1 oktober 2025
Als een politiehond speurt AI naar “verdachte” personen
De Nederlandse politie heeft toegang tot een computersysteem met data van verdachte en onverdachte personen waar rechters niets van weten. Het systeem heeft de speelse naam ChatX. Ik kreeg laatst stukken van de Franse justitie onder ogen waarin ChatX beschreven staat. ChatX biedt toegang tot alle door de politie tussen 2019 en 2021 ontsleutelde berichten van encryptiedienst Sky ECC. Je kunt erin zoeken op gebruikersnaam (Sky-ID), crimineel thema (zoals “liquidatie”) of gewoon op willekeurig zoekwoord.
Door @Wim van de Pol
In juni was er een internationale conferentie over AI-toepassingen in de opsporing. Daar zette een spreker van Europol wat puntjes op de i over de omvang van de politiehacks op de encryptiediensten EncroChat en Sky ECC.
Bij Europol en politiediensten zijn van EncroChat-gebruikers beschikbaar: 100 miljoen tekstberichten, 500 miljoen plaatjes, en 100 miljoen geo-locatiepunten. Van Sky ECC-gebruikers heeft Europol: 1 miljard tekstberichten, 10 miljoen plaatjes en 15 miljoen voice messages.
Wat kan een mens doen met zo’n oceaan aan data? Niet veel eigenlijk. Het is teveel, het is proberen een slok water te nemen uit een brandspuit.
Het bestaan van een grens tussen verdachten en niet-verdachten liet de specialist van Europol in het midden.
Samenwerkende specialisten uit Nederland en België hebben daarom kunstmatige intelligentie (AI) ingezet om deze datavloed te analyseren. Algoritmes en computers met forse rekenkracht hebben zich door de miljarden gegevens van een slordige honderdduizend gebruikers heen geploegd. Het gevolg is bekend: honderden verdachten zijn inmiddels veroordeeld, of wachten hun proces af, in vele landen.
De spreker van Europol toonde op de conferentie naast de gegevens van EncroChat en Sky ECC nog een hele lijst aan andere databronnen, en netwerken, waar AI-analyses mee kunnen plaatsvinden, data over en van onverdachte burgers.
Als een politiehond kan AI speuren naar verdachte patronen en “verdachte” personen, althans personen die mogelijk verdachte zou kunnen zijn.
Hiervoor wordt “machine learning” ingezet. Dat is een tak van kunstmatige intelligentie waarbij computers zelf leren van data en ervaringen, zonder expliciet voor elke taak geprogrammeerd te worden. Bijvoorbeeld het autonoom leren van patroonherkenning. Vergelijk het met een peuter die langzaamaan appels van peren leert onderscheiden door vele voorbeelden te zien.
Iedereen kent machine learning, omdat iedereen het principe dagelijks toepast. In spamfilters, in Netflix- of Spotify-aanbevelingen, in gesprekken met chatbots. Maar denk ook aan vertaalsoftware, medische diagnoses en fraudedetectie.
Machine learning kan eenvoudig zijn: zoals bij het leren van gelabelde voorbeelden. De recherche laat foto’s onderzoeken, die dan een label als “drugs” of “wapens” krijgen. Maar Europol wil verder gaan en systemen ook zelf patronen en labels laten ontdekken op basis van eerdere “ervaringen” en kennis. Een AI-systeem kan zelfs via trial-and-error met beloningen (punten) extra gestimuleerd worden om het goed te doen.
Voor een AI is “werken” net een ingewikkelde computergame. Anders dan mensen behoeft een AI geen slaap of pauze.
Intelligence-based policing betekent: iedereen in de database is in principe verdachte, van welke strafbare feiten, dat zien we later wel …
Wat opvalt bij de bespreking van de Europol-functionaris is dat hij bij de bespreking van de lijst van instrumenten, dataverzamelingen, en netwerkanalyses het woord “verdachte” nauwelijks in de mond nam.
Al die data betreft subjecten, mensen dus. Het bestaan van een grens tussen verdachten en niet-verdachten liet de specialist van Europol in het midden.
Ondertussen lijkt voor gewone mensen privacy toch wel een dingetje te blijven. Ze hebben er recht op en ze moeten zich aan allerlei regeltjes houden.
In de polikliniek van een ziekenhuis mag een medewerker in de wachtruimte niet hardop zeggen: ‘Ah meneer De Vries, u bent van 14 april 1962, klopt dat?’ Om dat te checken moet de medewerker hem een briefje tonen: privacy! In een bibliotheek mag in de openbare ruimte geen lijst met namen op de balie liggen van klanten die hun boeken te laat inleverden. Want: privacy.
De Wet bescherming persoonsgegevens, tegenwoordig in de Europese Unie AVG, moet de privacy van Europese burgers waarborgen. Zo zijn er verder wetgeving en arresten van de hoogste Europese rechters.
Al die wetgeving verbiedt dat de politie in grote bakken met data van onverdachte personen gaat speuren of dat er misschien ergens burgers zijn die strafbare feiten hebben gepleegd.
Maar de politie doet het gewoon wel.
De Europol-functionaris liet zien hoe Europese politiecomputers met AI-assistentie door gecombineerde databases kunnen ziften. Ze maken analyses van materiaal van surveillancecamera’s, van ANPR-camera’s (Automatic Number Plate Recognition) langs de snelwegen, en desgewenst van openbare data, data uit strafdossiers of welke data de politie de hand maar op kan leggen.
The sky is the limit. Informatie wil vrij zijn, zo luidt het gezegde, data ook. Dat is fijn voor politie- en inlichtingendiensten. En zoals water altijd naar het laagste punt stroomt, zo zullen ambtenaren altijd pakken wat ze kunnen pakken. Niet onbelangrijk: ze mogen daarbij geen wetten overtreden.
Maar wie controleert de ambtenaren die de databases controleren?
Intelligence-based policing betekent: iedereen in de database is in principe verdachte, van welke strafbare feiten, dat zien we later wel.
De stelling van het Openbaar Ministerie is demonstratief dat alle gebruikers van encryptiediensten crimineel zijn. Of dat echt zo is of niet, de volgende vraag is of bijvoorbeeld de data van Sky ECC vervolgens door een AI mogen worden gecombineerd met andere data van burgers waarover de overheid kan beschikken. Zoals data van telecomproviders, de ANPR-camera’s of de veiligheidscamera’s in stadscentra? Welke burgers rijden er eigenlijk rond in auto’s van personen die in de Sky-database voorkomen?
Het punt is dat in het beeld dat de Europol-functionaris voorspiegelt de ambtenaren hun AI niet meer controleren. Traditioneel programmeren schrijft regels voor zoals “ALS dit DAN dat”. Machine learning laat de AI zelf de regels ontdekken, lees: ik moet zo veel mogelijk “verdachte” personen, activiteiten en patronen ontdekken.
Als de politie-ambtenaar de black box van de AI al niet kan controleren, waar zijn de rechter en de AVG dan gebleven in het plaatje?
Terug naar ChatX, waarmee een politierechercheur in opdracht van de officier van justitie een middagje kan gaan vissen in een data-oceaan waarin 1 miljard berichten rondzwemmen, en ook tienduizenden “verdachten”.
Het bestaan van ChatX werd door een toeval aangetoond. Tot op heden weigert het Openbaar Ministerie het bestaan ervan voluit te erkennen. Dat leidde tot misleiding van rechters. ‘We weten niet in welk land deze chat is verstuurd’, zei een officier. Maar ja: later bleek uit een print van ChatX dat in de interface bij iedere chat een vlaggetje van een land staat aangegeven.
De rechercheur die gaat vissen in ChatX krijgt een strikte machtiging voor bijvoorbeeld alleen bepaalde zoekwoorden of ID’s. Ondertussen stroomt water altijd naar het laatste punt: blijft het daar echt bij? Kan de zoekfunctie in ChatX worden beperkt?
Het is onbekend terrein.
En wat als slimme specialisten een nog grotere, en gecombineerde, database ontwikkelen, waaruit eenvoudig resultaten van research door een AI-politiehond kunnen worden uit gesnuffeld? Blijft die database dan net als ChatX geheim?
Ik zie in rechtszalen te vaak glazig kijkende rechters als ingewikkelde vragen over data ter sprake komen. Niettemin vormen die data soms keihard bewijs.
U kunt beter niet in een strafdossier terechtkomen. Maar uw data ook niet.