Annotatie digitale infiltratie Hansa Market

De digitale infiltratieoperatie op de darknet market ‘Hansa’ is uniek. Tijdens deze operatie heeft de Nederlandse politie onder leiding van het openbaar ministerie een darknet market overgenomen en 27 dagen lang gerund, teneinde bewijs te verzamelen over de verkopers en kopers op de markt.

Deze zaak van de rechtbank Rotterdam (ECLI:NL:RBROT:2019:5339) zaak betreft een veroordeling van één van de verkopers op het darknet market. De advocaat van de verdachte voert aan dat de infiltratieoperatie onrechtmatig was. In deze annotatie (.pdf) ga ik uitvoerig in op de juridische basis voor een digitale infiltratieoperatie en plaats ik een paar kritische kanttekeningen bij het gebrek aan andere verweren in deze zaak.

De feiten

Hansa is een darknet market waarop grootschalig werd gehandeld in voornamelijk drugs, zoals XTC, cocaïne, speed en amfetamine. Darknet markets zijn online handelsplaatsen die verkopers (‘vendors’) en kopers (‘buyers’) bij elkaar brengen. De handelsplaatsen zijn slechts via een bepaald protocol bereikbaar, in dit geval via het Tor netwerk. Tor zorgt ervoor dat het IP-adres van de handelsplaats en de bezoekers verborgen blijven en versleuteld het netwerkverkeer. Gesprekken tussen kopers en verkopers worden vaak versleuteld door middel van het ‘Pretty Good Privacy’-programma (PGP) en betalingen worden verricht door middel van cryptocurrencies, zoals Bitcoin en Monero. De bestelde producten worden per pakketpost afgeleverd op het gewenste adres.

De verdachte is veroordeeld voor het witwassen van bitcoins, die gekoppeld waren aan debet-, credit- en prepaidcards, en vervolgens werden omgewisseld bij een Bitcoin-uitwisselingkantoor voor in totaal meer dan 800.000 euro. Ook heeft de verdachte samen met anderen meer dan 22.000 bestellingen afgeleverd. De drugs werden verstopt in speciaal met 3D-printers geprinte verpakkingen als make-updoosjes. De hoofdverdachte wordt veroordeeld tot vijf jaar gevangenisstraf.

De rechtbank legt in het vonnis uit dat onder het bevel van een officier van justitie de infiltratiebevoegdheid in artikel 126h Wetboek van Strafvordering (Sv) is ingezet. De rechtbank omschrijft helder op welke wijze de darknet market is overgenomen:

“(…) de infrastructuur van Hansa Market naar Nederlands grondgebied geëmigreerd en is Hansa Market heimelijk en ongewijzigd door het onderzoeksteam overgenomen met als doel wachtwoorden, berichten, orderinformatie en bitcoins niet-versleuteld af te vangen teneinde verdachten te identificeren en illegale goederen in beslag te nemen. Het onderzoeksteam fungeerde daarbij als beheerder van Hansa Market, reageerde op verzoeken van kopers, nam deel aan berichtenverkeer, onderhield contacten en verrichtte een aantal pseudokopen.”

Verweer van advocaat en commentaar

De advocaat van de verdachte voert aan dat het overnemen en beheren van de site geen wettelijke basis heeft, de verdediging geen zicht heeft verkregen in de wijze waarop de infiltratie heeft plaatsgevonden, en niet te controleren is of het optreden van de opsporingsambtenaren rechtmatig was en of voldaan is aan de proportionaliteitseis. De verdediging stelt dat daarom het openbaar ministerie niet-ontvankelijk dient te worden verklaard in de vervolging van de verdachte.

De rechtbank oordeelt dat ‘het overnemen en beheren van de website valt onder de bijzondere opsporingsbevoegdheid van infiltratie in de zin van artikel 126h Sv’ (zie rechtsoverweging 3.1 uit de uitspraak). Daaruit bestaat dan ook de gehele motivering van de rechtbank ten aanzien van het eerste verweer, wat wel érg summier is. De rechtbank had kunnen verwijzen naar de wetsgeschiedenis van de Wet bijzondere opsporingsbevoegdheden waarin al in 1997 duidelijk werd aangegeven dat infiltratie ook op internet mogelijk is. Ook lag het voor de hand dat de rechtbank nog eens de achtergrond van de bevoegdheid aanhaalde. Infiltratie is namelijk bedoeld om te participeren in een criminele organisatie teneinde bewijsmateriaal over strafbare feiten te verzamelen. Het is daarbij mogelijk dat (geautoriseerde) strafbare feiten worden gepleegd. De overname en het beheer van de website voor 27 dagen lang, wordt aldus geplaatst onder de bijzondere opsporingsbevoegdheid van infiltratie. Uit het vonnis wordt niet duidelijk of Nederlandse opsporingsambtenaren ook de online identiteit (het account) van de oorspronkelijke ‘administrators’ (beheerders) van de darknet market hebben overgenomen (zie hierover dit – uitstekende – artikel van Wired). Die handeling is mogelijk onderdeel van de inzet van de infiltratiebevoegdheid, maar het is bijvoorbeeld interessant om te weten of de accountovername op vrijwillige basis plaatsvond.

Uitlokking?

De rechtbank oordeelt tevens, terecht meen ik, dat er geen sprake is van uitlokking. De rechtbank past de gebruikelijke toets toe of de verkopers en kopers door de overname niet tot andere strafbare feiten zijn gebracht door het onderzoeksteam, dan waarop hun opzet reeds was gericht (zie ook HR 29 juni 2010, ECLI:NL:HR:2010:BL0613). Met de geruisloze overname van Hansa Market heeft het onderzoeksteam de bestaande situatie in zoverre ongewijzigd voortgezet. Niet is gebleken dat verkopers (of kopers) door de overname, dan wel door het handelen van het onderzoeksteam, zijn gebracht tot het begaan van andere strafbare feiten dan waarop hun opzet reeds van tevoren was gericht. Het toelaten van nieuwe vendors en aanbieden van een korting bij personen bij wie al het opzet bestond om te handelen in verdovende middelen op deze specifieke en verborgen website, past volgens de rechtbank eveneens in dit kader en kan dan ook niet worden gekwalificeerd als uitlokking.

Over de transparantie van de infiltratieoperatie oordeelt de rechtbank dat voldoende valt te controleren of is voldaan aan de eisen van proportionaliteit en subsidiariteit. Het strafdossier bevat een aanvullend proces-verbaal  waarin inzicht in de werkwijze van de opsporingsambtenaren tijdens de infiltratie wordt verschaft. De rechtbank overweegt daarbij in het kader van de subsidiariteit, naar mijn mening terecht, dat ‘enkel het in beslag namen van servers van illegale marktplaatsen eerder niet heeft geleid tot een effectieve verstoring van de handel in verdovende middelen, maar tot een verplaatsing hiervan met behoud van de digitale structuur bij de verkopers op een andere website (het zgn. ‘waterbedeffect’)’. De operatie was namelijk opgezet in samenwerking met de FBI. De FBI heeft eerst de darknet market ‘Alphabay’ ontmanteld. De kopers en verkopers migreerden toen naar ‘Hansa Market’. Op dat moment heeft de Nederlandse politie en het openbaar ministerie de markt overgenomen en 27 dagen lang beheerd teneinde bewijs te verzamelen. Met deze infiltratieactie is het wel mogelijk gebleken de identiteit van verkopers en kopers te achterhalen en eventuele criminele tegoeden van hen in beslag te nemen. De aard en ernst van de strafbare feiten, de onmogelijkheid langs andere weg het bewijs te verzamelen en de begrensde periode van de inzet van het opsporingsmiddel, maakt in combinatie met elkaar dat is voldaan aan de proportionaliteit- en subsidiariteitseis, aldus de rechtbank.

Toch zal de proportionaliteitstoets niet eenvoudig zijn geweest. Hansa Market had naar verluid in totaal meer dan 3600 dealers en in totaal 420.000 bezoekers. Volgens een achtergrondartikel in Wired op basis van een interview met betrokken opsporingsambtenaren waren er op enig moment 5000 bezoekers per dag op de drugsmarkt en vonden ongeveer 1000 bestellingen per dag plaats tijdens het beheer van de Nederlandse autoriteiten. In totaal zouden minstens 10.000 adressen van gebruikers van de darknet market zijn vastgelegd. Hoe weegt de noodzaak tot de inzet van de bijzondere opsporingsbevoegdheid van infiltratie, vermoedelijk in combinatie met andere bijzondere opsporingsbevoegdheden zoals een netwerkzoeking en de telecommunicatietap, op tegen de privacy-inbreuk van die duizenden betrokkenen? In de uitspraak staat bijvoorbeeld in rechtsoverweging 5.3.2 dat tijdens een doorzoeking computers werden aangetroffen die waren ingelogd op een server in Parijs met toezicht tot een ander darknet market (“Dream Market”). In het eerder aangehaalde artikel van Wired staat bijvoorbeeld ook: “The NHTCU officers explained how, in the undercover work that followed, (…),  even tricked dozens of Hansa’s anonymous sellers into opening a beacon file on their computers that revealed their locations”.  Ook zijn naar verluidt de instellingen van de (programmeercode van) de  website gewijzigd, zodat wachtwoorden en geolocatiegegevens in de foto’s van gebruikers van de website zijn vastgelegd.

Rechterlijke toets?

Hieraan gerelateerd bestaat de vraag of het wenselijk is deze toets slechts bij een officier van justitie te beleggen. Het Europees Hof van de Rechten voor de Mens (EHRM) acht de betrokkenheid van een rechter(-commissaris) in undercoveroperaties als het meest geschikt, maar acht ook toezicht van een officier van justitie mogelijk als er voldoende procedures en waarborgen zijn (zie bijvoorbeeld EHRM 4 november 2010, ECLI:CE:ECHR:2010:1104JUD001875706, par. 50 (Bannikova/Rusland), EHRM 23 oktober 2014, ECLI:CE:ECHR:2014:1023JUD005464809, par. 53, (Furcht/Duitsland) en EHRM 28 juni 2018, ECLI:CE:ECHR:2018:0628JUD003153607, par. 45 (Tchokhonelidze/Georgië). Procedures en waarborgen kunnen bijdragen aan het ondervangen van bepaalde risico’s omtrent de integriteit van een dergelijk onderzoek, bijvoorbeeld het risico dat een undercoveragent zich bezighoudt met zelfverrijking of criminele activiteiten die verder gaan dan oorspronkelijk met een officier van justitie zijn afgesproken. Wellicht zag de advocaat geen heil in dit verweer en speelt hierbij mee dat in Nederland bij infiltratieacties nog een extra toets door de Centrale Toetsingscommissie van het Openbaar Ministerie plaatsvindt.

Doorlaatverbod?

De advocaat van de verdachte stelt verder geen verweer in met betrekking tot het doorlaatverbod uit 126ff Sv, wellicht omdat de schutznorm niet van toepassing is en het verweer waarschijnlijk geen voordeel voor de verdachte oplevert (zie bijvoorbeeld HR 2 juli 2002, ECLI:NL:HR:2002:AD9915). De politie en openbaar ministerie mogen in principe geen drugs doorlaten op de markt en moeten tot inbeslagname van de drugs overgaan, tenzij een zwaarwegend opsporingsbelang prevaleert en de Centrale Toetsingscommissie schriftelijk instemt. Uit nieuwsberichten (zoals deze uit Trouw) is af te leiden dat het openbaar ministerie zich heeft ingespannen pakketverzendingen met drugs tegen te houden. De vraag blijft bijvoorbeeld wel hoe dat in zijn werking ging met de levering van drugs vanuit andere landen. Het vonnis gaat hier verder niet op in.

Conclusie

Het bovenstaande in overweging nemende, kan worden geconcludeerd dat de digitale infiltratieactie op Hansa Market door de Nederlandse politie en het openbaar ministerie een klinkend succes is geweest. De infiltratieoperatie wordt rechtmatig verklaard en daar is in beginsel veel voor te zeggen.

Wel is de rechtbank summier in de motivering van de uitspraak, wordt geen verweer gevoerd met betrekking tot tal van andere bevoegdheden die vermoedelijk zijn ingezet en is het opvallend dat de advocaat niet is ingegaan op het doorlaatverbod. De Hansa-zaak laat de potentiële schaal en technische complexiteit van een dergelijke operatie zien en de lastige overwegingen die hierbij spelen, in het bijzonder met betrekking tot de proportionaliteit.

Ten slotte op deze plaats nog een persoonlijke observatie: het is opvallend dat tot nog toe zo weinig door andere juristen is geschreven over deze operatie. Het is bij uitstek een zaak met interessante juridische discussies (zie ook de opmerking van officier in deze video op 5:50 min). Zou het te technisch zijn voor de gemiddelde jurist of is de zaak simpelweg aan de aandacht ontsnapt? Het is interessant om te zien welke veroordelingen er mogelijk nog komen en welke online undercover operaties in de toekomst zullen volgen.

Privacy en bulkinterceptie in de Wiv 2017

Samen met mijn collega Mireille Hagens heb ik het artikel ‘Privacy en bulkinterceptie in de Wiv 2017’ geschreven voor het themanummer van ‘Privacy’ van Ars Aequi. In het artikel gaan we uitgebreid in op de bijzondere bevoegdheid tot het in bulk tappen van communicatie (‘bulkinterceptie’); in de Wet op de inlichtingen- en veiligheidsdiensten 2017 ‘onderzoeksopdrachtgerichte interceptie’ genoemd.

In het artikel leggen we uit hoe het stelsel van onderzoeksopdrachtgerichte interceptie precies is geregeld, met daarbij speciale aandacht voor de bijzondere bevoegdheid van ‘geautomatiseerde data-analyse’ als onderdeel daarvan. Ook bespreken we welke waarborgen daarbij in de Wiv 2017 zijn voorzien voor de rechtsbescherming van burgers en hoe deze zich verhouden tot de jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) over bulkinterceptie. De zaken Big Brother Watch e.a. en Centrum för Rättvisa (2018), waarin het EHRM zich baseert op eerdere jurisprudentie zoals de Grote Kameruitspraak in Roman Zakharov (2015), krijgen in onze analyse daarbij de meeste aandacht.

Stevige regeling voor bulkinterceptie

In ons artikel constateren wij dat voor onderzoeksopdrachtgerichte interceptie de Wiv 2017 sterke waarborgen biedt, waaronder het getrapte systeem van voorafgaande toestemming door de minister en de toetsing hiervan door de Toetsingscommissie Inzet Bevoegdheden (TIB) voor de interceptie zelf, maar ook voor de optimalisatie van het interceptieproces en de nadere analyse van de onderschepte gegevens uit interceptie.

Het stelsel voor onderzoeksopdrachtgerichte interceptie voldoet daarmee aan een belangrijk kritiekpunt in de Big Brother Watch-zaak over voorafgaande toestemming en toezicht op de nadere analyse van de gegevens met het oogmerk om kennis te nemen van de inhoud (het selectieproces). Overigens bestaat de mogelijkheid dat de Grote Kamer van het EHRM, waar deze zaak nu voorligt, tot een ander oordeel komt over bulkinterceptie als bijzondere bevoegdheid. De resultaten van onze analyse kunnen daardoor wijzigen, maar dat is niet onze verwachting.

Knelpunt: geautomatiseerde data-analyse

Als knelpunt in de Wiv 2017 identificeren wij de beperkte reikwijdte van de regeling voor de bijzondere bevoegdheid tot geautomatiseerde data-analyse. In de bovengenoemde EHRM-zaken legt het Hof goed uit dat dat de analyse van metadata uit telecommunicatie een zware inmenging in het recht op privacy van de betrokkenen kan inhouden. De reden is dat metadata gevoelig kan zijn, omdat het onder meer informatie kan bevatten over de identiteit van beide communicerende partijen, hun contacten, hun geolocatie en gebruikte apparatuur. Bij de opslag en analyse van deze gegevens in bulk wordt de inmenging in het recht op privacy groter, omdat het daarmee mogelijk is de contacten van een persoon, bewegingen en locaties, internetgeschiedenis en communicatiepatronen in kaart te brengen (zie par. 353-355 uit Big Brother Watch e.a)).

Geautomatiseerde data-analyse krijgt om deze reden ook een specifieke regeling in artikel 50 Wiv 2017, maar nog weinig aandacht gekregen in de literatuur. Wij wijzen er in het artikel op dat de bijzondere bevoegdheid slechts geldt voor de metadata-analyse van gegevens uit onderzoeksopdrachtgerichte interceptie (en geen andere bevoegdheden) met het doel om personen of organisaties te identificeren (en niet voor andere doelen). Het zou duidelijk moeten zijn welke data-analyses dan precies buiten de regeling van artikel 50 lid 1 sub b jo lid 4 Wiv 2017 vallen. Tot dusver is dat echter nog onduidelijk, mede door een gebrek aan nadere duiding in de toelichting op de wet.

De CTIVD en de TIB hebben in 2018 aangegeven dat de bijzondere bevoegdheid ook voor analyse van metadata afkomstig uit andere bevoegdheden zou moeten gelden. De ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie hebben daarentegen in hun reactie (brief en  bijlage (.pdf)) aangegeven dat de bevoegdheid slechts zou moeten gelden in gevallen waarbij de analyse tot een ‘substantiële privacy-inbreuk’ leidt.

Meenemen in de evaluatie Wiv 2017?

Het is interessant om te zien of de bijzondere bevoegdheid van geautomatiseerde data-analyse in de evaluatie van de Wiv 2017 wordt meegenomen en mogelijk een andere invulling krijgt. Het onderwerp is in het nieuwe wetsvoorstel ‘Wijzigingswet Wiv 2017’ in ieder geval niet meegenomen. De evaluatie moet overigens voor 1 mei 2020 van start gaan en hiervoor moet nog een commissie worden ingesteld.

Annotatie over (het misbruik van) het ‘Mirai-botnet’

In het nieuwe nummer van Computerrecht is een annotatie over het Mirai-botnet verschenen (.pdf). Ik heb een korte noot bij de zaak Rb. Den Haag 7 maart 2019, ECLI:NL:RBDHA:2019:2116 geschreven, omdat de zaak een interessant feitencomplex bevat met een veroordeling voor het eerste succesvolle botnet met IoT-apparaten. Daarnaast is de zaak vanuit juridisch perspectief interessant, omdat de rechtbank Den Haag het begrip ‘geweld’ in het artikel bij het misdrijf ‘afpersing’ in artikel 317 Sr toepast bij de ddos-aanval. De rechtbank Den Haag is daarnaast wat kort door de bocht in de bewezenverklaring van de strafbaarstellingen. Hierover zeg ik het volgende in de noot:

Bewijs van computervredebreuk en is sprake van een ‘dienst van algemene nutte’?

De rechtbank is kort door de bocht als zij stelt dat “een DDoS-aanval kan worden gekwalificeerd als overtreding van artikel 138ab Sr en artikel 138b Sr”. Van artikel 138b Sr is zonder meer sprake, in dit geval ook in gekwalificeerde vorm in artikel 138b lid 2 Sr, omdat de verdachte gebruik maakte van een botnet. Een ddos-aanval leidt echter niet direct tot overtreding van het delict computervredebreuk in artikel 138ab Sr, omdat het een geautomatiseerd werk ontoegankelijk maakt maar geen sprake is van het binnendringen in een geautomatiseerd werk.

Echter, een botnet is een netwerk van geïnfecteerde computers – in dit geval IoT-apparaten – die door een derde worden aangestuurd. Voor het creëren van een botnet moet wel computervredebreuk worden gepleegd, en wel in gekwalificeerde vorm in artikel 138ab lid 3 sub b Sr.

Daarnaast is het mij niet helemaal duidelijk waarom sprake is van artikel 161sexies Sr, omdat in dat geval is vereist dat de ddos-aanval een ‘gemeen gevaar voor goederen of voor de verlening van diensten te duchten is’. De websites zijn geen ‘diensten van algemene nutte’, zoals overheidswebsites. Volgens de rechtbank is er een ‘gemeen gevaar voor goederen of de verlening van diensten’, omdat de aanval er toe leidde dat vijf andere websites onbereikbaar waren. Het is denkbaar dat deze vijf websites op dezelfde webserver stonden als één van de websites die is aangevallen.

Sprake van ‘geweld’ bij afpersing in de zin van artikel 317 lid 1 Sr?

De rechtbank overweegt verder dat sprake is van het delict afpersing als bedoeld in artikel 317 van het Wetboek van Strafrecht (Sr). Daarbij stelt de rechtbank dat zonder meer sprake is van ‘geweld’, omdat ‘websites en servers onbruikbaar worden gemaakt’ en ‘maatregelen genomen moeten worden om de aanval af te slaan en de website en server te herstellen’.

Mijns inziens had de officier van justitie simpelweg art. 317 lid 2 Sr ten laste moeten leggen, waarbij geen sprake hoeft te zijn van geweld. Bij art. 317 lid 2 Sr bestaat de dwang bij afpersing uit ‘de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist’.

Het gelijk stellen van het begrip ‘geweld’ met het onbereikbaar maken van een webserver, zoals de rechtbank Den Haag in deze zaak, is juist niet vanzelfsprekend en onnodig. De officier van justitie had op de zitting de tenlastelegging nog kunnen wijzigen.

Internetonderzoek door bestuursorganen

In de gemeente Amsterdam mag woonruimte niet meer dan 30 dagen per jaar mag worden verhuurd. Ter handhaving van dit beleid legt de gemeente met behulp van zogenoemde ‘scraping’-technieken elke dag de advertenties en reviews op de advertenties op AirBnB vast. Deze informatie uit ‘open bron’ vormt mogelijk bewijsmateriaal in handhavingsacties. Uit onder andere deze zaak (ECLI:NL:RBAMS:2018:4442) blijkt dat bewoners een last onder dwangsom opgelegd kunnen krijgen als zij – blijkend uit de advertentie en de reviews op AirBnB – de regels uit de Huisvestingsverordening overtreden.

De gemeente Amsterdam is zeker niet het enige bestuursorgaan dat informatie op internet verzamelt ten behoeve van de uitvoering. Zo wordt in het kader van de sociale zekerheid veelvuldig op sociale media en online handelsplatformen als ‘Marktplaats’ gezocht naar informatie die op mogelijke fraude wijst. Op sociale media verschijnen bijvoorbeeld posts die op mogelijke samenleving tussen personen kunnen wijzen, zoals “bij de liefde van mijn leven ingetrokken” (zie bijvoorbeeld ECLI:NL:RBDHA:2016:8215) en kan bij een groot aantal advertenties voor goederen of diensten op Marktplaats het vermoeden rijzen dat er verzwegen inkomsten zijn (zie bijvoorbeeld ECLI:NL:CRVB:2015:979).

Ook in het vreemdelingerecht duikt het gebruik van sociale media steeds vaker op. Posts op de tijdlijn van Facebook of de activiteiten op LinkedIn blijken inzicht te verschaffen in de politieke of religieuze activiteiten (ECLI:NL:RBDHA:2017:6180), de seksuele oriëntatie (ECLI:NL:RBDHA:2014:10266) of in de mogelijkheden om vakanties in het buitenland door te brengen, zonder problemen met de autoriteiten te ondervinden (ECLI:NL:RBDHA:2017:7852). Deze informatie kan van belang zijn voor bijvoorbeeld een beslissing over het verlenen van een verblijfsvergunning. Andere opvallende zaken die soms de publiciteit haalden, is bijvoorbeeld de sluiting van de Amsterdamse sexclub Bianca, (mede) vanwege anonieme recensies op hookers.nl (ECLI:NL:RVS:2013:792) en de grootschalige Facebookanalyse die de gemeente Amsterdam uitvoerde om meer grip te krijgen op overlastgevende hangjongeren.

Artikel

In ons artikel (.pdf) in het NJB heb ik samen met Ymre Schuursmans onderzocht in hoeverre openbronnenonderzoek op internet binnen het bestuursrechtelijk kader toelaatbaar is. Binnen het strafrecht en de Wiv 2017 worden nieuwe bevoegdheden geïntroduceerd voor ‘stelselmatig openbronnenonderzoek’, terwijl binnen het bestuursrecht dergelijke plannen ontbreken. Wij analyseren de achtergrond van dit verschil in regulering en bezien of normen en waarborgen uit het strafvorderlijk domein toepasbaar zijn in het bestuursrecht, teneinde de grondrechten van betrokkenen (beter) te beschermen.

Conclusie

In het artikel concluderen wij dat openbronnenonderzoek binnen het bestuursrecht mogelijk is op grond van de algemene onderzoeksplicht in artikel 3:2 Awb. De ernst van de privacy-inmenging bij openbronnenonderzoek verschilt echter van geval tot geval. Met het voorbeeld van de inzet van scrapers uit de inleiding in het achterhoofd, wordt volgens ons door de rechtbank te weinig gemotiveerd akkoord gegaan.

Onze aanbeveling is om in beleid en rechtspraak (en mogelijk in een bijzondere wet, zoals de Participatiewet) een nadere invulling te geven voor stelselmatig openbronnenonderzoek binnen het bestuursrecht. Dat moet duidelijk maken voor welke doelen en onder welke voorwaarden openbronnenonderzoek door bestuursorganen plaatsvindt.

Dergelijk beleid en meer rechtspraak vergroot de voorzienbaarheid van de toepassing van het instrument voor de burger en dwingt bepaalde waarborgen af. Daarbij valt te denken aan een nadere invulling van de proportionaliteitstoets in de toezichtfase (art. 5:13 Awb), het stellen van eisen aan de verslaglegging, het stellen van grenzen aan de duur van het onderzoek, het bepalen van een bewaartermijn van gegevens en de wijze waarop wordt omgegaan met de informatieplicht uit de AVG. Het protocol internetrechercheren voor gemeenten (.pdf) biedt een eerste invulling van deze waarborgen.

Inloggen in het account van de verdachte

Mogen opsporingsdiensten inloggen in het account van een verdachte? Nu.nl kopte recentelijk ‘Rechter: OM mag inloggen op Telegram-accounts van verdachte’ dat dit kennelijk is toegestaan, maar juridisch is er nog onduidelijkheid.

Telegram-uitspraak

Op 22 februari 2019 heeft de rechtbank Rotterdam in hoger beroep geoordeeld (ECLI:NL:RBROT:2019:2712) dat het rechtmatig is om toegang te verschaffen tot het Telegram-account van een verdachte op grond van art. 126ng lid 2 Sv. In eerste instantie weigerde een rechter-commissaris hier een machtiging voor af te geven. De verdachte onderdeel van een onderzoek naar de verspreiding van malware (phishing-software) waarmee toegang is verkregen tot inloggegevens van klanten van onder meer ING bank, Rabobank en Vodafone, waarna geld is weggenomen via internetbankieren.

De rechters overwegen in de uitspraak dat Telegram op voorhand heeft laten weten de gevraagde gegevens niet te zullen en/of kunnen verstrekken. De plaats waar deze gegevens zich fysiek bevinden “in the cloud” is namelijk onbekend en de gegevens zijn door de end-to-end encryptie zonder gebruikmaking van het account van de eindgebruiker niet leesbaar te leveren. De machtiging wordt door de rechter-commissaris afgegeven, met dien verstande dat de machtiging uitsluitend betrekking heeft op de gegevens die op de dag van de aanvraag bij de rechter-commissaris beschikbaar waren. De politie mag nu de inhoud en de gesprekshistorie van het Telegram-account van de verdachte veiligstellen en kopiëren.

De rechters overwegen dat de wetgever voor ogen had met de bevoegdheid de (volledige) inhoud van het opgeslagen berichtenverkeer aan de officier van justitie ter beschikking te stellen. Het betreft dan ook met name het doorbreken van de vertrouwelijkheid van de inhoud van het berichtenverkeer waarop de bescherming van dat artikel ziet, en niet zozeer de vorm waarin de verstrekking van die gegevens na machtiging daartoe door de rechter-commissaris door de provider plaats moet vinden.

Hof Den Haag: mag niet, maar vormverzuim wordt gerelativeerd

In vergelijkbare casus kwam het Hof Den Haag eerder in december 2019 tot een andere conclusie. In deze zaak werd het inloggen op het account gebaseerd op de netwerkzoeking in artikel 125j Sv. Het Hof legt in het arrest (ECLI:NL:GHDHA:2018:3529) uit dat uit de wetsgeschiedenis blijkt dat de wetgever geen ruimte heeft willen bieden voor de toepassing van een netwerkzoeking op een later moment en op een andere locatie dan (ten tijde van) de plaats van doorzoeking. Deze constatering heeft overigens geen gevolgen voor de verdachte, want het vormverzuim wordt gerelativeerd. Het arrest is overigens ook lezenswaardig omdat wordt ingegaan op het hackverweer (“mijn client is gehackt”), dat advocaten dikwijls gebruiken.

In mijn annotatie noem ik ook andere zaken van de ECLI:NL:RBROT:2018:8017 en ECLI:NL:RBDHA:2019:1329 waarin het inloggen op artikel 126ng lid 2 Sv werd gebaseerd (en ene keer niet toegestaan, de andere keer wel). Artikel 126ng lid 2 Sv vormt in principe ook geen geschikte basis voor een online doorzoeking, omdat dit artikel spreekt van een vordering van opgeslagen gegevens bij een aanbieder van een communicatiedienst.

Hoe nu verder?

De Commissie-Koops stelde al voor de regeling voor de netwerkzoeking aan te passen en uit te breiden, zodat het in de wet duidelijk staat dat opsporingsambtenaren ook achteraf mogen inloggen in het account van een verdachte. De Commissie constateert volgens mij terecht dat “nu, maar zeker in de toekomst, de meeste gezochte gegevens zich niet meer fysiek in de omgeving van het subject maar ergens in de cloud bevinden”. In een wetsvoorstel dat eind 2019 naar de Tweede Kamer wordt gestuurd, wilt de wetgever dit regelen.

De vraag is of de Hoge Raad zich niet eerder zal uitspreken over het bovenstaande vraagstuk. Stel dat de Hoge Raad oordeelt dat het ‘gewoon’ rechtmatig is en in het verlengde ligt van de netwerkzoeking of het vorderen van opgeslagen gegevens bij een communicatiedienstaanbieder, dan gaat de Hoge Raad wel erg ver in de rechtvormende taak, zonder dat de wetgever zich hierover heeft uitgesproken. Aan de andere kant zijn met toepassing van artikel 126ng lid 2 Sv hoge waarborgen voor de verdachte en voorwaarden van de inzet van een bevoegdheid verbonden en is er nú behoefte aan een oplossing. Het is interessant om te zien hoe de Hoge Raad daarmee omgaat.

Nieuw boek: Strafrecht en ICT

Vanaf nu is het boek Strafrecht en ICT beschikbaar! Het boek betreft een studieboek en naslagwerk over cybercriminaliteit.

In het boek bundelen Bert-Jaap Koops en ik onze krachten en updaten wij het boek ‘Strafrecht en ICT’ uit 2007 (destijds uitgebracht onder de redactie van Bert-Jaap Koops).

Materieel strafrecht en ICT
Wij behandelen in hoofdstuk 2 van het boek uitvoerig de strafbepalingen, wetsgeschiedenis en jurisprudentie over computercriminaliteit in enge zin (met delicten als computervredebreuk, de verspreiding van kwaadaardige software (malware) en ddos-aanvallen) en computercriminaliteit in brede zin (met delicten als fraude, oplichting en online zedendelicten). Vergeleken met de tweede druk uit 2007 is er meer jurisprudentie beschikbaar, waardoor de bepalingen beter zijn uitgekristalliseerd. Ook zijn er delicten bijgekomen of aangepast, onder andere vanwege de Wet computercriminaliteit III, zoals heling van gegevens en sextortion.

Formeel strafrecht en ICT
Hoofdstuk 3 gaat over formeel strafrecht en ICT. Het hoofdstuk behandeld alle relevante opsporingsbevoegdheden die worden in gezet in opsporingsonderzoeken naar cybercriminaliteit. Het gaat daarbij bijvoorbeeld om de Wet vorderen gegevens, de Wet bijzondere opsporingsbevoegdheden en de bepalingen omtrent de doorzoeking van plaatsen en inbeslagname van computers. Ook de hackbevoegdheid en de take down-bevoegdheid uit de Wet computercriminaliteit III komen uiteraard aan bod. Zowel in het hoofdstuk over het materieel strafrecht als het hoofdstuk over het formeel strafrecht kijken we enige tijd vooruit en spreken we enkele toekomstverwachtingen over het vakgebied uit.

Grensoverschrijdende digitale opsporing

Het laatste hoofdstuk van het boek gaat over grensoverschrijdende digitale opsporing. Ik mijn hoofdstuk bouw ik voort op mijn werk uit mijn proefschrift, Tekst en Commentaar en nieuwe jurisprudentie. In het hoofdstuk ga ik onder andere in op de grensoverschrijdende toepassing van het vorderen van gegevens, undercover bevoegdheden en de hackbevoegdheid.

Het is een genoegen geweest samen met Bert-Jaap Koops aan het boek te werken. Kennis die ik niet kwijt kon in mijn proefschrift of andere publicaties heeft nu een plek gekregen in het boek. Het boek is nadrukkelijk niet alleen als studieboek geschreven, maar ook als naslagwerk voor wetenschap en praktijk. Het boek heeft hopelijk veel waarde voor juristen die zich in de praktijk bezighouden met cybercriminaliteit en voor juristen die meer willen weten over cybercriminaliteit.

Annotatie Big Brother Watch t. Verenigd Koninkrijk

1. Inleiding

De Big Brother Watch-uitspraak is een – wat de Amerikanen noemen – ‘landmark case’ van het Europees Hof voor de Rechten van de Mens (hierna: EHRM). In Big Brother Watch komt het EHRM tot de conclusie dat het Verenigd Koninkrijk inbreuk heeft gemaakt op artikel 8 (recht op privacy) en artikel 10 (vrijheid van meningsuiting) van het Europees Verdrag voor de Rechten van de Mens (hierna: EVRM), vanwege de inzet van ‘bulkinterceptie’ door de Britse communicatie-inlichtingendienst. Deze annotatie gaat kort na hoe het EHRM tot deze beslissing kwam en welke consequenties de uitspraak eventueel heeft voor de regeling van bulkinterceptie in Nederland, in de vorm van de bijzondere bevoegdheid van ‘onderzoeksopdrachtgerichte interceptie’ (artt. 48-50 Wiv 2017).

2. Bulkinterceptie is onder voorwaarden toegestaan

Allereerst is van belang dat het Straatsburgse Hof met deze uitspraak opnieuw laat zien dat de toepassing van bulkinterceptie noodzakelijk kan zijn in een democratische samenleving. Het EHRM achtte al eerder bulkinterceptie toelaatbaar in Weber Saravia t. Duitsland (EHRM 26 juni 2006, nr. 54934/00) en recentelijk in Centrum för Rättvisa t. Zweden (EHRM 19 juni 2018, nr. 35252/08, ECLI:CE:ECHR:2018:0913JUD005817013).

Het was niet een gegeven dat het EHRM bulkinterceptie als bijzondere bevoegdheid toelaatbaar zou vinden. Dat heeft te maken met de uitspraken in 2014 en 2016 van het Hof van Justitie van de Europese Unie (HvJ EU) met betrekking tot dataretentie, waarin het HvJ EU aangeeft dat een generieke bewaarplicht van telecommunicatiegegevens in strijd is met het recht op privacy en de bescherming van persoonsgegevens (HvJ EU 8 april 2014, C293/12, C-594/12, ECLI:EU:C:2014:238, EHRC 2014/140 m.nt. M.E. Koning (Digital Rights t. Ierland) en HvJ EU 21 december 2016, C-203/15 en C698/15, ECLI:EU:C:2016:970, EHRC 2017/79, m.nt. M.E. Koning (Tele2 Sverige AB t. Post-och telestyrelsen en Secretary of State for the Home Department t. Tom Watson e.a.).

Als het EHRM zou aansluiten bij de strengere lijn van het HvJ EU met betrekking tot de grootschalige opslag van gegevens (ook van personen die niet direct onder de aandacht van de diensten staan), dan had het ook tot de conclusie kunnen komen dat de vergaande bevoegdheid disproportioneel en daarmee niet-noodzakelijk in een democratische samenleving zou zijn. In plaats daarvan legt het EHRM uit dat– mede gezien de hoge dreiging van terroristische aanslagen en technologische ontwikkelingen die het werk van inlichtingen- en veiligheidsdiensten beïnvloeden – aan lidstaten een ruime beoordelingsruimte toekomt om te bepalen op welke wijze de nationale veiligheid beschermd kan worden, waarbij staten ervoor kunnen kiezen bulkinterceptie toe te passen om de ongekende bedreigingen van nationale veiligheid te kunnen identificeren (par. 314). Het Hof stelt vast dat, anders bij gerichte interceptie, bulkinterceptie aan de voorkant meer ongericht is. Voor de uitoefening van de ingrijpende bevoegdheid moeten echter strikte regels gelden, in het bijzonder bij het nader analyseren van de onderschepte communicatie (par. 329).

3. Waarborgen bij bulkinterceptie

Het EHRM vereist in zijn toets aan art. 8 EVRM dat de nationale wetgeving van verdragstaten aan bepaalde kwalitatieve vereisten voldoet (dat het ‘in accordance with the law’ is). Het hof sluit daarbij aan bij de zes criteria toe die zijn geformuleerd in de Zakharov-zaak (EHRM 4 december 2015, nr. 47143/06, ECLI:CE:ECHR:2015:1204JUD004714306, par. 231), maar past deze criteria wel aan zodat deze passen bij de bijzondere bevoegdheid van bulkinterceptie (par. 320). Dat betekent bijvoorbeeld dat niet wordt geëist dat alleen gegevens worden verzameld als er al een ‘redelijke verdenking’ bestaat. Het EHRM toetst in de uitspraak met betrekking tot artikel 8 EVRM of de Britse wetgeving voldoet aan de volgende set aan waarborgen: (1) toegankelijkheid van de wetgeving, (2) afbakening toepassingsbereik van ‘signals intelligence’, (3) de duur, verlenging en beëindiging van de bulkinterceptie, (4) onafhankelijke autorisatie bij onderschepping van de communicatie en voldoende toezicht om effectieve en voortdurende controle op het interceptieproces uit te oefenen, (5) zorgvuldige procedures voor opslag, toegang, onderzoek, gebruik en vernietiging van onderschepte persoonsgegevens, (6) voorwaarden voor het verstrekken van gegevens aan andere inlichtingen- en veiligheidsdiensten en (7) notificatie en voldoende rechtsmiddelen bij het vermoeden van schendingen bij de toepassing van bulkinterceptie.

Het EHRM acht de Britse wetgeving op de meeste elementen in orde, zoals de duur van de interceptie (par. 360), de procedures voor opslag, toegang, onderzoek en gebruik (par. 364), de procedures voor het delen met andere partijen (par. 369) en het verwijderen en vernietigen van data (par. 374). Onder de (oude) Britse wetgeving was de toepassing van de bevoegdheid tot bulkinterceptie niet aan een onafhankelijke autorisatie onderhevig. De lasten werden namelijk goedgekeurd door de minister van Binnenlandse Zaken. Desondanks meent het Hof dat op het functioneren van het ‘surveillance’-regime in het algemeen voldoende toezicht bestaat door de ‘Interception of Communications Commissioner’ en (bij klachten) het ‘Investigatory Powers Tribunal’ (par. 383). Voorafgaande autorisatie door een rechter is een ‘best practice’, maar door een onafhankelijke instantie mag ook (behalve bij advocaten en journalisten). Voldoende rechterlijk toezicht achteraf kan ook mogelijk compensatie bieden voor mogelijke gebreken in de toestemmingsverlening (zie ook EHRM 19 juni 2018, nr. 35252/08, ECLI:CE:ECHR:2018:0913JUD005817013, par. 133 (Centrum för Rättvisa t. Zweden).

4. Schending artikel 8 EVRM (recht op privacy)

Uiteindelijk komt het EHRM in Big Brother Watch toch tot een schending van art. 8 EVRM vanwege (1) het ontbreken van effectief toezicht op het geautomatiseerd doorzoeken van de verworven gegevens aan de hand van selectoren en zoektermen en (2) het ontbreken van effectieve waarborgen met betrekking tot de analyse van de metadata van geïntercepteerde communicatie (par. 338). In het bulkinterceptieregime in het Verenigd Koninkrijk worden de volgende vier fasen onderscheiden: (1) interceptie van een aantal glasvezel ‘fibers’ waarover naar verwachting internationale communicatie wordt vervoerd, (2) het ‘realtime’ filteren en vernietigen van niet-relevante onderschepte communicatie, (3) het geautomatiseerd doorzoeken van de verworven gegevens aan de hand van selectoren en zoektermen en (4) het onderzoek van het bewaarde materiaal door een analist (par. 329). Volgens het EHRM zijn er onvoldoende waarborgen in fase 3 en 4.

Bij het proces van het geautomatiseerd doorzoeken van de verworven gegevens aan de hand van selectoren en zoektermen (fase 3) wordt ook de inhoud van communicatie aan de hand van zogenoemde ‘selectors’ en zoektermen opgeslagen. Het Hof overweegt dat de selectoren en zoektermen die worden gebruikt om verworven materiaal te onderzoeken onderhevig moeten zijn aan extern toezicht, maar deze selectoren en zoektermen behoeven zelf niet te worden opgenomen in het verzoek tot inzet van de bevoegdheid (par. 340). In het Britse systeem ontbreekt voldoende onafhankelijk toezicht op fase 3 van het bulkinterceptieproces (par. 340 en 346-347). De interne en externe audits die plaatsvinden op de naleving van de waarborgen in wetgeving omtrent de verwerking van gegevens, compenseert niet het gebrek aan toezicht (par. 344-345).

Bij de analyse van de opgeslagen geïntercepteerde communicatie door een analist (fase 4), bestaan volgens het Hof in het Britse systeem te weinig waarborgen. Het Hof is bezorgd dat deze metadata zonder restrictie kunnen worden onderzocht (par. 355). Het EHRM zet uiteen dat met de analyse van metadata een zware inmenging met het recht op privacy van de betrokkenen kan plaatsvinden, omdat metadata informatie bevatten over de identiteit van beide communicerende partijen, hun geolocatie en gebruikte apparatuur. Bij de opslag en analyse van deze gegevens in bulk (een zeer grote hoeveelheid gegevens) wordt de inmenging met het recht op privacy groter, omdat het daarmee mogelijk is de contacten van een persoon, bewegingen en locaties, internetgeschiedenis en communicatiepatronen in kaart te brengen (par. 353-355). Het Verenigd Koninkrijk heeft volgens het EHRM geen juiste balans gevonden door deze categorie van gegevens uit te sluiten van de waarborgen in de wetgeving (par. 357).

5. Toepassing op de Wiv 2017

Bij toepassing van de overwegingen van het Hof op de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017), lijkt de regeling voor ‘onderzoeksopdrachtgerichte interceptie’ in artt. 48-50 Wiv 2017 op hoofdlijnen in orde. Het stelsel voor bulkinterceptie uit beide landen is op hoofdlijnen vergelijkbaar (zie hierover ook het artikel van mij en Mireille Hagens).

Wel overweegt het Hof in Big Brother Watch dat de bulkinterceptie in het Verenigd Koninkrijk ‘foreign focused’ is. Voor het binnenland bestaan meer mogelijkheden om gericht de benodigde gegevens te verzamelen voor de taakuitvoering. Op grond van de Britse wetgeving mogen zelfs geen gegevens via bulkinterceptie in het binnenland worden vergaard die met gerichte interceptie kunnen worden verkregen (par. 343). In Nederland hebben de ministers van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en Defensie hebben in een Kamerbrief n.a.v. van het raadgevend referendum toegezegd dat het vrijwel is uitgesloten dat onderzoeksopdrachtgerichte interceptie op de kabel de komende jaren wordt ingezet voor onderzoek naar communicatie met oorsprong en bestemming in Nederland (zie de Kamerbrief van 25 april 2018 n.a.v. het raadgevend referendum Wiv 2017). Dat geldt met uitzondering van onderzoek in het kader van ‘cyber defence’, omdat bij digitale aanvallen misbruik wordt gemaakt van de Nederlandse digitale infrastructuur en OOG-interceptie op de kabel in het binnenland noodzakelijk kan zijn om dit te onderkennen. In de Wiv 2017 of de Beleidsregels Wiv 2017 is geen vereiste opgenomen dat de inzet van de bijzondere bevoegdheid – met uitzondering van de inzet in het kader van cyber defence – zich uitsluitend richt op binnenlands verkeer. Het is denkbaar dat dit onderdeel is van de uit te voeren proportionaliteits- en subsidiariteitstoets bij de inzet van bijzondere bevoegdheden (art. 26 Wiv 2017).

6. Bewaartermijn van de gegevens

De bewaartermijn van drie jaar voor gegevens uit onderzoeksopdrachtgerichte interceptie is in Nederland langer dan de bewaartermijn van twee jaar in de Britse wetgeving (par. 371-372). De bewaartermijn is volgens het Hof één van de elementen die wordt meegenomen bij de toetsing van de kwaliteit van wetgeving. In Nederland moeten gegevens waarvan is vastgesteld dat ze niet-relevant zijn voor het onderzoek, dan wel enig ander lopend onderzoek vallend onder de taken van de AIVD of de MIVD, terstond worden vernietigd. De niet-onderzochte gegevens moeten uiterlijk na drie jaar worden vernietigd (art. 48 lid 5 Wiv 2017). Naar aanleiding van het raadgevend referendum is in artikel 4 van de Beleidsregels Wiv 2017 vastgesteld dat aan de minister van BZK of Defensie na één jaar toestemming moet worden gevraagd de verworven gegevens uit interceptie op de kabel, voor zover zij nog niet op relevantie zijn beoordeeld, nog een jaar te bewaren (met de mogelijkheid van twee keer verlenging).

7. Aparte toestemming voor selectie

In Nederland is bij selectie (het opslaan van de inhoud van geïntercepteerde communicatie ter nadere kennisname van deze gegevens), in tegenstelling tot in het (oude) Britse stelsel, wél een voorafgaande onafhankelijke toetsing door de Toetsingscommissie Inzet Bevoegdheden (TIB) vereist (art. 50 lid 1 sub a Wiv 2017). Ter uitvoering van de bijzondere bevoegdheid tot selectie worden selectiecriteria vastgesteld. Deze selectiecriteria zien bijvoorbeeld op technische kenmerken van personen, organisaties en aan een nader omschreven onderwerp gerelateerde trefwoorden. De vast te stellen selectiecriteria dienen te worden voorzien van een toereikende motivering, dat wil zeggen toereikend voor het doel van de selectie in relatie tot het onderzoek waarvoor de selectie plaatsvindt. Het EHRM acht een effectieve toetsing (zowel op papier als in de praktijk) door een onafhankelijke instantie ook mogelijk (in plaats van een rechterlijke toets). Daarbij is het voor de beoordeling van de onafhankelijkheid van een dergelijke instantie relevant dat ten minste twee van de drie leden van TIB, waaronder de voorzitter, ten minste zes jaar ervaring moeten hebben met de functie van rechterlijk ambtenaar in de rechtspraak (zie art. 33 lid 2 Wiv 2017).

8. Toestemming voor ‘geautomatiseerde data-analyse’

In Nederland is bij de uitvoering van ‘geautomatiseerde data-analyse’ (metadata-analyse) op geïntercepteerde communicatie uit bulkinterceptie de inzet van een bijzondere bevoegdheid vereist, voor zover de geautomatiseerde data-analyse is gericht op het identificeren van personen en organisaties (Art. 50 lid 1 sub b jo lid 4 Wiv 2017). In dat geval moet toestemming worden verkregen van de betrokken minister en vindt een rechtmatigheidstoets van de TIB plaats. Het gebrek aan restricties bij metadata-analyse uit gegevens verkregen uit bulkinterceptie was één van de twee redenen waarom in Big Brother Watch sprake was van een schending van art. 8 EVRM. Voor andere vormen van ‘geautomatiseerde data-analyse’ (metadata-analyse) die niet zijn gericht op de identificatie van personen en organisaties, zoals het in kaart brengen van bewegingen op basis van locatiegegevens en websitebezoeken van een specifieke target, is in Nederland niet de inzet van een bijzondere bevoegdheid vereist (met toestemming van de minister en een toets van de TIB). Art. 60 lid 2 Wiv 2017 schrijft alleen voor dat het bij geautomatiseerde data-analyse niet is toegestaan uitsluitend op basis van de resultaten van een gegevensverwerking ‘maatregelen’ te bevorderen of te treffen.

9. Schending art. 10 EVRM (vrijheid van meningsuiting)

Ten slotte zijn ook de overwegingen van het Hof met betrekking tot art. 10 EVRM (het recht op de vrijheid van meningsuiting) interessant. In Big Brother Watch stelden de klagers dat bulkinterceptie ook inbreuk kan maken op de door art. 10 EVMR beschermde bronbescherming voor journalisten. Het EHRM overweegt dat bij bulkinterceptie op voorhand niet duidelijk is dat journalistieke communicatie wordt onderzocht. In de eerste fase uit het Britse interceptiestelsel is dan ook geen sprake van een schending van art. 10 EVRM (par. 492). Wel moeten specifieke waarborgen gelden als eenmaal sprake is van de nadere analyse van gegevens met betrekking tot de communicatie van journalisten. Gelet op het potentiële ‘chilling effect’ van de mogelijkheid van dit soort analyses van gegevens, constateert het Hof op dit punt een schending van art. 10 EVRM (par. 495). In de Britse wetgeving geldt slechts extra bescherming als gegevens worden geanalyseerd met het doel om journalistieke bronnen te identificeren (par. 499). Het EHRM vereist bij het vergaren van communicatiegegevens met betrekking tot journalisten een rechterlijke of onafhankelijke controle en niet alleen met betrekking tot het achterhalen van journalistieke bronnen. Om deze reden constateert het Hof dat sprake is van een schending van art. 10 EVRM (par. 499).

10. Toepassing op de Wiv 2017

In de Wiv 2017 is extra bescherming voor journalisten geregeld in art. 30 lid 2 Wiv 2017. Daar staat in dat toestemming van de Rechtbank Den Haag is vereist op verzoek van de betrokken minister, waarbij de uitoefening van bijzondere bevoegdheden (inclusief OOG-interceptie) ‘kan leiden tot verwerving van gegevens inzake de bron van de journalist’. De bepaling is wat dubbelzinnig geformuleerd, omdat de indruk kan ontstaan dat toestemming van een rechtbank slechts is vereist voor zover de bevoegdheid het doel heeft de bron van een journalist te achterhalen. In art. 30 lid 2 Wiv 2017 staat echter “kan leiden tot”. Het EHRM maakt in par. 499 in ieder geval duidelijk dat de waarborg van een rechterlijke toets geldt bij onderzoek van gegevens over de communicatie van journalisten, ook als dit onderzoek als zodanig niet is gericht op het achterhalen van de bron van de journalist. Dit kan wellicht duidelijker worden gemaakt in het wetsvoorstel ‘Wijziging Wiv 2017’, dat recentelijk in consultatie is geweest.

Bronverwijzing: EHRM 13 september 2018, nrs. 58170/13, 62322/14 en 24960/15, ECLI:CE:ECHR:2018:0913JUD005817013, Computerrecht 2018/252, m.nt. J.J. Oerlemans (Big Brother Watch t. Verenigd Koninkrijk) (.pdf).

Strafvordering in het digitale tijdperk

Waar moet de Nederlandse regeling voor de opsporing in het digitale tijdperk aan voldoen? De Commissie-Koops heeft getracht op deze vraag antwoord te geven en heeft in juni 2018 een indrukwekkend rapport afgeleverd over ‘de regulering van opsporingsbevoegdheden in het digitale tijdperk’. Het rapport bevat maar liefst 72 aanbevelingen voor de wetgever om het onderdeel over opsporing (“Boek 2”) in het nieuwe Wetboek van Strafvordering beter in te richten.

Mijn artikel is een beschouwing van het rapport waar ik de belangrijkste aanbevelingen van de commissie in het rapport samenvat en kritisch bespreek. Ook betoog ik dat het onderwerp van data-analyse in de opsporing in het rapport onvoldoende is uitgewerkt.

In deze blogpost volsta ik verder met de conclusie van mijn artikel. Het gehele artikel is door een open access regeling direct te lezen via het ‘Platform Modernisering Strafvordering’.

Paragraaf 6 – Slotbeschouwing

De Commissie-Koops heeft een waardevolle bijdrage geleverd aan het project Modernisering Strafvordering door verbeteringen voor te stellen met betrekking tot het conceptwetsvoorstel Boek 2. De Commissie heeft een grondige en systematische analyse gedaan van de voorgestelde regelingen en aandacht besteed aan de relevante maatschappelijke ontwikkelingen. De wetgever doet er goed aan alle 72 aanbevelingen uit het rapport serieus mee te nemen in het wetgevingsproces.

De nieuwe rol en invulling van ‘stelselmatigheid’ is bovendien waardevol om de zwaarte van de privacy-inmenging en bijpassende autoriteit in te vullen. Het nieuwe normeringscriterium loopt als een rode draad door het rapport voor de normering van bijzondere opsporingsbevoegdheden, zoals openbronnenonderzoek, het beslag op digitale gegevensdragers, het vorderen van gegevens en onderzoek aan (tele)communicatie.

Toch is het criterium van stelselmatigheid naar mijn mening niet voor alle opsporingshandelingen even geschikt. In sommige gevallen kan bij de normering van opsporingsmethoden beter voor duidelijkheid worden gekozen met een vooraf ingevulde inbreuk op de persoonlijke levenssfeer en bijbehorende autoriteit om het bevel voor de opsporingshandeling te geven. Ik doel daarbij in het bijzonder op het beslag op bepaalde gegevensdragers en de inzet van scrapers ten behoeve van de opsporing. De Commissie-Koops gaat in plaats daarvan mee met de ruime normen die in de praktijk zijn ontwikkeld en achteraf door de rechtspraak zijn goedgekeurd of bijgestuurd. Daarbij worden suggesties gedaan voor een zeer genuanceerde invulling van het criterium afhankelijk van de verschillende omstandigheden van het geval, waarbij met tal van factoren rekening moet worden gehouden.

Het is echter belangrijk dat ook de maatschappij, bij monde van de wetgever, zich uitspreekt en beslissingen neemt over belangrijke zaken, zoals de wenselijke wettelijke bescherming bij het onderzoek van gegevens in een smartphone en de vraag of scrapers op grote schaal (persoons)gegevens mogen verzamelen. Ook geeft een regeling voor opsporingsmethoden zonder stelselmatigheid als normeringscriterium de reikwijdte van een opsporingsbevoegdheid duidelijker aan en biedt daarmee meer rechtszekerheid voor alle betrokkenen in het strafproces.

In dit artikel heb ik opnieuw betoogd dat de zwaarte van de privacy-inmenging bij de inbeslagname van en het onderzoek op smartphones ernstig is en dat simpelweg kan worden gekozen voor een vereiste machtiging van een rechter-commissaris (behoudens enkele uitzonderingen bij wet). Zeker voor de jongere generaties zijn opsporingshandelingen met betrekking tot smartphones, PC’s en laptops, waarbij de bijbehorende gegevens al dan niet in de cloud zijn opgeslagen, zeer privacy-intrusief. Het arrest van de Hoge Raad en het voorstel van de Commissie-Koops houden hier mijns inziens onvoldoende rekening mee en leggen een onduidelijk criterium aan om de ernst van de privacy-inmenging te bepalen. De aanbeveling een wetsvoorstel voor het beslag op gegevensdragers en openbronnenonderzoek al eerder naar de Tweede Kamer te sturen ondersteun ik daarom ten volle. Hopelijk bestaat daarbij ook nog ruimte voor een debat over het alternatief van een eenvoudiger regeling met een duidelijke bevoegde autoriteit voor de inbeslagname en het onderzoek van gegevens op bovengenoemde gegevensdragers en de inzet van scrapers.

Daarnaast is de uitwerking over de ‘dataficering van de opsporing’ en in het bijzonder het gebruik van data-analysetechnieken in het rapport ondermaats gebleven. Een commissie die zich buigt over ‘strafvordering in het digitale tijdperk’ zou ook hierover uitgebreid moeten adviseren, waarbij kan worden voortgebouwd op adviezen die hier al eerder over zijn gegeven.

Het advies had zich moeten richten op concrete suggesties voor strafprocessuele waarborgen bij de verwerking van gegevens binnen het opsporingsproces, inclusief het daaraan gerelateerde vermeende gebrek aan toezicht. In plaats daarvan worden slechts voorzichtige aanbevelingen gedaan en een nieuwe vergaande bevoegdheid voorgesteld om een bevel tot data-analyses bij derden ten behoeve van de opsporing mogelijk te maken. Tegenover al het potentieel dat data-analyse voor de politie biedt, moet voldoende bescherming voor de betrokken burgers staan. Op dit punt is het rapport niet in balans.

Het is echter geenszins mijn bedoeling dit artikel over het rapport van de Commissie-Koops in mineur af te sluiten. De bovenstaande kritiek doet niet af aan de waarde en het belang van de voorstellen van de Commissie. Over het geheel genomen heeft de Commissie-Koops een mooie en waardevolle prestatie geleverd, waar de wetgever – getuige de 72 aanbevelingen gericht op het Wetboek van Strafvordering – concreet mee uit te voeten kan.

“Facebookvrienden worden met de verdachte.” Over online undercover operaties op internet

In het themanummer van Justitiële Verkenningen over ‘De digitalisering van georganiseerde misdaad’ is ook mijn artikel over online undercover operaties verschenen. In het artikel (.pdf) leg ik uit wat online undercover operaties zo uniek en aantrekkelijk maken voor de opsporing en welke regels gelden voor de politiële undercover bevoegdheden.

In het kader van mijn proefschrift (‘Investigating Cybercrime’) heb ik mij al eerder met het onderwerp bezig gehouden. Door recente jurisprudentie over de accountovername en de breed uitgelichte online undercover operatie over de darknet market ‘Hansa’ vond ik het tijd hier nog een artikel over te schrijven. Het artikel is een uitvloeisel van een paper die ik had geschreven voor het NVC-congres van afgelopen zomer.

Wat online undercover operaties zo aantrekkelijk maakt voor de opsporing

In cybercrimezaken kunnen online undercoveroperaties een effectief opsporingsmiddel zijn om bewijs te verzamelen met een online handle als digitaal spoor, zoals een nickname, e-mailadres of profiel op sociale media. Onder de omstandigheid dat verdachten consistent gebruik maken van anonimiseringstechnieken die het IP-adres verhullen van het netwerk waar zij gebruik van maken, is de toepassing van online undercover opsporingsmethoden één van de weinige middelen om bewijs te verzamelen in opsporingsonderzoeken met betrekking tot cybercriminaliteit.

Een bijkomende voordeel van de online toepassing van undercover opsporingsbevoegdheden, is dat opsporingsambtenaren net zo anoniem kunnen communiceren als de betrokken van het opsporingsonderzoek, zonder (direct) lijflijk risico en zonder de bureaustoel te hoeven verlaten met een wereldwijd bereik van de opsporingsmethode. Bij een accountovername kunnen opsporingsambtenaren zelfs door de bril van een crimineel of een persoon met toegang tot besloten omgevingen meekijken en bewijs verzamelen voor een opsporingsonderzoek. In reguliere opsporingsonderzoeken (geen cybercrime) waarbij verdachten online actief zijn, biedt de toepassing van online undercoverbevoegdheden additionele mogelijkheden ten opzichte van de bevoegdheden die in de fysieke wereld kunnen worden toegepast.

‘BOB’ gaat digitaal

Dezelfde regels gelden voor de toepassing van undercover bevoegdheden als 20 jaar geleden, zoals die in de Wet bijzondere opsporingsbevoegdheden (Wet BOB) zijn geformuleerd. Toch is de context waarbinnen de bevoegdheden worden toegepast stevig verandert. Dat levert de vraag op of de huidige regeling nieuwe toepassingen nog “dekt”. In verband met het legaliteitsbeginsel staat namelijk in de wet welke indringende opsporingsmethoden opsporingsinstanties mogen gebruiken. Door de techniekonafhankelijke formulering van de bevoegdheden zijn de BOB-bevoegdheden prima toepasbaar in een online context. Mijn artikel laat zien aan welke toepassingen je in de hedendaagse gedigitaliseerde wereld moet denken.

Jurisdictie

Het wereldwijde bereik van online undercover opsporingsmethoden levert echter wel een flink jurisdictievraagstuk op. In het artikel ga ik daar kort op in. Daarbij herhaal ik het standpunt dat ik in mijn dissertatie heb ingenomen, namelijk dat unilaterale online opsporing onder dekmantel onder omstandigheden moet worden toegestaan. Daarbij denk ik in het bijzonder aan de situatie dat verdachten anonimiseringsmaatregelen nemen en de fysieke locatie van de verdachte redelijkerwijs niet kan worden vastgesteld. Het artikel sluit ik af met een betoog dat de stormachtige ontwikkeling van cybercriminaliteit en de noodzakelijke inzet van digitale opsporingsbevoegdheden om bewijs te verzamelen staten er toe dwingt om afspraken met elkaar te maken onder welke omstandigheden grensoverschrijdende online undercover operaties zijn toegestaan.

Makers en verspreiders van Coinvault veroordeeld

De ‘Coinvault-zaak’ (Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153) verdient nadere aandacht. Het betreft namelijk de eerste veroordeling voor ransomware in Nederland. Dat is de hoogste tijd, omdat ransomware al jaren één van de meest prevalente vormen is van cybercrime in enge zin. In deze blog ga ik eerst kort in op de feiten van de zaak. Daarna bespreek ik uitgebreider de ten laste gelegde feiten en welke andere delicten van toepassing kunnen zijn. Tot slot werp ik een korte toekomstblik op ransomware.

Veroordeling

De Rechtbank Rotterdam heeft op 26 juli 2018 twee jongemannen veroordeeld tot 240 uur taakstraf en een voorwaardelijke gevangenisstraf van twee jaar voor het besmetten van een groot aantal computers met zelfgemaakte ransomware. Het is een relatief lage gevangenisstraf in verhouding tot de ernst van de delicten. De verdachten hebben van november 2014 tot en met september 2015 computers besmet met zelfgemaakte ransomware van de variant ‘Coinvault’ en ‘Bitcryptor’. Deze ransomware is meer specifiek te kwalificeren als ‘cryptoware’, waarbij gegevens worden versleuteld. Zonder betaling in virtueel geld (in dit geval Bitcoin) en de ontvangst van de sleutel om gegevens weer toegankelijk te maken, is het zonder back-up in de meeste gevallen onmogelijk de gegevens terug te krijgen.

De feiten

In de uitspraak van de Rechtbank Rotterdam staat weinig informatie over het opsporingsproces, maar uit de mediaberichten over de zaak blijkt dat de verdachten de malware als ‘trojan’ hebben verspreid (zie bijvoorbeeld dit bericht in de Volkskrant en deze blog van McAfee). In dit geval was de kwaadaardige software vermomd als commerciële software en ‘sleutel-generatoren’ die in nieuwsgroepen gratis konden worden download. Nadat duizenden computers waren besmet activeerden de verdachten de cryptoware en eisten ze 250 euro in Bitcoin van hun slachtoffers. De computers stonden als zombiecomputers onder controle van hun command-and-control server. Bij het verbinding maken met de server maakten de verdachten echter geen gebruik van anonimiseringstechnieken (zoals Tor), waardoor het IP-adres terugverwees naar het adres van de abonneehouder (het ouderlijk huis van de verdachten). Dat leidde tot de arrestatie van de verdachten in een klein dorp nabij Amersfoort.

De tenlastelegging

De officier van justitie heeft artikel 138ab Sr, 350a Sr en 317 Sr (afpersing) ten laste gelegd. Het ligt het meest voor de hand het delict gegevensaantasting (art. 350a Sr) ten laste te leggen. Het artikel is ervoor gegoten, omdat het (onder andere) strafbaar stelt ‘het opzettelijk en wederrechtelijk veranderen, onbruikbaar maken of ontoegankelijk maken van gegevens’ met een maximale gevangenisstraf van twee jaren of een geldboete van de vierde categorie. De verdachten hebben gebruik gemaakt van een botnet, waardoor ook sprake is van een gekwalificeerde vorm van computervredebreuk in artikel 138ab lid 3 Sr (zie ook het Toxbot-arrest (ECLI:NL:HR:2011:BN9287)). Sinds mei 2015 is overigens ook artikel 138b Sr gewijzigd, waardoor een strafverzwaring naar een maximale gevangenisstraf van vijf jaar of een geldboete van de vierde categorie van toepassing indien met het plegen van het feit als omschreven in art. 350a Sr ‘ernstige schade’ wordt veroorzaakt. De memorie van toelichting definieert niet helder wat ‘ernstige schade’ behelst, maar ik neem aan dat hier ook de besmetting van duizenden computers met ransomware onder valt, zoals in casu het geval was.

Bijzondere aandacht verdient ook de tenlastelegging van afpersing (art. 317 Sr) in deze zaak. Het gaat hier om de uitoefening van dwang, om zichzelf wederrechtelijk te bevoordelen met geweld of de bedreiging met geweld, door ‘de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist’ (zoals staat omschreven in art. 317 lid 2 Sr). Daarvan is in deze zaak sprake, omdat de cryptoware de gegevens ontoegankelijk maakt, tenzij het losgeld wordt betaald in de vorm van Bitcoin (of het systeem op een andere manier met een sleutel kan worden ontsleuteld). De Rechtbank Rotterdam volstaat in haar (helaas zeer korte) bespreking van het artikel met: “de rechtbank is daarbij van oordeel dat het op deze wijze ontoegankelijk maken van bestanden gelijk is te stellen aan het begrip geweld als bedoeld in artikel 317 van het Wetboek van Strafrecht”.

Richtlijn Cybercrime strafvordering kan beter

De richtlijn Cybercrime strafvordering noemt de toepasbaarheid van het delict afpersing merkwaardig genoeg in zijn geheel niet. In plaats daarvan worden de artikelen 139d Sr (de plaatsing van malware), art. 326 Sr (oplichting) en art. 284 Sr (dwang) genoemd. De officier van justitie had inderdaad art. 139d lid 2 sub a Sr met verwijzing naar art. 138ab lid 3 Sr ten laste kunnen leggen. Dat zou beter tot uitdrukking doen komen dat de verdachten ook de vervaardiging van de Coinvault-malware wordt verweten. Op het eerste gezicht lijkt bij ransomware de ten laste legging van het delict ‘oplichting’ (art. 326 Sr) minder voor de hand te liggen. Voor oplichting is immers (onder andere) vereist dat iemand bijvoorbeeld na een ‘listige kunstgreep’ geld overmaakt. Met andere woorden wordt de betrokkene ‘er in geluisd’. Bij ransomware wordt simpelweg de computer van het slachtoffer gegijzeld en losgeld door een anonieme dader wordt geëist; daarbij lijkt van een ‘listige kunstgreep’ geen sprake. Voor de besmetting van de computer wordt soms wel een ‘listige kunstgreep’ gebruikt. In deze zaak hebben de verdachten bijvoorbeeld de computers besmet via onschuldig lijkende programma’s die via internet ter beschikking zijn gesteld, waarna de slachtoffers na besmetting van cryptoware bewogen worden geld over te maken. Eerder is oplichting wel ten laste gelegd en bewezen verklaard in het geval van ‘banking malware’. Ten slotte kan in de context van ransomware ook nog sprake zijn van het delict dwang (art. 284 Sr), omdat een persoon ‘door enige feitelijkheid’ (het versleutelen van een computer) een ander wederrechtelijk dwingt iets te doen (losgeld betalen) of te dulden (het versleuteld laten van de computer). Het voordeel van de hoge maximale gevangenisstraf bij art. 317 Sr is dat slachtoffers spreekrecht hebben en ook zware bijzondere opsporingsbevoegdheden mogen worden toegepast, zoals direct afluisteren (art. 126l Sv) en alle vormen van de hackbevoegdheid (art. 126nba Sv).

‘Geweld’ bij ransomware?

Met de opkomst van het Internet of Things raken steeds meer apparaten die autonome beslissingen kunnen nemen met het internet verbonden. Dat brengt bijvoorbeeld met zich mee dat mensen opgesloten kunnen raken in hun hotelkamer, omdat de kamerdeur met het elektronische slot niet meer functioneert na een ransomwarebesmetting. Het ontoegankelijk maken van een slimme auto met ransomware tegen losgeld voor een flink bedrag lijkt mij ook goed denkbaar. In deze gevallen ziet het vereiste ‘geweld’ bij afpersing mogelijk meer op het goed zelf in plaats van de opgeslagen gegevens op de computer. Toch lijkt het dat het geweld of de bedreiging van geweld zich daarbij meer richt op het gebruik van het goed, dan op het goed zelf; het omhulsul van het goed blijft ten slotte intact. Het is overigens ook denkbaar dat met ransomware het geweld of de bedreiging van geweld zich richt tegen een persoon. Als medische apparaten aan het lichaam (zoals een insulinepomp) of in het lichaam (zoals een pacemaker) verbonden zijn met een netwerk en op afstand ontoegankelijk wordt gemaakt, kan namelijk sprake van (de dreiging van) geweld jegens een persoon bij het gebruik van ransomware.

Strafrechtpraktijk nog onvoldoende voorbereid op ransomware

Los van deze theoretische bespiegeling over de strafbaarstelling van ransomware is van belang te realiseren dat de besmetting van ransomware op IoT-apparaten geen science fiction is. Ransomware is een groeiend probleem. De WannyCry-aanval heeft in mei 2017 ziekenhuizen in het Verenigd Koninkrijk, het spoorwegsysteem tussen Duitsland en de Russische Federatie, telecommunicatiebedrijven in Spanje en Portugal en Petrochemische bedrijven in China en Brazilië en autofabrikanten in Japan platgelegd. De Nederlandse samenleving zal zich moeten voorbereiden op deze vormen van cybercrime en maatregelen moeten treffen (niet alleen op het gebied van strafrecht). Daarnaast is nu al een tendens zichtbaar dat cybercriminelen de aanvallen gerichter worden uitgevoerd, zoals het besmetten van medische apparaten in ziekenhuizen, waarbij een veel groter bedrag wordt geëist: in de tienduizenden euro’s in plaats van die doorgaans 500 euro voor besmette PC’s. De strafrechtpraktijk lijkt hier nog onvoldoende op voorbereid.

Mijn noot met bijna gelijke tekst is verschenen in: Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153, Computerrecht 2018/210, p. 281-291, m.nt. J.J. Oerlemans.