In veel strafzaken in Nederland is op dit moment veel te doen over de cryptotelefoons, PGP, Encrochat, Sky-ECC en meer. Maar wat betekent het, waar gaat het over en wat is er aan de hand?
In de wereld wordt veelvuldig gebruik gemaakt van chatapps zoals WhatsApp en Signal waarbij gebruik wordt gemaakt van techniek waardoor de gesprekken niet zomaar onderschept kunnen worden door politiediensten. Door het versleuteld gebruik van de een naar de ander zijn de berichten in principe niet zichtbaar tenzij iemand de fysieke beschikking krijgt over de telefoon.
Voor mensen die dat niet vertrouwden kwamen er diensten die gebruik maken van een vergaande versleuteling waarbij gebruik wordt gemaakt van een codering. Vaak is dit een PGP (Pretty Good Privacy). Politiediensten hebben gemerkt dat ook criminelen met enige regelmaat gebruik maken van dit soort telefoons en voor de opsporingsinstanties is er dus veel aan gelegen om deze diensten te kraken. De verschillende diensten die gebruik maken van deze vergaande encryptie en waarvan de chats momenteel veel worden gebruikt in strafzaken staan bekend als PGPSafe, Ennetcom, EncroChat en Sky-ECC. Er zijn op dit moment nog andere diensten actief (denk aan Wire, Element, Matrix/Riot en meer).
Wat is nu het probleem? Het afluisteren, onderscheppen en onderzoeken van chatgesprekken is aan bepaalde regels gebonden. Dat geldt in veel landen zo en in ieder geval ook in Nederland. Ook al is Nederland het land waar het meest wordt getapt, het moet nog steeds zo zijn dat er wel sprake moet zijn van een verdenking en bepaalde regels moeten dan worden opgevolgd. En de vraag die in veel rechtszaken wordt gesteld is of de verkregen data, de gesprekken uit de chat, wel rechtmatig zijn verkregen en mogen worden gebruikt voor het bewijs.
In 2016 nam de politie in Canada servers van het Nederlandse bedrijf Ennetcom in beslag. Voor de inbeslagname was de politie al binnengedrongen in het systeem. Aan Nederland werd toestemming gegeven door een Canadese rechter om de berichten mee te nemen en die werden uiteindelijk gekraakt.
Dat zelfde gebeurde in 2017 met PGPSafe.
Vele miljoenen berichten konden door de politie worden gelezen en zijn gebruikt in grote strafzaken zoals bijvoorbeeld ook in zaken die gaan over de zogenaamde Mocro-oorlog.
De vraag die rechters steeds wordt voorgelegd is of de inbeslagname en het gebruik wel in overeenstemming zijn met Nederlandse en Europese wetgeving. Ook wordt in die zaken vaak gesteld dat de rechters in Canada in Costa Rica zijn misleid door Nederland. Het ontsluiten van chats van onbekenden mag niet volgens veel advocaten. Ook wordt vaak geprotesteerd dat zogenaamde bulkdata worden verzameld hetgeen in Nederland niet is toegestaan. Omdat dit niet is toegestaan is er geen regelgeving voor het gebruik van die data en dat is dus ook in strijd met de Nederlandse en Europese regels. De informatie over gebruikers en de inhoud van chat werden gebruikt in allemaal politieonderzoeken zonder dat er een rechter aan te pas kwam. Volgens advocaten strijdt dat met de onschuldpresumptie en dat een onderzoek pas is toegestaan als iemand verdacht is. Ook is er zelden een volledig beeld waardoor teksten uit een context zijn gehaald. Er is geen onafhankelijk toezicht op de technische middelen die door de politie worden gebruikt en zo nog een paar klachten.
Het onderzoek naar Encrochat begint in 2017. De politie wist de servers van Encrochat in Roubaix, Frankrijk te hacken en alle berichten op te slaan van 1 april tot 26 juni 2020. Het Openbaar Ministerie liet weten dat er sprake was van het Frans onderzoek waarbij een Frans militair staatsgeheim werd ingezet. Maar na verloop van tijd blijkt uit diverse onderzoeken dat alleen de manier waarop het technische hulpmiddel om te hacken is geïnstalleerd militair staatsgeheim is. Hoe de hack werkte was geen staatsgeheim omdat dit in Groot-Brittannië in rechtszaken gewoon werd gedocumenteerd.
Het is niet zo dat de encryptie werd gekraakt. Met slimme software die geplaatst werd op de server en een update die naar alle telefoons in de wereld werd gezonden kreeg de politie kopieën van alle berichten. Dus men kon niet live meekijken maar mijn kreeg wel live de locaties van de telefoons door. Op 26 juni 2020 was de grote klapdag en werden er wereldwijd vele mensen aangehouden en werd de server uit de lucht gehaald
Het Openbaar Ministerie wil weinig kwijt over de werkwijze en verschuilt zich achter het vertrouwensbeginsel. Dat komt er op neer dat indien in Frankrijk een bepaalde methode is toegelaten en akkoord bevonden door een rechter, wij als ander Europees land het vertrouwen in de Franse rechter moeten hebben en dat er aan dat verkregen bewijs niet getornd kan worden.
Het onderzoek ten aanzien van SKY ECC is heel erg groot omdat daarbij miljarden berichten zijn ontvangen. Ook de server van Sky stond in Roubaix. De Nederlandse officier van Justitie vroeg aan de rechter-commissaris toestemming om naar Frankrijk een Europees opsporingsbevel te sturen om alle gegevens van die server in beslag te nemen. De rechter-commissaris weigerde dat maar gaf wel toestemming om de server technisch te onderzoeken.
Officieel stelt men dat het een Frans onderzoek is en dat uiteindelijk de gegevens zijn verkregen door het Franse onderzoek. In Frankrijk werden er echter maar een paar gebruikers gevonden terwijl dat er in België en Nederland tienduizenden waren. Het werd ook duidelijk dat Nederland het onderzoek leidde en de meeste politiemensen hiervoor had ingeschakeld. Nederland had ook een afspraak gemaakt met de Verenigde Staten om met SKY onderzoek met rust te laten omdat Nederland daarmee bezig was. Het zijn ook de Fransen die van Nederland 9000 berichten krijgen die komen uit een ander onderzoek. Frankrijk was niet bezig met Sky.
Inmiddels is gebleken dat Nederland een kopie van de server heeft gemaakt en in een afgesloten laboratorium heeft gezocht naar een manier om de berichten te kraken. Uiteindelijk lukte dat in Nederland en toen is er ook een hack tool ontwikkeld welke door Nederland werd geleverd aan de Fransen om deze te installeren. Maar ook bij de installatie is Nederland behulpzaam geweest. Nederlandse specialisten hadden ‘man in the Middle’ server ontwikkeld waarmee de berichten op iedere Sky-telefoon uiteindelijk konden worden opgeslagen en gelezen. Om dit allemaal juridisch mogelijk te maken hadden de drie landen een joint investigation team (JIT) opgericht.
Aan de Nederlandse rechter-commissaris werd een vordering gedaan voor een machtiging om “een technisch hulpmiddel” te mogen inzetten om communicatie te kraken en een machtiging om binnen te mogen dringen in een “geautomatiseerd systeem”, maar men bleef stellen dat het een Frans onderzoek was.
Tussen 15 februari en 9 maart 2021 verder alle berichten van alles gebruikers opgeslagen tot de klapdag waar weer veel arrestaties volgden.
De ontwikkelingen volgen zich snel op. Waar rechters eerst niks wilden weten en onderzoeken en uitgingen van het vertrouwensbeginsel werden er langzaam aan steeds meer vragen gesteld. De Hoge Raad van Italië besloot dat het SKY bewijs niet mocht worden gebruikt maar dat gaat over de transparantie ten aanzien van de berichten van Europol. De Duitse rechter in Berlijn heeft prejudiciële vragen gesteld aan het Europese Hof en inmiddels heeft de rechtbank in Leeuwarden besloten om prejudiciële vragen aan de Hoge Raad te stellen. Een rechtbank in Breda heeft besloten tot een vrijspraak als er alleen maar sprake is van chats en geen ander bewijs. In alle Europese landen roeren alle advocaten zich en gaan er steeds meer stemmen op voor transparantie en openheid.
Het openbaar ministerie en sommige journalisten stellen zich op het standpunt dat deze telefoons alleen door criminelen worden gebruikt en dat de gewone burger geen last heeft van deze operatie en dat kan worden volstaan met het vertrouwensbeginsel. Critici zeggen echter dat er ook veel gebruik wordt gemaakt van dit soort telefoons door anderen en dat het risico bestaat dat als je een operatie als deze toelaat welke indruist tegen de Nederlandse en Europese wetgeving er voor het openbaar ministerie weinig bezwaar zal zijn om in de toekomst alle data van iedereen af te luisteren. We hebben niet voor niets regels in het kader van de privacy. De Nederlandse en Europese wetgeving verbiedt om de communicatie van onbekende gebruikers van een systeem op te slaan en te lezen. Daarom gaf de rechter-commissaris daar ook geen toestemming voor. Dat is wel gebeurd.
Als het uitsluitend een Frans onderzoek zou zijn dan zou het vertrouwensbeginsel gelden. Maar inmiddels is duidelijk dat het vooral een Nederlands onderzoek is, dat de Nederlanders de server hebben gekraakt en de hacktool hebben ontwikkeld en dat er eigenlijk alleen maar via een U-bocht gebruik is gemaakt van de Fransen. het lijkt erop dat Nederland heeft getracht de Nederlandse wetgeving te omzeilen. Nederlandse advocaten stellen dat we alles moeten kunnen onderzoeken en bezien of alles volgens de Nederlandse regels wel mocht omdat in principe dus eigenlijk sprake is van een Nederlands onderzoek. Het Europese Hof heeft ook al eens bepaald dat dat ook kan zijn als Nederland heeft meegewerkt aan een onderzoek. Eerder maakte ik al opmerkingen over het gebruik van bulkdata en het onderzoek daarnaar wat in principe niet is toegestaan nu wel is gebeurd. Ook de andere bezwaren in de andere chatzaken zijn aan de orde. Maar wat zeer verontrustend is is dat het openbaar ministerie op veel momenten niet eerlijk is geweest over de gang van zaken tegen de Nederlandse rechters en advocaten. Door de informatie die niet conform de waarheid lijkt te zijn gegeven zijn alle juristen in Nederland die met dit soort zaken bezig zijn extra alert. Dat geldt zeker voor advocaten maar langzamerhand ook steeds meer voor rechters.
Ook voor gewone burgers is het belangrijk om vast te stellen hoe ver opsporingsdiensten mogen gaan met het schenden van de privacy ook ten aanzien van gegevens die zijn opgeslagen bij andere diensten. Het is niet voor niets dat advocaten vragen stellen. Dat doen ze niet alleen voor de eigen cliënten maar ook omdat zij zich oprecht zorgen maken over de gang van zaken, het gebrek aan transparantie en het niet conform de waarheid informeren van rechters. Op het moment van het schrijven van deze column worden er dus door het gerecht in Berlijn prejudiciële vragen gesteld aan het Europees Hof van Justitie en door de rechtbank Leeuwarden aan de Hoge Raad. Maar er zijn in dit soort zaken elke dag ontwikkelingen bij vele verschillende gerechten. Zoals officieren van Justitie elkaar informeren, doen rechters en advocaten dat ook. Het zal nog een lange bittere strijd in veel gerechten worden waarbij wij natuurlijk hopen dat het recht zal zegevieren. Met meer dan 100 andere advocaten schreven wij een openbare brandbrief waarin wij ten behoeve van een eerlijk proces en bescherming van de privacy oproepen tot Kamervragen, transparantie van het openbaar ministerie en een kritische houding van de rechters. Als advocaat ga ik er ook alles aan doen om de waarheid te achterhalen.