image

Is het bewijsmateriaal uit de Encrochat-hack wel rechtmatig verkregen?

woensdag 28 juli 2021, 11:43 door Arnoud Engelfriet, 10 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Door de hack van berichtendienst Encrochat kon de politie maanden live meekijken met bij criminelen razend populaire, versleutelde communicatie. Dit dankzij Nederlands/Franse samenwerking waarbij men een backdoor via de server van Encrochat ongezien op telefoons van alle 50.000 Encro-klanten wist te installeren. Ook is met AI door die berichten heengegaan. Maar hoe bruikbaar is dit als bewijs in een strafzaak?

Antwoord: De Encrochat-hack gaat niet zo ver als de Amerikaanse FBI truc waarbij men als politiedienst zogenaamd veilige telefoons verkocht (Anom) om vervolgens op het gemak mee te lezen. Er was daadwerkelijk een inbraak door politie op de servers van het bedrijf achter de Encrochat dienst gepleegd. Encrochat begon ooit als veilige dienst voor celebrities die bang waren voor hackende journalisten (met name in Engeland een reëel risico) maar werd ook veel door criminelen gebruikt.

De precieze details van de hack zijn nog steeds onduidelijk, maar het komt erop neer dat de Franse Justitie in samenwerking met de Nederlandse politie binnen wist te dringen in de infrastructuur van Encrochat en van daaruit malware op de telefoons wist te pushen. Althans, malware voor de criminelen – voor de politie was het natuurlijk een legitieme afluister- en kopieertool. Aldus wist men vele, heel vele criminele transacties en overleggen te pakken te krijgen, wat tot een golf aan arrestaties en strafzaken leidde.

Maar is dat nu legaal, zo’n actie? De operatie was goedgekeurd door de opsporingsdiensten en rechter-commissaris, maar dat is natuurlijk voor een beetje advocaat geen argument. Allereerst zit je met het punt dat de actie was gebracht als een onderzoek tegen het bedrijf van Encrochat, en hoezo mag je dan chats van gebruikers lezen? Dat staat buiten dat onderzoek, zou je zeggen. En ten tweede, hoezo mag de Franse justitie toestemming geven om chats van Duitse figuren te lezen die in Duitsland snode plannen maken?

In Nederland kwam dit voor het eerst begin juli in een vonnis terug. Acht verdachten stonden terecht in een grote strafzaak, en hadden onder meer bezwaar gemaakt tegen gebruik van Encrochat-data als bewijs tegen hen. Het eerste punt van bezwaar was dat in die Frans/Nederlandse samenwerking er geen bevel was van de Nederlandse rechter-commissaris. Maar dat hoeft niet, aldus de rechter: de feitelijke inbreuk op de privacy was door de Franse autoriteiten begaan, niet (ook) door de Nederlanders.

Je moet dan toetsen onder het Franse recht, en dat bleek goed gegaan te zijn:

In het dossier zitten (vertalingen van) een zestal Franse processen-verbaal waaruit afgeleid kan worden dat een Franse rechter toestemming heeft gegeven voor het onderscheppen van Encrochatgegevens en dat er periodieke rechterlijke controle heeft plaatsgevonden.

De Duitse rechter zag dat dus anders: die eist dat als het gaat om Duitse burgers, de Duitse rechter om toestemming wordt gevraagd.

Maar hoe zit dat dan met dat ‘bijvangst’-argument? Hoezo mocht men chats van gebruikers lezen als het onderzoek tegen het bedrijf gericht was en niet tegen verdachte gebruikers?

Voorafgaand aan de interceptie, zo stelt het openbaar ministerie, is ingezien dat een inbreuk op de persoonlijke levenssfeer van gebruikers van Encrochat voorzienbaar was, maar dat dit noodzakelijk was om bewijs tegen het bedrijf Encrochat te verzamelen. De verdediging stelt daar tegenover dat de Encrochat hack in werkelijkheid bedoeld was om bewijs te verkrijgen tegen individuele gebruikers van de Encrochat telefoons en ziet dit vermoeden bevestigd in de zogenaamde Britse stukken. De rechtbank acht deze stelling van de verdediging vooralsnog onvoldoende onderbouwd nu die Britse stukken op zichzelf niet onverenigbaar zijn met het standpunt van het openbaar ministerie dat het onderzoek zich richtte op het bedrijf Encrochat.

Het argument daar achter is dus dat als je legitiem bezig bent met een bedrijf te onderzoeken, en je vindt dan ook bewijs tegen gebruikers, dat dat als 'bijvangst' gewoon gebruikt mag worden. Het zou raar zijn als je dat moest laten liggen, terwijl je geen regel overtrad bij het vinden. Bijvangst is legaal verkregen bewijs. Dat wordt anders als dat onderzoek niet echt naar dat bedrijf was, maar een smoesje om eigenlijk de gebruikers te kunnen volgen.

Uit de Engelse stukken blijkt niet dat de Franse/Nederlandse samenwerking daarop gericht was. Oké, denk ik dan, maar een backdoor op al die telefoons pushen voelt niet als een heel logische actie bij een onderzoek naar het bedrijf.

Een volgend probleem was dat de verdediging al die berichten moeilijk kan onderzoeken. Dit is altijd een probleem in het strafrecht: het OM kan in theorie met onbeperkte middelen technisch onderzoek doen en deskundigen laten opdraven, en de advocaat van de verdachte moet maar hopen dat hij iemand vindt die het voor een leuk bedragje wil doen.

De rechter hier is bereidwillig:

Nu de verdediging in dit dossier voor de informatie over het onderzoek voor een belangrijk deel is aangewezen op de door het openbaar ministerie door onder nummer bekend zijnde officieren van justitie opgestelde processen-verbaal, is de rechtbank van oordeel dat in het licht van een eerlijk proces aan de verdediging de mogelijkheid moet worden geboden tot het uitoefenen van meer directe controle. Om die reden zal de rechtbank beslissen dat het verzoek tot het horen van de officier van justitie van het landelijk parket bekend als LAP 0797 zal worden toegewezen.

Kennelijk zijn de meeste stukken geheim, wat natuurlijk logisch is gezien de enorme scope van de vangst, maar wel wringt met het idee van openbaarheid in de strafrechtspleging. "We hebben bewijs maar u mag er niet te lang naar kijken want dan gaan andere onderzoeken stuk" is niet echt de bedoeling.

Ondertussen werkt het NFI aan meer gedegen rapporten over de werking van Encrochat en de hack, en ook deze documenten zullen met de verdachten worden gedeeld. Het is dus sowieso nog even afwachten, en de kans lijkt me groot dat we (net als in Duitsland) hoger beroep gaan krijgen. Ik ben heel benieuwd.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (10)
28-07-2021, 18:21 door johanw
De Nederlandse rechter heeft de neiging om de overheid met alles te laten wegkomen als het richting burger is (zie ook de toeslagenaffaire), dus ik zie dit uiteindelijk wel bij het Europese Hof belanden.
28-07-2021, 19:03 door Anoniem
Kennelijk zijn de meeste stukken geheim, wat natuurlijk logisch is ...

Eerloze mensen.
28-07-2021, 23:38 door Anoniem
Door johanw: De Nederlandse rechter heeft de neiging om de overheid met alles te laten wegkomen als het richting burger is (zie ook de toeslagenaffaire), dus ik zie dit uiteindelijk wel bij het Europese Hof belanden.
Als men vindt dat de rechter niet onafhankelijk genoeg is (zoals u hier suggereert), dan heeft men het recht om die rechter te wraken en deze van de zaak af te halen.
29-07-2021, 10:20 door Anoniem
Door johanw: De Nederlandse rechter heeft de neiging om de overheid met alles te laten wegkomen als het richting burger is (zie ook de toeslagenaffaire), dus ik zie dit uiteindelijk wel bij het Europese Hof belanden.

Daar heeft u wel een punt.
Als ik strafzaken terug lees waarin bewijs "digitaal" verkregen is kom ik regelmatig opmerkingen terug "gevonden op het internet" , "verkregen door anonieme tip" "vermoedelijk staat het bewijs op de mobile telefoon van de verdachte"
Een echte onderbouwing hoe het digitale bewijs is verkregen is meestal nooit aanwezig.
29-07-2021, 11:22 door Anoniem
Eerloze mensen.

Zulke eervolle verdachten. Maarja, de overheid is volgens sommigen altijd fout.
29-07-2021, 12:08 door Anoniem
staats geheim vs transparantie. er is geen fix voor. Je hebt gelijk, maar ik denk meer dat sommige mensen overal "fouten in zien" en dat de overheid vanwegen de omvang en authoriteit gewoon altijd de target is. Echter zijn ze zeker niet smetteloos.
29-07-2021, 12:12 door Anoniem
Door Anoniem:
Door johanw: De Nederlandse rechter heeft de neiging om de overheid met alles te laten wegkomen als het richting burger is (zie ook de toeslagenaffaire), dus ik zie dit uiteindelijk wel bij het Europese Hof belanden.
Als men vindt dat de rechter niet onafhankelijk genoeg is (zoals u hier suggereert), dan heeft men het recht om die rechter te wraken en deze van de zaak af te halen.

Je schrijft alsof een wraking per definitie toegewezen wordt .

Als je een rechter wraakt, bekijkt de wrakingskamer (drie andere rechters) of de uitlatingen van de rechter (of andere feiten) die je aandraagt inderdaad de schijn van vooringenomenheid wekken .

De beslissing kan evengoed zijn dat de rechter op de zaak blijft.
29-07-2021, 12:22 door MathFox
Door Anoniem:Als men vindt dat de rechter niet onafhankelijk genoeg is (zoals u hier suggereert), dan heeft men het recht om die rechter te wraken en deze van de zaak af te halen.
Je hebt niet de mogelijkheid om de onafhankelijkheid van de rechterlijke macht in het algemeen ter discussie te stellen in een wrakingszaak; alleen de (schijnbare) onafhankelijkheid van individuele rechters kan ter tafel gebracht worden.
30-07-2021, 08:38 door waterlelie
Door MathFox:
Door Anoniem:Als men vindt dat de rechter niet onafhankelijk genoeg is (zoals u hier suggereert), dan heeft men het recht om die rechter te wraken en deze van de zaak af te halen.
Je hebt niet de mogelijkheid om de onafhankelijkheid van de rechterlijke macht in het algemeen ter discussie te stellen in een wrakingszaak; alleen de (schijnbare) onafhankelijkheid van individuele rechters kan ter tafel gebracht worden.

Helemaal mee eens, je kan een rechter of meerdere rechters wraken, wanneer je van mening bent dat deze rechters ten aanzien van jou zaak blijk van vooringenomenheid hebben getoond (bijvoorbeeld zaak Wilders 2018)

Inhoudelijk ben ik van mening, dat als we de middelen in de juridische strijd tegen de georganiseerde misdaad niet verruimen, we richting straffeloosheid gaan. De brutale en openlijke liquidaties van burgers die onderzoek doen naar de georganiseerde misdaad zijn al de eerste symptomen die daar op wijzen.
30-07-2021, 23:13 door AvardianEU
Als het onderzoek was gericht op heb bedrijf achter Encrochat, dan zegt mijn rechtsgevoel mij dat het pushen van een backdoor richting de telefoon van gebruikers, onrechtmatig is en niets meer te maken heeft met het verzamelen van bewijs tegen het bedrijf maar alles met het pakken van criminelen. Want eenmaal voldoende bewijs verzamelt dat Encrochat facilitator is, is het klaar. Maar dat overheden, zoals hier in Nederland het is gepresenteerd, servers kraken en de daarop aanwezige informatie tot zich neemt en gebruikt als bewijs, moet gewoonweg wel mogen omdat je anders nooit cybercrime kunt aanpakken. Ik vraag me wel af hoe het zit met de encryptieveiligheid van legale berichtendiensten zoals Whatsapp en dergelijke. Want als die ook encryptie gebruiken, waarom zouden die dan niet vervolgd worden? Of is het allemaal niet zo veilig als de gebruiker beloofd is? Hoe dan ook, wordt er in dat geval iemand voor de gek gehouden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.