Strafvordering in het digitale tijdperk

Posted on op Oerlemansblog

Waar moet de Nederlandse regeling voor de opsporing in het digitale tijdperk aan voldoen? De Commissie-Koops heeft getracht op deze vraag antwoord te geven en heeft in juni 2018 een indrukwekkend rapport afgeleverd over ‘de regulering van opsporingsbevoegdheden in het digitale tijdperk’. Het rapport bevat maar liefst 72 aanbevelingen voor de wetgever om het onderdeel over opsporing (“Boek 2”) in het nieuwe Wetboek van Strafvordering beter in te richten.

Mijn artikel is een beschouwing van het rapport waar ik de belangrijkste aanbevelingen van de commissie in het rapport samenvat en kritisch bespreek. Ook betoog ik dat het onderwerp van data-analyse in de opsporing in het rapport onvoldoende is uitgewerkt.

In deze blogpost volsta ik verder met de conclusie van mijn artikel. Het gehele artikel is door een open access regeling direct te lezen via het ‘Platform Modernisering Strafvordering’.

Paragraaf 6 – Slotbeschouwing

De Commissie-Koops heeft een waardevolle bijdrage geleverd aan het project Modernisering Strafvordering door verbeteringen voor te stellen met betrekking tot het conceptwetsvoorstel Boek 2. De Commissie heeft een grondige en systematische analyse gedaan van de voorgestelde regelingen en aandacht besteed aan de relevante maatschappelijke ontwikkelingen. De wetgever doet er goed aan alle 72 aanbevelingen uit het rapport serieus mee te nemen in het wetgevingsproces.

De nieuwe rol en invulling van ‘stelselmatigheid’ is bovendien waardevol om de zwaarte van de privacy-inmenging en bijpassende autoriteit in te vullen. Het nieuwe normeringscriterium loopt als een rode draad door het rapport voor de normering van bijzondere opsporingsbevoegdheden, zoals openbronnenonderzoek, het beslag op digitale gegevensdragers, het vorderen van gegevens en onderzoek aan (tele)communicatie.

Toch is het criterium van stelselmatigheid naar mijn mening niet voor alle opsporingshandelingen even geschikt. In sommige gevallen kan bij de normering van opsporingsmethoden beter voor duidelijkheid worden gekozen met een vooraf ingevulde inbreuk op de persoonlijke levenssfeer en bijbehorende autoriteit om het bevel voor de opsporingshandeling te geven. Ik doel daarbij in het bijzonder op het beslag op bepaalde gegevensdragers en de inzet van scrapers ten behoeve van de opsporing. De Commissie-Koops gaat in plaats daarvan mee met de ruime normen die in de praktijk zijn ontwikkeld en achteraf door de rechtspraak zijn goedgekeurd of bijgestuurd. Daarbij worden suggesties gedaan voor een zeer genuanceerde invulling van het criterium afhankelijk van de verschillende omstandigheden van het geval, waarbij met tal van factoren rekening moet worden gehouden.

Het is echter belangrijk dat ook de maatschappij, bij monde van de wetgever, zich uitspreekt en beslissingen neemt over belangrijke zaken, zoals de wenselijke wettelijke bescherming bij het onderzoek van gegevens in een smartphone en de vraag of scrapers op grote schaal (persoons)gegevens mogen verzamelen. Ook geeft een regeling voor opsporingsmethoden zonder stelselmatigheid als normeringscriterium de reikwijdte van een opsporingsbevoegdheid duidelijker aan en biedt daarmee meer rechtszekerheid voor alle betrokkenen in het strafproces.

In dit artikel heb ik opnieuw betoogd dat de zwaarte van de privacy-inmenging bij de inbeslagname van en het onderzoek op smartphones ernstig is en dat simpelweg kan worden gekozen voor een vereiste machtiging van een rechter-commissaris (behoudens enkele uitzonderingen bij wet). Zeker voor de jongere generaties zijn opsporingshandelingen met betrekking tot smartphones, PC’s en laptops, waarbij de bijbehorende gegevens al dan niet in de cloud zijn opgeslagen, zeer privacy-intrusief. Het arrest van de Hoge Raad en het voorstel van de Commissie-Koops houden hier mijns inziens onvoldoende rekening mee en leggen een onduidelijk criterium aan om de ernst van de privacy-inmenging te bepalen. De aanbeveling een wetsvoorstel voor het beslag op gegevensdragers en openbronnenonderzoek al eerder naar de Tweede Kamer te sturen ondersteun ik daarom ten volle. Hopelijk bestaat daarbij ook nog ruimte voor een debat over het alternatief van een eenvoudiger regeling met een duidelijke bevoegde autoriteit voor de inbeslagname en het onderzoek van gegevens op bovengenoemde gegevensdragers en de inzet van scrapers.

Daarnaast is de uitwerking over de ‘dataficering van de opsporing’ en in het bijzonder het gebruik van data-analysetechnieken in het rapport ondermaats gebleven. Een commissie die zich buigt over ‘strafvordering in het digitale tijdperk’ zou ook hierover uitgebreid moeten adviseren, waarbij kan worden voortgebouwd op adviezen die hier al eerder over zijn gegeven.

Het advies had zich moeten richten op concrete suggesties voor strafprocessuele waarborgen bij de verwerking van gegevens binnen het opsporingsproces, inclusief het daaraan gerelateerde vermeende gebrek aan toezicht. In plaats daarvan worden slechts voorzichtige aanbevelingen gedaan en een nieuwe vergaande bevoegdheid voorgesteld om een bevel tot data-analyses bij derden ten behoeve van de opsporing mogelijk te maken. Tegenover al het potentieel dat data-analyse voor de politie biedt, moet voldoende bescherming voor de betrokken burgers staan. Op dit punt is het rapport niet in balans.

Het is echter geenszins mijn bedoeling dit artikel over het rapport van de Commissie-Koops in mineur af te sluiten. De bovenstaande kritiek doet niet af aan de waarde en het belang van de voorstellen van de Commissie. Over het geheel genomen heeft de Commissie-Koops een mooie en waardevolle prestatie geleverd, waar de wetgever – getuige de 72 aanbevelingen gericht op het Wetboek van Strafvordering – concreet mee uit te voeten kan.

A warrant requirement for analysing data stored on smartphones

Posted on 28/05/2015

On 22 April 2015, the Dutch high court of Arnhem-Leeuwarden possibly set a precedent with far-reaching consequences. In this particular criminal case, a law enforcement official seized a smartphone and subsequently read and copied WhatsApp messages stored on the smartphone. The defence successfully argued that the investigation method was in violation of the right to privacy as articulated in art. 8 ECHR. The high court of Arnhem-Leeuwarden agreed and deemed the current regulations not foreseeable.

Currently, as explained in my previous blog post, law enforcement officials can seize a smartphone and examine all data stored on it in the context of a criminal investigation to obtain evidence without any notable legal thresholds. However, the high court points out that smartphones contain “not only access to traffic data, but also the contents of communications and private information of a smartphone user” . Because the analysis of such data severely infringes in the right to privacy, the current regulations for seizing and analysing data stored on smartphones are not adequately regulated according to the court.

Right to privacy and analysis of information on smartphones

Indeed, the European Court of Human Rights (ECtHR) recently decided in the case of Prezhdarovi v Bulgaria that (1) a judicial warrant requirement and (2) a limitation of the scope of the sought after data on computers is preferable when law enforcement authorities seize computers and analyse data stored on computers. Considering the serious privacy infringement that takes place when personal data that is stored on computers is analysed by law enforcement authorities, adequate safeguards in the domestic laws of States should protect the involved individuals against arbitrary interferences of State in their personal lives according to the ECtHR.

The decisions of the high court of Arnhem-Leeuwarden and ECtHR indicate that the Dutch regulations for the seizure of computers such as smartphones require amendments in order to adequately protect the right to privacy. In June 2014, the Dutch Ministry of Security and Justice already suggested that amendments were required for analysing data on computer systems. Yet, these amendments only suggested the legal thresholds of an order of a public prosecutor, whereas the ECtHR seems to prefer a prior review of an investigating judge – i.e., basically a warrant requirement – to analyse data on computer systems.

International trend?

Interestingly, almost a year ago, the U.S. Supreme Court decided in the landmark case of Riley v. California that a judge’s warrant is required in order to seize a smartphone and analyse data stored on a smartphone. The protection of the warrant requirement was deemed appropriate, because: “Modern cell phones are not just another technological convenience. With all they contain and all they may reveal, they hold for many Americans “the privacies of life”.

Obviously, modern cell phones do not contain the ‘privacies of life’ only for Americans. So tell me, does your domestic State law require a warrant to seize computers and analyse data stored on those devices?

This is a cross-post from LeidenLawBlog.nl.

=== Updata ===

My commentary (in Dutch) on the case of 22 April 2015 is available here (in .pdf).

Note that, in the meantime, the Dutch courts of Oost-Brabant and Noord-Holland desmissed the verdict of the high court of Arnhem-Leeuwarden, stating that article 94 of the Dutch Code of Criminal Procedure allows for the seizure of smartphones and subsequent search of data stored on the device.

The court of Amsterdam decided on 18 June 2015 that art. 8 ECHR was not infringed, because law enforcement restricted the search of data stored on the smartphone to  contact details. Thefefore, the search was not deemed disproportionate. Interestingly, other judges of the court of Noord-Holland decided on 4 June 2015 in a different case that seizing a smartphone based on art. 94 DCCP does infringe art. 8 ECHR. Clearly, the courts in the Netherlands are devided on the question whether seizing a smartphone based on art. 94 DCCP infringes art. 8 ECHR. Apparently, the Public Prosecution’s Office went in appeal and the question will be brought  to the Dutch Surpeme Court.