Verdachte doet aangifte van dreiging en dwang bij ontgrendelen smartphone

Een van de hoofdverdachten in de strafzaak rond douanier Gerrit G. doet aangifte tegen de politie, las ik bij Nu.nl. De politie zou hem hebben bedreigd om zo zijn smartphone te ontgrendelen. De telefoon zat namelijk achter een vingerafdrukslot, en hij wilde niet meewerken aan het zetten van die afdruk. Daarop zou gedreigd zijn om zijn vingers te breken. Dat is natuurlijk onrechtmatig, maar iets fundamenteler is wel de vraag of je móet meewerken aan het vingerafdrukken ter ontgrendelen van je telefoon.

Het is een vast principe dat je geen wachtwoorden of pincodes hoeft te geven als verdachte. Dat valt onder het recht niet gedwongen te mogen worden om tegen jezelf te getuigen. Maar dat gaat alleen over dingen die je wéét. Dingen die je hébt, mag Justitie gerust afpakken en onderzoeken om daarmee de waarheid aan het licht te brengen. Ze mogen je kluis openen met een lasbrander (of een handige slotenmaker), onder de vloer kijken, je harddisk kopiëren, je tuin omspitten en je administratie meenemen als daar bewijs te verwachten valt. Of je telefoon leegtrekken, waar genoeg speciale apparatuur voor is.

Het is wettelijk toegestaan om gedwongen een vingerafdruk af te nemen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt. Maar getest bij de strafrechter is het nog nooit.

Wat is nu het veiligdste slot op je telefoon dat tevens praktisch bruikbaar is?

Arnoud

39 reacties

  1. Wat is nu het veiligdste slot op je telefoon dat tevens praktisch bruikbaar is?

    Een combinatie van iets hebben en iets weten. Dus eerst je vingerafdruk (of oogscanner of whatever), en vervolgens nog een pincode/wachtwoord in moeten voeren. En in het ideale geval twee pincodes net zoals je bij truecrypt hebt: De ene code unlockt je brave appjes met je vrouw over de boodschappen, en de andere code unlockt je overleg met je familie over die suprise-party 😉

    1. Daarvoor heeft Samsung tegenwoordig de ‘veilig map’. Als je telefoon ontgrendeld is, maar je wilt een applicatie gebruiken of bestand openen uit de veilige map, dan is er een tweede ontgrendeling nodig (en in het geval van een wachtwoord mag deze niet het zelfde zijn als je telefoon ontgrendeling).

      1. Maar dat er een apart mapje is, is dan zichtbaar. Idealiter is het dat niet. Dat heeft ook het voordeel van ‘plausible deniability’: je kunt ontkennen dat er meer is en de tegenpartij kan dat niet ontkrachten.

        1. Plausable deniability werkt alleen als de partitie die je unlocked ook daadwerkelijk echt in gebruik is. Niet zo maar een dummy partitie maar een partitie met bijvoorbeeld whatsapp en email functies en dus ook met privacy gevoelige gegevens. Als je een dummy partitie unlocked waarop geen enkel privacy gevoelige informatie staat of waarop al maanden geen bestand meer is gewijzigd dan zal het direct duidelijk zijn dat je ofwel een dummy partitie hebt unlocked en er nog een verborgen partitie is ofwel dat er nog ergens een andere telefoon verborgen is.

          1. Is dat aannemelijk te maken? Als er op die partitie een fabrieksreset is gedaan dan kun je toch prima beweren dat de telefoon net uit de doos is gekomen.

            Omgekeerd, als je een telefoon ontsleutelt waarop geen verborgen volume staat maar waar alleen een fris fabrieks-image op te vinden is, moet je dan gaan bewijzen dat er geen hidden volume op je telefoon aanwezig is, omdat de onschuld van de data verdachtmakend is?

  2. En dit bewijst ook maar eens dan ‘Biometrische Identificatie’ precies dat is. Identificatie. Geen beveiliging. Iets dat je overal laat slingeren, niet kan veranderen, vrij eenvoudig na te maken is niet iets wat je als beveiliging wil hebben.

    Echte beveiliging is 3 dingen:

    • Iets dat je hebt (RSA token, telefoon etc)
    • Iets dat je weet (pincode, wachtwoord etc)
    • Iets dat je bent (vingerafdruk, irisscan, biometrisch identificatie)

    Nu is het vaak wel lastig om alle 3 toe te passen, maar 2 hiervan zijn ook afdoende (2-factor auth). In het geval van een telefoon is er niets op tegen om na een vingerafdruk ook (afentoe) een pincode te vereisen tenzij je absoluut zeker weet dat je nooit in een situatie terecht komt waarin men je kan dwingen om je telefoon te ontgrendelen.

    1. Dat “af en toe” zit er (in ieder geval bij Samsung) al in: Na herstart van telefoon of als het meer dan 24u geleden is dat je laatst met pincode hebt ontgrendeld, vereist hij de pin.

    2. Helemaal eens: een vingerafdruk is ter identificatie. Precies daarom wil ik het niet gebruiken. Ik wil nadrukkelijk de mogelijkheid openhouden dat ik ontken dat het opslagapparaat überhaupt van mij is.

    3. Iets dat je bent is geen onderdeel van authenticatie! Zie ook bijvoorbeeld hoe men in Duitsland de vingerafdrukken van een minister heeft weten te kopieren via een wijnglas. Met bijv iris is dat niet anders. Zoals Sanne hierboven zegt: iets dat je bent is ter identificatie, niet ter authenticatie. Authenticatie heeft bij multi user environment ook identificatie nodig zodat ‘de computer’ de versleutelde input alleen maar met het versleutelde wachtwoord van die user account hoeft te vergelijken. Bij zoiets als een single user apparaat, zoals een gemiddelde telefoon, is zelfs identificatie overbodig. We weten wel dat de persoonlijke telefoon van Pietje door Pietje wordt gebruikt, en niet door Jantje of Marietje (hoewel je daar uiteraard ook van af kunt wijken is dat niet gebruikelijk en al doe je dat wel dan heb je het over 2 of 3 user accounts en daar kun je wel de verschillende wachtwoorden tegen checken).

      Het is echter maar de vraag of een pincode van 4 of 6 cijfers zoveel beter is. Want de keren dat je die invoert op straat of in een winkel (met cameras die de bewegingen zien) zijn ook legio. En dat bruteforcen is fysiek te automatiseren met een handschoen en een apparaat waardoor 4 cijfers te weinig zijn. Helemaal wanneer je eerst de meest voorkomende combinaties probeert.

  3. Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”

    Is het openen van een telefoon met een vinger(-afdruk) gelijk aan het ‘verwerken’ van een vingerafdruk ?

    1. Je kunt een unlockpoging van de telefoon zien als het maken van een extra vingerafdruk. Of je nou je vingers op een vingerafdrukscanner van de politie legt of je vinger op een vingerafdrukscanner van een telefoon.

  4. Het is van de zotte dat we hier een discussie zitten te voeren over hoe we ons met technische middelen moeten beschermen tegen onze eigen opsporingsdiensten. In een rechtstaat moeten we er op kunnen vertrouwen dat de opsporingsdiensten integer met hun machtspositie omgaan en blijkbaar is dat vertrouwen weg. En bij mij is dat vertrouwen ook weg. Ik heb tien jaar lang voor tien hulpverlenende organisaties een chatservice gedraaid en ik heb in die tijd 2 ernstige beveiligingsincidenten gehad. Beide incidenten hadden te maken met overijverige opsporingsambtenaren die op volstrekt illegale wijze druk aan het uitoefenen waren.

    Dat vertrouwen is niet terug te winnen met technische middelen, maar met veranderingen in onze overheid (en we waren er zelf bij toen we naar de stembus gingen). Deze discussie laat vooral zien dat we in het lijstje staan van landen waar de inwoners extreme maatregelen moeten nemen om niet in de problemen te komen met het machtsmisbruik van de eigen overheid.

    1. Voor vingerafdrukken zou ik dat niet direct zo stellen, want je neemt geen stukje van iemands lichaam weg door een ingreep. Het dwingen tot afgeven van vingerafdrukken vind ik in dezelfde categorie vallen als gedwongen worden om (pas)foto’s te laten nemen

        1. Ik denk niet dat dat vergelijkbaar is want daar is natuurlijk nooit een wettelijke grondslag voor, maar dan heb je het over het binnendringen in het menselijk lichaam. Een cavity search is ook een schending van lichamelijke integriteit.

          Bij het nemen van een vingerafdruk is dat hoe dan ook niet nodig, net zo min als dat voor bijvoorbeeld een voetafdruk of een foto van het gezicht zo is.

          1. Wel/niet iets wegnemen, wel/niet binnendringen, het zijn willekeurige normen. Waar het om gaat is dat er iets met je lichaam gebeurt wat je niet wilt. Natuurlijk zijn er dingen die erger worden ervaren en dingen die minder erg worden ervaren, maar dat is allemaal heel erg subjectief. Ik blijf er bij dat het gedwongen afstaan van vingerafdrukken en DNA een schending van de lichamelijke integriteit is. En ja, in principe geldt dat dan ook voor het gedwongen worden om (pas)foto’s te laten nemen. Als iemand daar bezwaar tegen maakt moeten we dat respecteren.

            Ik denk wel dat allerlei zaken in een grootschalige samenleving niet mogelijk zijn zonder enige vorm van biometrische identificatie (incl. pasfoto’s), maar dat betekent niet dat we mensen die bezwaar maken tegen elke vorm van biometrie dan maar moeten dwingen. Ze moeten onder hun eigen voorwaarden kunnen leven, desnoods buiten de grootschalige samenleving.

  5. Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt. Maar getest bij de strafrechter is het nog nooit.

    Dat gaat in principe alleen op als de politie dus al weet dat er belastende data op de telefoon staat en ze die gegevens er af willen hebben voor bewijslast.

    Als de man opgepakt wordt omdat hij verdacht wordt van een feit, maar ze geen redelijk vermoeden hebben dat er daarvan bewijs op zijn telefoon staat, mogen ze hem dan nog steeds dwingen tot het afgeven van zijn vingerafdruk?

    Gericht naar bewijs zoeken is immers iets heel anders dan zomaar de telefoon unlocken omdat het toch kan als politie en gaan zitten vissen naar eventueel belastend bewijsmateriaal.

  6. Daarop zou gedreigd zijn om zijn vingers te breken. Dat is natuurlijk onrechtmatig

    Bedoel je niet: strafbaar?

    Persoonlijk vind ik het schrikbarend dat een agent mogelijk strafbare feiten pleegt. En veel schokkender dan een eventuele verplichting apparaten te ontsleutelen.

    1. https://www.trouw.nl/home/agenten-liegen-proces-verbaal-bij-elkaar~ab12b183/

      Let vooral op dat laatste zinnetje: de agenten die bewezen meineed hebben gepleegd werken nog gewoon. Dat betekent tevens dat bij een nieuw proces verbaal hun woord weer geloofd wordt boven dat van een burger. Want dat ze bewezen leugenaars zijn en een procesverbaal vervalst hebben zal je dan niet als bewijs mogen aanvoeren. Dat is immers ‘niet relevant’ voor jouw zaak. Zo ziek is de politie en justitie in Nederland.

      Een agent die verdacht wordt van meineed zou niet essentieel papierwerk moeten doen tot er een uitspraak is. En als blijkt dat hij meineed pleegt zouden al zijn verklaringen verworpen moeten worden als er niet een andere agent getuige van is geweest die geen meineed heeft gepleegd. In bovenstaande geval zouden alle getuigenissen en verbalen van deze twee agenten samen geschrapt moeten worden.

  7. Volgens het politevakboek (M.G.M Hoekendijk, srafvordering voor de hulpofficier 2017):

    Op grond van dit art. 55c Sv kan de verdachte niet bevolen worden tot het afnemen van vingerafdrukken en het maken van foto’s. De verdachte moet het afnemen daarvan wel dulden (verzet is strafbaar conform art. 180 Sr: wederpannigheid) ( verdachte heeft dus geen doen- maar wel een duldplicht.)
    Men had dus al iets om mee te dreigen, strafvervolging. Het dreigen met vingers breken was dus ook helemaal niet nodig.

    Of dit wel of niet zelfincriminatie is, is de volgende uitspraak volgens mij ook duidelijk: uitspraak HR over wilsonafhankelijk materiaal. Het bewijs op het mobieltje bestaat, of de verdachte het wil of niet en dus is het geen nemo tenetur.

    Het enige dat ik kan bedenken waarmee een verdachte kan voorkomen dat zijn mobieltje word uitgelezen, is het gebruiken van een goede encryptie met een goed wachtwoord. Als hij dat “spontaan vergeten” is, dan komt de politie er niet in. Het enige dat vanuit de polite daartegen mogelijk kan helpen is hypnose-achtige technieken. Hoewel een verklaring daaronder niet als bewijs gebruikt mag worden en er twijfel is over de objectieve betrouwbaarheid, ga ik ervanuit dat dat niet van toepassing is op een wachtwoord. Het wachtwoord zelf is volgens mij geen bewijs en er kan makkelijk getest worden of het wachtwoord correct is of niet.

    1. ‘Wat is uw wachtwoord?’ ‘ik beroep mij op mijn zwijgrecht’ is al voldoende. Je hoeft alleen te claimen dat je het niet meer weet als je ook verplicht zou kunnen worden om het te geven, wat in NL niet zo is.

  8. Het is een vast principe dat je geen wachtwoorden of pincodes hoeft te geven als verdachte. Dat valt onder het recht niet gedwongen te mogen worden om tegen jezelf te getuigen. Maar dat gaat alleen over dingen die je wéét.

    Mag de verdachte gedwongen worden, de pincode tijdelijk te wijzigen in 0000 of zo? Dan geeft de verdachte immers niets prijs dat hij wist (en de politie niet wist).

    Zo niet, wat is de reden hiervoor, en waarom geldt deze reden plotseling niet meer bij vingerafdrukken?

      1. Wat ik bedoel is dat de politie de originele pincode niet hoeft te weten te komen. Die mag de verdachte voor zich behouden, en hoeft hij dus niet prijs te geven. De agenten kijken dan even de andere kant uit bij het wijzgen. En de nieuwe code weet de politie immers al.

  9. Algemene kanttekening.

    Het is de laatste jaren mode om te roepen dat de overheid niet te vertrouwen is.

    Ik wil je ervaringen niet betwijfelen, maar zoiets kan een zelfvervullende voorspelling zijn, Als iedereen maar hard genoeg gelooft dat de overheid niet te vertrouwen is krijg je vanzelf een overheid die niet te vertrouwen is. Al was het maar omdat fatsoenlijke mensen er dan niet meer willen werken.

    1. Wat is vertrouwen? De nederlandse overheid is er vrij open over dat we tap land nummer 1 zijn. Theoretisch wordt iedereen die getapt is daarover ook ingelicht als het onderzoek is afgerond. Ik heb daar een paar jaar terug een rapport over gelezen en over het algemeen werd daar goed aan voldaan, met uitzondering van een paar slechte regio’s.

      Wat de geheimendiensten doen weten we dan weer niet.

      Vertrouw ik de Nederlandse overheid? Tot op zekere hoogte ja; alleen weet ik niet wie er over een paar jaar de dienst uit maken en of ik die vertrouw. En daarom is mijn data thuis en de online backup encrypted. Chat ik met encrypted chat apps en gebruik ik voor sommige kritiek op de overheid een vpn verbinding van buiten Nederland en post ik dan anoniem. En dat dan voornamelijk omdat ik in het verleden opdrachten voor de overheid heb uitgevoerd en dat mogelijk in de toekomst ook weer zal doen. En dan zit ik niet te wachten op een ambtenaar die gaat googlen en op basis van kritiek die ik heb geleverd de opdracht aan een ander gunt.

    2. Zal ik het anders doen….

      De overheid is te vertrouwen dat ze leugens verteld, dat ze altijd meer geld van jou, de burger, willen hebben, (er is tot op heden sinds de oprichting van Nederland nog geen overheid/regering geweest die hetzelfde of minder geld uitgaf dan de vorige). Dat ze wetten aannemen die ambtenaren het RECHT geeft om te liegen (pikmeer arrest). Dat ze oorlogen voeren waar ik niet achter sta. Dat ze zaken achterhouden of op zijn minst zeer twijfelachtig handelen. Buitenlndse bedrijven voortrekken tov van nederlandse, als zijnde de grootste belasting vrijstaat ter wereld. En dit is geen incident dit is structureel kijk maar naar de geschiedenis, politionele acties indonesie, grootste drugsleverancier ter wereld. Hier zijn meerdere onderzoekn naar gedaan en boeken over geschreven, en zeg nu niet dat is acher ons, er lopen op het moment nog steeds rechszaken over de diverse zaken omdat de Nederlandse overheid weigert toe te geven dat ze fout zaten. Topje ijsberg

      Ja de overheid is te vertrouwen, alleen in welk perspectief.

        1. Politieagenten zijn soms net mensen… ambtenaren ook. Waar een (polite-)ambtenaar professioneel in de fout gaat hoort hij daarvoor bestrafd te worden. Ik weet van uitspraken.rechtspraak.nl dat er regelmatig ambtenaren oneervol ontslag krijgen, de overheid werkt aan het op peil houden van haar integriteit.

          1. Niet hard genoeg als ze agenten waartegen een serieuze verdenking bestaat gewoon laten werken alsof ze betrouwbaar zijn. En ze nem het niet serieus genoeg als die agenten na schuldig bevonden te zijn in andere zaken nog steeds als betrouwbaar worden beschouwd.

            Het is toch onverkoopbaar dat als het jouw woord tegen dat van een agent is en die agent bewezen heeft niet vies te zijn van liegen in een verklaring, dat deze dan betrouwbaarder wordt gevonden dan jouw verklaring.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.