Onlangs zijn onderzoekers van het Nederlands Forensisch Instituut erin geslaagd om honderden cryptotelefoons te kraken (1). Het uitlezen van deze telefoons wordt van steeds groter belang in het opsporingsonderzoek. Desalniettemin luiden er ook bezwaren, mede omdat het een ernstige inmenging vormt in het privéleven van burgers. Maar welke rol spelen cryptotelefoons momenteel in het opsporingsonderzoek? En wanneer mag een cryptotelefoon dan worden uitgelezen? Daar wordt in dit artikel nader bij stilgestaan.
Zoals gezegd worden cryptotelefoons veelvuldig gebruikt door criminelen, met name in de georganiseerde misdaad. Normaal gesproken kunnen opsporingsambtenaren gemakkelijk telefonische communicatie, zoals sms’jes en telefoongesprekken, onderscheppen. Een cryptotelefoon verschilt ten opzichte van een reguliere telefoon, doordat deze telefoons speciale software bevatten die de communicatie versleutelt (2). Daardoor kunnen sms’jes enkel door de ontvanger worden ingezien, tenzij een cryptotelefoon ‘gekraakt’ wordt.
Het kan voor de opsporing lucratief zijn om deze cryptotelefoons in te zetten om daarmee de waarheid aan het licht te brengen. Uit recent onderzoek van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) is gebleken dat encryptie gemeengoed geworden is in de opsporing (3). Tegelijkertijd bestaan er zorgen over het uitlezen van deze telefoons, gelet op het daarmee na te streven doel. Het is immers een vergaande opsporingmethode welke botst met verschillende fundamentele rechten, zoals het recht op privacy. Het is niet voor niets dat de Europese Raad encryptie bestempelt als een noodzakelijk middel om de grondrechten van burgers te beschermen (4). Het is dan ook belangrijk dat er voldoende waarborgen zijn om een juist evenwicht te vinden tussen het opsporingsbelang enerzijds, en de belangen van het individu anderzijds.
De wettelijke waarborgen zijn te vinden in het Wetboek van Strafvordering (Sv). In het kader van cryptotelefoons zijn met name twee opsporingsbevoegdheden relevant, namelijk het decryptiebevel (artikel 126nh lid 1 Sv) en de hackbevoegdheid (artikelen 126nba, 126uba en 126zpa Sv). In deze wetten is bepaald dat enkel onder strikte voorwaarden gebruikgemaakt mag worden van deze opsporingsbevoegdheden. Dat is, blijkens het WODC-onderzoeksrapport, ook de reden dat er weinig gebruik van wordt gemaakt. Naar alle waarschijnlijkheid zal enkel in de meest ernstige strafzaken het ontsleutelen en uitlezen van cryptotelefoons toepassing vinden.
Hoewel er voor de Nederlandse opsporingsdiensten duidelijke wettelijke waarborgen zijn, wordt in de praktijk ook gebruikgemaakt van berichten die in het buitenland zijn gekraakt. Aangezien buitenlandse opsporingsautoriteiten niet gehouden zijn aan de Nederlandse wet- en regelgeving, ontstond discussie of deze gekraakte berichten gebruikt mogen worden als bewijsmiddel in Nederlandse strafzaken.
Inmiddels heeft de Hoge Raad zich in een tweetal kwesties gebogen over het gebruik van cryptodata die in het buitenland is verkregen.
De eerste zaak had betrekking op een liquidatie in IJsselstein (5). Bij de aanhouding zijn verschillende Blackberry’s aangetroffen. Deze Blackberry’s waren omgebouwd via dienstverlener Ennetcom, waardoor alle berichten versleuteld waren verstuurd. Deze berichten, ook wel Ennetcomdata genoemd, werden opgeslagen op servers in Canada. Om die reden is een rechtshulpverzoek aan de Canadese autoriteit gedaan om deze data aan de Nederlandse autoriteiten over te dragen. De verdediging was van oordeel dat de Ennetcomdata niet gebruikt mocht worden in de bewijsvoering. Het bewijs zou namelijk niet rechtmatig verkregen zijn en zou niet op betrouwbaarheid gecontroleerd kunnen worden. Dit geldt te meer nu de verdachte aangaf de communicatie niet te hebben verzonden. Daarmee zou het recht op een eerlijk proces zijn geschonden.
De Hoge Raad volgt echter de redenering van het gerechtshof, namelijk dat het verkrijgen en het gebruik van de data als bewijsmiddel rechtmatig was. Nadat de gegevens uit Canada waren overgedragen, heeft het OM door de rechter-commissaris machtiging voor het gebruik van deze gegevens gevorderd. De Canadese rechter had dit als voorwaarde gesteld voor de overdracht van de data. Deze machtiging van de rechter-commissaris was een afdoende waarborg voor het gebruik van de Ennetcomdata, ondanks het feit dat deze data elders is verkregen.
Sinds oktober 2022 bestaat de mogelijkheid voor rechtbanken en gerechtshoven om prejudiciële vragen te stellen aan de strafkamer van de Hoge Raad. De eerste prejudiciële vraag die de Hoge Raad in dit kader heeft beantwoord, ging om het gebruik van ontsleutelde cryptocommunicatie afkomstig uit Frankrijk (6).
Bij rechtbanken Overijssel en Noord-Nederland zijn strafzaken aanhangig waarin het Openbaar Ministerie in de bewijsvoering gebruikmaakt van ontsleutelde berichten. De verdachten in deze zaken maakte namelijk gebruik van telefoons van dienstsverleners EncroChat en SkyECC, wiens servers in Frankrijk gevestigd zijn. De Franse autoriteiten zijn er in geslaagd de cryptocommunicatie te kraken en de berichten te onderscheppen. Deze data is vervolgens gedeeld met Nederland. Ook in deze strafzaken wordt aangevoerd dat de data uit Frankrijk niet rechtmatig is verkregen, en dat niet valt te controleren of de weergave daarvan betrouwbaar is.
De Hoge Raad stelt dat het ‘interstatelijke vertrouwensbeginsel’ hier van toepassing is, zoals door het OM beargumenteerd is. Dit betekent dat de Nederlandse rechter over het algemeen de beslissingen van buitenlandse autoriteiten in een opsporingsonderzoek moet respecteren, ervan uit mag gaan dat het onderzoek in overeenstemming was met de geldende vereisten in dat land, en op zo’n wijze is verricht dat de resultaten betrouwbaar zijn. Pas als er concrete aanwijzingen zijn om aan de betrouwbaarheid van de resultaten te twijfelen, is een nadere toetsing op zijn plaats.
Ook in deze strafzaken zijn door het OM machtigingen gevorderd door de rechter-commissaris. De Hoge Raad geeft aan dat het verkrijgen van een machtiging, ook als dit niet wettelijk verplicht is, bepaalde waarborgen kan creëren die van belang zijn voor de manier waarop data geselecteerd wordt uit grote gegevensbestanden, de mogelijkheden om dat selectieproces te toetsen en voor bescherming van de privacy van de betrokkenen.
Het uitlezen van cryptotelefoons kan waardevol bewijsmateriaal opleveren in een opsporingsonderzoek. Tegelijkertijd moet zorgvuldigheid worden betracht, aangezien dit ook een ernstige inbreuk oplevert op verschillende fundamentele rechten van verdachten. Deze waarborgen worden deels geboden in het Wetboek van Strafvordering, waar strikte voorwaarden gelden voor het gebruik van het decryptiebevel en de hackbevoegdheid voor opsporingsdoeleinden. Als data zijn verkregen uit het buitenland, wordt uitgegaan van het interstatelijk vertrouwensbeginsel, met een machtiging van de rechter-commissaris als mogelijk aanvullende waarborg.
NFI weet honderden cryptotelefoons te kraken, 'een bankkluis in een bankkluis' (nos.nl)
Waarom cryptotelefoons big business zijn | RTL Nieuws
J. Jansen e.a., ‘De rol van encryptie in de opsporing. Belemmeringen en mogelijkheden’, NHL Stenden Hogeschool 2023, p. 270.
Versleuteling: Raad neemt resolutie aan over beveiliging dankzij en ondanks versleuteling - Consilium (europa.eu)
HR 28 juni 2022, ECLI:NL:HR:2022:900.
HR 13 juni 2023, ECLI:NL:HR:2023:913.