Bijzondere bescherming voor smartphones

Zouden smartphones binnen het strafrecht bijzondere bescherming moeten krijgen?

In de laatste twee jaar waren er in Nederland en België veel ontwikkelingen op het gebied van inbeslagname van gegevensdragers. Het staat buiten kijf dat de inbeslagname en het uitlezen van een ‘gegevensdrager’, zoals een smartphone, een inmenging vormt in de fundamentele rechten en vrijheden, zoals het recht op privacy en het eigendomsrecht.

De Nederlandse en Belgische hoogste rechters willen alleen niet zo ver gaan dat de inbeslagname en het uitlezen van een smartphone een ernstige inmenging in het recht op privacy vormt, waarvoor altijd toestemming van een rechter is vereist. Het Hof Arnhem-Leeuwarden beschouwde recentelijk in een ietwat bevreemdend arrest dat de inbeslagname van een smartphone door een opsporingsambtenaar, waarbij video’s en afbeeldingen worden uitgelezen, slechts als een beperkte inbreuk op het recht op privacy.

De Belgische promovenda Sofie Royer en ikzelf zijn meer principieel van mening dat de inbeslagname en het uitlezen van een smartphone altijd een ernstige inmenging vormt op het recht op privacy van de eigenaar van de gegevensdrager. Gegevensdragers zoals smartphones bevatten immers heel uiteenlopende privacygevoelige informatie, zoals  foto’s, video’s, privéberichten en locatiegegevens. Daarom moet de wetgever gegevensdragers in het strafrecht bijzondere bescherming bieden en hiervoor bijzondere regels maken. In ons artikel ‘Naar een nieuwe regeling voor beslag op gegevensdragers’ doen we kortgezegd de volgende vier suggesties aan de Belgische en Nederlandse wetgever.

1. Onderscheid beslag- en de doorzoekingsbevoegdheid

Een aparte inmenging in de rechten en vrijheden van de betrokkene vindt enerzijds plaats bij de inbeslagname van gegevensdragers en anderzijds bij het uitlezen van de gegevensdragers door een opsporingsambtenaar of IT-specialist. Dit onderscheid bestaat vooralsnog niet duidelijk in de huidige wetgeving. Wij stellen de eis van een rechterlijk bevel voor, in ieder geval bij het uitlezen en onderzoeken van de gegevensdragers. Een schriftelijke motivering en proportionaliteitstoets is bovendien op zijn plaats.

2. Invulling proportionaliteitsvereiste

Het Belgische en Nederlandse regime voor de inbeslagname van gegevensdragers geven onvoldoende invulling aan het proportionaliteitsvereiste. Dit is problematisch vanwege de hoeveelheid gegevens die tegenwoordig op gegevensdragers is opgeslagen. De noodzakelijkheidstoets voor de inbeslagname moet tweeledig zijn. Ten eerste mogen slechts die gegevensdragers in beslag worden genomen die noodzakelijk zijn voor de waarheidsvinding in strafzaken. Ten tweede mogen slechts gegevens die noodzakelijk zijn voor de strafprocedure, worden onderzocht (behoudens eventueel enkele uitzonderingen). Het zoekingsbevel of de machtiging moet voldoende precies zijn met betrekking tot de onderzochte feiten, verdachte personen en te doorzoeken data.

3. Voldoende rechtelijke controle achteraf

Als er geen rechterlijke machtiging aan de inbeslagname en het uitlezen van gegevensdragers voorafgaat, is een effectieve a posteriori rechterlijke toets onontbeerlijk. Om die rechterlijke controle mogelijk te maken, moet – voor zover dit nog niet gebeurt – een duidelijke inventaris van alle inbeslaggenomen goederen en gegevens worden opgesteld. De beslagene moet ook over een procedurele mogelijkheid beschikken om persoonlijke gegevens die niet relevant zijn voor de strafprocedure, terug te krijgen. In het conceptwetsvoorstel tot wijziging van Boek 2 van het Nederlandse Wetboek van Strafvordering wordt hierover een regeling voorgesteld. In België geldt de procedure voor de opheffing van het beslag op fysieke goederen ook voor gegevens en gegevensdragers, maar bestaat onduidelijkheid over de precieze toepassing.

4. Richtlijnen voor inbeslagname en bewaring van gegevensdragers en digitaal bewijs

In België bestaat geen openbare richtlijn op nationaal niveau voor de inbeslagname van gegevensdragers. Een richtlijn voor de inbeslagname van gegevensdragers moet beter tot uitdrukking brengen hoe met digitaal bewijs moet worden omgesprongen en welke precieze stappen speurders zouden moeten doorlopen. Een uiteenzetting van het regime voor de inbeslagname van voorwerpen voldoet niet, vanwege de specifieke eisen van digital forensics, die bijvoorbeeld verschillen voor smartphones en computers. Zo rijzen er ook prangende vragen over digitaal forensisch onderzoek waarbij computersystemen blijven aanstaan en wanneer de gegevens zich in de cloud bevinden. De wetgever zou hier dan ook meer aandacht aan moeten besteden.

Oversight of hacking power and take down order

The Computer Crime Act III is now under consideration for approval by the Dutch Senate. The act extends the criminalisation of certain behaviour, such as grooming of persons that appear to be 18 year old and younger, the unauthorised gathering of non-public data and offering that stolen data online. Perhaps more importantly, the Computer Crime Act III authorises Dutch law enforcement authorities, with permission from an investigative judge, to make content containing serious crimes inaccessible (such as child abuse materials or jihadist propaganda) and to access computers remotely for evidence gathering purposes (a so-called hacking power).

Hacking power

The proposed power to hack computers seeks to provide a solution to the increasing challenges of anonymity, encryption and cloud computing in cybercrime investigations. By using this special investigative power, law enforcement officials can access computers remotely and gather evidence at its source, thereby circumventing problems such as the encryption of data. The instrument can only be used under the most stringent conditions, such as a warrant from an investigative judge and a limitation to serious crimes.

After law enforcement officials gain remote access to a computer system, they can be authorised to observe the behaviour of a person by turning on a GPS signal, microphone or video camera. Law enforcement officials can also remotely copy relevant data for evidence purposes in a criminal investigation. A particularly far-reaching power is to make a computer or data inaccessible. This may result in disabling a botnet infrastructure or encrypting child abuse images remotely.

Take down order

The proposed take down order provides an instrument for law enforcement authorities to make web content inaccessible. If online service providers or individuals publishing criminal materials do not disable the content voluntarily, a takedown order can be issued. Fortunately, the use of the instrument is restricted to serious crimes and a warrant from a judge is required. However, the take down order can go as far as ordering a hosting provider to take down a particular website (when possible) and even compelling an internet access provider to disable content. This last application of a takedown order boils down to an internet filter. Does this leave us in a few year with a black list of websites that must be filtered by Dutch internet access providers?

Oversight

In my article about the Computer Crime Act III (.pdf in Dutch), I discuss the changes the act will bring to the Dutch Penal Code and Code of Criminal Procedure. Although I do acknowledge the necessity of hacking as an investigative power to gather evidence in criminal investigations involving serious crimes, I worry about the proposed powers to make computers or data accessible.

The problem is that the cybercriminals behind this criminal behaviour often reside on foreign territory and hide behind anonymisation techniques. These cybercriminals will often not be tried in a Dutch court. I wonder how many times a botnet will be disrupted by taking it down, or websites will be shut down or even filtered, without a trial during which a judge can determine whether those acts by law enforcement officials were conducted lawfully.

Therefore, I argued (and with me some Members of Parliament, scholars and several civil rights organisations) that we need an independent supervisory authority. This authority, perhaps modelled on the UK Investigatory Powers Commissioner’s Office, should be issued with the task of overseeing the legitimacy of operations involving these far-reaching special investigative powers. It is not likely such an authority will be created as part of the Computer Crime Act III, but perhaps the new Dutch cabinet should consider legislation to create such an authority.

This is cross-post from LeidenLawBlog.

Gebruik van policeware in Aydin C.-zaak

Vorige week heb ik mijn noot gepubliceerd die ik heb beschreven over de Aydin C.-zaak. De zaak is veelvuldig in het nieuws geweest vanwege de tragische afloop van Amanda Todd, nadat zij werd gechanteerd door Aydin C. met webcamopnamen. De rechtbank Amsterdam veroordeelt Aydin voor meer dan 10 jaar gevangenisstraf voor kinderporno en (poging tot) aanranding met betrekking tot 34 meisjes en één man voor afdreiging.

Vanuit juridisch oogpunt vond ik het echter interessanter hoe de rechtbank is omgegaan met het gebruik van een softwarematige keylogger bij de bewijsgaring in deze zaak. Dergelijke ‘monitoringssoftware’ wordt ook wel ‘policeware’ genoemd.

Mag een keylogger nu wel of niet worden gebruikt?

Al tijdens het verloop van de zaak kwam via de media naar buiten de politie een ‘keylogger’ had ingezet om bewijsmateriaal te verzamelen. Een keylogger registreert toetsaanslagen waardoor communicatie, maar ook inlognamen en wachtwoorden, kan worden afgevangen om nader te onderzoeken. Een keylogger kan zowel hardwarematig zijn als softwarematig.

Eerder had ik ook al in een interview aangegeven dat het gebruik van een hardwarematige keylogger volgens mij door de beugel kan. De wetgever heeft al 20 jaar geleden in de memorie van toelichting van de Wet bijzondere opsporingsbevoegdheden (Wet BOB) (p. 35-37) voldoende duidelijk gemaakt dat onder de bijzondere opsporingsbevoegdheid van direct afluisteren (artikel 126l Sv) het gebruik van een apparaatje (een ‘bug’), dat ook toetsaanslagen kan registreren, is toegestaan.

Mag policeware worden gebruikt?

De vraag is lastiger te beantwoorden of het gebruik van een softwarematige keylogger is toegestaan. De tekst van de wet zelf sluit niet uit dat software wordt gebruik bij de toepassing van de bijzondere opsporingsbevoegdheid van direct afluisteren. Gesproken wordt over een ‘technisch hulpmiddel’, dat tevens uit software kan bestaan. Dat is ook af te leiden uit het Besluit technische hulpmiddelen. Eerder heb ik betoogd dat de software in ieder geval niet door middel van een ‘hack’ kan worden geplaatst, omdat daarmee een geheel andere privacyinbreuk plaatsvindt dan wanneer een bug fysiek in een woning of andere plek wordt geplaatst zoals bij ‘direct afluisteren’ gebruikelijk is. De wet zou dan niet meer voorzienbaar zijn.

Het is echter de vraag of de software ook andere functionaliteiten mag hebben dan het afluisteren van communicatie, het registreren van toetsaanslagen en het registreren van muisklikken. Hoewel het vonnis moeilijk leesbaar is, wordt interessante informatie gegeven over het gebruik van dergelijke software door de politie. Zo wordt onder andere gesteld dat via een softwarepakket ‘vinkjes’ kunnen worden aangezet om van bepaalde functionaliteiten van de afluistersoftware gebruik te maken. Uit het vonnis van de rechtbank blijkt ook dat gebruik is gemaakt van een screenshotfunctionaliteit. Is deze toepassing dan nog voorzienbaar is op basis van bestaande wetgeving?

Pas als de Wet computercriminaliteit III door de Eerste Kamer wordt aangenomen en de wet van kracht wordt, mag een softwarematige keylogger met andere functionaliteiten (waaronder ook het maken van screenshots, het vastleggen van identificerende gegevens, het aanzetten van een camera, en eventueel het aanzetten van een GPS-signaal) worden gebruikt. Deze software mag dan ook op afstand via een hack worden geïnstalleerd op de computer van de verdachte op basis van de voorgestelde nieuwe hackbevoegdheid in artikel 126nba Sv.

Mogelijkheden voor de verdediging

De verdediging voerde tal van verweren in de Aydin C.-zaak. In mijn noot heb ik aandacht besteed aan de mogelijkheid van de verdediging om tijdens de zitting na te gaan welke functionaliteiten van de software precies gebruik is gemaakt. Ik begrijp het standpunt van de politie en het Openbaar Ministerie dat het type software – of zelfs de broncode – niet wordt vrijgegeven aan de verdediging. Daarmee breng je namelijk het toekomstig gebruik van de software in strafzaken door opsporingsinstanties in gevaar. De verdediging moet echter wel de mogelijkheid hebben om het gebruik van de software achteraf – desnoods tijdens de zitting – te controleren. Nagegaan moet worden of niet meer functionaliteiten van de software zijn gebruikt dan de officier van justitie als het goed is in zijn bevel voor inzet van de bevoegdheid heeft aangegeven. In deze zaak werd het verweer geadresseerd door één deskundige van te politie te horen, waarbij ik de zorg om onafhankelijkheid goed begrijp.

Als de Wet computercriminaliteit III wordt aangenomen kan de verdediging het gebruik van de software beter controleren. De verdediging kan de rechter verzoeken tot nader onderzoek van de gelogde gegevens. De rechter kan dit ook overigens ook ambtshalve beslissen. Staatssecretaris Dijkhoff heeft in de nota naar aanleiding van het verslag aangegeven dat dit mogelijk is. Daarnaast wordt de waarborg ingebouwd dat de Inspectie Veiligheid en Justitie het gebruik van de software bij de politie controleren. Dit zijn twee zeer welkome waarborgen ten opzichte van de bestaande situatie.

Normering van digitale opsporingsmethoden

Op 1 maart 2017 is mijn nieuwe boekje ‘Normering van digitale opsporingsmethoden’ uitgebracht. Het boekje is bij de Nederlandse Defensie Academie gedrukt en stel ik hierbij in .pdf beschikbaar.

Mijn doel is om ‘de praktijk’ – dat wil zeggen professionals in de opsporing, advocaten en rechters – meer duidelijkheid te geven over de juridische basis bij de toepassing van digitale opsporingsmethoden. Tijdens mijn onderzoeksperiode voor mijn proefschrift van 2010-2016 heb ik regelmatig gehoord dat er onduidelijkheid bestaat over de vraag welke regels van toepassing zijn. Dat is vanuit rechtsstatelijk oogpunt zeer onwenselijk, want zowel de professionals in de praktijk als de betrokken burgers moeten weten waar ze aan toe zijn om willekeur van overheidsmacht tegen te gaan. Mogelijk bestaande interne richtlijnen binnen de opsporing vormen geen voorzienbaar juridisch kader waar betrokkenen een beroep op kunnen doen.

Met mijn boekje hoop ik dus meer duidelijkheid over de juridische basis van digitale opsporingsmethoden te leveren, maar ook de discussie aan te zwengelen. Het rechtsgebied is namelijk sterk in beweging. Ik verwacht dan ook dat dit werk slechts drie jaar actueel blijft. Dat komt doordat digitale opsporingsmethoden constant evolueren in verband met technologische ontwikkelingen en de onderliggende (cyber)criminaliteit, waar de opsporing op moet inspelen. Daarnaast zal het project ‘Modernisering strafvordering’ in de nabije toekomst aanzienlijke wijzigingen in het Wetboek van Strafvordering met zich mee brengen. Over de wenselijke juridische basis en waarborgen voor digitale opsporingsmethoden in toekomstige wetgeving moet dus nú worden gediscussieerd.

Investigating Cybercrime

On 10 January 2017, I successfully defended my PhD thesis ‘Investigating Cybercrime’. In this blog post, I would like the share my main research results.

Cybercrime investigations

My study shows that in cybercrime investigations, evidence is often gathered by following the two digital leads of IP-addresses and nicknames. I explain how evidence is gathered, based upon these leads. In cybercrime investigations, law enforcement officials often encounter the three challenges of anonymity, encryption and jurisdiction. These challenges can leave law enforcement officials empty-handed in certain circumstances.

However, law enforcement officials can use digital investigative methods to deal with these challenges. The following four investigative methods are identified and further analysed in the study: (1) gathering publicly available online information, (2) issuing data production orders to online service providers, (3) applying online undercover investigative methods, and (4) performing hacking as an investigative method.

Regulating digitale investigative methods on a national level

On a national level, my research shows that the identified digital investigative methods are not regulated in a foreseeable manner in the Netherlands. The reason is that the scope and manner in which investigative methods are applied are not sufficiently clear. In addition, I argue that the quality of the law for certain investigative methods is not adequate. The main and concrete results of my analysis are as follows:

  • The manual and automated gathering of publicly available online information should be regulated in detail, outside criminal procedural law. These regulations should indicate how data protection regulations should be applied in a concrete manner when these digital investigative methods are used.
  • The regulations for undercover investigative methods (both online and offline) should be improved by incorporating supervision by an investigative judge.
  • A warrant requirement should apply for obtaining traffic data and content data from online service providers. The category of ‘content data’ should be defined more clearly by the legislator or Public Prosecution Service.
  • Regulating hacking as an investigative power is necessary. The proposal to regulate this investigative method in the Computer Crime Act III is adequate. However, the investigative power is formulated in a rather broad manner and the legal consequences of its application to ‘disrupt cybercrime’ are uncertain.

Regulating digital investigative methods on an international level

On an international level, my research shows that the application of digital investigative methods are not sufficiently taken into consideration in mutual legal assistance treaties. States should realise and take into consideration that unilateral cross-border digital evidence-gathering activities already take place.

The application of digital investigative methods can endanger both State sovereignty and the legal certainty of individuals in certain circumstances. At the same time however, I argue that unilateral cross-border digital evidence-gathering activities should be permissible in certain circumstances. Ideally, States agree on what terms these evidence-gathering activities are allowed and protect the right and freedoms of the individuals involved in mutual legal-assistance treaties or on an ad-hoc basis. In the meantime, States should create a policy for their law enforcement authorities to determine under which circumstances unilateral cross-border digital evidence-gathering activities are allowed. I provide recommendations about these restrictions for the Dutch legislator.

Finally, I would like to say that it has been a pleasure performing research as a PhD Candidate at Leiden University. I will continue to do research in cybercrime, cybersecurity, digital investigations and privacy in the future.

This is a cross-post from LeidenLawBlog. My book is also commercially available at bol.com (among others).

A warrant requirement for analysing data stored on smartphones?

On 22 April 2015, the Dutch high court of Arnhem-Leeuwarden possibly set a precedent with far-reaching consequences. In this particular criminal case, a law enforcement official seized a smartphone and subsequently read and copied WhatsApp messages stored on the smartphone. The defence successfully argued that the investigation method was in violation of the right to privacy as articulated in art. 8 ECHR. The high court of Arnhem-Leeuwarden agreed and deemed the current regulations not foreseeable.

Currently, as explained in my previous blog post, law enforcement officials can seize a smartphone and examine all data stored on it in the context of a criminal investigation to obtain evidence without any notable legal thresholds. However, the high court points out that smartphones contain “not only access to traffic data, but also the contents of communications and private information of a smartphone user” . Because the analysis of such data severely infringes in the right to privacy, the current regulations for seizing and analysing data stored on smartphones are not adequately regulated according to the court.

Right to privacy and analysis of information on smartphones

Indeed, the European Court of Human Rights (ECtHR) recently decided in the case of Prezhdarovi v Bulgaria that (1) a judicial warrant requirement and (2) a limitation of the scope of the sought after data on computers is preferable when law enforcement authorities seize computers and analyse data stored on computers. Considering the serious privacy infringement that takes place when personal data that is stored on computers is analysed by law enforcement authorities, adequate safeguards in the domestic laws of States should protect the involved individuals against arbitrary interferences of State in their personal lives according to the ECtHR.

The decisions of the high court of Arnhem-Leeuwarden and ECtHR indicate that the Dutch regulations for the seizure of computers such as smartphones require amendments in order to adequately protect the right to privacy. In June 2014, the Dutch Ministry of Security and Justice already suggested that amendments were required for analysing data on computer systems. Yet, these amendments only suggested the legal thresholds of an order of a public prosecutor, whereas the ECtHR seems to prefer a prior review of an investigating judge – i.e., basically a warrant requirement – to analyse data on computer systems.

International trend?

Interestingly, almost a year ago, the U.S. Supreme Court decided in the landmark case of Riley v. California that a judge’s warrant is required in order to seize a smartphone and analyse data stored on a smartphone. The protection of the warrant requirement was deemed appropriate, because: “Modern cell phones are not just another technological convenience. With all they contain and all they may reveal, they hold for many Americans “the privacies of life”.

Obviously, modern cell phones do not contain the ‘privacies of life’ only for Americans. So tell me, does your domestic State law require a warrant to seize computers and analyse data stored on those devices?

This is a cross-post from LeidenLawBlog.nl.

=== Updata ===

My commentary (in Dutch) on the case of 22 April 2015 is available here (in .pdf).

Note that, in the meantime, the Dutch courts of Oost-Brabant and Noord-Holland desmissed the verdict of the high court of Arnhem-Leeuwarden, stating that article 94 of the Dutch Code of Criminal Procedure allows for the seizure of smartphones and subsequent search of data stored on the device.

The court of Amsterdam decided on 18 June 2015 that art. 8 ECHR was not infringed, because law enforcement restricted the search of data stored on the smartphone to  contact details. Thefefore, the search was not deemed disproportionate. Interestingly, other judges of the court of Noord-Holland decided on 4 June 2015 in a different case that seizing a smartphone based on art. 94 DCCP does infringe art. 8 ECHR. Clearly, the courts in the Netherlands are devided on the question whether seizing a smartphone based on art. 94 DCCP infringes art. 8 ECHR. Apparently, the Public Prosecution’s Office went in appeal and the question will be brought  to the Dutch Surpeme Court.

Surveilleren en opsporen op internet

Mag de politie in het kader van toezicht stelselmatig gegevens vergaren uit open bronnen van internet? In hoeverre mogen politie en justitie gegevens van internet verzamelen over (groepen) mensen in het kader van opsporing? In het tijdschrift Justitiële Verkenningen (nr. 5, 2012, p. 35-49) gaan Bert-Jaap Koops en ik op deze vragen in. In dit blogbericht wil ik kort de belangrijkste punten uit het artikel behandelen. Het gehele artikel is hier te
downloaden (.pdf).

‘De politie mag onbeperkt gegevens van internet vergaren’

In de praktijk lijken sommige politieambtenaren de indruk te hebben dat alles wat op internet in open bronnen is te vinden gebruikt mag worden voor toezicht- en opsporingsdoeleinden. In het artikel trachten wij duidelijk te maken dat dit niet het geval is, omdat het handelen van de politie specifiek geregeld is in wet- en regelgeving. De hoofdregel daarbij is dat daar waar een meer dan geringe inbreuk in de persoonlijke levenssfeer van mensen wordt gemaakt, een specifieke wettelijke regeling voorhanden moet zijn. Koops en ik hebben de indruk dat bij het monitoren van gegevens van mensen op internet voor toezichtdoeleinden al snel een meer dan geringe privacyinbreuk wordt gemaakt en daar op dit moment geen afdoende wettelijke regeling voor is.

Bij surveilleren en opsporen op internet gaat het allang niet meer om een ‘Googelende opsporingsambtenaar’, maar om politiesystemen waarmee snel en efficiënt gegevens op internet kunnen worden afgestruind op zoek naar de relevante informatie. Het is niet helemaal duidelijk wat de politiesystemen precies kunnen en wat met een ‘near real time
Internet monitoring service’ wordt bedoelt, maar documenten die zijn vrijgekomen na een Wob-verzoek op de website van het NCTB lichten een tipje van de sluier op.

Wij zijn met betrekking tot het vergaren van gegevens op internet met geautomatiseerde ICT-toepassingen van mening dat het gebruik van deze systemen op basis van art. 2 Politiewet 1993 onvoldoende voorzienbaar is voor burgers en de wetgever zich moet uitspreken over deze gegevensverwerkingen. Als zij vinden dat het gebruik van deze systemen noodzakelijk is voor een effectief politieoptreden zou zij daarvoor (naar onze
mening) een nieuwe wettelijke grondslag met waarborgen voor het gebruik daarvan
moeten creëren.

Opsporen op internet

Het vergaren van gegevens op internet voor toezichtsdoeleinden moet in theorie gescheiden worden van het vergaren van gegevens voor opsporingsdoeleinden. Soms lopen de twee in elkaar over, maar op dit moment is het zo dat in kader van opsporing de politie (meestal in opdracht van een officier van justitie) meer ernstige privacyinbreuken mogen worden gemaakt door middel van toepassing van  bijzondere  0psporingsbevoegdheden. Al eind jaren ‘90 heeft de wetgever met de Wet bijzondere opsporingsbevoegdheden ( Wet BOB ) te kennen gegeven dat opsporingsbevoegden ook op internet mogen worden toegepast. Het is echter niet helemaal duidelijk wat de reikwijdte van deze bevoegdheden in een internetomgeving precies is.

Op dit moment lijkt het afhankelijk van de interpretatie van opsporingsambtenaren (en soms een officier van justitie als die erbij betrokken wordt) hoe ver ze kunnen gaan bij het vergaren van informatie op internet. Er is ook opvallend weinig jurisprudentie over voorhanden, behalve één gepubliceerde zaak waarbij de rechter te kennen gaf dat een
opsporingsambtenaar van Google Earth in zijn onderzoek gebruik mag maken. Tegelijkertijd gaf de rechter aan dat ‘de bevoegdheid om rond te kijken in een openbaar netwerk niet de bevoegdheid impliceert om stelselmatig voor de uitoefening van de politietaak gegevens van internet te downloaden en in een politieregister op te slaan’.

Koops en ik zijn het zelf ook niet helemaal over eens op welk moment nu precies bij het vergaren van gegevens uit open bronnen op internet een meer dan geringe inbreuk wordt gemaakt op de persoonlijke levenssfeer van de betrokkenen. Dit leggen we in het artikel ook uit. Wel zijn wij het er over eens dat het criterium van een ‘meer dan geringe privacyinbreuk’ leidend is en dat wanneer daarvan sprake is het vergaren van gegevens door de politie zou kunnen worden ondergebracht onder de bijzondere opsporingsbevoegdheid van stelselmatige observatie (art. 126g Sv). Maar zelfs die bijzondere opsporingsbevoegdheid slaat niet naadloos aan bij de opsporingshandeling van politie en justitie op internet. Dit zetten we in het artikel verder uiteen.

Daarom concluderen we dat: ‘de wetgever deze problematiek bewust moet analyseren en zich daarbij moeten baseren op de huidige internetomgeving, die veel verder is ontwikkeld en er anders uitziet dan in 2000 het geval was’ (p. 47). Eventueel zou voor opsporen op internet het criterium ‘stelselmatigheid’, waarbij een ‘min of meer volledig beeld van een bepaald aspect van het leven van een persoon wordt verkregen’ leidend kunnen blijven. Daarbij zou de bijzondere opsporingsbevoegdheid van stelselmatige observatie toegepast kunnen blijven worden, maar het is wenselijk als de wetgever dit
expliciet maakt (om ongewenste interpretaties van de wet te voorkomen) of een andere wettelijke grondslag voor de opsporingshandeling creëert. In de tussentijd kunnen advocaten met een actieve proceshouding de opsporingspraktijk aan de kaak stellen. Rechters zullen zich daar vervolgens moeten over uitspreken, waardoor het wet- en regelgevingskader voor surveilleren en opsporen op internet meer helder wordt.

Wiretapping Internet Communications

An important report from the Dutch governmental judicial organization ‘WODC’ (Research and Documentation Centre) about wiretapping was published yesterday. For this report I wrote about ‘the possibilities and limitations of wiretapping internet
communications
’ (.pdf (in Dutch)). In this blog post I will give a brief overview of my
research findings. Some readers might be surprised that Internet communications can be legitimately wiretapped, but what might surprise even more is that this  relatively new investigatory technique is rapidly getting less effective with regard to the interception of
the contents of data sent over the Internet.

Workings of an internet wiretap

More and more people are communicating with each other by using the Internet. Not only are most telephones connected over the Internet, many people use alternative ways to communicate via the Internet. Think of modern services like Skype, Whatsapp, e-mail and the sending of private messages through chat programs and other services. It is important for investigative authorities to be able to wiretap the content of certain
information or messages that is sent over the Internet during criminal investigations. The intercepted internet traffic can hold important (mostly indirect) evidence. Intercepting the content of this data is however more of a challenge than intercepting telephone conversations.

In practice, internet traffic data is usually intercepted at the Internet Service Provider, more specifically at the ‘access provider’. Access providers provide internet connections for their clients. All incoming and outgoing traffic of a certain IP address is intercepted and this can be analyzed and made visible by law enforcement authorities. This means that for example search terms in Google are visible to the investigative authorities and
also chat conversations that are sent unencrypted over the Internet through programs (like MSN Messenger), or private messages send through certain apps (such as Whatsapp) or the communications through certain social media services (such as Hyves). The problem is that only unencrypted traffic can be made visible by law enforcement agencies.

Encryption and mobile devices

Lately, more and more online services began using certain encryption. Sometimes the use of encryption for internet services is an option for users (like with Facebook and Hotmail) and sometimes it is standard (when using Twitter or Gmail for instance). In this context, encryption scrambles data so that the content of the intercepted data from a certain IP
address cannot be made visible by law enforcement. For example, it is suspected investigative authorities are unable to decrypt ‘telephone conversations’ that are send over Skype. Internet users can also make the conscious decision to use strong encryption in their communications, for example by using the e-mail program ‘Pretty Good Privacy’. In addition, the possibilities of wiretapping internet connections is undermined by mobile devices that connect to the Internet (using WiFi connections for example). Many people use different Internet
connections in a single day and since wiretaps can only be placed at specific IP-addresses, it is often impossible to intercept all communications.

Possible solutions

A solution would be to intercept traffic from internet communication service providers. However, it is unclear for many of these services if they fall under the broad definition of ‘public telecommunications service provider’ in our Telecommunications law. But even if they do, it’s often impossible to enforce our laws, because their main offices are situated in territories outside of the Netherlands. The Dutch government could take action and provide more clarity about which services fall under the definition of a ‘public telecommunications provider’ and force them to facilitate in wiretapping (at least with regard to services within the Dutch territories). An obligation to wiretap involves costs
and privacy implications. Some internet communication services might not be able to comply with the obligation or it might create too much of a burden which impedes on innovation.

Not all is lost for law enforcement authorities however. Besides the availability of many other investigative powers to collect useful information about suspects and their internet communications, law enforcement can still deduce important data from so called ‘traffic data’ of wiretaps. This information shows for example at which time (and place to a certain extent) a suspect connects to computers. A wiretap might show a suspect using
an anomization service or connecting to a service such as Gmail in the United States. This information may provide important leads for law enforcement.

Conclusion
In short, the effectiveness of internet wiretaps deteriorated over the last decade due the increased use of encryption and mobile internet. At the same time the necessity of wiretapping Internet communications increased, because many people started using different means of communication besides telephones. Before amendments are made to wiretapping laws in order to wiretap on more internet communication services, it must be considered whether those amendments are absolutely necessary and what consequences it might have for privacy en innovation.

This article is a cross-post from Leiden Law Blog

Hacken als opsporingsbevoegdheid

Eind oktober 2011 kwam naar buiten dat een Duits bedrijf spionagesoftware aan de Nederlandse overheid heeft geleverd. Onduidelijk is of de software ook door de Nederlandse politie en justitie wordt gebruikt. Er zijn dan ook Kamervragen gesteld over het gebruik van de software. Op zijn minst zijn er aanwijzingen dat hacken als opsporingsmethode in de praktijk al incidenteel wordt toegepast. Naar mijn mening bestaat voor het hacken van persoonlijke geautomatiseerde werken echter geen wettelijke grondslag.

De vraag of bepaalde vormen van hacken als opsporingsmethode legitiem zijn heb ik verder uitgewerkt in mijn artikel ‘Hacken als opsporingsbevoegdheid’. Daarbij ga ik
met name in op de zogenaamde ‘online doorzoeking’ en het plaatsen van spyware
door de politie op afstand.

Plaatsen van spyware 

In de literatuur wordt wel aangenomen dat het mogelijk is tijdens een huiszoeking
speciale software op de computer van een verdachte te plaatsen zodat toetsaanslagen kunnen worden opgenomen en doorgestuurd worden naar de politie. Tussen al die toetsaanslagen kunnen bijvoorbeeld ook wachtwoorden van de verdachte zitten. Indien bij inbeslagname blijkt dat de computers of andere gegevensdragers (zoals externe harde schijven en USB-sticks) versleuteld zijn, kunnen de bestanden met de afgevangen wachtwoorden en de daarmee de sleutels toch geopend worden. Versleutelde harde schijven of gegevensdragers kunnen namelijk nog wel eens probleem vormen in een opsporingsonderzoek, met name bij kinderpornozaken.

Het plaatsen van de software valt onder de bijzondere opsporingsbevoegdheid ‘direct
afluisteren’ (126l Wetboek van Strafvordering), oftewel het ‘opnemen van vertrouwelijke communicatie met een technisch hulpmiddel’. In de Memorie van Toelichting op de Wet bijzondere opsporingsbevoegdheden wordt uitgebreid gesproken over de plaatsing van een ‘hardwarematige bug’ teneinde versleuteling ongedaan maken. Een softwarematige bug gaat dus al verder dan de wetgever oorspronkelijk had bedoeld, maar de tekst van de wet houdt het niet tegen en indien de functies gelijk blijven – dat wil zeggen: slechts toetsaanslagen registreren – is er weinig over op te merken.

Hacken

Waar naar mijn mening wél iets tegen is op te merken, is het plaatsen van de software op
afstand
. Daarvoor zal doorgaans een persoonlijke computer van de verdachte gehackt moeten worden en daar ligt volgens mij het probleem: hacken door politie en justitie op deze apparaten is niet toegestaan. Inlichtingen- en veiligheidsdiensten mogen dat wel op grond van artikel 24 van de Wet op de inlichtingen- en veiligheidsdiensten. Een persoonlijke computer van de verdachte is mijns inziens niet aan te merken als een ‘besloten plaats’ in de zin van artikel 126l van het Wetboek van Strafvordering. Bovendien is voor hacken in de wetsgeschiedenis geen enkele ondersteuning te vinden en wordt met de opsporingsmethode een ernstige inbreuk op de persoonlijke levenssfeer van
burgers gemaakt.

Daarnaast ga ik mijn artikel in op de online doorzoeking. Hierbij wordt op afstand via
internet (na een hack in juridische zin) de gegevens op een persoonlijk geautomatiseerd werk van de verdachte bekeken. Daarbij gaat het naar mijn mening niet alleen om een laptop of PC van de verdachte, maar bijvoorbeeld ook om gegevens in de persoonlijke webmail van de verdachte. In deze zaak wordt bijvoorbeeld door de politie na toestemming van de officier van justitie met een verkregen inlognaam en wachtwoord op afstand in een Hotmail-inbox gekeken. Daarmee gaan politie en justitie wat mij betreft letterlijk en figuurlijk de grens over. De rechtbank Rotterdam was in eerste instantie dezelfde mening toebedeeld, maar in hoger beroep werd tegen deze actie geen sancties opgelegd omdat het niet de e-mail van de verdachte betrof. Dit neemt niet weg dat hier naar mijn mening sprake was van toepassing van een onwetmatige opsporingsmethode.

Het zogenaamde ‘strafvorderlijk legaliteitsbeginsel’ (artikel 1 Wetboek van Strafvordering) en de vereisten van artikel 8 EVRM schrijven voor dat voor
dergelijke inbreuken op de persoonlijke levenssfeer van de verdachte een
gedetailleerde wettelijke regeling voorhanden moet zijn. En die is naar mijn
mening niet aanwezig.

Persoonlijk geautomatiseerd werk

In mijn artikel maak ik een onderscheid tussen een persoonlijk geautomatiseerd werk en
geautomatiseerde werken die niet voor privézaken worden gebruikt. Dit onderscheid sluit aan bij de uitspraak van het Bundesverfassungsgericht (het hoogste Duitse rechtsorgaan) over de inzet van spionagesoftware door de politie (de zogenaamde ‘Bundestrojaner’). De gedachte is dat een inbreuk op de integriteit en vertrouwelijkheid van een persoonlijk geautomatiseerd werk een grotere privacyinbreuk met zich meebrengt dan wanneer dit bij een onpersoonlijk geautomatiseerd gebeurt. Dat heeft gevolgen voor de manier waarop de opsporingshandeling moet worden genormeerd.

Geredeneerd kan worden dat het inbreken in onpersoonlijke geautomatiseerde werken – zoals de servers van een botnet – een lichte inbreuk op de persoonlijke levenssfeer van de verdachte vormt waardoor voor die handeling geen expliciete bevoegdheid in het Wetboek van Strafvordering is vereist. Volstaan kan worden met de algemene opsporingsbevoegdheid van artikel 2 Politiewet 1993 en 141 Wetboek van
Strafvordering, eventueel in combinatie met de inzet van andere opsporingsbevoegdheden. Uiteraard is dat afhankelijk van het geval en moet niet
te gemakkelijk worden overgegaan tot zo’n complexe operatie. Wellicht zou ook
nog aangevoerd kunnen worden dat de verdachte m.b.t. het gebruik van de
criminele infrastructuur geen ‘reasonable expectation of privacy’ heeft, maar
het gebruik van die van oorsprong Amerikaanse constructie is controversieel.
Anders: zie de scriptie van Merel Koning over de Bredolab-actie.

Nieuwe opsporingsbevoegdheden noodzakelijk?

Tenslotte ga ik mijn artikel na in hoeverre bepaalde vormen van hacken noodzakelijk zijn
zodat politie en justitie goed hun werk kunnen blijven doen. Persoonlijk kom ik tot de conclusie dat de problemen van versleuteling en anonimiteit in een digitaal opsporingsonderzoek voldoende noodzaak geven voor het mogelijk maken van een online doorzoeking en het plaatsen van spyware. Uiteindelijk is het niet aan de rechter om nieuwe opsporingsbevoegdheden te legitimeren, maar aan de wetgever. De wetgever zal daarom moeten beslissen welke nieuwe opsporingsbevoegdheden noodzakelijk zijn en daarover in debat moeten gaan.

Het artikel is hier te vinden. De citeertitel is: J.J. Oerlemans, ‘Hacken als opsporingsbevoegdheid’, DD 2011, 62, pp. 888-908.

==Update==

Op 7 februari 2012 heeft Opstelten antwoord gegeven op Kamervragen over het gebruik
van afluistersoftware. Uit de antwoorden wordt nog steeds niet duidelijk of de software op afstand kan worden geplaatst d.m.v. een hack. Wel wordt nu duidelijk dat van de software sporadisch gebruik is gemaakt en dat het ziet op het aftappen van gegevens bij de bron (het opnemen van vertrouwelijke communicatie). Meer functionaliteiten voor de software, zoals het plegen van een heimelijke doorzoeking, valt volgens Opstelten niet binnen de wettelijke kaders.

 

Artikel Toxbot-zaak

Op 22 februari 2011 heeft de Hoge Raad een opmerkelijk
arrest gewezen in de Toxbot-zaak. De meest opvallende aspecten uit het arrest
is de gelijkstelling van het besmetten van computers met malware aan het delict
computervredebreuk en de extensieve interpretatie van het delict
computersabotage. Samen met Bert-Jaap Koops heb ik hier artikel voor het
Nederlands Juristenblad over geschreven. Het is artikel hier te downloaden. Eerder
heb ik al een blogbericht over deze zaak geschreven.

In ons artikel stellen wij dat de Hoge Raad
met het arrest de samenleving een slechte dienst heeft bewezen. Het besmetten
van computers met malware, strafbaar gesteld in artikel 350a lid 3 Sr, wordt
volgens ons onterecht gelijk gesteld aan het delict computervredebreuk zoals
strafbaar gesteld in artikel 138ab Sr. Wel is er volgens ons sprake van
computervredebreuk op het moment dat een de besmette computer contact maakt met
een command-and-control server dat een botnet aanstuurt of via een
‘achterdeurtje’ toegang wordt verschaft tot de computer van de verdachte. In de
praktijk zal dat meestal het geval zijn.

Misschien nog wel belangrijker is de
interpretatie van de Hoge Raad van artikel van artikel 161sexies Sr
(computersabotage). Op zich zijn wij het er mee eens dat internetbankieren en
het verrichten van transacties via online betalingsdiensten als PayPal als een
dienst van vitale infrastructuur kan worden aangemerkt. Wanneer internetbankieren
door een DDoS-aanval wordt verstoord en mensen niet meer online transacties
kunnen uitvoeren, kan artikel 161sexies Sr daarom van toepassing zijn. De mogelijkheid
bestaat echter ook dat de vitale dienst door de aanval niet wordt verstoord,
omdat bijvoorbeeld een voorlichtingswebsite wordt aangevallen. Volgens de Hoge
Raad zou artikel 161sexies Sr in dat geval nog steeds van toepassing zijn. Onzes
inziens is artikel 161sexies Sr alleen van toepassing wanneer een website van
een dienst van algemene nutte wordt aangevallen waardoor gevaar ontstaat dat de
vitale dienst niet meer kan worden verleend.

Sterker nog, volgens de Hoge Raad zou artikel
161sexies Sr niet alleen gaan om de dienstverlener die ernstige hinder van het
misdrijf ondervindt, maar om een substantieel aantal gebruikers ervan. Wanneer
een substantieel aantal mensen besmet zijn met een bepaalde variant van malware
dat zich bijvoorbeeld op banken richt en hierdoor niet meer veilig kunnen
internetbankieren bij een bepaalde bank zou artikel 161sexies óók van
toepassing kunnen zijn. Artikel 161sexies Sr beschermt volgens ons tegen de
nadelige effecten die optreden indien de infrastructuur van de dienstverlener
wordt vernield of beschadigd, en dient niet ter bescherming van de
vertrouwelijkheid en integriteit van de computer van de dienstafnemers. Naar
onze mening wordt het artikel in deze variant daarom veel te extensief
geïnterpreteerd.

Het arrest komt de rechtszekerheid niet
ten goede. De kans bestaat dat de vreemde redenatie van de Hoge Raad in de toekomst door
rechters wordt omzeild of teruggedraaid, waardoor vervolgingen kunnen
stuklopen. Het is belangrijk dat het OM en de rechterlijke macht precies zijn
in de toepassing van de verschillende delicten op een feitencomplex zoals in de
Toxbot-zaak. Door de extensieve interpretatie vindt een onwenselijke
verwatering in het onderscheid tussen de verschillende typen delicten plaats.

(Citeertitel: J.J.
Oerlemans & E.J. Koops, ‘De Hoge Raad bewijst een slechte dienst in
high-tech-crimezaak over botnets’, Nederlands
Juristenblad
2011, vol. 86, nr. 18, pp. 1181-1185).