Sinds ons artikel van afgelopen jaar1 hebben verschillende rechtbanken in Nederland verdachten, in strafzaken waarin het EncroChat-data ‘bepalend’ was voor het bewijs, veroordeeld tot jarenlange gevangenisstraffen. Daarbij werd steevast geoordeeld dat het interstatelijke vertrouwensbeginsel in de weg staat aan de rechterlijke toets van de rechtmatigheid van de verkrijging van dit EncroChat-data, terwijl deze rechtbanken – voor zover wij kunnen overzien – (desgevraagd) nalieten om onderzoek te doen naar de feiten waarvan de vaststelling noodzakelijk is alvorens te kúnnen concluderen of dit vertrouwensbeginsel überhaupt van toepassing is.
Ook in de literatuur is veel geschreven over het gebruik van cryptocommunicatie als bewijs in strafzaken. Het Tijdschrift voor Bijzonder Strafrecht & Handhaving wijdde zelfs een heel themanummer aan dit onderwerp. Bij lezing van de verschillende bijdragen valt ons op dat de auteurs uitgaan van ‘feitelijke vaststellingen’ zoals die zijn verwoord in gepubliceerde rechterlijke uitspraken. Deze ‘feitelijke vaststellingen’ blijken helaas niet altijd juist, waardoor de daarop voortbordurende (juridische) conclusies ook niet altijd houdbaar zijn. Zo was bij EncroChat geen sprake van het ‘opnemen’ van communicatie ‘in transport’, maar van het ‘overnemen’ van data uit individuele telefoons (op Nederlands grondgebied).
Sinds kort is er een lichtpuntje. Op 4 mei 2022 heeft de rechtbank Noord-Holland uitspraak gedaan in het onderzoek ‘Messina’ (ECLI:NL:RBNHO:2022:3844). Het lijkt erop dat deze rechtbank, na tomeloze inzet van (onder meer) Francoise Landerloo, er echt voor is gaan zitten, in tegenstelling tot collega-rechters in eerdere gevallen. De rechtbank zoekt de juridische diepgang en slecht enkele van de door het Openbaar Ministerie opgeworpen barrières.
Om te beginnen, wordt de barrière van het ‘ander voorbereidend onderzoek’ omver gehaald, op een wijze die overeenstemt met onze visie (en die van andere advocaten).
In paragraaf 3.5. sneuvelt vervolgens de barrière van het (klassieke) vertrouwensbeginsel: dat wat in Nederland is gebeurd, moet vol getoetst worden op naleving van Nederlands recht. Dat vindt ook steun in het arrest van de Hoge Raad van 22 april 2022 (ECLI:NL:HR:2022:612). Dat wat daarentegen in het buitenland plaatsvindt, in het kader van een gezamenlijk onderzoeksteam, staat in beginsel niet ter toets door een Nederlandse rechter (aan (inter)nationaal recht). In beginsel, want het ‘Stojković’-argument dat wij vorig jaar al bespraken, staat nog altijd: in geval van vergaande internationale samenwerking bij de opsporing, zoals hier, is gedeelde verantwoordelijkheid bijna vanzelfsprekend.
De rechtmatigheid van een ‘hack’ op individuele, ‘Nederlandse’ ‘cryptophones’ moet hoe dan ook worden getoetst: naar Nederlands én Europees recht. De vraag is hooguit hoe omvangrijk die toets moet zijn, maar een proportionaliteitsbeoordeling zal daar hoe dan ook deel van uitmaken (naast het overzichtelijkere nalopen van de strikt formele eisen van Strafvordering). In het kader van die proportionaliteitsbeoordeling is, anders dan de rechtbank Haarlem overwoog, de vraag of sprake is van ‘bulkinterceptie’ bepaald niet terzijde te schuiven als ‘voer voor semantici’. Trouwens, juristen zijn in zekere zin toch semantici?
Het Hof van Justitie en het EHRM denken in elk geval niet licht over ‘bulkinterceptie’. Wat allereerst voor ogen gehouden moet worden, is dat een ‘hack’, zoals die bij EncroChat, beoogt ongedifferentieerd alle gegevens van alle telefoons veilig te stellen, terwijl van de ‘bulk’ van de gebruikers vooraf niet bekend is wie ze zijn of wat ze doen. Sommige rechtbanken, waaronder zelfs de rechtbank Haarlem, overwegen in dit verband dat het hacken van (PGP-)telefoons van verdachten geen schending oplevert van het recht op privacy omdat achteraf blijkt dat deze telefoons crimineel gebruikt zijn. Volgens ons zijn zulke overwegingen in strijd met de onschuldpresumptie omdat de beslissing of bewijs niet in strijd met het recht is verkregen en dus toelaatbaar is, voorafgaat aan de selectie en waardering van het bewijs en de schuld van de verdachte dus nog helemaal niet vaststaat.
Het hanteren van de ‘schuldpresumptie’ (‘het zijn toch allemaal criminelen’) bij deze ‘bulkinterceptie’, is ook gesignaleerd door rechtspsycholoog Van Koppen. Hij vindt het zo zorgelijk dat hij er bij zijn afscheidsrede als hoogleraar bij stilstond.2 Burgerrechtenorganisaties als Bits of Freedom en Fair Trials doen dat al veel langer. Die laatste was zelfs medeondertekenaar van de ‘letter of concern’ die wij samen met andere (Europese) advocaten aan het Europese Parlement verstuurden.3
Maar EncroChat wordt in strafzaken inmiddels haast overschaduwd door Sky ECC. Hetzelfde geldt voor onze zorgen daaromtrent. Ook bij Sky ECC bestaan die allereerst vanwege de beperkte bescherming waar het recht op privacy vooralsnog op kan rekenen. Dat geldt temeer nu ook andere, gangbare chatdiensten, met vergelijkbare encryptie-protocollen, op negatieve aandacht van de opsporing mogen rekenen,4 in feite omdat ook zij (goede) encryptie hoog in het vaandel hebben, terwijl (mensenrechten)instituties het gebruik van (goede) encryptie juist stimuleren.5 Echter, rondom Sky ECC bestaan nog grotere zorgen, gebaseerd op informatie die recent bekend is geworden; ontluisterende informatie die volgens ons niet zonder gevolgen kan blijven.
Feiten rondom de operatie-Sky ECC
Voordat we daar verder op ingaan: eerst enige uitleg over het strafrechtelijke onderzoek (in verschillende landen) naar de aanbieder van cryptocommunicatie ‘Sky ECC’. Net als bij EncroChat geldt voor Sky ECC dat datgene wat in Nederlandse strafzaken bekend is geworden over de techniek en tactiek, niet te danken is aan het Openbaar Ministerie. Verschillende advocaten hebben moeten vechten om de machtigingen, vorderingen en processen-verbaal van aanvraag (deels gezwart) verstrekt te krijgen. Feitelijk nog interessanter was evenwel de informatie die wij uit het buitenland verstrekt kregen en inbrachten in Nederlandse strafzaken.
Hieruit valt op te maken dat Nederland al in 2016 een onderzoek startte naar Sky ECC. Eind 2019 is Frankrijk, onder meer na een Europees Onderzoeksbevel van Nederland van december 2018, de servers van Sky ECC gaan afluisteren middels een ‘ip-tap’. Dat leverde onleesbare communicatie op omdat deze nog versleuteld was. De ‘metadata’ kon wel worden uitgelezen.
Vervolgens vindt veel overleg plaats tussen Franse, Nederlandse én Belgische magistraten. Dit gebeurt in het kader van de JIT-overeenkomst waarin als doel valt te lezen: ‘het gezamenlijk uitwerken, ontwikkelen en uitvoeren van de benodigde techniek om de gevoerde communicatie te kunnen ontsleutelen en de server te ontmantelen: het identificeren en lokaliseren van gebruikers (…) en coördineren van (een) gezamenlijke actiedag(en) die zal/ zullen worden ondernomen om (…) de gebruikers van Sky ECC te kunnen aanhouden en vervolgen.’
Nu blijkt: eind 2021 gaf een bijdrage van Nederland de doorslag omdat daardoor ontsleuteling van de ‘getapte’ communicatie mogelijk werd. In de (vertaalde) Franse machtiging voor het binnendringen in de telefoons van individuele gebruikers van Sky ECC van de rechtbank Parijs wordt overwogen: ‘Nederlandse rechercheurs en technici in het kader van het gemeenschappelijk onderzoeksteam een techniek ontwikkeld hebben waarmee de cryptografische elementen die op elke telefoon opgeslagen zijn die de applicatie Sky ECC gebruikt kunnen worden verkregen.’ Dit staat lijnrecht tegenover de uitspraak van het Nederlandse Openbaar Ministerie dat ‘de interceptietool is gebouwd door de Fransen’ zoals is gesteld in de vordering ex artikel 149b juncto artikel 187d Sv van 13 september 2021. De betekenis van die brief kan moeilijk worden overschat: met dit argument verzocht het OM de rechter-commissaris om de verdediging informatie te onthouden. Kort gezegd was de strekking: vertrouw ons nou maar dat het vertrouwensbeginsel van toepassing was.
De oude mantra’s
Wat betekent dit alles voor de rechtmatigheidstoets? Degene die zich nog steeds op het standpunt stelt dat het onderzoek naar Sky ECC een ander voorbereidend onderzoek betreft dan de onderzoeken naar individuele gebruikers (als verdachten), zal van een koude kermis thuiskomen. Naast de overwegingen in de zaak-Messina, staat in het Nederlandse onderzoek ‘Argus’ (naar Sky ECC) letterlijk dat het onderzoek ‘zich richt op de criminele samenwerkingsverbanden van de NN-gebruikers van Sky ECC’.
In het licht van het vertrouwensbeginsel geldt voorts dat wij in verschillende zaken betogen dat ten minste kennis moet worden genomen van alle relevante feiten en omstandigheden, zoals het horen van de betrokkenen. Zoals gezegd, alleen op die manier valt te beoordelen of een beroep op het vertrouwensbeginsel überhaupt op kan gaan. We zullen toch moeten weten op welke plek het onderzoek werd verricht en – in het kader van ‘Stojković’ – door wie. Zo bezien is de recente uitspraak van de Belgische rechtbank Limburg zeer zuiver en spreekt zij aan vanwege haar logica en eenvoud: de rechtbank ziet af van het gebruik van de EncroChats, simpelweg omdat zij de rechtmatigheid van die uit Frankrijk afkomstige gegevens onvoldoende kan toetsen.6
Verder is evident dat de rechtmatigheid van het binnendringen in Sky-telefoons die zich op Nederlands grondgebied bevonden ‘vol’ getoetst zal moeten worden door de Nederlandse (zittings)rechter. Gebleken is dat Nederland al vóór de Franse operatie zelf onderzoek deed naar Sky ECC en Frankrijk om nader onderzoek verzocht. Reijntjes legt de verantwoordelijkheid in zo’n situatie bij de verzoekende staat en overweegt dat ‘al wat wordt verricht in het kader van internationale rechtshulp deel uitmaakt van de nationale procedure binnen de verzoekende staat.’7 Dat geldt des te meer op het moment dat de Nederlandse autoriteiten zelf het middel leveren waarvan zij weten welk effect dat middel, ook in Nederland, zal hebben. Dan moet nu al worden vastgesteld dat sprake is van – minst genomen – gedeelde verantwoordelijkheid en dus moet ook het onderzoek dat in en, in onmiddellijke zin, door Frankrijk is uitgevoerd, ‘vol’ worden getoetst door de Nederlandse rechter.
Het is nog vroeg om vergaande uitspraken over de slotsom van die toets te geven; juist daarom hebben wij in verschillende zaken onderzoekswensen ingediend. Niettemin stellen wij nu al dat de slotsom van ‘onrechtmatigheid’ hoge ogen gooit. De ‘ip-tap’ én de ‘hack’ hebben ongedifferentieerd en ongericht plaatsgevonden: alle Sky-gebruikers zijn geraakt, zonder (geïndividualiseerd) redelijk vermoeden van schuld aan zware criminaliteit/strafbare feiten ex artikel 126uba Sv. Bovendien is deze getapte communicatie jarenlang bewaard. Aldus kan moeilijk aan de conclusie worden ontkomen dat deze bulk-operatie in strijd is met de (dataretentie-)rechtspraak van het Hof van Justitie.8 Eenzelfde conclusie lijkt gerechtvaardigd ten aanzien van de rechtspraak van het EHRM: tot nog toe ontbreekt het, onder meer, aan een ‘independent ex post facto review’,9 terwijl het enkele gebruik van een (sterk) versleutelde chatdienst juist onvoldoende is voor de inzet van (zware) dwangmiddelen.10 Kortom, dat de ip-tap en hack van Sky ECC proportioneel, voorzienbaar en zelfs noodzakelijk waren in een democratische samenleving, valt voorshands niet in te zien. De consequenties daarvan hebben wij in ons eerdere artikel al besproken: ‘bewijsuitsluiting’ lijkt de enige remedie. Hierbij laten wij schendingen van het Cybercrimeverdrag en andere Verdragen nog buiten beschouwing.
Nieuwste zorg: wantrouwen in justitie
Maar er is nog meer dan dat te bespreken. Eerder betoogden wij al, aan de hand van Straatsburgse rechtspraak, dat het voorgaande nog meer geldt indien de rechter geen/onvoldoende onderzoek doet naar gestelde vormverzuimen. Dat heeft een reden. De ‘aanklager’ is in tegenstelling tot de rechter niet onafhankelijk en het risico bestaat dus dat de rechter (bewust) verkeerd wordt geïnformeerd. Daarvoor vragen niet alleen advocaten aandacht. Ook een wetenschapper als Ton Derksen waarschuwt dat Nederlandse rechters te weinig wantrouwend zijn: ‘Hun fundamentele uitgangspunt is dat ze niet voorgelogen worden door de politie en het Openbaar Ministerie. Dat is naïef, want soms gebeurt dat wel (…) we horen nu al decennialang hetzelfde mantra: veiligheid, veiligheid, veiligheid! Het aantal vrijspraken is ook stevig afgenomen, dat is een teken. Rechters moeten zelf ook aan waarheidsvinding doen’.11
Niettemin stond die waarheidsvinding tot op heden zwaar onder druk in zaken die betrekking hadden op ‘cryptocommunicatie’, waarbij het nog niet eens gaat om onderzoek naar de betrouwbaarheid van de data.12 Daarbij werd geschuild achter barrières van het Openbaar Ministerie, zoals ook nog ‘Frans staatsgeheim’, zonder te onderzoeken of deze barrières daadwerkelijk bestaan. Cynisme viert hoogtij als de gedachte is: ‘advocaten proberen alles voor hun cliënten’. Maar als zoveel ervaren strafrechtadvocaten zo blijven volharden, zou dat – in het licht van het voorgaande – dan niet aanleiding moeten zijn voor rechters om er – net als de rechtbank Haarlem – eens ‘echt voor te gaan zitten’? Al was het maar vanuit de veronderstelling dat ervaren strafadvocaten zichzelf serieus genoeg nemen om evident kansloze verzoeken niet eindeloos te blijven herhalen.
Dat geldt helemaal nu concrete aanwijzingen aan het licht zijn gekomen waaruit blijkt dat het Openbaar Ministerie ten aanzien van ‘de ware toedracht’ niet op de spreekwoordelijke blauwe ogen geloofd kan worden. Dat is dan toch dé aanleiding voor een rechter om rechtop te gaan zitten en de onderste steen boven te eisen? Het minste is dat rechters advocaten toestaan om nader onderzoek te doen omdat niet, zonder meer, kan worden vertrouwd op het Openbaar Ministerie. Voor lijdelijkheid is geen plaats (meer).
Maar de Hoge Raad zelf vraagt meer: toepassing van het strafprocesrecht moet in balans zijn.13 Als rechters verdachten ook niet op hun blauwe (of andere kleur) ogen geloven en hen, bij een veroordeling, hard ‘afstraffen’, conform het repressieve roepen van de samenleving, waarom dan mildheid betonen voor een Openbaar Ministerie dat zich niet aan de regels houdt? Daadwerkelijke sanctionering in de zin van artikel 359a Sv ligt voor de hand. Niet volstaan kan worden met een constatering; daarvan gaat – zo leert helaas de ervaring – geen enkel lerend effect uit, terwijl schendingen van fundamentele uitgangspunten van het strafproces zich daar ook om principiële redenen niet mee verhouden. Sterker nog, naast bewijsuitsluiting (op grond van Europees recht), staat inmiddels ook de (niet-)ontvankelijkheid van het Openbaar Ministerie ter discussie. Het verdient in dat verband vermelding dat het ‘Karman-criterium’ nog altijd bestaat.14
En er lijkt een kentering gaande waar wij hoop uit putten. Zo stelde de rechtbank Amsterdam haar vonnis al uit in een Sky-zaak, in afwachting van nadere informatie.15 In een andere zaak vroeg zij om een proces-verbaal over de ontwikkeling van de interceptietool. De rechtbank Rotterdam, op haar beurt, schorste alle verdachten en plaatste de niet mis te verstane kanttekening dat de zitting nog (lang) niet ‘zittingsgereed’ is.16 Ook in de literatuur voelen wij ons geruggesteund in onze (formele) verweren. Auteurs Sander, Van den Wijngaard en Kobari schrijven het ‘toe te juichen’ als feitenrechters de ruimte benutten die de Hoge Raad hen biedt.17 De Jong analyseert dat het strafprocesrecht ‘sinds enige decennia op onderdelen terrein [lijkt] te verliezen aan het materiële strafrecht, in die zin dat de toepassing van procedurele normen in toenemende mate afhankelijk wordt gesteld van een belangenafweging waarin (ook) de doelen van het materiële strafrecht dienen te worden betrokken’ terwijl uit zijn analyse volgt dat ‘het strafprocesrecht zich best wat minder serviel zou mogen opstellen’.18 Die conclusie is inderdaad logisch en terecht: het strafprocesrecht dient meer doelen dan het faciliteren van het materiële strafrecht.
1. Adv.bl. 2021-7, p. 60-63.
2. De ijzeren regels van goud bewijs. Over Rechtspsychologie en een Eerlijk Strafproces, afscheidsrede van 17 maart 2022 voor de VU.
3. https://www.crimesite.nl/europese-advocaten-open-brief-met-zorgen-over-encrochat-aan-europees-bestuur/.
4. https://tweakers.net/nieuws/196200/belgisch-wetsvoorstel-voor-metadataretentie-is-feitelijk-verbod-op-signal.html en https://twitter.com/Advocaatappel/status/1520048511005478915.
5. EHRM 30 januari 2020, nr. 50001/12 (Breyer vs. Duitsland).
6. https://www.crimesite.nl/belgische-rechtbank-gebruikt-encrochat-bewijs-niet/.
7. EHRM 27 oktober 2011, nr. 25303/08, NJ 2013/1, m.nt. Reijntjes (Stojković/België en Frankrijk).
8. Zie bijv. ECLI:EU:C:2022:258 en oktober 2020, ECLI:EU:C:2020:791.
9. EHRM (GK) 13 september 2021, nr. 85170/13 (Big Brother Watch vs. VK). Zie ook EHRM nrs. 44715/20 en 47930/21 (Lewis-Turner & Jarvis).
10. EHRM 20 juli 2021, nr. 19699/18 (Akgün vs. Turkije).
11. Brabants Dagblad 19 februari 2022.
12. Over de aspecten van digital forensics valt nog heel veel meer te zeggen, alleen al omdat is gebleken dat de ip-tap er in Frankrijk ‘uit’ heeft gelegen, maar dat valt buiten het bestek van dit stuk.
13. Vgl. ECLI:NL:HR:2020:1889, r.o. 2.1.3.
14. M. Samadi, Normering en toezicht in de opsporing, 2020, p. 240.
15. https://www.crimesite.nl/rechtbank-stelt-vonnis-in-grote-strafzaak-uit-om-sky-ecc/.
16. https://www.crimesite.nl/cokezaak-officieren-van-justitie-eisen-opheffen-voorarrest-en-nader-onderzoek-sky-hack-verdachten-naar-huis/.
17. D.B. Sander, S.C.J. van den Wijngaard & M. Kobari , ‘De reikwijdte van artikel 359a Sv: vormverzuimen bij en onrechtmatigheden buiten het voorbereidend onderzoek’, DD 2022/32.
18. F. de Jong, ‘Heer en knecht – aantekeningen over de verhouding tussen materieel en formeel strafrecht, proportionaliteit en artikel 359a Sv’, DD 2022/20.