Wie controleert straks de hackende politieagent? (COLUMN)

Deze pakkende kop stond boven een artikel dat in september 2017 in het advocatenblad gepubliceerd werd en waarin zorgen werden geuit over de voortschrijdende opsporingshandelingen die de politie op het internet maar ook daarbuiten momenteel aan het toepassen is.

Door Arthur van der Biezen

Digitale opsporing is hot en de opsporingsinstanties zijn de grenzen van de wet massaal aan het opzoeken waarbij zij gesteund worden door ons hoogste rechtscollege die stapje voor stapje vorm verzuimen en onrechtmatigheden in de opsporing wegredeneert. Aan grensoverschrijdende opsporing wordt door de Hoge Raad heden ten dage geen strobreed in de weg gelegd, waarin juist een aanmoediging lijkt te worden gezien. Wie controleert de hackende agent is dan ook een gerechtvaardigde vraag. Want verregaande wetgeving op dit gebied ligt klaar om in werking te treden.  Hacken van computers, mobiele telefoons en alle andere apparatuur dat “online” functioneert (nog maar niet te denken aan het “internet of things”)behoort straks tot de mogelijkheden.

Sleepnet

Vrijwel tegelijkertijd ligt er een nieuwe wet die het voor de inlichtingendiensten mogelijk maakt om alle digitale communicatie van een bepaald “target” een concreet individu te doen vangen met een digitaal sleepnet. Concreet betekent dat dat als men iemand op de korrel heeft, vaak ingegeven door een beredeneerd profiel (b.v. veel communicatie naar Libië of Algerije of enig ander risicoland) men alle communicatie rond die persoon in een concrete buurt kan “vangen”. Duizenden gesprekken kunnen zo door de geheime dienst worden binnengehaald. Vele gesprekken van mensen die niets met de verdenking van doen hebben. Een onvermijdelijk schending van fundamentele grondrechten, zoals het recht op eerbiediging van privéleven en het recht op vrijheid van gedachte, geweten en godsdienst.

Het is een extreem zwaar middel waarbij de diensten ongetwijfeld bijvangst zullen oppikken waarin men eveneens iets verdachts waarneemt. In het verleden hebben we meerdere malen gezien dat in dergelijke situaties het doorschuiven van deze info naar reguliere opsporingsinstanties door de rechter wordt geaccepteerd. Waarmee de cirkel rond is en er levensgroot het risico aanwezig is dat men veel verder gaat met het vergaren van info omtrent onschuldige burgers dan de bedoeling is van de wetgever.

Zoals gezegd we hebben het vaker gezien. De wet wordt vrijwel zeker aangenomen en ingevoerd nu politici al massaal te kennen hebben gegeven zich niets gelegen te laten liggen aan het referendum omtrent de sleepwet.

De praktijk

Inmiddels liggen er bij mij op mijn bureau meerdere zaken waarbij (verregaande) digitale opsporing een rol heeft gespeeld. In een van die zaken handelt het om een vermeende hacker die inbrak in meerdere computers van banken en diens klanten waarbij voor duizenden euro’s buit zou zijn gemaakt. Om achter de vermeende dader te kunnen komen diende de identiteit van de gebruiker achter verschillende ip-adressen achterhaald te worden. Dit pakten de speurders op een creatieve manier aan. Men schakelde een tussenpersoon c.q. een bureau in dat gewoonweg de namen van de gebruiker(s) kon aanleveren tegen betaling.  De politie kocht de informatie en ging er naarstig mee aan de slag.

Gestolen informatie

Bij nader onderzoek bleek dat het bureau de informatie op haar beurt gekocht had van een firma die gehackte informatie opkocht en daarmee onrechtmatig bezig was. Gestolen data lag zodoende aan de opsporing ten grondslag. Na 6 maanden voorlopige hechtenis was verdachte na deze bevindingen op vrije voeten. Wat echter nog niet betekent dat de rechter straks tijdens de inhoudelijke behandeling van de zaak ons verweer zal accepteren. Zo eenvoudig ligt het niet.

Gebruikmaking van onrechtmatig verkregen informatie (gestolen info), vaak via een tussenpersoon, wordt door de ene rechter als ernstig ervaren en als een vormverzuim getypeerd doch vrijwel nooit (meer) wordt er als consequentie bewijsuitsluiting  aan verbonden zodat er richting de opsporingsinstanties geen corrigerend effect meer is.

Een lichtpuntje althans enige hoop zou je als jurist kunnen putten uit een recente uitspraak van het gerechtshof Den Bosch waarbij het hof in een belastingzaak (geen strafzaak en dus een ander toetsingskader) oordeelde dat de Staat der Nederlanden niet mag profiteren van door misdrijf verkregen informatie:

Overwogen werd dat de Belastingdienst tegen betaling informatie heeft ontvangen van een tipgever over buitenlandse rekeningen van Nederlanders. De belastingaanslagen zijn in de onderhavige procedure opgelegd naar aanleiding van die informatie. Volgens het Hof heeft de tipgever een misdrijf gepleegd bij het verkrijgen van het bewijsmateriaal en heeft de belastingdienst dus betaald voor uit een misdrijf afkomstig bewijsmateriaal.

Nou zou je verwachten dat dit door het Hof ondermeer zou resulteren in een bewijsuitsluiting..maar zo makkelijk gaat het heden ten dage niet meer. Men gaat verder met redeneren. (een hobby van ons juristen)

Bewijsuitsluiting

Volgens het Hof heeft dat niet altijd tot gevolg dat het bewijsmateriaal van gebruik wordt uitgesloten. Dit hangt af van een beoordeling van de gemaakte belangenafweging. Daarbij gaat het aan de ene kant om het belang van juiste belastingheffing en het bestrijden van belastingontwijking. Aan de andere kant gaat het erom dat crimineel gedrag niet wordt beloond.

Dus of door misdrijf verkregen informatie door de overheid gebruikt mag worden hangt volgens dit hof nog af van de juistheid van een belangen afweging. Soms (bij een juiste afweging) zou dus door misdrijf verkregen info gewoon gebruikt mogen worden.

Het gerechtshof oordeelt dan vervolgens dat er onvoldoende duidelijkheid is verschaft over de door misdrijf verkregen informatie en dat de overheid teveel geheim heeft gehouden om tot een goede afweging te komen.  Bewijsuitsluiting is volgens het hof de enige juiste beslissing. Een klein lichtpuntje waaraan de strafrechter in voorkomende gevallen een voorbeeld zou kunnen nemen.

Openheid, transparantie en duidelijkheid zijn bij deze beslissing kernwoorden die de doorslag hebben gegeven.  Hoe ver mogen opsporingsinstanties gaan en hoe leggen ze verantwoording af, geven ze voldoende inzicht in hun handelen.

PGP onderzoeken/Ennetcom zaak

Openheid en transparantie vormt in een momenteel lopende strafzaak ook een cruciaal punt van discussie. In september 2016 heeft een Canadese rechter naar aanleiding van een Nederlands rechtshulp verzoek een gehele server met alle data van duizenden pgp’s telefoons aan Nederlandse opsporingsambtenaren ter hand gesteld met de redenering dat het enkele gericht zoeken op een paar individuen niet mogelijk zou zijn en dat daarmee wellicht verbanden tussen personen gemist zouden kunnen worden. Derhalve heeft de Canadese rechter geoordeeld dat dan maar gemakshalve een complete kopie van alle data aan de Nederlanders verstrekt mocht worden. En zo geschiedde.

De Canadese rechter overwoog echter in zijn beslissing dat met de data van derden zorgvuldig omgesprongen diende te worden en dat slechts de verzoekende speurders van 4 concrete onderzoeken de data mochten bestuderen. Als anderen die behoefte zouden hebben (niet zijnde andere landen want die dienen zich in Canada te melden) dienden deze zich tot een Nederlandse rechter te wenden die zou moeten beslissen of de waarborgen van (onschuldige) derden voldoende gewaarborgd zouden zijn. Fishing-expeditions dienden daarmee voorkomen te worden en het zou te omslachtig zijn om iedere onderzoeker een aanvraag in canada te laten dienen.

Zorgvuldigheid diende volgens de Canadese rechter dus gewaarborgd te zijn en de toetsing daarvan werd overlaten aan de Nederlandse rechter. Maar in de eerste strafzaak waarin het om deze data gaat van tienduizenden individuen acht de rechtbank zich voldoende voorgelicht en gaat men verder (zelfs na een afgewezen wrakingsverzoek) nadat alle verzoeken van de verdediging om inzage te krijgen in hoe men de data gefilterd heeft en doorzocht zijn afgewezen .

De verdediging wordt inzage in de data onthouden en verzoeken gericht op het verzamelen van mogelijk “ontlastend materiaal” in de enorme berg van data wordt de verdediging onthouden. En daarmee zijn we weer terug bij af en is de rechterlijke controle op de digitale opsporing een wassen neus, pure fictie.  Deze zaak voorspelt dan ook niet veel goeds voor de toekomst waarin de digitale opsporing een speerpunt zal gaan vormen.

Arthur van der Biezen is strafrechtadvocaat te Den Bosch.