De rechtbank in Amsterdam heeft een crimineel veroordeeld mede op basis van informatie die werd verkregen door het ontsleutelen van een grote hoeveelheid berichten die via pgp-telefoons werden verstuurd. Dat meldde Tweakers vorige week. Uit het ontsleutelde berichtenverkeer blijkt hoe de verdachte een sturende rol had bij een liquidatiepoging en hoe de schutters aan hem verantwoording moesten afleggen toen die poging mislukte. Het is voor zover ik weet de eerste keer dat ontsleuteld PGP-verkeer als bewijs is gebruikt in een strafzaak.
De uitspraak is een uitvloeisel uit de Ennetcom-zaak uit 2016. Ennetcom is een Nederlands bedrijf dat met PGP (Pretty Good Privacy) beveiligde BlackBerry-telefoons aanbood. Hiermee kunnen gebruikers in principe onkraakbare e-mails en dergelijke berichten sturen. Deze systemen gebruiken servers in Canada. Na een inval bij het bedrijf kreeg men de Canadese rechter zo ver beslag op die servers en bijbehorende data te leggen, om zo deze inhoud te kunnen gebruiken voor forensisch onderzoek in strafzaken waarbij verdachten deze telefoons gebruikten.
Dat was bijzonder prettig voor Justitie, want die servers bevatten cruciale informatie over sleutelmanagement waarmee het ineens heel eenvoudig werd om het theoretisch haast onkraakbare PGP te verwijderen van berichten. Kort gezegd, die informatie helpt het aantal mogelijke sleutels te reduceren tot enkele honderdduizenden per bericht, iets dat een beetje computer in de lunchpauze kan nalopen. De inhoud van die berichten is dan ineens beschikbaar in een strafzaak.
De Canadese rechter wees dat toe, maar beperkte de toegang tot specifieke berichten voor specifieke strafzaken om te voorkomen dat de Nederlandse autoriteiten een ‘fishing expedition’ zouden gaan uitvoeren in deze grote hoeveelheid data. Per verzoek zou een Nederlandse rechter een bevel moeten afgeven. Dat was nog even ingewikkeld, want het Nederlands recht kent het concept van een court order eigenlijk helemaal niet. Bij ons toetst de rechter-commissaris bevelen van de officier van justitie, dat is een andere manier van werken. Uiteindelijk kwam men uit bij de mogelijkheid van een bevel onder het Wetboek van Strafvordering tot toegang tot opgeslagen data bij een provider (artikel 126ng), dat door de rechter-commissaris moet worden goedgekeurd. Dit bleek genoeg voor de Canadese rechter.
In deze zaak werden ook een aantal PGP berichten gevonden in het opsporingstraject, die met de Canadese informatie konden worden ontsleuteld. Dat bleek een cruciale stap: de berichten lieten zien welke belangrijke rol de verdachte had in de onderzochte liquidatiepoging.
Het bezwaar van de verdediging betrof de manier waarop deze berichten te pakken waren gekregen. Dat artikel 126ng zou de verkeerde grondslag zijn geweest, er is op de verkeerde manier gewerkt en er zou te weinig toezicht zijn geweest vanuit de rechter-commissaris. En nog veel meer, zo veel dat de rechtbank korzelig opmerkt “dat het niet eenvoudig is geweest tot een begrijpelijke samenvatting van de verschillende onderdelen van het door [de advocaat] gevoerde verweer te komen.” Ik ga dat zelf dan ook niet doen, vooral omdat de rechtbank héél snel klaar is met de analyse:
De gekozen constructie biedt voldoende waarborgen om voor zoveel mogelijk tegemoet te komen aan de privacy-belangen van de overige Ennetcom-gebruikers. Naar het oordeel van de rechtbank is dan ook sprake van een rechtmatige constructie om te beoordelen of binnen het onderzoek Tandem toegang verleend kan worden tot de Ennetcom?data.
Dat is voor de juridische theorie een tikje jammer, want nu weet je niet waar de grenzen liggen. Maar ik kan zo snel geen inhoudelijk tegenargument bedenken. Die data is legaal in Canada door de politie aldaar in beslag genomen, en wordt onder toeziend oog van twéé gerechtelijke instanties vrijgegeven conform specifieke regels waardoor er niet kan worden gegrasduind. Ook hier wordt er met een specifiek protocol op verder gewerkt.
Een terecht punt van de verdediging was wel dat er tussen de verkregen berichten communicatie van en naar de advocaat aanwezig was. Dat mag natuurlijk niet, dergelijke communicatie is beschermd en mag niet onder ogen van de politie komen.
Probleem was wel dat in deze brondata die communicatie niet evident als zodanig te herkennen is. Er waren geen zakelijke mailadressen van de advocaat gebruikt of andere identifiers waarmee je dit vooraf weg kon filteren. Er was wel een communicatiepartij die als “adv” bekend stond, maar moet je daaruit concluderen dat je te maken hebt met een Nederlandse advocaat wiens communicatie vertrouwelijk moet blijven? De rechtbank vindt dat te ver gaan.
Ook als aangenomen wordt dat deze ‘adv’ een advocaat is, betekent dat niet dat deze berichten niet in het dossier mochten worden gevoegd. Onder omstandigheden, bijvoorbeeld als moedwillig slordig met de inhoud van de berichten wordt omgesprongen door deze zonder restricties uit handen te geven, bestaat daartegen geen bezwaar. Met betrekking tot de berichten van ‘adv’ die in het dossier zitten, geldt dat die tussen twee onbekende PGP-gebruikers zijn doorgezonden, zonder dat daarbij een beperking is aangebracht. Ten aanzien van deze berichten is geen sprake van een vormverzuim.
Na het beslag op de Canadese server en data heeft de politie een bericht uitgestuurd waarin staat dat verschoningsgerechtigden (zoals advocaten) zich konden melden, waarna hun berichten als geheim zouden worden gemarkeerd. Klinkt netjes, nietwaar? Maar geen advocaat die reageerde – terecht, want dan onthul je immers dat je via dat netwerk communicatie met je cliënt had en dat suggereert dat die cliënt misschien maar eens onderzocht moest worden.
Dit alles levert echter geen onherstelbaar vormverzuim op. Ik zou zelf ook niet weten wat je méér had moeten doen als OM om uit te sluiten dat er advocaatcommunicatie in zo’n bestand zit. De berichten werden nu echter eruit gehaald door een niet bij de zaak betrokken officier.
Wél een vormverzuim deed zich voor bij een aantal notities (ik denk conceptberichten) die begonnen met “Geachte Mr Inez Weski” maar nooit waren verzonden naar deze advocaat. Hoewel je strikt gesproken dan niet spreekt van communicatie met een advocaat, valt ook zo’n concept onder de geheimhouding voor advocaten. Dit bericht was evident voor een advocaat bedoeld en had dus verwijderd moeten zijn. Dat vormverzuim is ernstig: die berichten hadden nooit in het dossier moeten zitten, en moeten dus verwijderd worden. Bewijs dat daaruit afgeleid is, wordt daarmee uitgesloten.
Arnoud
En hoe bepaal je welk bewijs voortkomt uit vormverzuim?
[deze mag weg]
‘Voor zover mogelijk’ of ‘zoveel mogelijk’? Geeft een andere teneur, het eerste is voor mijn gevoel meer ‘we wilden het wel, maar ja, het is moeilijk, dus het lukte niet’.
Is er een reden dat ik de reactie van Ruud kan bewerken?
Wellicht zit je op hetzelfde kantoor/netwerk. Een collega van mij kan ook mijn berichten nog aanpassen nadat ik ze geschreven heb. (Hij leest enkel, schrijft zelden tot nooit een reactie)
Maar wat als die concepten naar de advocaat zouden aantonen dat de advocaat betrokken is bij deze criminele acties?
Als leek vallen me hier vier dingen op: (1) de partijen hebben getracht zo veel mogelijk de privacy van niet-verdachten te waarborgen, (2) de controlerende rol van de rechterlijke macht heeft goed gewerkt bij deze inperking, (3) ondanks deze beperkingen is het gelukt om de verdachten veroordeeld te krijgen en (4) het OM en de politie weet toch best wel iets van de techniek af!
Ik kan niet anders zeggen: dit doet mij deugd. De paar lastige randgevallen over communicatie met een advocaat zijn lastig, maar zijn pragmatisch opgelost. Wat mij betreft mag het OM, als ook de Nederlandse en Canadese rechterlijke macht trots zijn op de manier hoe deze zaak afgehandeld is.
Voortaan alle criminele communicatie in CC aan advocaat. (advocaat kan per client een apart emailadresje maken) Kan je meteen niet meer afgeluisterd worden.
Vergeet het maar, een cc naar je advocaat triggert niet het verschoningsrecht. HR 26 januari 2016, ECLI:NL:HR:2016:110:
Als een advocaat aangeeft dat hij gecommuniceerd heeft met de client, dan vallen zijn mails onder de geheimhouding. Maar ik zou verwachten dat de metadata van die emails dus ook valt onder de geheimhouding. Of mag het OM straks via een sleepnet kijken wie veel communiceert met advocaten, en dat gebruiken om deze mensen extra te onderzoeken.
Het probleem is dat je op die manier onthult dát die persoon cliënt bij je is. En dat is in strijd met de Gedragsregels (artikel 3). Daarbij komt dat je de aandacht op je cliënt kunt vestigen, stel je bent gespecialiseerd in witwasverdachten en bankier X is ineens klant een week nadat het OM zijn kantoor heeft onderzocht op mogelijke fraude. Dan zal het OM toch meneer X eens nader willen bekijken?
Ik ben een beetje allergisch geworden voor de term sleepnet. Doel je op de recente wetgeving mbt de sleepwet? Dat zijn veiligheidsdiensten, geen opsporingsdiensten. Heeft minder met elkaar te maken dan je denkt.
Deze analyse slaat de plank volledig mis. Het is schandalig dat de Canadese autoriteiten hun standaarden verlaagd hebben voor toestemming tot inzage van gegevens. Nederland toetst belabberd of gegevens wel ingezien hadden mogen worden, agenten grasduinen naar believen in van alles en vervolgens wordt bewijs gefabriceerd. Als een land een rechterlijke uitspraak en toezicht wenst dan moet die gewoon gemaakt worden. Ik hoop dan ook in het belang van de instandhouding van de rechtsstaat dat mevrouw Weski in hoger beroep of desnoods bij het Europees hof gelijk krijgt of desnoods de Canadese staat succesvol aanklaagt.
Als uit concepten blijkt dat met “Geachte Mr Inez Weski” gecommuniceerd is dan hadden de Canadese autoriteiten dat (op verzoek van Nederland!) moeten controleren en dubbelchecken of die stukken opgeleverd mogen worden. Nu zijn dergelijke gegevens verstrekt aan justitie en ook dat is een onherstelbaar vormverzuim.
Dat een Nederlandse officier van justitie die concepten niet buiten de zaak heeft gehouden is schandalig. Het geeft maar weer aan hoe weinig de justitiële keten en het justitie zelf zich tegenwoordig aan de wet houden. Zie de oude uitzending van “Foute officieren van justitie”. Alle wetsovertreders bij justitie maken carrière en eerlijke officieren niet. Dat kan alleen gezuiverd worden als deze crimineel vrijuit gaat, anders is sprake van stimulering de rechtsstaat volledig uit te hollen.
Een advocaat mag niet aangeven wie zijn cliënten zijn. Bekendmaking welk email adres van hem is dat is in feite bekendmaking van zijn cliënten en zelfs nog erger: met welke cliënten hij actief contact heeft. Het is dus uiterst kortzichtig een vraag om email adressen van advocaten als een serieuze vraag te bestempelen, een enorme blunder van de auteur.
at een constructie “voldoende waarborgen” biedt voor rechters die niets van IT begrijpen zou voor een IT-jurist als u reden moeten zijn om gehakt te maken van de rechtbank. Niet om daar maar populistisch in mee te gaan en argumenten van de advocaat niet eens te benoemen.
Spijtig om te zeggen, maar: Dit is het eerste artikel van u dat ik slecht en gelijk ronduit schandalig vindt.
Weinig constructieve reactie dit:
Het vormverzuim is genoemd in het artikel. Ik vermoed dat er wat onduidelijkheid was ontstaan omdat het om concepten ging, en uiteindelijk is het alsnog vormverzuim. Maar dat bewijs en afgeleid bewijs wordt verwijderd, dus geen probleem.
Bovendien vraag ik me af wat je had verwacht over de advocaten. Ze hebben zich niet gemeld, wat logisch is, maar er is ook geen andere manier om het van te voren af te vangen. Bovendien mag die correspondentie niet worden meegenomen, dus is er opnieuw niet heel veel aan de hand.
En dan komen we ook bij de crux. Het gaat hier om verdachten die een tot dan toe onkraakbare communicatie gebruikten. Die is nu gekraakt en beperkt beschikbaar. Er gaan meerdere justitiële instanties in binnen- en buitenland over of deze berichten mogen worden opgevraagd. Je kunt dan wel schande en blunder schreeuwen, en spreken over het uithollen van het rechtssysteem, maar dat ligt natuurlijk ver van de werkelijkheid.
Je krijgt van mij een -1