Gebruik van policeware in Aydin C.-zaak

Vorige week heb ik mijn noot gepubliceerd die ik heb beschreven over de Aydin C.-zaak. De zaak is veelvuldig in het nieuws geweest vanwege de tragische afloop van Amanda Todd, nadat zij werd gechanteerd door Aydin C. met webcamopnamen. De rechtbank Amsterdam veroordeelt Aydin voor meer dan 10 jaar gevangenisstraf voor kinderporno en (poging tot) aanranding met betrekking tot 34 meisjes en één man voor afdreiging.

Vanuit juridisch oogpunt vond ik het echter interessanter hoe de rechtbank is omgegaan met het gebruik van een softwarematige keylogger bij de bewijsgaring in deze zaak. Dergelijke ‘monitoringssoftware’ wordt ook wel ‘policeware’ genoemd.

Mag een keylogger nu wel of niet worden gebruikt?

Al tijdens het verloop van de zaak kwam via de media naar buiten de politie een ‘keylogger’ had ingezet om bewijsmateriaal te verzamelen. Een keylogger registreert toetsaanslagen waardoor communicatie, maar ook inlognamen en wachtwoorden, kan worden afgevangen om nader te onderzoeken. Een keylogger kan zowel hardwarematig zijn als softwarematig.

Eerder had ik ook al in een interview aangegeven dat het gebruik van een hardwarematige keylogger volgens mij door de beugel kan. De wetgever heeft al 20 jaar geleden in de memorie van toelichting van de Wet bijzondere opsporingsbevoegdheden (Wet BOB) (p. 35-37) voldoende duidelijk gemaakt dat onder de bijzondere opsporingsbevoegdheid van direct afluisteren (artikel 126l Sv) het gebruik van een apparaatje (een ‘bug’), dat ook toetsaanslagen kan registreren, is toegestaan.

Mag policeware worden gebruikt?

De vraag is lastiger te beantwoorden of het gebruik van een softwarematige keylogger is toegestaan. De tekst van de wet zelf sluit niet uit dat software wordt gebruik bij de toepassing van de bijzondere opsporingsbevoegdheid van direct afluisteren. Gesproken wordt over een ‘technisch hulpmiddel’, dat tevens uit software kan bestaan. Dat is ook af te leiden uit het Besluit technische hulpmiddelen. Eerder heb ik betoogd dat de software in ieder geval niet door middel van een ‘hack’ kan worden geplaatst, omdat daarmee een geheel andere privacyinbreuk plaatsvindt dan wanneer een bug fysiek in een woning of andere plek wordt geplaatst zoals bij ‘direct afluisteren’ gebruikelijk is. De wet zou dan niet meer voorzienbaar zijn.

Het is echter de vraag of de software ook andere functionaliteiten mag hebben dan het afluisteren van communicatie, het registreren van toetsaanslagen en het registreren van muisklikken. Hoewel het vonnis moeilijk leesbaar is, wordt interessante informatie gegeven over het gebruik van dergelijke software door de politie. Zo wordt onder andere gesteld dat via een softwarepakket ‘vinkjes’ kunnen worden aangezet om van bepaalde functionaliteiten van de afluistersoftware gebruik te maken. Uit het vonnis van de rechtbank blijkt ook dat gebruik is gemaakt van een screenshotfunctionaliteit. Is deze toepassing dan nog voorzienbaar is op basis van bestaande wetgeving?

Pas als de Wet computercriminaliteit III door de Eerste Kamer wordt aangenomen en de wet van kracht wordt, mag een softwarematige keylogger met andere functionaliteiten (waaronder ook het maken van screenshots, het vastleggen van identificerende gegevens, het aanzetten van een camera, en eventueel het aanzetten van een GPS-signaal) worden gebruikt. Deze software mag dan ook op afstand via een hack worden geïnstalleerd op de computer van de verdachte op basis van de voorgestelde nieuwe hackbevoegdheid in artikel 126nba Sv.

Mogelijkheden voor de verdediging

De verdediging voerde tal van verweren in de Aydin C.-zaak. In mijn noot heb ik aandacht besteed aan de mogelijkheid van de verdediging om tijdens de zitting na te gaan welke functionaliteiten van de software precies gebruik is gemaakt. Ik begrijp het standpunt van de politie en het Openbaar Ministerie dat het type software – of zelfs de broncode – niet wordt vrijgegeven aan de verdediging. Daarmee breng je namelijk het toekomstig gebruik van de software in strafzaken door opsporingsinstanties in gevaar. De verdediging moet echter wel de mogelijkheid hebben om het gebruik van de software achteraf – desnoods tijdens de zitting – te controleren. Nagegaan moet worden of niet meer functionaliteiten van de software zijn gebruikt dan de officier van justitie als het goed is in zijn bevel voor inzet van de bevoegdheid heeft aangegeven. In deze zaak werd het verweer geadresseerd door één deskundige van te politie te horen, waarbij ik de zorg om onafhankelijkheid goed begrijp.

Als de Wet computercriminaliteit III wordt aangenomen kan de verdediging het gebruik van de software beter controleren. De verdediging kan de rechter verzoeken tot nader onderzoek van de gelogde gegevens. De rechter kan dit ook overigens ook ambtshalve beslissen. Staatssecretaris Dijkhoff heeft in de nota naar aanleiding van het verslag aangegeven dat dit mogelijk is. Daarnaast wordt de waarborg ingebouwd dat de Inspectie Veiligheid en Justitie het gebruik van de software bij de politie controleren. Dit zijn twee zeer welkome waarborgen ten opzichte van de bestaande situatie.

Normering van digitale opsporingsmethoden

Op 1 maart 2017 is mijn nieuwe boekje ‘Normering van digitale opsporingsmethoden’ uitgebracht. Het boekje is bij de Nederlandse Defensie Academie gedrukt en stel ik hierbij in .pdf beschikbaar.

Mijn doel is om ‘de praktijk’ – dat wil zeggen professionals in de opsporing, advocaten en rechters – meer duidelijkheid te geven over de juridische basis bij de toepassing van digitale opsporingsmethoden. Tijdens mijn onderzoeksperiode voor mijn proefschrift van 2010-2016 heb ik regelmatig gehoord dat er onduidelijkheid bestaat over de vraag welke regels van toepassing zijn. Dat is vanuit rechtsstatelijk oogpunt zeer onwenselijk, want zowel de professionals in de praktijk als de betrokken burgers moeten weten waar ze aan toe zijn om willekeur van overheidsmacht tegen te gaan. Mogelijk bestaande interne richtlijnen binnen de opsporing vormen geen voorzienbaar juridisch kader waar betrokkenen een beroep op kunnen doen.

Met mijn boekje hoop ik dus meer duidelijkheid over de juridische basis van digitale opsporingsmethoden te leveren, maar ook de discussie aan te zwengelen. Het rechtsgebied is namelijk sterk in beweging. Ik verwacht dan ook dat dit werk slechts drie jaar actueel blijft. Dat komt doordat digitale opsporingsmethoden constant evolueren in verband met technologische ontwikkelingen en de onderliggende (cyber)criminaliteit, waar de opsporing op moet inspelen. Daarnaast zal het project ‘Modernisering strafvordering’ in de nabije toekomst aanzienlijke wijzigingen in het Wetboek van Strafvordering met zich mee brengen. Over de wenselijke juridische basis en waarborgen voor digitale opsporingsmethoden in toekomstige wetgeving moet dus nú worden gediscussieerd.

Investigating Cybercrime

On 10 January 2017, I successfully defended my PhD thesis ‘Investigating Cybercrime’. In this blog post, I would like the share my main research results.

Cybercrime investigations

My study shows that in cybercrime investigations, evidence is often gathered by following the two digital leads of IP-addresses and nicknames. I explain how evidence is gathered, based upon these leads. In cybercrime investigations, law enforcement officials often encounter the three challenges of anonymity, encryption and jurisdiction. These challenges can leave law enforcement officials empty-handed in certain circumstances.

However, law enforcement officials can use digital investigative methods to deal with these challenges. The following four investigative methods are identified and further analysed in the study: (1) gathering publicly available online information, (2) issuing data production orders to online service providers, (3) applying online undercover investigative methods, and (4) performing hacking as an investigative method.

Regulating digitale investigative methods on a national level

On a national level, my research shows that the identified digital investigative methods are not regulated in a foreseeable manner in the Netherlands. The reason is that the scope and manner in which investigative methods are applied are not sufficiently clear. In addition, I argue that the quality of the law for certain investigative methods is not adequate. The main and concrete results of my analysis are as follows:

  • The manual and automated gathering of publicly available online information should be regulated in detail, outside criminal procedural law. These regulations should indicate how data protection regulations should be applied in a concrete manner when these digital investigative methods are used.
  • The regulations for undercover investigative methods (both online and offline) should be improved by incorporating supervision by an investigative judge.
  • A warrant requirement should apply for obtaining traffic data and content data from online service providers. The category of ‘content data’ should be defined more clearly by the legislator or Public Prosecution Service.
  • Regulating hacking as an investigative power is necessary. The proposal to regulate this investigative method in the Computer Crime Act III is adequate. However, the investigative power is formulated in a rather broad manner and the legal consequences of its application to ‘disrupt cybercrime’ are uncertain.

Regulating digital investigative methods on an international level

On an international level, my research shows that the application of digital investigative methods are not sufficiently taken into consideration in mutual legal assistance treaties. States should realise and take into consideration that unilateral cross-border digital evidence-gathering activities already take place.

The application of digital investigative methods can endanger both State sovereignty and the legal certainty of individuals in certain circumstances. At the same time however, I argue that unilateral cross-border digital evidence-gathering activities should be permissible in certain circumstances. Ideally, States agree on what terms these evidence-gathering activities are allowed and protect the right and freedoms of the individuals involved in mutual legal-assistance treaties or on an ad-hoc basis. In the meantime, States should create a policy for their law enforcement authorities to determine under which circumstances unilateral cross-border digital evidence-gathering activities are allowed. I provide recommendations about these restrictions for the Dutch legislator.

Finally, I would like to say that it has been a pleasure performing research as a PhD Candidate at Leiden University. I will continue to do research in cybercrime, cybersecurity, digital investigations and privacy in the future.

This is a cross-post from LeidenLawBlog. My book is also commercially available at bol.com (among others).

A warrant requirement for analysing data stored on smartphones?

On 22 April 2015, the Dutch high court of Arnhem-Leeuwarden possibly set a precedent with far-reaching consequences. In this particular criminal case, a law enforcement official seized a smartphone and subsequently read and copied WhatsApp messages stored on the smartphone. The defence successfully argued that the investigation method was in violation of the right to privacy as articulated in art. 8 ECHR. The high court of Arnhem-Leeuwarden agreed and deemed the current regulations not foreseeable.

Currently, as explained in my previous blog post, law enforcement officials can seize a smartphone and examine all data stored on it in the context of a criminal investigation to obtain evidence without any notable legal thresholds. However, the high court points out that smartphones contain “not only access to traffic data, but also the contents of communications and private information of a smartphone user” . Because the analysis of such data severely infringes in the right to privacy, the current regulations for seizing and analysing data stored on smartphones are not adequately regulated according to the court.

Right to privacy and analysis of information on smartphones

Indeed, the European Court of Human Rights (ECtHR) recently decided in the case of Prezhdarovi v Bulgaria that (1) a judicial warrant requirement and (2) a limitation of the scope of the sought after data on computers is preferable when law enforcement authorities seize computers and analyse data stored on computers. Considering the serious privacy infringement that takes place when personal data that is stored on computers is analysed by law enforcement authorities, adequate safeguards in the domestic laws of States should protect the involved individuals against arbitrary interferences of State in their personal lives according to the ECtHR.

The decisions of the high court of Arnhem-Leeuwarden and ECtHR indicate that the Dutch regulations for the seizure of computers such as smartphones require amendments in order to adequately protect the right to privacy. In June 2014, the Dutch Ministry of Security and Justice already suggested that amendments were required for analysing data on computer systems. Yet, these amendments only suggested the legal thresholds of an order of a public prosecutor, whereas the ECtHR seems to prefer a prior review of an investigating judge – i.e., basically a warrant requirement – to analyse data on computer systems.

International trend?

Interestingly, almost a year ago, the U.S. Supreme Court decided in the landmark case of Riley v. California that a judge’s warrant is required in order to seize a smartphone and analyse data stored on a smartphone. The protection of the warrant requirement was deemed appropriate, because: “Modern cell phones are not just another technological convenience. With all they contain and all they may reveal, they hold for many Americans “the privacies of life”.

Obviously, modern cell phones do not contain the ‘privacies of life’ only for Americans. So tell me, does your domestic State law require a warrant to seize computers and analyse data stored on those devices?

This is a cross-post from LeidenLawBlog.nl.

=== Updata ===

My commentary (in Dutch) on the case of 22 April 2015 is available here (in .pdf).

Note that, in the meantime, the Dutch courts of Oost-Brabant and Noord-Holland desmissed the verdict of the high court of Arnhem-Leeuwarden, stating that article 94 of the Dutch Code of Criminal Procedure allows for the seizure of smartphones and subsequent search of data stored on the device.

The court of Amsterdam decided on 18 June 2015 that art. 8 ECHR was not infringed, because law enforcement restricted the search of data stored on the smartphone to  contact details. Thefefore, the search was not deemed disproportionate. Interestingly, other judges of the court of Noord-Holland decided on 4 June 2015 in a different case that seizing a smartphone based on art. 94 DCCP does infringe art. 8 ECHR. Clearly, the courts in the Netherlands are devided on the question whether seizing a smartphone based on art. 94 DCCP infringes art. 8 ECHR. Apparently, the Public Prosecution’s Office went in appeal and the question will be brought  to the Dutch Surpeme Court.

Surveilleren en opsporen op internet

Mag de politie in het kader van toezicht stelselmatig gegevens vergaren uit open bronnen van internet? In hoeverre mogen politie en justitie gegevens van internet verzamelen over (groepen) mensen in het kader van opsporing? In het tijdschrift Justitiële Verkenningen (nr. 5, 2012, p. 35-49) gaan Bert-Jaap Koops en ik op deze vragen in. In dit blogbericht wil ik kort de belangrijkste punten uit het artikel behandelen. Het gehele artikel is hier te
downloaden (.pdf).

‘De politie mag onbeperkt gegevens van internet vergaren’

In de praktijk lijken sommige politieambtenaren de indruk te hebben dat alles wat op internet in open bronnen is te vinden gebruikt mag worden voor toezicht- en opsporingsdoeleinden. In het artikel trachten wij duidelijk te maken dat dit niet het geval is, omdat het handelen van de politie specifiek geregeld is in wet- en regelgeving. De hoofdregel daarbij is dat daar waar een meer dan geringe inbreuk in de persoonlijke levenssfeer van mensen wordt gemaakt, een specifieke wettelijke regeling voorhanden moet zijn. Koops en ik hebben de indruk dat bij het monitoren van gegevens van mensen op internet voor toezichtdoeleinden al snel een meer dan geringe privacyinbreuk wordt gemaakt en daar op dit moment geen afdoende wettelijke regeling voor is.

Bij surveilleren en opsporen op internet gaat het allang niet meer om een ‘Googelende opsporingsambtenaar’, maar om politiesystemen waarmee snel en efficiënt gegevens op internet kunnen worden afgestruind op zoek naar de relevante informatie. Het is niet helemaal duidelijk wat de politiesystemen precies kunnen en wat met een ‘near real time
Internet monitoring service’ wordt bedoelt, maar documenten die zijn vrijgekomen na een Wob-verzoek op de website van het NCTB lichten een tipje van de sluier op.

Wij zijn met betrekking tot het vergaren van gegevens op internet met geautomatiseerde ICT-toepassingen van mening dat het gebruik van deze systemen op basis van art. 2 Politiewet 1993 onvoldoende voorzienbaar is voor burgers en de wetgever zich moet uitspreken over deze gegevensverwerkingen. Als zij vinden dat het gebruik van deze systemen noodzakelijk is voor een effectief politieoptreden zou zij daarvoor (naar onze
mening) een nieuwe wettelijke grondslag met waarborgen voor het gebruik daarvan
moeten creëren.

Opsporen op internet

Het vergaren van gegevens op internet voor toezichtsdoeleinden moet in theorie gescheiden worden van het vergaren van gegevens voor opsporingsdoeleinden. Soms lopen de twee in elkaar over, maar op dit moment is het zo dat in kader van opsporing de politie (meestal in opdracht van een officier van justitie) meer ernstige privacyinbreuken mogen worden gemaakt door middel van toepassing van  bijzondere  0psporingsbevoegdheden. Al eind jaren ‘90 heeft de wetgever met de Wet bijzondere opsporingsbevoegdheden ( Wet BOB ) te kennen gegeven dat opsporingsbevoegden ook op internet mogen worden toegepast. Het is echter niet helemaal duidelijk wat de reikwijdte van deze bevoegdheden in een internetomgeving precies is.

Op dit moment lijkt het afhankelijk van de interpretatie van opsporingsambtenaren (en soms een officier van justitie als die erbij betrokken wordt) hoe ver ze kunnen gaan bij het vergaren van informatie op internet. Er is ook opvallend weinig jurisprudentie over voorhanden, behalve één gepubliceerde zaak waarbij de rechter te kennen gaf dat een
opsporingsambtenaar van Google Earth in zijn onderzoek gebruik mag maken. Tegelijkertijd gaf de rechter aan dat ‘de bevoegdheid om rond te kijken in een openbaar netwerk niet de bevoegdheid impliceert om stelselmatig voor de uitoefening van de politietaak gegevens van internet te downloaden en in een politieregister op te slaan’.

Koops en ik zijn het zelf ook niet helemaal over eens op welk moment nu precies bij het vergaren van gegevens uit open bronnen op internet een meer dan geringe inbreuk wordt gemaakt op de persoonlijke levenssfeer van de betrokkenen. Dit leggen we in het artikel ook uit. Wel zijn wij het er over eens dat het criterium van een ‘meer dan geringe privacyinbreuk’ leidend is en dat wanneer daarvan sprake is het vergaren van gegevens door de politie zou kunnen worden ondergebracht onder de bijzondere opsporingsbevoegdheid van stelselmatige observatie (art. 126g Sv). Maar zelfs die bijzondere opsporingsbevoegdheid slaat niet naadloos aan bij de opsporingshandeling van politie en justitie op internet. Dit zetten we in het artikel verder uiteen.

Daarom concluderen we dat: ‘de wetgever deze problematiek bewust moet analyseren en zich daarbij moeten baseren op de huidige internetomgeving, die veel verder is ontwikkeld en er anders uitziet dan in 2000 het geval was’ (p. 47). Eventueel zou voor opsporen op internet het criterium ‘stelselmatigheid’, waarbij een ‘min of meer volledig beeld van een bepaald aspect van het leven van een persoon wordt verkregen’ leidend kunnen blijven. Daarbij zou de bijzondere opsporingsbevoegdheid van stelselmatige observatie toegepast kunnen blijven worden, maar het is wenselijk als de wetgever dit
expliciet maakt (om ongewenste interpretaties van de wet te voorkomen) of een andere wettelijke grondslag voor de opsporingshandeling creëert. In de tussentijd kunnen advocaten met een actieve proceshouding de opsporingspraktijk aan de kaak stellen. Rechters zullen zich daar vervolgens moeten over uitspreken, waardoor het wet- en regelgevingskader voor surveilleren en opsporen op internet meer helder wordt.

Wiretapping Internet Communications

An important report from the Dutch governmental judicial organization ‘WODC’ (Research and Documentation Centre) about wiretapping was published yesterday. For this report I wrote about ‘the possibilities and limitations of wiretapping internet
communications
’ (.pdf (in Dutch)). In this blog post I will give a brief overview of my
research findings. Some readers might be surprised that Internet communications can be legitimately wiretapped, but what might surprise even more is that this  relatively new investigatory technique is rapidly getting less effective with regard to the interception of
the contents of data sent over the Internet.

Workings of an internet wiretap

More and more people are communicating with each other by using the Internet. Not only are most telephones connected over the Internet, many people use alternative ways to communicate via the Internet. Think of modern services like Skype, Whatsapp, e-mail and the sending of private messages through chat programs and other services. It is important for investigative authorities to be able to wiretap the content of certain
information or messages that is sent over the Internet during criminal investigations. The intercepted internet traffic can hold important (mostly indirect) evidence. Intercepting the content of this data is however more of a challenge than intercepting telephone conversations.

In practice, internet traffic data is usually intercepted at the Internet Service Provider, more specifically at the ‘access provider’. Access providers provide internet connections for their clients. All incoming and outgoing traffic of a certain IP address is intercepted and this can be analyzed and made visible by law enforcement authorities. This means that for example search terms in Google are visible to the investigative authorities and
also chat conversations that are sent unencrypted over the Internet through programs (like MSN Messenger), or private messages send through certain apps (such as Whatsapp) or the communications through certain social media services (such as Hyves). The problem is that only unencrypted traffic can be made visible by law enforcement agencies.

Encryption and mobile devices

Lately, more and more online services began using certain encryption. Sometimes the use of encryption for internet services is an option for users (like with Facebook and Hotmail) and sometimes it is standard (when using Twitter or Gmail for instance). In this context, encryption scrambles data so that the content of the intercepted data from a certain IP
address cannot be made visible by law enforcement. For example, it is suspected investigative authorities are unable to decrypt ‘telephone conversations’ that are send over Skype. Internet users can also make the conscious decision to use strong encryption in their communications, for example by using the e-mail program ‘Pretty Good Privacy’. In addition, the possibilities of wiretapping internet connections is undermined by mobile devices that connect to the Internet (using WiFi connections for example). Many people use different Internet
connections in a single day and since wiretaps can only be placed at specific IP-addresses, it is often impossible to intercept all communications.

Possible solutions

A solution would be to intercept traffic from internet communication service providers. However, it is unclear for many of these services if they fall under the broad definition of ‘public telecommunications service provider’ in our Telecommunications law. But even if they do, it’s often impossible to enforce our laws, because their main offices are situated in territories outside of the Netherlands. The Dutch government could take action and provide more clarity about which services fall under the definition of a ‘public telecommunications provider’ and force them to facilitate in wiretapping (at least with regard to services within the Dutch territories). An obligation to wiretap involves costs
and privacy implications. Some internet communication services might not be able to comply with the obligation or it might create too much of a burden which impedes on innovation.

Not all is lost for law enforcement authorities however. Besides the availability of many other investigative powers to collect useful information about suspects and their internet communications, law enforcement can still deduce important data from so called ‘traffic data’ of wiretaps. This information shows for example at which time (and place to a certain extent) a suspect connects to computers. A wiretap might show a suspect using
an anomization service or connecting to a service such as Gmail in the United States. This information may provide important leads for law enforcement.

Conclusion
In short, the effectiveness of internet wiretaps deteriorated over the last decade due the increased use of encryption and mobile internet. At the same time the necessity of wiretapping Internet communications increased, because many people started using different means of communication besides telephones. Before amendments are made to wiretapping laws in order to wiretap on more internet communication services, it must be considered whether those amendments are absolutely necessary and what consequences it might have for privacy en innovation.

This article is a cross-post from Leiden Law Blog

Hacken als opsporingsbevoegdheid

Eind oktober 2011 kwam naar buiten dat een Duits bedrijf spionagesoftware aan de Nederlandse overheid heeft geleverd. Onduidelijk is of de software ook door de Nederlandse politie en justitie wordt gebruikt. Er zijn dan ook Kamervragen gesteld over het gebruik van de software. Op zijn minst zijn er aanwijzingen dat hacken als opsporingsmethode in de praktijk al incidenteel wordt toegepast. Naar mijn mening bestaat voor het hacken van persoonlijke geautomatiseerde werken echter geen wettelijke grondslag.

De vraag of bepaalde vormen van hacken als opsporingsmethode legitiem zijn heb ik verder uitgewerkt in mijn artikel ‘Hacken als opsporingsbevoegdheid’. Daarbij ga ik
met name in op de zogenaamde ‘online doorzoeking’ en het plaatsen van spyware
door de politie op afstand.

Plaatsen van spyware 

In de literatuur wordt wel aangenomen dat het mogelijk is tijdens een huiszoeking
speciale software op de computer van een verdachte te plaatsen zodat toetsaanslagen kunnen worden opgenomen en doorgestuurd worden naar de politie. Tussen al die toetsaanslagen kunnen bijvoorbeeld ook wachtwoorden van de verdachte zitten. Indien bij inbeslagname blijkt dat de computers of andere gegevensdragers (zoals externe harde schijven en USB-sticks) versleuteld zijn, kunnen de bestanden met de afgevangen wachtwoorden en de daarmee de sleutels toch geopend worden. Versleutelde harde schijven of gegevensdragers kunnen namelijk nog wel eens probleem vormen in een opsporingsonderzoek, met name bij kinderpornozaken.

Het plaatsen van de software valt onder de bijzondere opsporingsbevoegdheid ‘direct
afluisteren’ (126l Wetboek van Strafvordering), oftewel het ‘opnemen van vertrouwelijke communicatie met een technisch hulpmiddel’. In de Memorie van Toelichting op de Wet bijzondere opsporingsbevoegdheden wordt uitgebreid gesproken over de plaatsing van een ‘hardwarematige bug’ teneinde versleuteling ongedaan maken. Een softwarematige bug gaat dus al verder dan de wetgever oorspronkelijk had bedoeld, maar de tekst van de wet houdt het niet tegen en indien de functies gelijk blijven – dat wil zeggen: slechts toetsaanslagen registreren – is er weinig over op te merken.

Hacken

Waar naar mijn mening wél iets tegen is op te merken, is het plaatsen van de software op
afstand
. Daarvoor zal doorgaans een persoonlijke computer van de verdachte gehackt moeten worden en daar ligt volgens mij het probleem: hacken door politie en justitie op deze apparaten is niet toegestaan. Inlichtingen- en veiligheidsdiensten mogen dat wel op grond van artikel 24 van de Wet op de inlichtingen- en veiligheidsdiensten. Een persoonlijke computer van de verdachte is mijns inziens niet aan te merken als een ‘besloten plaats’ in de zin van artikel 126l van het Wetboek van Strafvordering. Bovendien is voor hacken in de wetsgeschiedenis geen enkele ondersteuning te vinden en wordt met de opsporingsmethode een ernstige inbreuk op de persoonlijke levenssfeer van
burgers gemaakt.

Daarnaast ga ik mijn artikel in op de online doorzoeking. Hierbij wordt op afstand via
internet (na een hack in juridische zin) de gegevens op een persoonlijk geautomatiseerd werk van de verdachte bekeken. Daarbij gaat het naar mijn mening niet alleen om een laptop of PC van de verdachte, maar bijvoorbeeld ook om gegevens in de persoonlijke webmail van de verdachte. In deze zaak wordt bijvoorbeeld door de politie na toestemming van de officier van justitie met een verkregen inlognaam en wachtwoord op afstand in een Hotmail-inbox gekeken. Daarmee gaan politie en justitie wat mij betreft letterlijk en figuurlijk de grens over. De rechtbank Rotterdam was in eerste instantie dezelfde mening toebedeeld, maar in hoger beroep werd tegen deze actie geen sancties opgelegd omdat het niet de e-mail van de verdachte betrof. Dit neemt niet weg dat hier naar mijn mening sprake was van toepassing van een onwetmatige opsporingsmethode.

Het zogenaamde ‘strafvorderlijk legaliteitsbeginsel’ (artikel 1 Wetboek van Strafvordering) en de vereisten van artikel 8 EVRM schrijven voor dat voor
dergelijke inbreuken op de persoonlijke levenssfeer van de verdachte een
gedetailleerde wettelijke regeling voorhanden moet zijn. En die is naar mijn
mening niet aanwezig.

Persoonlijk geautomatiseerd werk

In mijn artikel maak ik een onderscheid tussen een persoonlijk geautomatiseerd werk en
geautomatiseerde werken die niet voor privézaken worden gebruikt. Dit onderscheid sluit aan bij de uitspraak van het Bundesverfassungsgericht (het hoogste Duitse rechtsorgaan) over de inzet van spionagesoftware door de politie (de zogenaamde ‘Bundestrojaner’). De gedachte is dat een inbreuk op de integriteit en vertrouwelijkheid van een persoonlijk geautomatiseerd werk een grotere privacyinbreuk met zich meebrengt dan wanneer dit bij een onpersoonlijk geautomatiseerd gebeurt. Dat heeft gevolgen voor de manier waarop de opsporingshandeling moet worden genormeerd.

Geredeneerd kan worden dat het inbreken in onpersoonlijke geautomatiseerde werken – zoals de servers van een botnet – een lichte inbreuk op de persoonlijke levenssfeer van de verdachte vormt waardoor voor die handeling geen expliciete bevoegdheid in het Wetboek van Strafvordering is vereist. Volstaan kan worden met de algemene opsporingsbevoegdheid van artikel 2 Politiewet 1993 en 141 Wetboek van
Strafvordering, eventueel in combinatie met de inzet van andere opsporingsbevoegdheden. Uiteraard is dat afhankelijk van het geval en moet niet
te gemakkelijk worden overgegaan tot zo’n complexe operatie. Wellicht zou ook
nog aangevoerd kunnen worden dat de verdachte m.b.t. het gebruik van de
criminele infrastructuur geen ‘reasonable expectation of privacy’ heeft, maar
het gebruik van die van oorsprong Amerikaanse constructie is controversieel.
Anders: zie de scriptie van Merel Koning over de Bredolab-actie.

Nieuwe opsporingsbevoegdheden noodzakelijk?

Tenslotte ga ik mijn artikel na in hoeverre bepaalde vormen van hacken noodzakelijk zijn
zodat politie en justitie goed hun werk kunnen blijven doen. Persoonlijk kom ik tot de conclusie dat de problemen van versleuteling en anonimiteit in een digitaal opsporingsonderzoek voldoende noodzaak geven voor het mogelijk maken van een online doorzoeking en het plaatsen van spyware. Uiteindelijk is het niet aan de rechter om nieuwe opsporingsbevoegdheden te legitimeren, maar aan de wetgever. De wetgever zal daarom moeten beslissen welke nieuwe opsporingsbevoegdheden noodzakelijk zijn en daarover in debat moeten gaan.

Het artikel is hier te vinden. De citeertitel is: J.J. Oerlemans, ‘Hacken als opsporingsbevoegdheid’, DD 2011, 62, pp. 888-908.

==Update==

Op 7 februari 2012 heeft Opstelten antwoord gegeven op Kamervragen over het gebruik
van afluistersoftware. Uit de antwoorden wordt nog steeds niet duidelijk of de software op afstand kan worden geplaatst d.m.v. een hack. Wel wordt nu duidelijk dat van de software sporadisch gebruik is gemaakt en dat het ziet op het aftappen van gegevens bij de bron (het opnemen van vertrouwelijke communicatie). Meer functionaliteiten voor de software, zoals het plegen van een heimelijke doorzoeking, valt volgens Opstelten niet binnen de wettelijke kaders.

 

Artikel Toxbot-zaak

Op 22 februari 2011 heeft de Hoge Raad een opmerkelijk
arrest gewezen in de Toxbot-zaak. De meest opvallende aspecten uit het arrest
is de gelijkstelling van het besmetten van computers met malware aan het delict
computervredebreuk en de extensieve interpretatie van het delict
computersabotage. Samen met Bert-Jaap Koops heb ik hier artikel voor het
Nederlands Juristenblad over geschreven. Het is artikel hier te downloaden. Eerder
heb ik al een blogbericht over deze zaak geschreven.

In ons artikel stellen wij dat de Hoge Raad
met het arrest de samenleving een slechte dienst heeft bewezen. Het besmetten
van computers met malware, strafbaar gesteld in artikel 350a lid 3 Sr, wordt
volgens ons onterecht gelijk gesteld aan het delict computervredebreuk zoals
strafbaar gesteld in artikel 138ab Sr. Wel is er volgens ons sprake van
computervredebreuk op het moment dat een de besmette computer contact maakt met
een command-and-control server dat een botnet aanstuurt of via een
‘achterdeurtje’ toegang wordt verschaft tot de computer van de verdachte. In de
praktijk zal dat meestal het geval zijn.

Misschien nog wel belangrijker is de
interpretatie van de Hoge Raad van artikel van artikel 161sexies Sr
(computersabotage). Op zich zijn wij het er mee eens dat internetbankieren en
het verrichten van transacties via online betalingsdiensten als PayPal als een
dienst van vitale infrastructuur kan worden aangemerkt. Wanneer internetbankieren
door een DDoS-aanval wordt verstoord en mensen niet meer online transacties
kunnen uitvoeren, kan artikel 161sexies Sr daarom van toepassing zijn. De mogelijkheid
bestaat echter ook dat de vitale dienst door de aanval niet wordt verstoord,
omdat bijvoorbeeld een voorlichtingswebsite wordt aangevallen. Volgens de Hoge
Raad zou artikel 161sexies Sr in dat geval nog steeds van toepassing zijn. Onzes
inziens is artikel 161sexies Sr alleen van toepassing wanneer een website van
een dienst van algemene nutte wordt aangevallen waardoor gevaar ontstaat dat de
vitale dienst niet meer kan worden verleend.

Sterker nog, volgens de Hoge Raad zou artikel
161sexies Sr niet alleen gaan om de dienstverlener die ernstige hinder van het
misdrijf ondervindt, maar om een substantieel aantal gebruikers ervan. Wanneer
een substantieel aantal mensen besmet zijn met een bepaalde variant van malware
dat zich bijvoorbeeld op banken richt en hierdoor niet meer veilig kunnen
internetbankieren bij een bepaalde bank zou artikel 161sexies óók van
toepassing kunnen zijn. Artikel 161sexies Sr beschermt volgens ons tegen de
nadelige effecten die optreden indien de infrastructuur van de dienstverlener
wordt vernield of beschadigd, en dient niet ter bescherming van de
vertrouwelijkheid en integriteit van de computer van de dienstafnemers. Naar
onze mening wordt het artikel in deze variant daarom veel te extensief
geïnterpreteerd.

Het arrest komt de rechtszekerheid niet
ten goede. De kans bestaat dat de vreemde redenatie van de Hoge Raad in de toekomst door
rechters wordt omzeild of teruggedraaid, waardoor vervolgingen kunnen
stuklopen. Het is belangrijk dat het OM en de rechterlijke macht precies zijn
in de toepassing van de verschillende delicten op een feitencomplex zoals in de
Toxbot-zaak. Door de extensieve interpretatie vindt een onwenselijke
verwatering in het onderscheid tussen de verschillende typen delicten plaats.

(Citeertitel: J.J.
Oerlemans & E.J. Koops, ‘De Hoge Raad bewijst een slechte dienst in
high-tech-crimezaak over botnets’, Nederlands
Juristenblad
2011, vol. 86, nr. 18, pp. 1181-1185).

Minister van Veiligheid en Justitie: waarborg privacy in Veiligheidshuizen!

In februari 2011
is de opinie van Mariëlle Bruning en mij gepubliceerd in het (juridische) tijdschrift
Privacy & Informatie. In onze opinie roepen we de Minister van Veiligheid
en Justitie op de teugels aan te trekken om de verwerking van persoonsgegevens van
betrokkenen in Veiligheidshuizen beter te waarborgen.

Wij hebben
namelijk het vermoeden dat binnen Veiligheidshuizen te gemakkelijk gegevens
voor brede doelen tussen private en publieke instellingen worden uitgewisseld.
Dit bedreigd de privacy van de mensen die in casusoverleggen worden besproken.
Meer coördinatie van het Ministerie van Veiligheid en Justitie is daarom
vereist. Onze opinie is hier te vinden.  

Het onderwerp is
actueel geworden nu het College Bescherming Persoonsgegevens gisteren (30 maart
2011) een persbericht heeft geplaatst waarin zij haar bevindingen bekend maakt na onderzoek bij de
Veiligheidshuizen Bergen op Zoom en Fryslân. Het CBP constateert dat de
waarborgen voor een zorgvuldige omgang met gegevens van minderjarigen binnen
het zogeheten Justitieel Casusoverleg (JCO) in Veiligheidshuizen onvoldoende
zijn.

Waar dienen Veiligheidshuizen eigenlijk voor?

Een paar geleden
werd duidelijk dat in de praktijk veel organisaties (zoals het Openbaar
Ministerie, de politie, Bureau Jeugdzorg, de Raad voor de Kinderbescherming,
alsmede private organisaties zoals het Leger des Heils) regelmatig met dezelfde
persoon of gezin te maken hebben zonder dit van elkaar te weten. Door langs
elkaar heen te werken werd niet de juiste zorg verleend of maatregelen genomen
die waren gewenst.

De bedoeling is
dat binnen een Veiligheidshuis de betrokken organisaties samen komen voor
overleg, teneinde een betrokkene bijvoorbeeld de juiste zorg te verlenen of op
een effectieve manier op strafbare feiten te reageren. De overheid en mensen
die binnen Veiligheidshuizen werken zijn enthousiast over het concept en in een
paar jaar tijd is een landelijk dekkend stelstel van Veiligheidshuizen in
Nederland ontstaan.

Zorgen om privacy

Teneinde de
juiste maatregelen te nemen worden persoonsgegevens over de betrokkenen door
verschillende organisaties uitgewisseld. Naar onze mening is onvoldoende
duidelijk welke partijen aan casusoverleggen deelnemen en welke gegevens
hierbij precies worden uitgewisseld. Het uitwisselen van persoonsgegevens is
echter wel aan regelgeving gebonden. De overheid vertrouwt voor de naleving van
de privacyregelgeving op de professionals in het werkveld. In onze opinie
betogen wij dat hier niet volledig op kan worden vertrouwd en zorgvuldiger moet
worden omgegaan met persoonsgegevens binnen Veiligheidshuizen.

Wij stellen voor
dat het Ministerie van Veiligheid en Justitie de verantwoordelijkheid op zich
neemt en controleert welke casusoverleggen bij welke Veiligheidshuizen
plaatsvinden. Privacyregelgeving moet goed worden nageleefd door de betrokken
organisaties en bij onduidelijkheid moeten juristen worden geraadpleegd. Ook
zou de Helpdesk Privacy van het Ministerie van Veiligheid en Justitie bij
twijfel geraadpleegd moeten kunnen worden.

Kortom, wij staan
achter het concept van casusoverleggen, maar vinden wel dat privacy
van mensen voldoende
moet worden gewaarborgd. Het onderzoeksresultaat van het
CBP is voor ons een bevestiging dat privacyregelgeving binnen Veiligheidshuizen
beter moeten worden nageleefd.

Meer achtergrondinformatie over Veiligheidshuizen is te vinden in deze studie van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR).

Belgium vs. Yahoo!

The Belgium Supreme Court ruled in an incredibly interesting
case on January 18 2011. The question is whether Belgium law
enforcement agencies can compel Yahoo! Inc. to directly provide data about its
customers using their email service. According to the prosecutor, Yahoo’s email
service could be considered as an ‘electronic communication service’. Following
article 46bis of the Belgium Criminal Procedure Code and assuming Belgian law
enforcement agencies have jurisdiction, this would mean that Belgium law
enforcement agencies could compel Yahoo to directly provide the requested data,
instead of starting legal aid procedures with the United States in order to get
the data. Not surprisingly, Yahoo denied this statement and now Belgium’s
highest court ruled on this decision. The previous decisions of the Court of
Gent and Dendermonde can be found here and here (all in Flemish).

The Supreme Court’s
decision

The Supreme Court of Belgium decided that not just ‘operators
of electronic communication networks’, but everyone who provides electronic
communication services, like the transmission of communication data, can be an
‘electronic communication service provider’. Service providers who offer a
service to customers with which they can send, receive, or spread information
via an electronic network, can also be defined as an ‘electronic communications
provider’. According to the Belgium Supreme Court, these service providers can
be compelled to provide certain data upon request of a public prosecutor on the
basis of article 46bis of the Belgium Criminal Procedure Code. The Court of
Gent – who previously ruled differently in this case – therefore must rule
again in this case.

Basically, the Belgium Supreme Court ruled indirectly that
Yahoo can be considered an ‘electronic communication service provider’ and
could be compelled by a Belgium public prosecutor to provide data on its
customers. The final outcome of the case is not certain yet, but it seems to me
that it might be very difficult for the Court of Gent to rule otherwise.

Are they right?

Theoretically, the interpretation of a ‘communication
service provider’ the Supreme Court seems correct. In the Netherlands we have
similar legislation. The definition of a ‘communication service provider’ derives
from the Cybercrime Convention.
Number 27 (and 26) of the explanatory memorandum of the Cybercrime convention gives
more information about the definition of a ‘service provider’: “27. Under (ii) of the definition, it is
made clear that the term "service provider" also extends to those
entities that store or otherwise process data on behalf of the persons
mentioned under (i). Further, the term includes those entities that store or
otherwise process data on behalf of the users of the services of those
mentioned under (i)
. For example, under this definition, a service
provider includes both services that provide hosting and caching services as
well as services that provide a connection to a network.
However, a mere provider
of content (such as a person who contracts with a web hosting company to host
his web site) is not intended to be covered by this definition if such content
provider does not also offer communication or related data processing
services.”

For my Dutch
readers: 

Volgens ‘Kamerstukken
II
2004/05, 26 671, nr. 7 (Nota van Wijziging wetsvoorstel
Computercriminaliteit II)’ the definition of an ‘aanbieder van een
communicatidienst’ is artikel 126la Sv afkomstig uit het Cybercrime verdrag. Een ‘aanbieder van een communicatiedienst’
is: “iedere publieke of private
instelling die aan de gebruikers van haar diensten de mogelijkheid biedt te
communiceren met behulp van een computersysteem en iedere andere instelling die
computergegevens verwerkt of opslaat ten behoeve van (de gebruikers van) zo’n
communicatiedienst.
Bij dit
laatste kan men denken aan de aanbieders van webhostingdiensten en de beheerder
van websites. In een nieuw artikel in het WvSv wordt daartoe een definitie
opgenomen van het begrip ‘aanbieder van een communicatiedienst’ waarbij nauw
wordt aangesloten bij de begripsbepaling in het Verdrag.
Zie ook ‘Stcrt. 2006, 201, 14 (aanvulling Handboek
voor de opsporingspraktijk)’. We zouden daarom net als de Belgen Yahoo kunnen
zien als een aanbieder van een communicatiedienst. Dat betekent wellicht dat
dit soort diensten aan onze regels van strafvordering moeten voldoen, maar de
vraag is of wij ons recht op deze Amerikaanse diensten kunnen (en willen)
opleggen.

Back to English:

I believe that Yahoo’s e-mail service could be seen as a ‘communication
service provider’. On this part the Supreme Court seems right. However, the
question is whether Belgium can compel Yahoo to comply with its criminal
procedural law. Said differently: does Belgium have jurisdiction over Yahoo? 

Jurisdiction on the
internet

Many other American companies provide similar services like
Yahoo! Inc., such as Google (Gmail), Microsoft (Hotmail), Facebook and Twitter.
These companies can provide very interesting information for law enforcement
agencies. Normally, law enforcement agencies outside the US would have to start
legal aid-procedures to obtain the desired data. Their request would have to
comply with both their national law and the United States’ law. This procedure
costs time and money for law enforcement agencies. The ruling of the Belgium
court could get them excited, because then – at least in Belgium – law
enforcement agencies can obtain data at these companies directly, instead of
going through the cumbersome process of legal aid-procedures. I believe
however, that this approach is too simplistic. The Supreme Court seems to ignore the
complex problem of jurisdiction on the Internet.

Of course, many people feel that companies like Yahoo are
‘situated’ as much in their country as anywhere else in the world. Therefore,
their laws should apply for these services. This is also raised by the public
prosecutor during proceedings of the case at the Court of Dendermonde. Even in
reality it is – because of cloud computing – unclear where their infrastructure
is. What we do know, is that these companies are based in the United States. When
law enforcement agencies want data from these companies they need to obtain it
from this US company. It is understandable law enforcement agencies want data
directly from Yahoo, but in reality Yahoo could probably ignore their request
and force them to use the proper channels.

I wonder if we can reasonably expect Yahoo-like companies to
comply with our own criminal procedure laws. Just within the European Union
there are 27 different jurisdictions and about only half of these countries
ratified the Cybercrime convention. In the United States they also get
compensated more generously than in European countries, when providing such
data. I believe they might even consider the possibility of not providing their
services to certain countries anymore, when they are forced to comply with
national laws of every state they provide their services in. The Court of
Dendermonde mentioned this possibility explicitly. That would not be desirable,
because people rely on these services for their communications. See also the Future of Copyrights’ blog about this.

This ruling tries to deal with the serious issue of
jurisdiction on the Internet, but I don’t think this is the right way to cope
with the problem. It will be interesting to see how the Court of Gent will rule on the Yahoo-case next time. Obviously, more research is needed to find solutions for the problem of jurisdiction on the internet. I
hope I can make a contribution in my PhD-study about this topic.