De ‘hackwet’, die momenteel bij de Eerste Kamer ligt, geeft het online opsporen van bewijs een wettelijke basis. Er zijn zorgen over de controlemogelijkheden.
Door Ton Bennink
De nieuwe Wet computercriminaliteit III maakt hacken door opsporingsambtenaren mogelijk. De politie mag gebruikmaken van lekken in de computersystemen van verdachten zonder deze te melden, maar ook spionagesoftware inzetten om bewijs boven tafel te krijgen. Bovendien mag ze in het kader van de handhaving sites uit de lucht halen of verstoren. Controle vindt achteraf plaats door de Inspectie van het ministerie van Veiligheid en Justitie.
Jan-Jaap Oerlemans, onderzoeker bij het centrum eLaw van de Leidse universiteit promoveerde dit jaar met een proefschrift over opsporing bij cybercrime Investigating Cybercrime.[1] Hij onderzocht hoe bewijs te verzamelen in cybercrimezaken, hoe de bevoegdheden zijn genormeerd en of dat voldoende is. De Leidse wetenschapper zit te springen om jurisprudentie op dit gebied. ‘Nu heeft de Inspectie Veiligheid en Justitie dat onder het ministerie valt het mandaat om de hackbevoegdheid te controleren, maar dat doet ze vooral op procedures, niet op rechtmatigheid. Het is heel interessant om te volgen hoe vaak take downs en verstoring plaats gaan vinden en of de politie toch niet meer gaat doen dan dat ze mag. Ik voorspel nu al dat over vier jaar een voorstel voor een Wet computercriminaliteit IV het licht ziet. De ontwikkelingen gaan razendsnel.’
Dat er een wettelijke grondslag moet komen voor hacken in de opsporing, daar is Bob Kaarls van Kaarls Strafrechtadvocaten in Den Haag, onder meer advocaat van vier verdachten van online aanvallen op banksystemen, van overtuigd. Nu handelt de politie volgens Kaarls soms zonder de benodigde BOB-vorderingen van het OM. ‘Het komt voor dat structureel onderzoek verricht wordt in digitale bestanden zonder dat overwogen wordt dat dit stelselmatig informatie inwinnen is van een bepaalde persoon. In de Contextzaak werd bijvoorbeeld een politieman Facebookvriend van een verdachte van het ronselen voor de jihad.[2] Ook wordt zonder enige noodzaak na aanhouding iemand zijn smartphone leeg getrokken waarin zijn hele privéleven staat opgeslagen. Ik ben niet tegen de wet, maar pleit voor voldoende waarborgen.’
Lege huls
Ook Oerlemans wil meer waarborgen en controle, al bekijkt hij het hacken van verdachten vooral vanuit de opsporingskant. Hij is blij met het bezwaar van de verdediging in de zaak-Aydin C. die op 16 maart veroordeeld werd tot tien jaar cel voor het bezit van kinderporno, (poging tot) aanranding en afpersing van minder- en meerderjarigen. Voormalig raadsman van Aydin C., Christian van Dijk van Van Dijk Advocatenkantoor in Utrecht, diende bij de rechtbank met enig succes (de verzoeken werden deels gehonoreerd, de bezwaren werden grotendeels verworpen) verzoeken tot onderzoek in naar de door de politie ingezette spionagesoftware.
Volgens hem werd deze zogenoemde ‘keylogger’ voor meer dan alleen analyse van toetsaanslagen gebruikt en ontbrak de wettelijke basis voor de inzet. De rechter verwierp weliswaar het merendeel van de bezwaren, maar Van Dijk verwacht dat de zaak uiteindelijk aan het Europees Hof voor de Rechten van de Mens wordt voorgelegd omdat diverse punten in de zaak volgens hem niet deugen. ‘De rechter-commissaris had wel een machtiging afgegeven voor de inzet van de keylogger, zoals de wet het voorschrijft. Het probleem was dat deze rechter-commissaris niet wist welk middel er precies werd ingezet en welke functies het middel had: de afgegeven machtiging was op die manier een lege huls.’
Vormverzuim
Oerlemans vindt de rechter te weinig kritisch. Zo ging deze volgens hem niet in op de vraag of er een wettelijke basis is voor het maken van schermafbeeldingen. Hij is het eens met Van Dijk dat er onvoldoende mogelijkheden voor de verdediging waren om de opsporing te controleren.
Oerlemans: ‘Het ontbreekt ons aan jurisprudentie. Ik begon mijn promotieonderzoek naar digitale opsporing in 2010. Er was niets. De laatste twee jaar hebben we eindelijk een zaak over infiltratie en een zaak over stelselmatige infiltratie gezien waarin de rechter uitspraak doet over de opsporingsmethoden. In de praktijk wordt veel bewijs vergaard via internet, maar te weinig getoetst of dat rechtmatig gebeurt. Dat is kwalijk voor het vakgebied, maar natuurlijk ook voor de verdachten. Ik snap wel dat de advocatuur weinig bezwaar maakt. De sanctie op vormverzuim is vaak de constatering dat er verzuim is gepleegd en dat leidt niet tot bewijsuitsluiting. Dus waarom zou je moeite doen?’
Omdat er toch altijd kans is op bewijsuitsluiting of subsidiair in het verlagen van de straf, stelt Bob Kaarls. ‘Het recht beweegt zich op golven. We zitten nu op een golf waarin vormverzuim bijna nooit tot niet-ontvankelijkheid van het OM leidt. Maar toch moeten we als advocatuur blijven ageren. Het kan wel tot bewijsuitsluiting of aanpassing van de strafmaat leiden. Bovendien kan het best zo zijn dat de Hoge Raad het een keer genoeg vindt. In dit land lopen we voorop als het gaat om het toepassen van nieuwe opsporingsmogelijkheden. Je zag het in het Passageproces. Op de dag dat het hof uitspraak deed dat een kroongetuige was toegestaan, maakte het OM bekend dit middel vaker in te zetten. We zijn kampioen in telefoontaps, ook in minder ernstige zaken. Ik vrees ook hier voor wildgroei.’
Als Kaarls’ stelling klopt dat we vooroplopen met het toepassen van nieuwe opsporingsmogelijkheden dan zal ook het digitaal rechercheren een vogelvlucht nemen. Want we hebben veel cybercrimekennis in dit land, zegt Oerlemans. ‘Onze cybercrimedeskundigheid is groot, we hebben een Team High Tech Crime van tweehonderd mensen dat zich daar dagelijks mee bezighoudt, we hebben een landelijk officier van justitie cybercrime, regionaal bestaan er teams Digitale Expertise bij de politie en elk parket heeft een gespecialiseerde officier in cybercrime. De rechterlijke macht heeft een eigen Kenniscentrum Cybercrime en we geven cybercrime bijna dezelfde prioriteit als terrorisme.’[3]
Van Dijk twijfelt aan de deskundigheid van de rechterlijke macht. ‘Tijdens mijn verzoeken om meer onderzoek naar de opsporing en het opsporingsmiddel keek ik geregeld in nogal glazige ogen. Ik heb zelfs een keer een rechter-commissaris moeten uitleggen hoe een computersysteem werkt, op dat terrein is nog wel winst te behalen.’ Hij vindt dat vooraf, tijdens en na de inzet van spionagesofteware een controle dient plaats te vinden door een gespecialiseerde rechter. Daarnaast dient een onafhankelijk instantie het in te zetten geheime middel te keuren. Ook moet er volgens Van Dijk een mogelijkheid komen voor de verdediging om onderzoek te (laten) doen naar de ingezette software.
Take down
Naast hacken in een computersysteem wordt het dankzij de nieuwe wet ook mogelijk een take down bevel te geven of een website te verstoren in het kader van de handhaving, zegt Oerlemans. ‘Belangrijk, zeker ook bij zedenzaken en jihadisme, maar dan moet wel de juiste procedure worden gevolgd en de naleving daarvan gecontroleerd.’
De voor de inhoud verantwoordelijke moet worden aangesproken. Bij geen gehoor volgt de beheerder van de website om vervolgens aan te kloppen bij de hostingprovider en providers als Ziggo. ‘Het is heel boeiend om te kijken hoe dit gaat gebeuren. Het uit de lucht halen van een website is een vergaande maatregel. In Turkije halen ze heel YouTube van het internet bij een onwelgevallig filmpje. Hier zie ik dat niet gebeuren, maar wat als iemand op een forum een bericht plaatst op Maroc.nl dat niet door de beugel kan? Neemt de opsporing dan ook de moeite om al die stappen te volgen? Of wordt bijvoorbeeld gelijk Maroc.nl uit de lucht gehaald? Advocaten spelen hierin een heel belangrijke rol. Er komt een klachtenregeling, maar wie stapt er naar de rechter omdat de juiste procedure niet is gevolgd? Websitehouders zelf zie ik dat niet zo snel doen, omdat het alleen maar gedoe oplevert. En wat als er een heel netwerk aan computers onklaar wordt gemaakt, terwijl het niet tot een strafzaak komt? ‘Dan wordt de rechter overgeslagen.’
Oerlemans roept op tot meer reuring. ‘Ik hoor alleen hoogleraren privacy over de Wet computercriminaliteit, maar nog te weinig hun ambtsgenoten van strafrecht. Misschien is het te technisch, maar senatoren en rechters verdiepen zich ook. Het moet dus wel kunnen. En ook de advocatuur zou zich meer moeten specialiseren. Als een natuurlijk tegenwicht en ter bescherming van de betrokkenen.’ Volgens de Groningse hoogleraar Straf- en Procesrecht Hein Wolswijk, kan het best zo zijn dat de wet ‘per saldo’ wat weinig aandacht krijgt. ‘Ik houd me vooral bezig met de materiële en niet de formele kant van de wet. Wat mijn collega’s betreft, daar heb ik niet zo’n zicht op. Misschien dat meespeelt dat er veel aandacht gaat naar de modernisering van het Wetboek van Strafvordering.’
De Wet computercriminaliteit werd in december vorig jaar door de Tweede Kamer aangenomen en ligt nu bij de Eerste Kamer. Op 20 juni hield de senaat een deskundigenbijeenkomst waarin ook Oerlemans zijn bezwaren toelichtte.
Namens het OM zei officier van justitie Martijn Egbers dat zijn organisatie nu nog met de handen op de rug te moeten vechten omdat criminelen zich gemakkelijk anoniem online kunnen bewegen. ‘Om beter op te kunnen treden tegen dit soort vormen van criminaliteit, is de bevoegdheid nodig om heimelijk en op afstand geautomatiseerde werken te betreden en zeer gericht data te verzamelen die relevant zijn voor onderzoek. Dat kan slechts een IP-adres zijn, maar het kan ook meer zijn. Deze mogelijkheid zal alleen worden ingezet bij verdenking van ernstige strafbare feiten en pas na een professionele toetsing binnen het Openbaar Ministerie en uiteraard een afweging en machtiging van de rechter-commissaris.’
Hans de Vries, hoofd van het Nationaal Cyber Security Centrum benadrukte de dreiging in het digitale domein. ‘Wij kunnen het ons niet veroorloven om achterover te leunen. De komende jaren zullen we extra stappen moeten zetten. Ik zal u eerlijk zeggen dat ik, als ik verkeerde bedoelingen had gehad, wel cybercrimineel zou zijn geworden en geen klassieke bankrover. De potentiële opbrengsten zijn hoog en de kans om opgepakt te worden bij een ramkraak is een stuk groter dan bij relatief veilig achter een anonieme pc zitten.’
Axel Arnbak, docent Universiteit van Amsterdam en advocaat De Brauw Blackstone Westbroek N.V. te Amsterdam, wees er op dat hacken over de grens door Nederlandse opsporingsambtenaren een schending van het internationaal recht is en alleen is toegestaan als er acuut gevaar voor lijf en leden is.
VOETNOTEN
[1] https://openaccess.leidenuniv.nl/handle/1887/44879.
[2] https://openaccess.leidenuniv.nl/handle/1887/46219.
[3] https://www.rechtspraak.‌nl/Organisatie-en-contact/Organisatie/Gerechtshoven/Gerechtshof-Den-Haag/Over-het-gerechtshof/Organisatie/Paginas/Kenniscentrum-Cybercrime.aspx.
Dit artikel is ook verschenen in het Advocatenblad van september 2017.