Nederland mag een Oekraïense man die een sleutelrol zou hebben gespeeld bij de ontwikkeling en verspreiding van de Raccoon Infostealer uitleveren aan de Verenigde Staten. Dat las ik bij Security.nl. Ik licht de zaak er even uit omdat het vaker discussie geeft bij ict- en cybercrimezaken. Wanneer kun je nou worden uitgeleverd en hoe toetst de Nederlandse rechter dat?
De Raccoon Infostealer steelt wachtwoorden en gegevens voor internetbankieren en cryptowallets en zou volgens de VS miljoenen computers wereldwijd hebben besmet. De verdachte werd door de FBI opgespoord maar bleek in Oekraïne te zijn. Na de Russische inval vluchtte hij via Polen en Duitsland naar Nederland, waar hij werd aangehouden.
De VS wil hem berechten en diende dus een uitleveringsverzoek in. (Soms zie je ook de term ‘overlevering’, dat gaat om uitleveren van personen specifiek van de ene naar de andere Europese lidstaat.) De verdachte maakte bezwaar, en dat ging tot de Hoge Raad, die het bezwaar afwees. Ik citeer vanaf hier uit de conclusie advocaat-generaal, want de HR deed de zaak zonder motivatie af.
Een uitleveringsverzoek vereist “een uiteenzetting van de desbetreffende feiten, met inbegrip, indien mogelijk, van het tijdstip waarop en de plaats waar het misdrijf werd gepleegd”. Dat is lastig bij ict-zaken: als jij in Oekraïne zit, je server ergens in Bulgarije en de slachtoffers fysiek in de VS, wat is dan de ‘plaats’? De rechtbank vond het duidelijk genoeg:
De omschrijving van de feiten is zodanig dat het voor de rechtbank mogelijk is te onderzoeken of aan alle voorwaarden voor uitlevering is voldaan en of de naleving van het specialiteitsbeginsel kan worden gewaarborgd. Verder neemt de rechtbank in aanmerking dat de feiten hebben plaatsgevonden in de digitale wereld, waardoor het begrijpelijk is dat niet in alle gevallen een concrete pleegplaats kan worden vermeld.Die gebrekkige informatie over pleegplaatsen was ook een argument tegen jurisdictie van de VS: de malware was wereldwijd actief, dus hoezo mag de VS dan optreden? Het simpele antwoord is, omdat óók in de VS slachtoffers woonden. Er waren er vier genoemd, dat is relatief weinig maar eentje is formeel genoeg.
Ook de rol van de verdachte was duidelijk genoeg vastgelegd:
De rechtbank heeft op grond van de inhoud van de Affidavit [verklaring van de FBI, AE] vastgesteld dat de opgeëiste persoon ervan wordt verdacht sinds 2018 te hebben deelgenomen aan een criminele organisatie die zich bezighoudt met het ontwikkelen, aanbieden en verkopen van malware, te weten de Raccoon-infostealer. Die malware zou wereldwijd op grote schaal zijn gebruikt om computervredebreuk en (gegevens)diefstal te plegen. Uit de vier geconcretiseerde voorbeelden in de Affidavit volgt dat de malware ook zou zijn gebruikt ten aanzien van computers c.q. personen in de Verenigde Staten. De rechtbank heeft overwogen dat in de Affidavit het resultaat en het verloop van het onderzoek uiteen wordt gezet, dat daaruit blijkt hoe de opgeëiste persoon in beeld is gekomen en waaruit de handelingen van de opgeëiste persoon, zijn vermeende rol en zijn aandeel in het strafbare feit hebben bestaan en dat het op grond daarvan van oordeel is dat voldaan is aan de eis van art. 9 lid 3 aanhef en onder b van het Verdrag.Inhoudelijk is er dan genoeg om te veronderstellen dat iemand in de VS vervolgd zou worden voor dit feit, en omdat het tenlastegelegde ook in Nederland strafbaar is, is er dan eigenlijk geen reden meer tegen uitlevering.
Dan blijven over persoonlijke omstandigheden. In dit geval worstelde de verdachte met gezondheidsproblematiek en psychische problemen. Dit kwam vervolgens bij de rechtbank Den Haag met het verzoek hierom de uitlevering tegen te houden. Het argument is dan dat de omstandigheden in het vragende land zo ernstig zijn dat uitlevering leidt tot onmenselijke behandeling, artikel 3 EVRM dat ook marteling noemt, maar het gaat dus ook om mensonterende omstandigheden zoals geen toegang tot gezondheidszorg.
De rechtbank oordeelde anders:
De voorzieningenrechter verwerpt ook het betoog van [eiser] dat de door de Amerikaanse autoriteiten gegeven garanties niet voldoen aan de daaraan te stellen eisen. Daargelaten dat [eiser] niet aannemelijk heeft gemaakt dat hij bij uitlevering een reëel risico loopt op schending van artikel 3 EVRM, geven de strikt genomen niet noodzakelijke garanties [eiser] wel meer zekerheid over (onder meer) de detentieomstandigheden en de toegang tot medische zorg. Zo nodig kan [eiser] met consulaire bijstand – ook wanneer dat bijstand van [land] betreft – nakoming van deze garanties bevorderen. Weliswaar heeft [eiser] zich terecht op het standpunt gesteld dat de Staat nakoming van dergelijke garanties niet zelf monitort, maar daar staat tegenover dat er geen gevallen bekend zijn waarin de Verenigde Staten gegeven garanties niet zijn nagekomen.Dat laatste is natuurlijk vaak een zorg: ze kunnen wel zo veel zeggen in dat vragende land, maar hoe weet je dat ze dat ook echt doen? Daar staat tegenover dat er weinig tot geen onderzoeken zijn waaruit blijkt dat het misgaat, terwijl er toch genoeg mensen uitgeleverd worden.
Arnoud
Klagen over het wollig taalgebruik van juristen is meestal iets voor buitenstaanders, 
Ja, het heet dus ambtsketen en niet ambtsketting, dat wilde ik vooraf even duidelijk hebben. Maar velen schrokken: Sjors Fröhlich, de burgemeester gemeente Vijfheerenlanden, moet stoppen met Twitteren zo 
Een lezer vroeg me:
