Privacy en bulkinterceptie in de Wiv 2017

Samen met mijn collega Mireille Hagens heb ik het artikel ‘Privacy en bulkinterceptie in de Wiv 2017’ geschreven voor het themanummer van ‘Privacy’ van Ars Aequi. In het artikel gaan we uitgebreid in op de bijzondere bevoegdheid tot het in bulk tappen van communicatie (‘bulkinterceptie’); in de Wet op de inlichtingen- en veiligheidsdiensten 2017 ‘onderzoeksopdrachtgerichte interceptie’ genoemd.

In het artikel leggen we uit hoe het stelsel van onderzoeksopdrachtgerichte interceptie precies is geregeld, met daarbij speciale aandacht voor de bijzondere bevoegdheid van ‘geautomatiseerde data-analyse’ als onderdeel daarvan. Ook bespreken we welke waarborgen daarbij in de Wiv 2017 zijn voorzien voor de rechtsbescherming van burgers en hoe deze zich verhouden tot de jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) over bulkinterceptie. De zaken Big Brother Watch e.a. en Centrum för Rättvisa (2018), waarin het EHRM zich baseert op eerdere jurisprudentie zoals de Grote Kameruitspraak in Roman Zakharov (2015), krijgen in onze analyse daarbij de meeste aandacht.

Stevige regeling voor bulkinterceptie

In ons artikel constateren wij dat voor onderzoeksopdrachtgerichte interceptie de Wiv 2017 sterke waarborgen biedt, waaronder het getrapte systeem van voorafgaande toestemming door de minister en de toetsing hiervan door de Toetsingscommissie Inzet Bevoegdheden (TIB) voor de interceptie zelf, maar ook voor de optimalisatie van het interceptieproces en de nadere analyse van de onderschepte gegevens uit interceptie.

Het stelsel voor onderzoeksopdrachtgerichte interceptie voldoet daarmee aan een belangrijk kritiekpunt in de Big Brother Watch-zaak over voorafgaande toestemming en toezicht op de nadere analyse van de gegevens met het oogmerk om kennis te nemen van de inhoud (het selectieproces). Overigens bestaat de mogelijkheid dat de Grote Kamer van het EHRM, waar deze zaak nu voorligt, tot een ander oordeel komt over bulkinterceptie als bijzondere bevoegdheid. De resultaten van onze analyse kunnen daardoor wijzigen, maar dat is niet onze verwachting.

Knelpunt: geautomatiseerde data-analyse

Als knelpunt in de Wiv 2017 identificeren wij de beperkte reikwijdte van de regeling voor de bijzondere bevoegdheid tot geautomatiseerde data-analyse. In de bovengenoemde EHRM-zaken legt het Hof goed uit dat dat de analyse van metadata uit telecommunicatie een zware inmenging in het recht op privacy van de betrokkenen kan inhouden. De reden is dat metadata gevoelig kan zijn, omdat het onder meer informatie kan bevatten over de identiteit van beide communicerende partijen, hun contacten, hun geolocatie en gebruikte apparatuur. Bij de opslag en analyse van deze gegevens in bulk wordt de inmenging in het recht op privacy groter, omdat het daarmee mogelijk is de contacten van een persoon, bewegingen en locaties, internetgeschiedenis en communicatiepatronen in kaart te brengen (zie par. 353-355 uit Big Brother Watch e.a)).

Geautomatiseerde data-analyse krijgt om deze reden ook een specifieke regeling in artikel 50 Wiv 2017, maar nog weinig aandacht gekregen in de literatuur. Wij wijzen er in het artikel op dat de bijzondere bevoegdheid slechts geldt voor de metadata-analyse van gegevens uit onderzoeksopdrachtgerichte interceptie (en geen andere bevoegdheden) met het doel om personen of organisaties te identificeren (en niet voor andere doelen). Het zou duidelijk moeten zijn welke data-analyses dan precies buiten de regeling van artikel 50 lid 1 sub b jo lid 4 Wiv 2017 vallen. Tot dusver is dat echter nog onduidelijk, mede door een gebrek aan nadere duiding in de toelichting op de wet.

De CTIVD en de TIB hebben in 2018 aangegeven dat de bijzondere bevoegdheid ook voor analyse van metadata afkomstig uit andere bevoegdheden zou moeten gelden. De ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie hebben daarentegen in hun reactie (brief en  bijlage (.pdf)) aangegeven dat de bevoegdheid slechts zou moeten gelden in gevallen waarbij de analyse tot een ‘substantiële privacy-inbreuk’ leidt.

Meenemen in de evaluatie Wiv 2017?

Het is interessant om te zien of de bijzondere bevoegdheid van geautomatiseerde data-analyse in de evaluatie van de Wiv 2017 wordt meegenomen en mogelijk een andere invulling krijgt. Het onderwerp is in het nieuwe wetsvoorstel ‘Wijzigingswet Wiv 2017’ in ieder geval niet meegenomen. De evaluatie moet overigens voor 1 mei 2020 van start gaan en hiervoor moet nog een commissie worden ingesteld.

Internetonderzoek door bestuursorganen

In de gemeente Amsterdam mag woonruimte niet meer dan 30 dagen per jaar mag worden verhuurd. Ter handhaving van dit beleid legt de gemeente met behulp van zogenoemde ‘scraping’-technieken elke dag de advertenties en reviews op de advertenties op AirBnB vast. Deze informatie uit ‘open bron’ vormt mogelijk bewijsmateriaal in handhavingsacties. Uit onder andere deze zaak (ECLI:NL:RBAMS:2018:4442) blijkt dat bewoners een last onder dwangsom opgelegd kunnen krijgen als zij – blijkend uit de advertentie en de reviews op AirBnB – de regels uit de Huisvestingsverordening overtreden.

De gemeente Amsterdam is zeker niet het enige bestuursorgaan dat informatie op internet verzamelt ten behoeve van de uitvoering. Zo wordt in het kader van de sociale zekerheid veelvuldig op sociale media en online handelsplatformen als ‘Marktplaats’ gezocht naar informatie die op mogelijke fraude wijst. Op sociale media verschijnen bijvoorbeeld posts die op mogelijke samenleving tussen personen kunnen wijzen, zoals “bij de liefde van mijn leven ingetrokken” (zie bijvoorbeeld ECLI:NL:RBDHA:2016:8215) en kan bij een groot aantal advertenties voor goederen of diensten op Marktplaats het vermoeden rijzen dat er verzwegen inkomsten zijn (zie bijvoorbeeld ECLI:NL:CRVB:2015:979).

Ook in het vreemdelingerecht duikt het gebruik van sociale media steeds vaker op. Posts op de tijdlijn van Facebook of de activiteiten op LinkedIn blijken inzicht te verschaffen in de politieke of religieuze activiteiten (ECLI:NL:RBDHA:2017:6180), de seksuele oriëntatie (ECLI:NL:RBDHA:2014:10266) of in de mogelijkheden om vakanties in het buitenland door te brengen, zonder problemen met de autoriteiten te ondervinden (ECLI:NL:RBDHA:2017:7852). Deze informatie kan van belang zijn voor bijvoorbeeld een beslissing over het verlenen van een verblijfsvergunning. Andere opvallende zaken die soms de publiciteit haalden, is bijvoorbeeld de sluiting van de Amsterdamse sexclub Bianca, (mede) vanwege anonieme recensies op hookers.nl (ECLI:NL:RVS:2013:792) en de grootschalige Facebookanalyse die de gemeente Amsterdam uitvoerde om meer grip te krijgen op overlastgevende hangjongeren.

Artikel

In ons artikel (.pdf) in het NJB heb ik samen met Ymre Schuursmans onderzocht in hoeverre openbronnenonderzoek op internet binnen het bestuursrechtelijk kader toelaatbaar is. Binnen het strafrecht en de Wiv 2017 worden nieuwe bevoegdheden geïntroduceerd voor ‘stelselmatig openbronnenonderzoek’, terwijl binnen het bestuursrecht dergelijke plannen ontbreken. Wij analyseren de achtergrond van dit verschil in regulering en bezien of normen en waarborgen uit het strafvorderlijk domein toepasbaar zijn in het bestuursrecht, teneinde de grondrechten van betrokkenen (beter) te beschermen.

Conclusie

In het artikel concluderen wij dat openbronnenonderzoek binnen het bestuursrecht mogelijk is op grond van de algemene onderzoeksplicht in artikel 3:2 Awb. De ernst van de privacy-inmenging bij openbronnenonderzoek verschilt echter van geval tot geval. Met het voorbeeld van de inzet van scrapers uit de inleiding in het achterhoofd, wordt volgens ons door de rechtbank te weinig gemotiveerd akkoord gegaan.

Onze aanbeveling is om in beleid en rechtspraak (en mogelijk in een bijzondere wet, zoals de Participatiewet) een nadere invulling te geven voor stelselmatig openbronnenonderzoek binnen het bestuursrecht. Dat moet duidelijk maken voor welke doelen en onder welke voorwaarden openbronnenonderzoek door bestuursorganen plaatsvindt.

Dergelijk beleid en meer rechtspraak vergroot de voorzienbaarheid van de toepassing van het instrument voor de burger en dwingt bepaalde waarborgen af. Daarbij valt te denken aan een nadere invulling van de proportionaliteitstoets in de toezichtfase (art. 5:13 Awb), het stellen van eisen aan de verslaglegging, het stellen van grenzen aan de duur van het onderzoek, het bepalen van een bewaartermijn van gegevens en de wijze waarop wordt omgegaan met de informatieplicht uit de AVG. Het protocol internetrechercheren voor gemeenten (.pdf) biedt een eerste invulling van deze waarborgen.

Inloggen in het account van de verdachte

Mogen opsporingsdiensten inloggen in het account van een verdachte? Nu.nl kopte recentelijk ‘Rechter: OM mag inloggen op Telegram-accounts van verdachte’ dat dit kennelijk is toegestaan, maar juridisch is er nog onduidelijkheid.

Telegram-uitspraak

Op 22 februari 2019 heeft de rechtbank Rotterdam in hoger beroep geoordeeld (ECLI:NL:RBROT:2019:2712) dat het rechtmatig is om toegang te verschaffen tot het Telegram-account van een verdachte op grond van art. 126ng lid 2 Sv. In eerste instantie weigerde een rechter-commissaris hier een machtiging voor af te geven. De verdachte onderdeel van een onderzoek naar de verspreiding van malware (phishing-software) waarmee toegang is verkregen tot inloggegevens van klanten van onder meer ING bank, Rabobank en Vodafone, waarna geld is weggenomen via internetbankieren.

De rechters overwegen in de uitspraak dat Telegram op voorhand heeft laten weten de gevraagde gegevens niet te zullen en/of kunnen verstrekken. De plaats waar deze gegevens zich fysiek bevinden “in the cloud” is namelijk onbekend en de gegevens zijn door de end-to-end encryptie zonder gebruikmaking van het account van de eindgebruiker niet leesbaar te leveren. De machtiging wordt door de rechter-commissaris afgegeven, met dien verstande dat de machtiging uitsluitend betrekking heeft op de gegevens die op de dag van de aanvraag bij de rechter-commissaris beschikbaar waren. De politie mag nu de inhoud en de gesprekshistorie van het Telegram-account van de verdachte veiligstellen en kopiëren.

De rechters overwegen dat de wetgever voor ogen had met de bevoegdheid de (volledige) inhoud van het opgeslagen berichtenverkeer aan de officier van justitie ter beschikking te stellen. Het betreft dan ook met name het doorbreken van de vertrouwelijkheid van de inhoud van het berichtenverkeer waarop de bescherming van dat artikel ziet, en niet zozeer de vorm waarin de verstrekking van die gegevens na machtiging daartoe door de rechter-commissaris door de provider plaats moet vinden.

Hof Den Haag: mag niet, maar vormverzuim wordt gerelativeerd

In vergelijkbare casus kwam het Hof Den Haag eerder in december 2019 tot een andere conclusie. In deze zaak werd het inloggen op het account gebaseerd op de netwerkzoeking in artikel 125j Sv. Het Hof legt in het arrest (ECLI:NL:GHDHA:2018:3529) uit dat uit de wetsgeschiedenis blijkt dat de wetgever geen ruimte heeft willen bieden voor de toepassing van een netwerkzoeking op een later moment en op een andere locatie dan (ten tijde van) de plaats van doorzoeking. Deze constatering heeft overigens geen gevolgen voor de verdachte, want het vormverzuim wordt gerelativeerd. Het arrest is overigens ook lezenswaardig omdat wordt ingegaan op het hackverweer (“mijn client is gehackt”), dat advocaten dikwijls gebruiken.

In mijn annotatie noem ik ook andere zaken van de ECLI:NL:RBROT:2018:8017 en ECLI:NL:RBDHA:2019:1329 waarin het inloggen op artikel 126ng lid 2 Sv werd gebaseerd (en ene keer niet toegestaan, de andere keer wel). Artikel 126ng lid 2 Sv vormt in principe ook geen geschikte basis voor een online doorzoeking, omdat dit artikel spreekt van een vordering van opgeslagen gegevens bij een aanbieder van een communicatiedienst.

Hoe nu verder?

De Commissie-Koops stelde al voor de regeling voor de netwerkzoeking aan te passen en uit te breiden, zodat het in de wet duidelijk staat dat opsporingsambtenaren ook achteraf mogen inloggen in het account van een verdachte. De Commissie constateert volgens mij terecht dat “nu, maar zeker in de toekomst, de meeste gezochte gegevens zich niet meer fysiek in de omgeving van het subject maar ergens in de cloud bevinden”. In een wetsvoorstel dat eind 2019 naar de Tweede Kamer wordt gestuurd, wilt de wetgever dit regelen.

De vraag is of de Hoge Raad zich niet eerder zal uitspreken over het bovenstaande vraagstuk. Stel dat de Hoge Raad oordeelt dat het ‘gewoon’ rechtmatig is en in het verlengde ligt van de netwerkzoeking of het vorderen van opgeslagen gegevens bij een communicatiedienstaanbieder, dan gaat de Hoge Raad wel erg ver in de rechtvormende taak, zonder dat de wetgever zich hierover heeft uitgesproken. Aan de andere kant zijn met toepassing van artikel 126ng lid 2 Sv hoge waarborgen voor de verdachte en voorwaarden van de inzet van een bevoegdheid verbonden en is er nú behoefte aan een oplossing. Het is interessant om te zien hoe de Hoge Raad daarmee omgaat.

Annotatie Big Brother Watch t. Verenigd Koninkrijk

1. Inleiding

De Big Brother Watch-uitspraak is een – wat de Amerikanen noemen – ‘landmark case’ van het Europees Hof voor de Rechten van de Mens (hierna: EHRM). In Big Brother Watch komt het EHRM tot de conclusie dat het Verenigd Koninkrijk inbreuk heeft gemaakt op artikel 8 (recht op privacy) en artikel 10 (vrijheid van meningsuiting) van het Europees Verdrag voor de Rechten van de Mens (hierna: EVRM), vanwege de inzet van ‘bulkinterceptie’ door de Britse communicatie-inlichtingendienst. Deze annotatie gaat kort na hoe het EHRM tot deze beslissing kwam en welke consequenties de uitspraak eventueel heeft voor de regeling van bulkinterceptie in Nederland, in de vorm van de bijzondere bevoegdheid van ‘onderzoeksopdrachtgerichte interceptie’ (artt. 48-50 Wiv 2017).

2. Bulkinterceptie is onder voorwaarden toegestaan

Allereerst is van belang dat het Straatsburgse Hof met deze uitspraak opnieuw laat zien dat de toepassing van bulkinterceptie noodzakelijk kan zijn in een democratische samenleving. Het EHRM achtte al eerder bulkinterceptie toelaatbaar in Weber Saravia t. Duitsland (EHRM 26 juni 2006, nr. 54934/00) en recentelijk in Centrum för Rättvisa t. Zweden (EHRM 19 juni 2018, nr. 35252/08, ECLI:CE:ECHR:2018:0913JUD005817013).

Het was niet een gegeven dat het EHRM bulkinterceptie als bijzondere bevoegdheid toelaatbaar zou vinden. Dat heeft te maken met de uitspraken in 2014 en 2016 van het Hof van Justitie van de Europese Unie (HvJ EU) met betrekking tot dataretentie, waarin het HvJ EU aangeeft dat een generieke bewaarplicht van telecommunicatiegegevens in strijd is met het recht op privacy en de bescherming van persoonsgegevens (HvJ EU 8 april 2014, C293/12, C-594/12, ECLI:EU:C:2014:238, EHRC 2014/140 m.nt. M.E. Koning (Digital Rights t. Ierland) en HvJ EU 21 december 2016, C-203/15 en C698/15, ECLI:EU:C:2016:970, EHRC 2017/79, m.nt. M.E. Koning (Tele2 Sverige AB t. Post-och telestyrelsen en Secretary of State for the Home Department t. Tom Watson e.a.).

Als het EHRM zou aansluiten bij de strengere lijn van het HvJ EU met betrekking tot de grootschalige opslag van gegevens (ook van personen die niet direct onder de aandacht van de diensten staan), dan had het ook tot de conclusie kunnen komen dat de vergaande bevoegdheid disproportioneel en daarmee niet-noodzakelijk in een democratische samenleving zou zijn. In plaats daarvan legt het EHRM uit dat– mede gezien de hoge dreiging van terroristische aanslagen en technologische ontwikkelingen die het werk van inlichtingen- en veiligheidsdiensten beïnvloeden – aan lidstaten een ruime beoordelingsruimte toekomt om te bepalen op welke wijze de nationale veiligheid beschermd kan worden, waarbij staten ervoor kunnen kiezen bulkinterceptie toe te passen om de ongekende bedreigingen van nationale veiligheid te kunnen identificeren (par. 314). Het Hof stelt vast dat, anders bij gerichte interceptie, bulkinterceptie aan de voorkant meer ongericht is. Voor de uitoefening van de ingrijpende bevoegdheid moeten echter strikte regels gelden, in het bijzonder bij het nader analyseren van de onderschepte communicatie (par. 329).

3. Waarborgen bij bulkinterceptie

Het EHRM vereist in zijn toets aan art. 8 EVRM dat de nationale wetgeving van verdragstaten aan bepaalde kwalitatieve vereisten voldoet (dat het ‘in accordance with the law’ is). Het hof sluit daarbij aan bij de zes criteria toe die zijn geformuleerd in de Zakharov-zaak (EHRM 4 december 2015, nr. 47143/06, ECLI:CE:ECHR:2015:1204JUD004714306, par. 231), maar past deze criteria wel aan zodat deze passen bij de bijzondere bevoegdheid van bulkinterceptie (par. 320). Dat betekent bijvoorbeeld dat niet wordt geëist dat alleen gegevens worden verzameld als er al een ‘redelijke verdenking’ bestaat. Het EHRM toetst in de uitspraak met betrekking tot artikel 8 EVRM of de Britse wetgeving voldoet aan de volgende set aan waarborgen: (1) toegankelijkheid van de wetgeving, (2) afbakening toepassingsbereik van ‘signals intelligence’, (3) de duur, verlenging en beëindiging van de bulkinterceptie, (4) onafhankelijke autorisatie bij onderschepping van de communicatie en voldoende toezicht om effectieve en voortdurende controle op het interceptieproces uit te oefenen, (5) zorgvuldige procedures voor opslag, toegang, onderzoek, gebruik en vernietiging van onderschepte persoonsgegevens, (6) voorwaarden voor het verstrekken van gegevens aan andere inlichtingen- en veiligheidsdiensten en (7) notificatie en voldoende rechtsmiddelen bij het vermoeden van schendingen bij de toepassing van bulkinterceptie.

Het EHRM acht de Britse wetgeving op de meeste elementen in orde, zoals de duur van de interceptie (par. 360), de procedures voor opslag, toegang, onderzoek en gebruik (par. 364), de procedures voor het delen met andere partijen (par. 369) en het verwijderen en vernietigen van data (par. 374). Onder de (oude) Britse wetgeving was de toepassing van de bevoegdheid tot bulkinterceptie niet aan een onafhankelijke autorisatie onderhevig. De lasten werden namelijk goedgekeurd door de minister van Binnenlandse Zaken. Desondanks meent het Hof dat op het functioneren van het ‘surveillance’-regime in het algemeen voldoende toezicht bestaat door de ‘Interception of Communications Commissioner’ en (bij klachten) het ‘Investigatory Powers Tribunal’ (par. 383). Voorafgaande autorisatie door een rechter is een ‘best practice’, maar door een onafhankelijke instantie mag ook (behalve bij advocaten en journalisten). Voldoende rechterlijk toezicht achteraf kan ook mogelijk compensatie bieden voor mogelijke gebreken in de toestemmingsverlening (zie ook EHRM 19 juni 2018, nr. 35252/08, ECLI:CE:ECHR:2018:0913JUD005817013, par. 133 (Centrum för Rättvisa t. Zweden).

4. Schending artikel 8 EVRM (recht op privacy)

Uiteindelijk komt het EHRM in Big Brother Watch toch tot een schending van art. 8 EVRM vanwege (1) het ontbreken van effectief toezicht op het geautomatiseerd doorzoeken van de verworven gegevens aan de hand van selectoren en zoektermen en (2) het ontbreken van effectieve waarborgen met betrekking tot de analyse van de metadata van geïntercepteerde communicatie (par. 338). In het bulkinterceptieregime in het Verenigd Koninkrijk worden de volgende vier fasen onderscheiden: (1) interceptie van een aantal glasvezel ‘fibers’ waarover naar verwachting internationale communicatie wordt vervoerd, (2) het ‘realtime’ filteren en vernietigen van niet-relevante onderschepte communicatie, (3) het geautomatiseerd doorzoeken van de verworven gegevens aan de hand van selectoren en zoektermen en (4) het onderzoek van het bewaarde materiaal door een analist (par. 329). Volgens het EHRM zijn er onvoldoende waarborgen in fase 3 en 4.

Bij het proces van het geautomatiseerd doorzoeken van de verworven gegevens aan de hand van selectoren en zoektermen (fase 3) wordt ook de inhoud van communicatie aan de hand van zogenoemde ‘selectors’ en zoektermen opgeslagen. Het Hof overweegt dat de selectoren en zoektermen die worden gebruikt om verworven materiaal te onderzoeken onderhevig moeten zijn aan extern toezicht, maar deze selectoren en zoektermen behoeven zelf niet te worden opgenomen in het verzoek tot inzet van de bevoegdheid (par. 340). In het Britse systeem ontbreekt voldoende onafhankelijk toezicht op fase 3 van het bulkinterceptieproces (par. 340 en 346-347). De interne en externe audits die plaatsvinden op de naleving van de waarborgen in wetgeving omtrent de verwerking van gegevens, compenseert niet het gebrek aan toezicht (par. 344-345).

Bij de analyse van de opgeslagen geïntercepteerde communicatie door een analist (fase 4), bestaan volgens het Hof in het Britse systeem te weinig waarborgen. Het Hof is bezorgd dat deze metadata zonder restrictie kunnen worden onderzocht (par. 355). Het EHRM zet uiteen dat met de analyse van metadata een zware inmenging met het recht op privacy van de betrokkenen kan plaatsvinden, omdat metadata informatie bevatten over de identiteit van beide communicerende partijen, hun geolocatie en gebruikte apparatuur. Bij de opslag en analyse van deze gegevens in bulk (een zeer grote hoeveelheid gegevens) wordt de inmenging met het recht op privacy groter, omdat het daarmee mogelijk is de contacten van een persoon, bewegingen en locaties, internetgeschiedenis en communicatiepatronen in kaart te brengen (par. 353-355). Het Verenigd Koninkrijk heeft volgens het EHRM geen juiste balans gevonden door deze categorie van gegevens uit te sluiten van de waarborgen in de wetgeving (par. 357).

5. Toepassing op de Wiv 2017

Bij toepassing van de overwegingen van het Hof op de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017), lijkt de regeling voor ‘onderzoeksopdrachtgerichte interceptie’ in artt. 48-50 Wiv 2017 op hoofdlijnen in orde. Het stelsel voor bulkinterceptie uit beide landen is op hoofdlijnen vergelijkbaar (zie hierover ook het artikel van mij en Mireille Hagens).

Wel overweegt het Hof in Big Brother Watch dat de bulkinterceptie in het Verenigd Koninkrijk ‘foreign focused’ is. Voor het binnenland bestaan meer mogelijkheden om gericht de benodigde gegevens te verzamelen voor de taakuitvoering. Op grond van de Britse wetgeving mogen zelfs geen gegevens via bulkinterceptie in het binnenland worden vergaard die met gerichte interceptie kunnen worden verkregen (par. 343). In Nederland hebben de ministers van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en Defensie hebben in een Kamerbrief n.a.v. van het raadgevend referendum toegezegd dat het vrijwel is uitgesloten dat onderzoeksopdrachtgerichte interceptie op de kabel de komende jaren wordt ingezet voor onderzoek naar communicatie met oorsprong en bestemming in Nederland (zie de Kamerbrief van 25 april 2018 n.a.v. het raadgevend referendum Wiv 2017). Dat geldt met uitzondering van onderzoek in het kader van ‘cyber defence’, omdat bij digitale aanvallen misbruik wordt gemaakt van de Nederlandse digitale infrastructuur en OOG-interceptie op de kabel in het binnenland noodzakelijk kan zijn om dit te onderkennen. In de Wiv 2017 of de Beleidsregels Wiv 2017 is geen vereiste opgenomen dat de inzet van de bijzondere bevoegdheid – met uitzondering van de inzet in het kader van cyber defence – zich uitsluitend richt op binnenlands verkeer. Het is denkbaar dat dit onderdeel is van de uit te voeren proportionaliteits- en subsidiariteitstoets bij de inzet van bijzondere bevoegdheden (art. 26 Wiv 2017).

6. Bewaartermijn van de gegevens

De bewaartermijn van drie jaar voor gegevens uit onderzoeksopdrachtgerichte interceptie is in Nederland langer dan de bewaartermijn van twee jaar in de Britse wetgeving (par. 371-372). De bewaartermijn is volgens het Hof één van de elementen die wordt meegenomen bij de toetsing van de kwaliteit van wetgeving. In Nederland moeten gegevens waarvan is vastgesteld dat ze niet-relevant zijn voor het onderzoek, dan wel enig ander lopend onderzoek vallend onder de taken van de AIVD of de MIVD, terstond worden vernietigd. De niet-onderzochte gegevens moeten uiterlijk na drie jaar worden vernietigd (art. 48 lid 5 Wiv 2017). Naar aanleiding van het raadgevend referendum is in artikel 4 van de Beleidsregels Wiv 2017 vastgesteld dat aan de minister van BZK of Defensie na één jaar toestemming moet worden gevraagd de verworven gegevens uit interceptie op de kabel, voor zover zij nog niet op relevantie zijn beoordeeld, nog een jaar te bewaren (met de mogelijkheid van twee keer verlenging).

7. Aparte toestemming voor selectie

In Nederland is bij selectie (het opslaan van de inhoud van geïntercepteerde communicatie ter nadere kennisname van deze gegevens), in tegenstelling tot in het (oude) Britse stelsel, wél een voorafgaande onafhankelijke toetsing door de Toetsingscommissie Inzet Bevoegdheden (TIB) vereist (art. 50 lid 1 sub a Wiv 2017). Ter uitvoering van de bijzondere bevoegdheid tot selectie worden selectiecriteria vastgesteld. Deze selectiecriteria zien bijvoorbeeld op technische kenmerken van personen, organisaties en aan een nader omschreven onderwerp gerelateerde trefwoorden. De vast te stellen selectiecriteria dienen te worden voorzien van een toereikende motivering, dat wil zeggen toereikend voor het doel van de selectie in relatie tot het onderzoek waarvoor de selectie plaatsvindt. Het EHRM acht een effectieve toetsing (zowel op papier als in de praktijk) door een onafhankelijke instantie ook mogelijk (in plaats van een rechterlijke toets). Daarbij is het voor de beoordeling van de onafhankelijkheid van een dergelijke instantie relevant dat ten minste twee van de drie leden van TIB, waaronder de voorzitter, ten minste zes jaar ervaring moeten hebben met de functie van rechterlijk ambtenaar in de rechtspraak (zie art. 33 lid 2 Wiv 2017).

8. Toestemming voor ‘geautomatiseerde data-analyse’

In Nederland is bij de uitvoering van ‘geautomatiseerde data-analyse’ (metadata-analyse) op geïntercepteerde communicatie uit bulkinterceptie de inzet van een bijzondere bevoegdheid vereist, voor zover de geautomatiseerde data-analyse is gericht op het identificeren van personen en organisaties (Art. 50 lid 1 sub b jo lid 4 Wiv 2017). In dat geval moet toestemming worden verkregen van de betrokken minister en vindt een rechtmatigheidstoets van de TIB plaats. Het gebrek aan restricties bij metadata-analyse uit gegevens verkregen uit bulkinterceptie was één van de twee redenen waarom in Big Brother Watch sprake was van een schending van art. 8 EVRM. Voor andere vormen van ‘geautomatiseerde data-analyse’ (metadata-analyse) die niet zijn gericht op de identificatie van personen en organisaties, zoals het in kaart brengen van bewegingen op basis van locatiegegevens en websitebezoeken van een specifieke target, is in Nederland niet de inzet van een bijzondere bevoegdheid vereist (met toestemming van de minister en een toets van de TIB). Art. 60 lid 2 Wiv 2017 schrijft alleen voor dat het bij geautomatiseerde data-analyse niet is toegestaan uitsluitend op basis van de resultaten van een gegevensverwerking ‘maatregelen’ te bevorderen of te treffen.

9. Schending art. 10 EVRM (vrijheid van meningsuiting)

Ten slotte zijn ook de overwegingen van het Hof met betrekking tot art. 10 EVRM (het recht op de vrijheid van meningsuiting) interessant. In Big Brother Watch stelden de klagers dat bulkinterceptie ook inbreuk kan maken op de door art. 10 EVMR beschermde bronbescherming voor journalisten. Het EHRM overweegt dat bij bulkinterceptie op voorhand niet duidelijk is dat journalistieke communicatie wordt onderzocht. In de eerste fase uit het Britse interceptiestelsel is dan ook geen sprake van een schending van art. 10 EVRM (par. 492). Wel moeten specifieke waarborgen gelden als eenmaal sprake is van de nadere analyse van gegevens met betrekking tot de communicatie van journalisten. Gelet op het potentiële ‘chilling effect’ van de mogelijkheid van dit soort analyses van gegevens, constateert het Hof op dit punt een schending van art. 10 EVRM (par. 495). In de Britse wetgeving geldt slechts extra bescherming als gegevens worden geanalyseerd met het doel om journalistieke bronnen te identificeren (par. 499). Het EHRM vereist bij het vergaren van communicatiegegevens met betrekking tot journalisten een rechterlijke of onafhankelijke controle en niet alleen met betrekking tot het achterhalen van journalistieke bronnen. Om deze reden constateert het Hof dat sprake is van een schending van art. 10 EVRM (par. 499).

10. Toepassing op de Wiv 2017

In de Wiv 2017 is extra bescherming voor journalisten geregeld in art. 30 lid 2 Wiv 2017. Daar staat in dat toestemming van de Rechtbank Den Haag is vereist op verzoek van de betrokken minister, waarbij de uitoefening van bijzondere bevoegdheden (inclusief OOG-interceptie) ‘kan leiden tot verwerving van gegevens inzake de bron van de journalist’. De bepaling is wat dubbelzinnig geformuleerd, omdat de indruk kan ontstaan dat toestemming van een rechtbank slechts is vereist voor zover de bevoegdheid het doel heeft de bron van een journalist te achterhalen. In art. 30 lid 2 Wiv 2017 staat echter “kan leiden tot”. Het EHRM maakt in par. 499 in ieder geval duidelijk dat de waarborg van een rechterlijke toets geldt bij onderzoek van gegevens over de communicatie van journalisten, ook als dit onderzoek als zodanig niet is gericht op het achterhalen van de bron van de journalist. Dit kan wellicht duidelijker worden gemaakt in het wetsvoorstel ‘Wijziging Wiv 2017’, dat recentelijk in consultatie is geweest.

Bronverwijzing: EHRM 13 september 2018, nrs. 58170/13, 62322/14 en 24960/15, ECLI:CE:ECHR:2018:0913JUD005817013, Computerrecht 2018/252, m.nt. J.J. Oerlemans (Big Brother Watch t. Verenigd Koninkrijk) (.pdf).

Gebruik van policeware in Aydin C.-zaak

Vorige week heb ik mijn noot gepubliceerd die ik heb beschreven over de Aydin C.-zaak. De zaak is veelvuldig in het nieuws geweest vanwege de tragische afloop van Amanda Todd, nadat zij werd gechanteerd door Aydin C. met webcamopnamen. De rechtbank Amsterdam veroordeelt Aydin voor meer dan 10 jaar gevangenisstraf voor kinderporno en (poging tot) aanranding met betrekking tot 34 meisjes en één man voor afdreiging.

Vanuit juridisch oogpunt vond ik het echter interessanter hoe de rechtbank is omgegaan met het gebruik van een softwarematige keylogger bij de bewijsgaring in deze zaak. Dergelijke ‘monitoringssoftware’ wordt ook wel ‘policeware’ genoemd.

Mag een keylogger nu wel of niet worden gebruikt?

Al tijdens het verloop van de zaak kwam via de media naar buiten de politie een ‘keylogger’ had ingezet om bewijsmateriaal te verzamelen. Een keylogger registreert toetsaanslagen waardoor communicatie, maar ook inlognamen en wachtwoorden, kan worden afgevangen om nader te onderzoeken. Een keylogger kan zowel hardwarematig zijn als softwarematig.

Eerder had ik ook al in een interview aangegeven dat het gebruik van een hardwarematige keylogger volgens mij door de beugel kan. De wetgever heeft al 20 jaar geleden in de memorie van toelichting van de Wet bijzondere opsporingsbevoegdheden (Wet BOB) (p. 35-37) voldoende duidelijk gemaakt dat onder de bijzondere opsporingsbevoegdheid van direct afluisteren (artikel 126l Sv) het gebruik van een apparaatje (een ‘bug’), dat ook toetsaanslagen kan registreren, is toegestaan.

Mag policeware worden gebruikt?

De vraag is lastiger te beantwoorden of het gebruik van een softwarematige keylogger is toegestaan. De tekst van de wet zelf sluit niet uit dat software wordt gebruik bij de toepassing van de bijzondere opsporingsbevoegdheid van direct afluisteren. Gesproken wordt over een ‘technisch hulpmiddel’, dat tevens uit software kan bestaan. Dat is ook af te leiden uit het Besluit technische hulpmiddelen. Eerder heb ik betoogd dat de software in ieder geval niet door middel van een ‘hack’ kan worden geplaatst, omdat daarmee een geheel andere privacyinbreuk plaatsvindt dan wanneer een bug fysiek in een woning of andere plek wordt geplaatst zoals bij ‘direct afluisteren’ gebruikelijk is. De wet zou dan niet meer voorzienbaar zijn.

Het is echter de vraag of de software ook andere functionaliteiten mag hebben dan het afluisteren van communicatie, het registreren van toetsaanslagen en het registreren van muisklikken. Hoewel het vonnis moeilijk leesbaar is, wordt interessante informatie gegeven over het gebruik van dergelijke software door de politie. Zo wordt onder andere gesteld dat via een softwarepakket ‘vinkjes’ kunnen worden aangezet om van bepaalde functionaliteiten van de afluistersoftware gebruik te maken. Uit het vonnis van de rechtbank blijkt ook dat gebruik is gemaakt van een screenshotfunctionaliteit. Is deze toepassing dan nog voorzienbaar is op basis van bestaande wetgeving?

Pas als de Wet computercriminaliteit III door de Eerste Kamer wordt aangenomen en de wet van kracht wordt, mag een softwarematige keylogger met andere functionaliteiten (waaronder ook het maken van screenshots, het vastleggen van identificerende gegevens, het aanzetten van een camera, en eventueel het aanzetten van een GPS-signaal) worden gebruikt. Deze software mag dan ook op afstand via een hack worden geïnstalleerd op de computer van de verdachte op basis van de voorgestelde nieuwe hackbevoegdheid in artikel 126nba Sv.

Mogelijkheden voor de verdediging

De verdediging voerde tal van verweren in de Aydin C.-zaak. In mijn noot heb ik aandacht besteed aan de mogelijkheid van de verdediging om tijdens de zitting na te gaan welke functionaliteiten van de software precies gebruik is gemaakt. Ik begrijp het standpunt van de politie en het Openbaar Ministerie dat het type software – of zelfs de broncode – niet wordt vrijgegeven aan de verdediging. Daarmee breng je namelijk het toekomstig gebruik van de software in strafzaken door opsporingsinstanties in gevaar. De verdediging moet echter wel de mogelijkheid hebben om het gebruik van de software achteraf – desnoods tijdens de zitting – te controleren. Nagegaan moet worden of niet meer functionaliteiten van de software zijn gebruikt dan de officier van justitie als het goed is in zijn bevel voor inzet van de bevoegdheid heeft aangegeven. In deze zaak werd het verweer geadresseerd door één deskundige van te politie te horen, waarbij ik de zorg om onafhankelijkheid goed begrijp.

Als de Wet computercriminaliteit III wordt aangenomen kan de verdediging het gebruik van de software beter controleren. De verdediging kan de rechter verzoeken tot nader onderzoek van de gelogde gegevens. De rechter kan dit ook overigens ook ambtshalve beslissen. Staatssecretaris Dijkhoff heeft in de nota naar aanleiding van het verslag aangegeven dat dit mogelijk is. Daarnaast wordt de waarborg ingebouwd dat de Inspectie Veiligheid en Justitie het gebruik van de software bij de politie controleren. Dit zijn twee zeer welkome waarborgen ten opzichte van de bestaande situatie.

A call to make a guideline for online investigations accessible

The gathering of publicly available online information is nowadays part of ‘most police investigations’. Some call this information the ‘new social DNA’ for law enforcement. Indeed people publish massive amounts of information about themselves on the internet on a voluntarily basis. At the same time other people can also publish information about individuals on the web. Law enforcement authorities make use of this information to fulfil their tasks, such as maintaining public order, and as a source of information in criminal investigations. In this blog post I submit that Dutch law enforcement authorities and the Public Prosecution Service should publish their policy on the use of publicly available online information in criminal investigations.

Accessibility and foreseeability

A policy on the use of privacy-interfering investigative methods should be accessible and foreseeable to the individuals involved. Accessibility means that a guideline or regulation is published and made publicly available to individuals to take notice from. Foreseeability means that the scope of investigative methods and the manner they are applied are clear to the individuals involved. An arbitrary interference by governmental authority powers in the private lives of individuals can be avoided with a foreseeable legal framework.

Murky legal basis

At the moment it is likely that the gathering of publicly available online information takes place on the legal basis of law enforcement officials’ statutory task description for the investigation of crimes (art. 3 of the Dutch Police Act). This is implied in legislative history (the explanatory memoranda on the Act on special investigative powers and the Computer Crime Act II). Although these acts go back more than 15 years – at a time when the Internet looked very different and social media services were not as popular – this is the only legislative history available. In addition a court in The Hague decided in 2011 that law enforcement officials can make use of Google Earth on the basis of art. 3 Police Act.

However this legislative history and court decision become murky when they explicitly mention that “information cannot be gathered systematically and stored in police systems” upon the basis of art. 3 of the Police Act. When exactly is information gathered systematically about individuals? Is it when a “more or less complete picture of certain aspects of an individual’s private life” is obtained? And then what? What special investigative powers apply? Shouldn’t the investigative activity be part of the task of law enforcement officials, to gather the necessary data they require for a criminal investigation without the application of special investigative powers?

Online observation

When law enforcement officials observe the online behaviours of individuals the special investigative power of ‘systematic observation’ applies. The Dutch legislator suggested at the time that factors such as the duration, place, intensity, frequency and the use of technical devices should be taken into consideration to determine whether the behaviours of individuals are observed ‘systematically’. Still, these abstract factors were originally written for application in the physical world and provide a lot of leeway for law enforcement officials and public prosecutors to decide when application of the special investigative power of systematic observation is required.

Data protection regulations

It is clear however that data protection regulations on the gathering of personal data restrict the investigative activity. Data protection regulations apply as soon as law enforcement officials look for the information on their computers or use an automated data collection system, to gather the information. These regulations thus apply at an earlier stage than when the results of the search are stored in police systems. Earlier research (see for instance this report and this report (in Dutch)) raises questions about how automated data collection systems meet key principles of data protection regulations. Yet these questions remain unanswered by law enforcement authorities and the legislator.

Conclusion

We – the people – require an explanation of how and under which conditions law enforcement authorities gather publicly available online information. Interestingly, in a 2016 master thesis (.pdf in Dutch) an internal procedure on the ‘gathering of data from social media services’ is mentioned. If such a policy indeed exists, but is not made available to the public, the law is not accessible and foreseeable to the individuals involved. For that reason I urge Dutch law enforcement authorities, the Public Prosecution Service and the Dutch legislator to make such a policy public. If such a policy does not exist, a guideline should be developed and published online as soon as possible.

This is a cross-post from LeidenLawBlog.

A warrant requirement for analysing data stored on smartphones?

On 22 April 2015, the Dutch high court of Arnhem-Leeuwarden possibly set a precedent with far-reaching consequences. In this particular criminal case, a law enforcement official seized a smartphone and subsequently read and copied WhatsApp messages stored on the smartphone. The defence successfully argued that the investigation method was in violation of the right to privacy as articulated in art. 8 ECHR. The high court of Arnhem-Leeuwarden agreed and deemed the current regulations not foreseeable.

Currently, as explained in my previous blog post, law enforcement officials can seize a smartphone and examine all data stored on it in the context of a criminal investigation to obtain evidence without any notable legal thresholds. However, the high court points out that smartphones contain “not only access to traffic data, but also the contents of communications and private information of a smartphone user” . Because the analysis of such data severely infringes in the right to privacy, the current regulations for seizing and analysing data stored on smartphones are not adequately regulated according to the court.

Right to privacy and analysis of information on smartphones

Indeed, the European Court of Human Rights (ECtHR) recently decided in the case of Prezhdarovi v Bulgaria that (1) a judicial warrant requirement and (2) a limitation of the scope of the sought after data on computers is preferable when law enforcement authorities seize computers and analyse data stored on computers. Considering the serious privacy infringement that takes place when personal data that is stored on computers is analysed by law enforcement authorities, adequate safeguards in the domestic laws of States should protect the involved individuals against arbitrary interferences of State in their personal lives according to the ECtHR.

The decisions of the high court of Arnhem-Leeuwarden and ECtHR indicate that the Dutch regulations for the seizure of computers such as smartphones require amendments in order to adequately protect the right to privacy. In June 2014, the Dutch Ministry of Security and Justice already suggested that amendments were required for analysing data on computer systems. Yet, these amendments only suggested the legal thresholds of an order of a public prosecutor, whereas the ECtHR seems to prefer a prior review of an investigating judge – i.e., basically a warrant requirement – to analyse data on computer systems.

International trend?

Interestingly, almost a year ago, the U.S. Supreme Court decided in the landmark case of Riley v. California that a judge’s warrant is required in order to seize a smartphone and analyse data stored on a smartphone. The protection of the warrant requirement was deemed appropriate, because: “Modern cell phones are not just another technological convenience. With all they contain and all they may reveal, they hold for many Americans “the privacies of life”.

Obviously, modern cell phones do not contain the ‘privacies of life’ only for Americans. So tell me, does your domestic State law require a warrant to seize computers and analyse data stored on those devices?

This is a cross-post from LeidenLawBlog.nl.

=== Updata ===

My commentary (in Dutch) on the case of 22 April 2015 is available here (in .pdf).

Note that, in the meantime, the Dutch courts of Oost-Brabant and Noord-Holland desmissed the verdict of the high court of Arnhem-Leeuwarden, stating that article 94 of the Dutch Code of Criminal Procedure allows for the seizure of smartphones and subsequent search of data stored on the device.

The court of Amsterdam decided on 18 June 2015 that art. 8 ECHR was not infringed, because law enforcement restricted the search of data stored on the smartphone to  contact details. Thefefore, the search was not deemed disproportionate. Interestingly, other judges of the court of Noord-Holland decided on 4 June 2015 in a different case that seizing a smartphone based on art. 94 DCCP does infringe art. 8 ECHR. Clearly, the courts in the Netherlands are devided on the question whether seizing a smartphone based on art. 94 DCCP infringes art. 8 ECHR. Apparently, the Public Prosecution’s Office went in appeal and the question will be brought  to the Dutch Surpeme Court.

Leaving out notification requirements for data collection orders?

Each time you make a phone call with your mobile phone, the (i) date, (ii) time and (iii) duration of your phone call, as well as the (iv) numbers dialed and the (v) location of the antennas (or region (Cell ID)) your mobile phone connects to are retained by your telecommunication service provider. The data is retained in order to ensure the availability of the data for serious crime investigations by law enforcement authorities.The Dutch Minister of Safety and Justice believes that data collection orders from third parties only create ‘minor infringements’ to your right to privacy. Taking this into account, he reasons that the poorly enforced requirement that law enforcement authorities must notify individuals about data collection orders when reasonably possible, causes too much of an administrative burden and should therefore be abolished. His bill proposing the measure caused some controversylast week (10 October 2013) in the Netherlands (article is in Dutch).

But ask yourself: do you know exactly what data is retained by telecommunication providers? And does data retention create only ‘minor’ privacy infringements? Is this a valid argument to get rid of the notification requirements?

Minor privacy infringements?

The European Data Retention Directive from 2006 obliges telecommunication providers  to retain subscriber data (name and address data) and ‘traffic data’ (such as the date, time and duration of the call as well as the numbers dialled) between 6 and 24 months (see article 5 of the Directive). The subjects of data collection orders are not only suspects. In some cases they could also be other individuals, on the condition that the data collected is relevant to the criminal investigation. The problem is that the categories of data described in art. 5 of the Data Retention Directive are, in my opinion, relatively abstract and leave a lot of leeway in terms of what is exactly retained by what provider.

In order to gain more clarity about exactly what data is retained by telecom providers and to get a feeling of what that might mean for the right to privacy, I conducted a few data access requests (a right provided by European privacy laws) with my telecommunication providers. Only focusing on my ‘location data’ and accompanying ‘time stamps’ related to my mobile phone in a period of 3 days, my data request revealed the following (interactive) map:

The blue, red and green points represent the antennas my mobile phone connected to on the 25th, 26th and the 27th of April 2013, each time my mobile phone made a connection with my telecommunication provider (49 times in total). The red line indicates a railway to emphasise the route I took when I travelled by train to Utrecht Central Station and back to Leiden CS (travelling via Schiphol on the 26thof April 2013). On the 27th of April I worked from home as can be seen by the green points. I used a public tool (BatchGeo) to create the map using the raw data provided by my provider, but law enforcement officials can also easily create maps as shown above and even visualise the movements the individual concerned made within a particular time frame with specialized software. It is not hard to imagine why data retention is useful for law enforcement authorities. The data can also be enriched with other data, such as public transportation data from public transportation chip cards, CCTV footage, ANPR data and other network communication data when available. This is what investigating crime in a networked world looks like. The minister stated in the explanatory report on the bill, that collecting data from third parties is now “almost standard to criminal investigations”.

So ask yourself again: does the collection of data by law enforcement authorities from third parties, as illustrated above, create only ‘minor’ privacy infringements? Personally I do have some sympathy with the argument that notification is not desirable for all investigatory methods, taking efficiency reasons into consideration. But I do not think that data collection orders create minor privacy infringements and that this would be a valid reason for abolishing notification. Also bear in mind that without notification, many individuals would not be aware that the government had collected the data, depriving them of the opportunity to object to the data collection. This raises issues relating to art. 13 of the European Convention on Human Rights (not so much art. 8 ECHR as mentioned in the explanatory report), although this aspect is not further considered here.

More transparency about data collection

Even after years of research, it is still not clear to me exactly what data (especially internet related data) is retained by what provider. In addition, the minister refuses to provide statistics on the collection of data, other than telecommunication providers, citing ‘national security interests’ and that it is ‘not in the interest of police investigations’. As I have stated in a previous blog post, I believe that more transparency, by way of providing these statistics, is essential. Parliamentary Members can then pose questions to the governmental representatives involved, in order to maintain (some) control over these far-reaching investigatory powers and try to uphold the integrity of the investigatory process.

This is cross post from LeidenLawBlog.nl

Van een “Take down”-bevel naar internetfilters voor politiedoeleinden?

De nieuwe Wet Computercriminaliteit III (concept) is een wetsvoorstel om computercriminaliteit te bestrijden. Het conceptwetsvoorstel is vooral controversieel vanwege de voorgestelde hack-bevoegdheden voor politie en justitie. Echter, de voorgestelde ‘Notice and Take Down’ (NTD)-bevoegdheid is een ander aspect dat onze aandacht verdient.

Notice and Take Down

Notice and Take Down is een concept waarbij bedrijven of personen worden verzocht om illegale web content te verwijderen op verzoek van een derde. In Nederland heeft zelfregulering geleid tot een gedragscode (.pdf) met betrekking tot ‘Notice and Take Down’ voor aanbieders van openbare telecommuncatiediensten en –netwerken. Personen, bedrijven en opsporingsambtenaren kunnen een bedrijf vragen om online content te verwijderen wanneer de inhoud op een bepaalde website onmiskenbaar illegaal of onrechtmatig is. Kinderporno is het standaard voorbeeld van web content dat op verzoek van een derde door een beheerder van een website verwijderd zou moeten worden.

Uitvoeringsproblemen

Het op verzoek offline halen van web content op basis van de gedragscode (of algemene voorwaarden van een bedrijf) is op dit moment geen verplichting voor internetproviders. Onze minister van Veiligheid en Justitie wil dit veranderen door het mogelijk te maken ‘Notice and Take Down’ als handhavingsinstrument in te zetten (zie het nieuwe voorgestelde artikel 125p van het Wetboek van Strafvordering (Sv)). De meerwaarde van het instrument is volgens p. 44 van de Memorie van Toelichting vooral dat het voorgestelde bevel óók kan worden gericht aan hosting providers en beheerders van een website.

Het NTD-bevel

Op basis van het voorgestelde artikel 126p Sv zou een officier van justitie – met de toestemming van een rechter-commissaris – een bevel kunnen geven aan een ‘elektronische communicatie provider’ (ECP) om ‘alle redelijke maatregelen te nemen’ om gegevens ontoegankelijk te maken teneinde een misdrijf te beëindigen of nieuwe strafbare feiten te voorkomen. De maatregel is bedoeld voor alle misdrijven in het Wetboek van Strafrecht. Zoals aangeven wordt ook beoogd dat de officier van justitie het bevel aan websitebeheerders kan afgeven, maar dat blijkt niet uit de tekst van artikel 125p Sv.

Politie en justitie hadden in theorie deze bevoegdheid al voor telecommunicatieproviders op grond van artikel 54a van het Wetboek van Strafrecht (Sr). Aan artikel 54a Sr kleefden echter zoveel juridische bezwaren dat een “Take down”-bevel van illegale web content op basis dit artikel in de praktijk niet altijd door de rechtbanken werd geaccepteerd. Het voorgestelde artikel 125p Sv kan daarom als reparatie van artikel 54a Sr worden gezien. Artikel 54a Sr blijft overigens bestaan en wordt iets aangepast om de vervolgingsuitsluitingsgrond in dit artikel te verhelderen.

Als het bedrijf of de betrokken persoon niet meewerkt, kan deze worden vervolgd voor het niet nakomen van een ambtelijk gegeven bevel. Opmerkelijk is dat de tekst van de voorgestelde maatregel in artikel 126p Sv impliceert dat de tussenpersoon een ‘verdachte’ is die het recht hebben op een advocaat tijdens een hoorzitting over de maatregel. Belanghebbenden kunnen een klaagschrift bij de rechtbank indienen als ze het niet eens zijn met de opgelegde sanctie. De Take down-bevoegdheid is bedoeld als een tijdelijke maatregel die opnieuw wordt beoordeeld door een zittingsrechter aan het eind van een strafproces. De Minister wil niet een uitspraak van de zittingsrechter afwachten voordat de maatregel kan worden opgelegd, want het zou onwenselijk zijn als het enkele maanden langer zou duren voordat de gegevens ontoegankelijk worden gemaakt. Persoonlijk hoop ik dat een Notice and Take down-bevel inderdaad altijd gepaard gaat met een strafproces en niet op zichzelf wordt gebruikt als instrument om gegevens ontoegankelijk te maken die politie en justitie illegaal vinden.

Het bevel is alleen bedoelt in gevallen waarbij een NTD-verzoek niet vrijwillig wordt uitgevoerd, bijvoorbeeld in het geval van haatzaaien of laster waarbij de tussenpersoon en de officier van justitie het niet eens zijn over de vraag of de inhoud illegaal is. Naar mijn mening is de voorgestelde NTD-sanctie een vergaande en – in sommige gevallen – bruut instrument, dat slechts gedeeltelijk doeltreffend kan zijn. Soms worden namelijk veel websites gehost op één webserver. Het uitschakelen van een webserver kan dan leiden dat het ontoegankelijk maken van veel meer (legale) websites. Belangrijker vind ik nog dat een Take Down-bevel ook aan access providers kan worden opgelegd en daarmee mogelijk leidt tot door de overheid opgelegde internetfilters.

Van Notice and Take Down tot Internet filters

Op p. 84 van de Memorie van Toelichting op het conceptwetsvoorstel wordt gezegd dat “in geval het materiaal in het buitenland wordt gehost en ontoegankelijkheidsmaking noodzakelijk is, het bevel tot access providers kan worden gericht”. Die ontoegankelijkheidsmaking kan vervolgens worden uitgevoerd door IP-adressen te blokkeren (zie p. 85). De blokkering “dient voort te duren zolang de gegevens worden aangeboden”, aldus de Memorie van Toelichting. Daarbij moet de officier van justitie overigens bij het afgeven van het bevel wel rekening houden met de technische mogelijkheden en de kosten om onderdelen van pagina’s of websites ontoegankelijk te maken.

Ik leid hier uit af dat de voorgestelde NTD-bevoegdheid er onder omstandigheden toe kan leiden dat specifieke websites op last van de officier van justitie gefilterd moeten worden. Zoals we allemaal weten zijn dergelijke filters eenvoudig te omzeilen door middel van proxy- en VPN-servers, maar daar wordt in de Memorie van Toelichting niet over gesproken. Ondertussen zijn Nederlandse hosting bedrijven en ISP’s bezorgd over de kosten van de voorgestelde maatregel en hun concurrentiepositie in de industrie.

Conclusie

De voorgestelde Notice and Take Down-bevoegdheid is bedoeld voor strafzaken waarin een persoon of bedrijf gegevens offline kan halen, maar niet bereid is dit vrijwillig te doen. Met de voorgestelde bevoegdheid kan een officier van justitie (na machtiging van een rechter commissaris) aanbieders van elektronische communicatiediensten dwingen gegevens ontoegankelijk te maken onder dreiging van strafvervolging.

De voorgestelde regeling is meer vergaand dan het oude (en slecht afdwingbare) artikel 54 van het Wetboek van Strafrecht en kan resulteren in een filter-verplichting voor specifieke websites. Onze parlementsleden moeten grondig nadenken en debatteren over de voorgestelde blokkerings- en filteringsmaatregelen alvorens ze het goedkeuren als instrument voor handhavingsinstanties.

Extraterritorial use of policeware in the United States?

Last week, the story broke that a judge from Texas (United States) had published a decision  (.pdf) denying a warrant for the placement of “policeware” on a computer of an unknown suspect at an unknown location. Policeware is special surveillance software, also called “spyware”, utilized to secretly monitor all kinds of internet activities of a computer user. The decision is interesting because it sheds light on the use of policeware in the United States.

Capabilities of the software

Judge Smith explains that the FBI requested to install “data extraction software” on the “Target Computer” (presumably the computer of a suspect). This software has the capability to search the computer’s hard drive, random access memory, and other storage media (thus perform a “remote search”). Additionally, the software can “activate the computer’s built-in camera, generate latitude and longitude coordinates for the computer’s location and transmit the extracted data to FBI agents in the district”. By installing the software, the FBI wishes to obtain information such as web browsing history, e-mail contents, e-mail contacts, chat logs, photographs and correspondence. The law enforcement agency also wishes to use the built-in camera to make photographs to identify the person using the target computer.

Extraterritorial application of a warrant to install policeware

The Texan judge then ascertains whether the request complies with the warrant requirements as described in Rule 41 of the U.S. Federal Rules of Criminal procedure. This blog post does not allow to me elaborate on the judge’s decision and the requirements of a “Rule 41 warrant”, but I do want to point out that the judge establishes that Rule 41 only allows for searches “in the district of the judge”. In this case the territoriality requirement is not met, because the search does not take place within the district, “so far as the Government’s application shows”, according to the judge. Note the judge’s witty remark that the search takes place: “not in the airy nothing of cyberspace, but in the physical space with a local habitation and a name”.

U.S. digital surveillance expert Orin Kerr analyzed the court decision of judge Smith on the popular legal blog “The Volokh Conspiracy”. I found his considerations about the applicability of the warrant requirement on a potentially foreign suspect particularly fascinating. It is standing case law (under United States v. Verdugo-Urquidez, 494 U.S. 259 (1990) that the warrant requirement of the Fourth Amendment of the U.S. Constitution does not apply outside the United States. Since it is likely the physical computer will be searched overseas (because the last known IP address is traced back somewhere in Southeast Asia), the government does not need a warrant to search the physical computer. However, Kerr believes the search also takes place in the United States when the information is analyzed by U.S. law enforcement officials and therefore a warrant is required “for that part of the search that takes place in judge Smith’s home district”.  Kerr ultimately finds the arguments presented by judge Smith to deny the warrant unconvincing.

Conclusion

Kerr’s analysis of the case begs the question: is it desirable that the United States could potentially perform searches of computers and install policeware on computers in foreign territory by unilaterally applying their criminal procedural rules to foreigners? If the answer is no, keep in mind that the Dutch government suggested more or less the same thing on p. 34-35 in their announcement today (in Dutch) to amend the Dutch Code of Criminal Procedure to make hacking and the placement of spyware possible on computers “if their location is unknown” (see also this blog post).

I’m curious to hear from international criminal law legal experts and others as to what they think of this.

This is a cross post from LeidenLawBlog.nl.