingen en de bepalingen over de verzameling van gegevens juist als een breed gedragen probleem wordt gezien. Zie daarover bijvoorbeeld mijn recente artikel met Marianne Hirsch Ballin.

Cybercrime jurisprudentieoverzicht december 2021

jjoerlemans Een reactie plaatsen

Hoge Raad wijst nieuw arrest over computervredebreuk

De Hoge Raad heeft op 30 november 2021 een arrest (ECLI:NL:HR:2021:1691) gewezen over de begrippen ‘wederrechtelijk binnengedrongen’, ‘valse sleutel’ en ‘valse hoedanigheid’ in een tenlastelegging over computervredebreuk (art. 138ab Sr). Het ging in deze zaak om een ‘politiemol’; een verdachte die jarenlang vertrouwelijke informatie heeft opgezocht in politiesystemen en die (tegen betaling) heeft gedeeld met personen uit het criminele circuit. Daarnaast wordt hem witwassen verweten en het voorhanden hebben van valse reisdocumenten.

De verdachte had als politieambtenaar met een autorisatie toegang tot het beveiligde politiesysteem ‘Blue View’. Het systeem was beveiligd met een gebruikersnaam (zijn dienstnummer) en een wachtwoord. Het hof Amsterdam heeft reeds vastgesteld dat die autorisatie aan de verdachte was verstrekt om in het kader van zijn werk als politieambtenaar naspeuringen te verrichten, maar dat de verdachte het systeem vervolgens heeft bevraagd op gegevens over personen zonder dat daarvoor in de uitoefening van zijn politietaak enige aanleiding bestond. Op die manier kreeg de verdachte zonder daartoe bevoegd te zijn inzage in gegevens en nam hij deze gegevens over. Op grond hiervan heeft het hof geoordeeld dat de verdachte zijn autorisatie voor toegang tot het systeem Blue View heeft ‘misbruikt om informatie/gegevens over criminelen in te zien, deze informatie/gegevens over te nemen en deze informatie/gegevens ook aan deze criminelen te verstrekken’.

De Hoge Raad overweegt dat het oordeel van het hof Amsterdam dat hier ‘met behulp van een “valse sleutel” computervredebreuk’ wordt gepleegd, juist is (of zoals de HR dat formuleert: ‘geeft niet blijk van een onjuiste rechtsopvatting. Dat oordeel is ook niet onbegrijpelijk’). Daarbij wordt aansluiting gezocht in de wetsgeschiedenis. Zie r.o. 2.2.2:

In de Kamerstukken van het toenmalige wetsvoorstel wordt over het bestanddeel ‘valse sleutel’ weergegeven dat een password een sleutel is die de gebruiker toegang geeft tot het systeem of tot een deel daarvan. Daarbij werd aangehaald dat de Hoge Raad in zijn arrest van 20 mei 1986, ECLI:NL:HR:1986:AC9359, NJ 1987/130, heeft bepaald dat een huissleutel die wordt gebruikt tot opening van een slot door iemand die daartoe niet is gerechtigd, een valse sleutel is en dat niet is vereist dat ten aanzien van de sleutel enige beveiligingsmaatregel is genomen.

Onder verwijzing naar artikel 90 Sr, waarin geen definitie van het begrip ‘valse sleutels’ wordt gegeven maar enkel wordt aangegeven wat onder het begrip dient te worden begrepen (‘alle tot opening van het slot niet bestemde werktuigen’) – waarbij de wetgever heeft aangegeven dat “(O)nverschillig (is) of het werktuig al of niet een sleutel is, zoo het slechts niet die sleutel is, die voor opening van dat slot bestemd is.” (zie H.J. Smidt, Geschiedenis van het Wetboek van Strafrecht, Deel I, tweede druk, p. 544) – stelt het hof dat de jurisprudentie van de Hoge Raad verder ter zake van ‘valse sleutel’ heeft uitgemaakt dat ook onrechtmatig gebruik van bijvoorbeeld een bankpas of een tankpas kan worden aangemerkt als het gebruik maken van een ‘valse sleutel’. Anders gezegd: de Hoge Raad geeft een ruime uitleg aan het begrip ‘valse sleutels’ waarbij ook gebruik door een onbevoegde als een ‘valse sleutel’ kan worden aangemerkt (vgl. CAG Knigge in ECLI:NL:PHR:2017:1012 onder verwijzing naar HR 3 oktober 2017, ECLI:NL:HR:2017:2546).

Het oordeel van het hof Amsterdam dat de verdachte ook door het aannemen van een “valse hoedanigheid” computervredebreuk heeft gepleegd, ‘kan echter niet zonder meer uit de bewijsvoering worden afgeleid’. De door het hof in aanmerking genomen omstandigheid ‘dat de verdachte met het misbruik van zijn autorisatie het door zijn collega’s en de maatschappij in hem gestelde vertrouwen heeft geschonden’, volstaat daartoe niet. De Hoge Raad neemt daarbij in aanmerking dat niet blijkt dat de verdachte al een valse hoedanigheid had aangenomen toen hem de autorisatie werd verstrekt.

Het hof overwoog hierover destijds dat met betrekking tot het aannemen van een valse hoedanigheid dat het ‘in de kern erom gaat dat het handelen van de verdachte ertoe kan leiden dat bij de ander een onjuiste voorstelling van zaken in het leven wordt geroepen met betrekking tot de ‘persoon’ van de verdachte wat betreft diens hoedanigheid om daarvan misbruik te maken’ (met verwijzing naar HR 20 december 2016, ECLI:NL:HR:2016:2892, NJ 2017/158, m.nt. Keijzer, rov. 2.3.4).

Het slagen van de hierop gerichte klacht leidt niet tot cassatie, omdat het weglaten van dit deel van de bewezenverklaring de aard en de ernst van het bewezenverklaarde in zijn geheel beschouwd niet aantast.

Aanranding of ontucht zonder feitelijke aanraking

De rechtbank Overijssel veroordeelde (ECLI:NL:RBOVE:2021:4261) op 15 november 2021 een verdachte voor onder andere aanranding. Ook was ontucht ten laste gelegd, maar dat werd niet bewezen geacht.

De rechtbank overweegt of er voor ontucht het vereiste ‘relevante interactie’ is tussen de verdachte en het slachtoffer. De rechtbank verwijst hiervoor naar het ‘Pollepel’-arrest (HR 11 oktober 2005, ECLI:NL:HR:2005:AT972, r.o. 3.4 (JJO: gek genoeg kan ik dit arrest niet vinden op rechtspraak.nl en ik vermoed dat een foutje is gemaakt. Ik hoor graag wat wel de goede verwijzing is) van de Hoge Raad waarin – kort gezegd – bepaald dat seksuele handelingen die gepleegd zijn door een ander dan degene die de dwang heeft uitgeoefend, volgens de wetsgeschiedenis niet vallen onder de reikwijdte van artikel 242 Sr. Het dwingen van een ander tot het plegen of dulden van ontuchtige handelingen, ook als deze mede bestaan uit het seksueel binnendringen van het lichaam, levert volgens de wetsgeschiedenis feitelijke aanranding van de eerbaarheid op, als bedoeld in art. 246 Sr. Dit is ook zo als het slachtoffer wordt gedwongen bij zichzelf zulke handelingen te verrichten.

De rechtbank is van oordeel dat naast artikel 242 Sr ook artikel 245 Sr valt onder de werking van het ‘Pollepel’-arrest. Daaruit volgt dat artikel 245 Sr toepassing mist indien de verdachte het binnendringen niet zelf heeft gepleegd, zoals in de onderhavige casus. De verdachte kan daarom ook niet worden verweten dat hij zich heeft schuldig gemaakt aan het ten laste gelegde seksueel binnendringen van het lichaam van een persoon tussen de 12 en de 16 jaar.

Wel is sprake van aanranding. Daar kan ook sprake van zijn indien geen lichamelijke aanraking heeft plaatsgevonden tussen verdachte en slachtoffer (met verwijzing naar HR 22 maart 2011, ECLI:NL:HR:2011:BP1379). Daartoe is wel vereist dat, gelet op alle omstandigheden van het geval, tussen verdachte en slachtoffer een relevante interactie heeft plaatsgevonden. De verdachte heeft het slachtoffer niet fysiek aangeraakt, maar door bedreiging met openbaarmaking van beeldmateriaal haar gedwongen tot het verrichten van seksuele handelingen. De rechtbank is van oordeel dat daarmee sprake was van de vereiste relevante interactie tussen verdachte en het slachtoffer.  

De verdachte wordt veroordeeld tot een geheel voorwaardelijke gevangenisstraf van 6 maanden, met een proeftijd van drie jaar en 240 uur taakstraf.

Vergelijkbaar is de uitspraak van Midden-Nederland op 30 november 2021 (ECLI:NL:RBMNE:2021:5821). Daarbij werd een verdachte veroordeeld voor ontucht met een minderjarige (jonger dan 16 jaar) en het gewoonte maken van het verspreiden, verwerven, bezitten en zich de toegang verschaffen tot kinderpornografisch materiaal.

De rechtbank acht bewezen dat (ook) ontuchtige handelingen via de webcam zijn uitgevoerd. Anders dan de raadsman is de rechtbank van oordeel dat in de chatgesprekken tussen verdachte en het slachtoffer sprake is van relevante interactie, hetgeen vereist is voor een bewezenverklaring van ontuchtige handelingen zonder lichamelijk contact. Uit de inhoud van de chatgesprekken en uit de verklaring van verdachte volgt dat sprake is van actie en reactie in de gesprekken, waarbij het initiatief voor het seksuele contact via de webcam van verdachte uitgaat, hetgeen vervolgens leidt tot de ontuchtige handelingen zoals die zijn beschreven in de tenlastelegging.

Heimelijk forensische kopie van telefoon gemaakt

Een uitspraak van de rechtbank Midden-Nederland van 12 oktober 2021 (ECLI:NL:RBMNE:2021:4932) is het vermelden waard vanwege opvallende overwegingen omtrent de rechtmatigheid van een onderzoek aan een smartphone. De verdachte wordt in deze zaak veroordeeld voor een voorwaardelijke gevangenisstraf voor deelname aan criminele organisatie, het medeplegen van dealen van cocaïne en het voorhanden hebben van drugs.

De verdediging stelt in deze zaak dat de heimelijke inbeslagname van de twee telefoons (en het heimelijk maken van een forensische kopie daarvan) onrechtmatig heeft plaatsgevonden, omdat er geen machtiging van de rechter-commissaris is afgegeven voor deze handeling. Daarnaast zouden telefoons niet op deze manier, zonder kennisgeving, op basis van art. 94 Sv in beslag genomen hadden mogen worden.

De rechtbank overweegt in par. 4.3 dat de verdachte verband met een vernieling is aangehouden. Tijdens zijn insluiting heeft de politie twee telefoons kort in beslag genomen en van één van die telefoons is een forensische kopie gemaakt. De verdachte is hierover niet in kennis gesteld.

De rechtbank overweegt dat deze handelswijze niet bij wet is voorzien. Er is in strijd gehandeld met art. 94 Sv, omdat de verdachte is niet van de inbeslagname op de hoogte gebracht. In tegenstelling tot wat de officier van justitie heeft betoogd, biedt ook art. 126g Sv geen grondslag voor deze heimelijke inbeslagname. Het stelselmatig volgen of waarnemen van een persoon is iets wezenlijks anders dan het kopiëren van de inhoud van een telefoon.

Toch overweegt de rechtbank dan geen sprake is van een ‘ernstige privacy-schending’, omdat het een ‘dealertelefoon’ is geweest die weinig sociale contacten bevatte en daarnaast was de inbreuk op het eigendomsrecht van de verdachte ‘zeer beperkt’, omdat de verdachte na vrijlating weer beschikking kreeg over de telefoon.

De rechtbank komt tot de vaststelling dat er sprake is geweest van twee vormverzuimen in het voorbereidend onderzoek jegens verdachte, te weten de heimelijke inbeslagname van de telefoons en het verstrekken van de historische verkeersgegevens. Op basis van voornoemde beoordeling van de vormverzuimen – wat betreft de aard en de ernst van het verzuim en het nadeel van verdachte – komt de rechtbank tot de conclusie dat het nadeel dat verdachte daarmee heeft geleden zeer beperkt is gebleven en door de verdediging weinig specifiek is onderbouwd. De rechtbank volstaat daarom met de constatering dat er sprake is van vormverzuimen heeft plaatsgevonden en verbindt hier geen verdere gevolgen aan.

Veroordeling voor QR-code fraude

Op 21 oktober 2021 veroordeelde (ECLI:NL:RBAMS:2021:6000) de rechtbank Amsterdam een verdachte voor oplichting en het aanwezig hebben van harddrugs. De feiten over oplichting en overwegingen omtrent de vraag of een internetbankieren-applicatie een geautomatiseerd werk is, zijn interessant.

De verdachte pleegde ‘QR-fraude’ gebruik van de ING internetbankieren-app. De fraudeur vroeg het slachtoffer om een overboeking via de telefoon en vraagt dan om de telefoon om zijn rekeningnummer in te voeren. Ondertussen scant hij dan een QR-code en neemt de bankrekening-app over. Op de telefoon waar de rekening wordt gehouden, komt een bevestiging binnen die gebruikt moet worden op de telefoon met de QR-code. De fraudeur heeft dus de QR-code aangevraagd. Op het moment dat de fraudeur met de QR-code en de bevestigingscode de rekening heeft overgenomen, heeft de fraudeur de beschikking over de rekening

Voor computervredebreuk wordt de verdachte vrijgesproken, omdat in de tenlastelegging de internetbankieren-applicatie als geautomatiseerd werk werd aangemerkt in de zin van artikel 80sexies Sr. Dat kan niet, omdat het bij gaat om ‘fysieke apparaten’, aldus de rechtbank. De rechtbank wijst erop dat servers als zijnde een geautomatiseerd werk niet in de tenlastelegging worden genoemd. De rechtbank acht ook niet bewezen dat verdachte bankgegevens/een QR-code heeft gestolen, omdat uit het dossier niet blijkt dat deze buiten het bereik van de rechthebbende zijn gebracht. De officier van justitie kan uit deze uitspraak aldus de nodige lessen trekken bij het formuleren van een tenlastelegging bij QR-code fraude.  

Geheimhouding details EncroChat-operatie

In een uitspraak van 11 oktober 2021 (ECLI:NL:RBROT:2021:10412) gaat de rechtbank Rotterdam nader in op de redenen waarom geheimhouding van bepaalde details van de EncroChat-operatie noodzakelijk is. De beslissing op een vordering ex 149b Sv strekt tot onthouding van gegevens betreffende het interceptiemiddel en onthouding van (identificerende) gegevens betreffende zaaksofficieren van justitie en verdachten en getuigen.

Op grond van art. 187d lid 1 sub b Sv moet worden overwogen of het achterwege laten van toevoegen van de zwartgelakte stukken noodzakelijk is vanwege een “zwaarwegend opsporingsbelang”. Hoe het binnendringen in de telefoontoestellen van EncroChat-gebruikers precies is gebeurt wordt in die stukken niet prijsgegeven. De rechters-commissarissen stellen vast dat de weggelakte passages, zoals vermeld door de officieren van justitie, zien op de aard en werking van het ingezette interceptiemiddel.

Naar het oordeel van de rechters-commissarissen kan de onthulling daarvan verstrekkende gevolgen hebben voor lopende en toekomstige onderzoeken die afhankelijk zijn van een succesvolle inzet van (een) soortgelijk(e) interceptiemiddel(en). Kennisneming van deze werkwijze(n) door de verdachte(n) of door derden maakt immers dat zij daarop kunnen anticiperen en dat de informatiegaring, onderzoeksvoorbereiding en opsporingsmogelijkheden aan effectiviteit zullen inboeten of niet langer mogelijk zullen zijn. Gelet daarop wordt het onthouden van die passages aan de processtukken noodzakelijk geacht. Nu het weglaten uitsluitend de technische aspecten van de gebruikte opsporingsmethodiek betreft, is de verdediging met het achterwege laten van het voegen van die betreffende specifieke informatie volgens de rechtbank niet op enigerlei wijze in zijn belang geschaad.

Ook stellen de rechters-commissarissen stellen vast dat de passages die in de bovengenoemde stukken door de officieren van justitie zijn zwartgelakt, zien op (identificerende) gegevens van de betrokken zaaksofficieren van justitie alsmede van verdachten en getuigen uit andere onderzoeken. Het bekend worden van de namen van de officieren van justitie levert een potentieel veiligheidsrisico voor hen op waarvan zij ernstige overlast kunnen ondervinden en waardoor zij in de uitoefening van hun ambt ernstig kunnen worden belemmerd.