De Belgische ‘online doorzoeking’

In België wordt in artikel 88ter Wetboek van Strafvordering de zogenaamde
‘netwerkzoeking’ geregeld. Aan het artikel kan een zeer brede betekenis worden
toegekend. Zelfs zo breed dat het de grondslag zou kunnen vormen van tot een
‘online doorzoeking’ in het buitenland.

In dit blogbericht wil ik de bevoegdheid kort analyseren en een vergelijking maken
met het Nederlandse equivalent zoals geregeld in artikel 125j van het Nederlandse Wetboek van Strafvordering. Daarbij wil ik opmerken dat het slechts mijn eerste gedachten zijn over het onderwerp. Als iemand mij kan en wil verbeteren, dan graag! .

Belgische netwerkzoeking

De Belgische netwerkzoeking is een op zichzelf staande opsporingsbevoegdheid en
geen opsporingsbevoegdheid die slechts in het verlengde staat van een andere
bevoegdheid, zoals een huiszoeking of doorzoeking ter vastlegging van gegevens.
Wel kan een machtiging tot een netwerkzoeking door een rechter tijdens een zoeking
worden afgegeven als blijkt dat een betrokken verdachte van een bepaalde systemen
gebruik maakt om daar vervolgens een zoeking te doen. De zoeking zou elke mogelijke technische en procedurele vorm kunnen inhouden en daarmee zijn de mogelijkheden van opsporingsbevoegdheid zeer breed.

Zelfs zo breed dat in literatuur (Zie voor een heldere uitleg bijvoorbeeld J. Kerkhofs & P. van Linthout, ‘Cybercriminaliteit doorgelicht’, Tijdschrift voor Strafrecht 2010, nr. 4, pp. 179-199) als voorbeeld wordt genoemd dat met een voorhanden inlognaam en wachtwoord ook de webmail van een verdachte (bijvoorbeeld Gmail en Hotmail) kan
worden onderzocht. Denkbaar is dat opsporingsambtenaren zo’n inlognaam en
wachtwoord tijdens een huiszoeking op een briefje ergens vinden, tijdens een tap wordt onderschept, of zelfs met software of een ‘bug’ op het toetsenbord wordt onderschept (als die opsporingsmethode tenminste in de wetgeving mogelijk is gemaakt). Met de netwerkzoeking-bevoegdheid zou dan volgens de Belgen op het geautomatiseerde werk (in casu de webserver) een zoeking kunnen plaatsvinden.

Dit vind ik een bepaald vergaande bevoegdheid dat mijns inziens wel degelijk op
hacken als opsporingsbevoegdheid neerkomt. Er wordt immers onder een valse
hoedanigheid een (persoonlijk) geautomatiseerd werk van een verdachte binnengedrongen. Het idee is volgens mij dat, omdat er een wettelijke bevoegdheid (in België) voorhanden is voor een dergelijke opsporingshandeling geen sprake van het delict (hacken) zou zijn. De opsporingsmethode zelf komt in het spraakgebruik nog steeds neer op hacken. Bovendien wordt in bepaalde gevallen in feite op een geautomatiseerd systeem (server) van een bedrijf gezocht die daarvoor geen toestemming heeft geven en wellicht in het buitenland staat. Zowel het betrokken bedrijf of de
betrokken staat kan dat nog steeds als een delict of inbreuk op haar soevereiniteit zien. De enige beperking van de netwerkzoeking lijkt te zijn dat niet op slinkse wijze of met een technische voorziening computers gehackt mogen worden. De toegang moet dus rechtmatig verkregen zijn, bijvoorbeeld door het vergaren van de inloggegeven met een andere opsporingsbevoegdheid. Ik vraag mij af of het ook mogelijk zou zijn netwerken overal ter wereld te doorzoeken, indien een systeembeheerder daar bijvoorbeeld toegang toe heeft en de toegangscodes aan opsporingsinstanties afgeeft. Hopelijk wordt dat dan wel even met een jurist van het betrokken bedrijf overlegt.

België heeft het Cybercrimeverdrag niet geratificeerd waarin verdragstaten overeen
zijn gekomen dat gegevens slechts met voorafgaande toestemming van de rechthebbende
of met rechtshulp grensoverschrijdend gegevens kunnen worden verkregen. De partijen waren er tijdens de onderhandeling niet uitgekomen dat een grensoverschrijdende netwerkzoeking mogelijk zou zijn, wellicht omdat zij zich in hun soevereiniteit geschonden voelen. Dat betekent dat de normale volkenrechtelijke regels gelden en strafvorderlijke bevoegdheden in principe niet over de grens mogen worden toegepast. De kans bestaat naar mijn mening dat een andere staat of bedrijf naar aanleiding van zo’n actie de Belgische Staat voor een (internationale?) rechter sleept. Het is blijkbaar de bedoeling dat bij de Belgische netwerkzoeking de verantwoordelijke voor het systeem waar een zoeking plaatsvindt geïnformeerd wordt. Dit is echter alleen noodzakelijk indien de identiteit van de verantwoordelijke redelijkerwijze kan worden vastgesteld. De
auteurs Kerkhofs en Linthout wijzen er tevens op dat voor de bepaling geen termijn voor de informering voorschrijft en niet op straffe van een sanctie is voorgeschreven.

Netwerkzoeking in Nederland

Naar aanleiding van het bovenstaande moet natuurlijk afgevraagd worden of in
Nederland ook met het equivalent van de Belgische netwerkzoeking in het buitenland systemen mogen worden doorzoeken. Uit de wettekst zelf en wetsgeschiedenis kan worden afgeleid artikel 125j Sv een netwerkzoeking mogelijk maakt als vervolg van de inzet van een bevoegdheid tot het doorzoeken ter vastlegging van gegevens zoals geregeld in artikel 125i Sv. Indien bijvoorbeeld een doorzoeking ter vastlegging van gegevens plaatsvindt op een computer bij een bedrijf, dan kan de doorzoeking zich tevens uitstrekken tot andere computers binnen een bedrijfsnetwerk of zelfs met computers die met het netwerk verbonden zijn en binnen Nederlands territoir bevinden. De bevoegdheid kan alleen worden ingezet indien wordt vermoed dat bepaalde gegevens op die andere computers gevonden zullen worden. Deze laatste eis geldt echter ook in België.

De Nederlandse bevoegdheid tot een netwerkzoeking is daardoor beperkter in zijn aard dan de Belgische (zie ook Koops, in ‘De dynamiek van cybercrime-wetgeving in Europa en Nederland’, p. 17 en 18). Andere opsporingsbevoegdheden bieden naar mijn mening tevens onvoldoende legitimatie tot het op afstand doorzoeken van gegevens op een geautomatiseerd werk (zie ook dit artikel van mij en dit blogbericht).
Conclusie

De Belgische netwerkzoeking kan onder omstandigheden een ‘online doorzoeking’ in
het buitenland mogelijk maken. In Nederland is deze opsporingshandeling naar mijn mening niet toegestaan, omdat de Nederlandse netwerkzoeking geen op zichzelf staande opsporingsbevoegdheid is en hacken (nog) geen opsporingsbevoegdheid is.

Naar mijn mening is de Belgische netwerkzoeking zeer vergaand, maar pragmatisch. Het
biedt opsporingsambtenaren de mogelijkheid grensoverschrijdend gegevens te vergaren in dezelfde systemen als waar een verdachte gebruik van maakt, mits rechtmatig toegang wordt verkregen tot die systemen op basis van andere bevoegdheden. Echter, het kan leiden tot een ontransparante opsporingspraktijk waarbij heimelijk informatie wordt vergaard (al dan niet in het buitenland). Zelfs als een brave Belgische opsporingsambtenaar de verantwoordelijke over het gebruik van de bevoegdheid inlicht vindt het bedrijf het wellicht niet voldoende aanleiding (of te veel moeite?) om er een probleem van te maken of een procedure te starten. Indien dergelijke opsporingshandelingen niet via officiële rechtshulpverzoeken gaan worden de opsporingshandelingen die een inbreuk maken op de persoonlijke levenssfeer van de betrokken aan het toezicht van de betrokken staat onttrokken. Dit kan de rechtsbescherming van de betrokkene in gevaar brengen, zeker wanneer de verdachte zich op territoir buiten België bevindt. Inzet van de opsporingsmethode kan leiden tot
diplomatieke spanningen als een staat van de netwerkzoeking op de hoogte raakt.
Daarbij moet wel worden aangetekend dat dit afhankelijk is van de omstandigheden van het geval, de afspraken die onderling zijn gemaakt en de opsporingspraktijk. Ik ben daarom heel benieuwd hoe de bevoegdheid in de praktijk gaat uitwerken en in hoeverre hier procedures uit volgen.