De advocaat-generaal (AG) bij de Hoge Raad gaat er ten onrechte van uit dat de hack op versleutelde Encro-telefoons die in Nederland waren niet in Nederland heeft plaatsgevonden. Dat schrijven drie advocaten in hun reactie op de conclusie van de AG, die de Hoge Raad adviseerde om de veroordeling in stand te houden.
Door @Wim van de Pol
In december komt de Hoge Raad met een eindoordeel over het gebruik van de pgp-chats van EncroChat in de zogeheten Vlierbes-zaak, de eerste Encro-zaak die bij de Hoge Raad in cassatie is aangebracht, nadat het gerechtshof het bewijs geldig verklaarde.
Binnendringen vanuit Frankrijk
Nederlandse en Franse specialisten van de politie kraakten in 2020 de crypto-communicatie van EncroChat, vanuit de servers van EncroChat in het Franse Roubaix. Eén van de acties die ze uitvoerden was het plaatsen van geheime software op telefoons.
Dat gebeurde weliswaar vanuit Frankrijk, maar het hacken (binnendringen) van de telefoons gebeurde in het land waar de gebruiker op dat moment was. In Nederland ging het om duizenden gebruikers.
Bij het hacken van de Nederlandse telefoons werd software geïnstalleerd die ervoor zorgde dat ieder verstuurd bericht onversleuteld (en dus leesbaar) op een server van de politie belandde.
Plaats is belangrijk
De vraag of er wel of niet Encro-telefoons in Nederland door de politie vanuit Frankrijk zijn gehackt is juridisch zeer belangrijk. Want als dat is gebeurd dat moet de Nederlandse rechter de rechtmatigheid van de inzet toetsen en het bewijs kunnen controleren, zo schrijven de advocaten Justus Reisinger, Ruud van Boom en Michel van Stratum aan de Hoge Raad in hun reactie (pdf).
Dit volgt volgens hen uit de Europese rechten van de Mens, namelijk het recht op een eerlijk proces (artikel 6), en het recht dat mensen die in Nederland (een land) zijn volgens Nederlands recht (van dat land) moeten worden berecht (artikel 1).
Voetnoot
Hacken wordt in de wet omschreven als ‘binnendringen’ van een computer. Er is geen twijfel over dat dit binnendringen in Encro-telefoons door de politie in Nederland is gebeurd. Ook het gerechtshof in de Vlierbes-zaak heeft dit vastgesteld.
Opvallend genoeg heeft óók de AG dit vastgesteld, zij het verborgen in voetnoot nummer 24, in zijn conclusie.
De AG stelt vervolgens vast dat de advocaten in hun cassatieverzoek hebben geschreven dat de onderzoekshandelingen naar EncroChat zich op Nederlands grondgebied hebben afgespeeld omdat ‘ook de communicatie van de EncroChat-telefoons die zich op Nederlands grondgebied bevonden is onderschept’.
Handigheidje
Dit is een juridisch handigheidje, een woordspelletje.
De AG legt hier de advocaten iets in de mond wat zij niet hebben gezegd, om dat vervolgens te weerleggen met het argument dat het een Frans onderzoek is geweest: er is in Frankrijk immers ‘op de knop gedrukt’, aldus de AG.
De advocaten schrijven in hun reactie aan de Hoge Raad echter ‘uiteraard niet’ te hebben betoogd dat, omdat er ook in Nederland telefoons zijn gehackt, de onderzoekshandelingen naar EncroChat zich in Nederland hebben afgespeeld:
Wij betogen dat onderzoekshandelingen zich op Nederlands grondgebied hebben afgespeeld omdat de EncroChat-telefoons die zich in Nederland bevonden elk afzonderlijk zijn gehackt.
Wel onderzoekshandelingen in Nederland
Met andere woorden: er hebben gewoon inderdaad onderzoekshandelingen in Nederland plaatsgevonden. De AG ontweek met het handigheidje dit zeer relevante feit.
De politie drong telefoons binnen die in Nederland waren. Dit valt onder Nederlandse rechtsmacht en een Nederlandse rechter zou dit bewijs moeten toetsen.
De advocaten vinden dat de AG hun verzoek ‘niet welwillend’ heeft gelezen. Ze betogen dat vast staat dat er in Nederland onderzoekshandelingen zijn verricht, en schrijven aan de Hoge Raad vol te houden dat hun argument juist is.
Russische hackers
De advocaten schrijven dat volgens de redenering van de AG Russische hackers die vanuit Rusland computers van Nederlandse bedrijven binnendringen niet in Nederland kunnen worden vervolgd, alleen omdat er in Rusland ‘op de knop is gedrukt’.
Er kan dan niet worden bewezen dat het feit “althans in Nederland” is begaan.
Prejudiciële vragen
Het feit dat er in Nederland onderzoekshandelingen zijn verricht is belangrijk omdat de Hoge Raad zich over deze kwestie nog niet heeft uitgelaten in een arrest van eerder dit jaar waarin zogeheten prejudiciële vragen werden beantwoord. Die vraag was daarin niet meegenomen.
In die vragen ging het er vooral om of het Europese vertrouwensbeginsel van toepassing was: waarom de Nederlandse rechter erop mag vertrouwen dat Frans recht goed was toegepast.
Nu is de vraag aan de orde waarom de Nederlandse rechter de rechtmatigheid van de hack niet onderzoekt als die hack op Nederlands grondgebied heeft plaatsgevonden.
Inzicht in bewijsverzameling
Toevallig kwam op de dag van de conclusie van de AG ook het Europese Hof voor de Rechten van de Mens met een belangrijk arrest over gebruik van data uit ‘encrypted messaging systems’. De Hoge Raad zal in haar uitspraak hoe dan ook met die Europese rechtspraak rekening moeten gaan houden.
Een harde conclusie van het Europese Hof was dat verdachten het recht toekomt tot volledige “disclosure” wat betreft de rechtmatigheid van de verzameling van het bewijs.
Dat betekent dus niet, zoals in Nederland in Encro- en Sky-zaken al gebeurt, aan de rechtbank alleen een ‘lijn’ van alle communicatie van bepaalde gebruikers overleggen.
Dat betekent wel dat de rechtbank en de verdediging het gehele proces van het hacken, de ingezette software, en de wijze van opslag en verwerking zouden moeten kunnen inzien.
Omgekeerd
Ook stelt het Europese Hof dat het niet zo is dat het de verdachten zijn die moeten aantonen waarom vragen over de rechtmatigheid van de hack relevant zijn. Het is juist omgekeerd: justitie moet aantonen waarom de vragen niet kunnen worden beantwoord.
De verwachting is dat de Hoge Raad op 19 december arrest zal wijzen in de EncroChat-zaak.