OM wil makkelijker gegevens van resellers Nederlandse hosters hebben

geralt / Pixabay

Het Openbaar Ministerie wil dat het makkelijker wordt om klantgegevens en andere informatie op te vragen van bedrijven die serverruimte in Nederland doorverhuren. Dat las ik bij Security.nl. Men citeert hightechcrime-officier Esther Baars in OM-bedrijfsblad Opportuun die signaleert dat cybercriminelen vaak servers van Nederlandse datacentra gebruiken met tussenkomst van een reseller. Optreden daartegen vereist een rechtshulpverzoek, terwijl de data gewoon hier in Nederland staat. “Dat is werkelijk idioot”.

Baars legt uit waar de kern van het probleem zit:

Vaak gebruiken [cybercriminelen] servers van datacentra in Nederland. Zo’n datacenter verhuurt een server aan een tussenpersoon, een ‘reseller’. Dat mag gewoon. En die reseller verhuurt dan die serverruimte in Nederland weer door aan zijn eigen klanten. Dat maakt het voor ons ingewikkeld om verdachte klanten op te sporen.
Dus zeg maar, het Nederlandse bedrijf verhuurt een opslagbox aan een ondernemer, die daar vervolgens mooie opslagkasten in zet en buitenlandse klanten elk in diens eigen kast wat laat opslaan. Het probleem is dan: waar in de gewone wereld de politie gewoon die kast mag openmaken, moet de cyberpolitie per kast nagaan wat de identiteit van de reseller of de eindklant is om vervolgens in dat land een rechtshulpverzoek te doen – in “Rusland, de Seychellen, de Verenigde Arabische Emiraten, of een ander land waarmee wij geen, of een trage rechtshulprelatie hebben.”

Het punt is natuurlijk, bij zo’n gewone kast in een opslagbox kun je een slotenmaker meenemen en het ding openmaken, of je neemt hem (de kast, niet de slotenmaker) mee naar het bureau om daar rustig na te gaan wat er in zit. Bij een digitale kast, de vps van de klant van een reseller, is dat een stuk complexer:

[Dan] is het niet onmogelijk om een kopie te maken, maar kan dat kopiëren schade veroorzaken voor onbekende klanten die die server ook gebruiken maar niks met de criminaliteit te maken hebben. … [O]nze wet is zo ingericht dat we dan eigenlijk rechtshulpverzoeken moeten doen om die gegevens te krijgen. Dat is werkelijk idioot, want het is gewoon data die in Nederland staat en de plaats delict is dus gewoon Nederland.
Ik denk dat het issue is dat om zo’n kopie te maken je de server even uit moet zetten (‘bevriezen’), maar een typische resellermachine – de opslagbox met de kasten – kan vele tientallen klantensystemen tegelijk hebben. Dan gaan die dus allemaal even uit, en als eentje daarvan dan toevallig de betalingsdiensten van Alibaba in Nederland doet dan wordt het een ongezellige middag.

Ja, ik kan me ook niet direct voorstellen dat dezelfde reseller én een berg pittige cybercriminelen én Alipay Nederland als klant heeft, maar dit is het voorbeeld dat men noemt dus dat zal ergens op gebaseerd zijn. Maar goed ook als het gaat om gewoon een doorsnee gamingdienst of betaald forum, je dupeert een onschuldige ondernemer enkel omdat die bij dezelfde reseller wat afneemt als een crimineel.

De reseller kan gericht servers afsluiten of kopieën helpen maken, maar die is daar zelden toe bereid zonder bevel van de lokale overheid, vandaar die route van het rechtshulpverzoek. En dat gaat inderdaad vaak traag, als men in zo’n land al bereid is om überhaupt iets te doen tegen een reseller wiens klanten in dat land geen directe rottigheid uithalen.

Wat dan wel?

De reseller [weet precies] waar wij moeten zijn. Het zou zo logisch zijn als we de Nederlandse partij kunnen verplichten die exacte locatie te achterhalen en aan ons door te geven.
Komen de kasten weer: de verhuurder van de opslagbox moet een reservesleutel van de box en liefst ook van elke kast hebben. Zo kan gericht de juiste kast meegenomen worden. Het is technisch niet héél moeilijk om dit zo in te richten, de reseller (de huurder) kan vrij eenvoudig aan de hoster (de verhuurder) welke vps van welke klant is en dan desbevolen een kopie daarvan af te geven aan het OM.

Een lastige is, hoe dwing je resellers om dit te doen. Je komt dan al snel bij administratieve procedures uit, zoals dat de hoster moet kunnen meekijken in het VPS controlepaneel maar dan zonder de overige, commercieel zeer interessante, gegevens over de klanten. Of dat de hoster een beperkte set informatie krijgt maar wel moet kunnen nagaan dat dat overeenkomt met de werkelijke configuratie. Het kan allemaal maar praktisch is anders.

Arnoud

Wacht even, dat Telegram-sluitbevel was een vrijwillig verzoek? Ik snap er nu niks meer van

Weet u nog: het Openbaar Ministerie had in oktober twee kanalen van complotdenkers op chatapp Telegram laten blokkeren, zo blogde ik destijds. Een week later bleek het anders te liggen: er is geen takedown-bevel aan Telegram gegeven, maar het bleek gewoon een handig gebruik van de telefoon van een verdachte. Dacht ik toen. Want nu komt BNR met bewijs dat er kanalen door de beheerders zijn gesloten na druk vanuit politie en Justitie.

De namen van de kanalen duizelen me een beetje, maar zo te lezen gaat het hier om een ander kanaal dan die met de telefoon van de verdachte zijn gesloten. Zoals BNR het beschrijft:

Twee agenten brachten 8 oktober een huisbezoek aan de beheerder. De Officier van Justitie had telefonisch overleg met de politie ter plaatse en dreigde de man met strafvervolging als hij het kanaal niet ter plekke zou verwijderen.
Daarop koos de man eieren voor zijn geld en sloot hij het kanaal. Dat doet raar aan: de normale manier is dat je de dienst Telegram sommeert het kanaal te sluiten. Dat werkte hier alleen niet, aldus het OM:
‘Aangezien Telegram zelf stelt: ‘To this day, we have disclosed 0 bytes of user data to third parties, including governments’, heeft de rechter-commissaris er in dit geval vanaf gezien Telegram te proberen te betrekken’, schrijft een woordvoerder.
Dat snap ik, en ik zie ook wel dat de volgende stap dan is om de beheerder zelf aan te spreken. Alleen, met welke wettelijke bevoegdheid doe je dat? De drie geciteerde deskundige juristen bij BNR weten het alle drie niet te noemen.

Mij lijkt een inroep van 54a Strafrecht logisch:

Een tussenpersoon die een communicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt bij een strafbaar feit dat met gebruikmaking van die dienst wordt begaan als zodanig niet vervolgd indien hij voldoet aan een bevel als bedoeld in artikel 125p van het Wetboek van Strafvordering.
Je zou dan stellen dat de beheerder een tussenpersoon is, door het in stand houden van de groep verleent hij dan de dienst van doorgifte van gegevens van anderen (de chattende gebruikers). Punt is wel dat je dan niet alleen de officier van justitie nodig hebt, maar ook de rechter-commissaris. En die lijkt hier niet in beeld te zijn geweest. (Nog los van dat het ietwat discutabel is of een losse Telegram gebruiker te zien moet zijn als een provider.)

BNR heeft het proces-verbaal erbij geleverd, waarin te lezen is hoe de agenten het instaken. Zij, verbalisanten, gaven een gedragsaanwijzing (artikel 509hh Strafvordering), waarvoor inderdaad alleen een officier nodig is. Alleen, een gedragsaanwijzing heeft maar beperkte mogelijkheden:

2 De gedragsaanwijzing kan inhouden dat de verdachte wordt bevolen:

a.zich niet op te houden in een bepaald gebied,

b.zich te onthouden van contact met een bepaalde persoon of bepaalde personen,

c.zich op bepaalde tijdstippen te melden bij de daartoe aangewezen opsporingsambtenaar,

d.zich te doen begeleiden bij hulpverlening die van invloed kan zijn op het plegen van strafbare feiten door de verdachte.

De aanwijzing hier was een verbod “Red Pill Journals of informatie van vergelijkbare aard of inhoud te delen op het internet en/of via sociale media”. Ik kan dat hooguit een zeer gezochte invulling van lid 2 sub b noemen: “het internet en/of sociale media” zijn dan “bepaalde personen”, nee sorry waar ik zei “gezochte invulling” bedoelde ik “komt niet door de giecheltoets” stop de tijd. Ik snap dit niet.

Of nou ja, praktisch snap ik het wel: dit soort kanalen kunnen erg kwalijke effecten hebben, dus dat je daar als politie of officier bovenop zit en in wilt grijpen dat is heel logisch. Alleen moet zoiets wel via de regels, juist omdat het gaat om meningsuitingen. Ik had dus zelf ingezet op 54a en dat bij de rechter laten toetsen.

Arnoud

Wacht even, die Telegram takedown was een telefoon takeover

ernestoeslava / Pixabay

Vorige week blogde ik dat het Openbaar Ministerie twee kanalen van complotdenkers op chatapp Telegram had laten blokkeren. Dat leek een inzet van het logische bevel te zijn (art. 54a Strafrecht) waarmee een officier van Justitie een tussenpersoon bepaalde content offline kan laten halen – na machtiging rechter-commissaris. Maar dat bevreemdde wel, want Telegram zit niet in Nederland en staat niet bekend om zijn inschikkelijkheid naar buitenlandse autoriteiten. En nu is uitgekomen dat het gewoon een handig gebruik van de telefoon van een verdachte was.

Zoals in het oorspronkelijke bericht stond:

Afgelopen week werd er aangekondigd dat op een nieuw kanaal video’s zouden worden geplaatst met bedreigende, opruiende en lasterlijke inhoud. Daarop heeft het OM besloten om maatregelen te nemen.
Het persbericht ging daar iets nader op in:
De rechter-commissaris heeft vrijdag toestemming gegeven om de kanalen af te sluiten, zowel Bataafse Republiek en Bataafse Nieuws. Daarop heeft de politie de kanalen afgesloten, leden kunnen geen nieuwe berichten meer plaatsen.
Die ene zin had ik denk ik even gemist, als je Telegram een bevel geeft dan zeg je niet dat “de politie” de kanalen afsluit maar dat “Telegram op bevel heeft afgesloten”. Bedenk ik me nu. Want nu is het bevel zelf gepubliceerd, en daaruit blijkt dat het net iets anders ligt dan “er is een bevel aan Telegram gegeven”:
De rechter-commissaris: verleent aan de officier van justitie een machtiging tot het bevel aan een medewerker van de politie om via de telefoon van de verdachte de gegevens in de Telegram-groepen [naam groep 1], [naam groep 2] en [naam groep 3] ontoegankelijk te maken; [en] daarvan verslag te doen in een proces-verbaal en een afschrift hiervan te verstrekken aan de rechter-commissaris.
Er was dus een telefoon van een verdachte in het bezit van de politie, en vanaf die telefoon was kennelijk nog een beheerdersaccount actief voor deze Telegram-kanalen. Technisch gezien is het dan niet zo moeilijk om de kanalen te sluiten. En dit is ook een stuk effectiever dan het bedrijf in een ver buitenland (Londen en Dubai) gaan sommeren om dingen te sluiten.

Het laat wel weer zien dat in Nederland de politie best veel kan; zowel technisch als juridisch. Want voor de juristen, dit valt onder artikel 125p Wetboek van Strafvordering, het op bevel ontoegankelijk maken van gegevens, en daaronder vallen dus ook chatkanalen.

Arnoud

 

 

Politie mocht iPhone verdachte onder dwang via duim ontgrendelen

De politie heeft in een onderzoek naar een phishingbende de iPhone van een verdachte onder dwang via zijn duim mogen ontgrendelen, las ik bij Security.nl. In drie vonnissen besliste de rechtbank Noord-Holland dat deze opsporingstechniek legitiem is, ook nu er geen specifieke wettelijke regeling is. Dat bevestigt de eerdere lijn uit februari waarin ook de Marechaussee dit mocht doen.

In deze zaak ging het om verdenkingen van phishing (juridisch: diefstal in vereniging en oplichting), waarbij de verdachten in voorlopige hechtenis waren genomen. Daarbij werd een iPhone aangetroffen, die de politie wilde ontgrendelen waarvoor de vinger van de verdachte nodig was. Die weigerde dat, waarop de officier besloot dat de verdachte weerspannig was en hem liet boeien, waarna de vinger door een agent op de telefoon werd gezet. Daarna was de telefoon toegankelijk voor onderzoek.

Het juridische probleem hierachter is dat er geen specifieke regels zijn over het doorzoeken van telefoons die als bewijs in beslag zijn genomen. Dat moet eigenlijk wel, omdat dergelijke apparaten tegenwoordig veel persoonlijke informatie bevatten. Om diepgaand te treden in de privacy van een verdachte, is een wettelijke regeling nodig. Denk aan huiszoeking of snuffelen in iemands mailbox.

De Hoge Raad bepaalde in 2017 dat de politie terughoudend moet zijn met telefoondoorzoekingen. Even kijken naar “een gering aantal bepaalde gegevens” bij een concrete aanleiding kan nog net, de gehele telefoon van 0 tot 255 doornemen zou te ver gaan tenzij daar héél zwaarwegende redenen voor zijn. In de praktijk komt dit erop neer dat hoe ernstiger de verdenking, hoe verder men mag kijken.

Leuk en aardig maar als die telefoon niet open gaat, dan houdt al het onderzoek snel op. De laatste jaren is er dan ook veel discussie geweest over hoe de politie een telefoon mag open forceren als ze niet zelf de pincode of andere unlockinformatie kan achterhalen. De vinger op de sensor forceren werd al snel een centraal punt in die discussie. Is dat nu gewoon een vingerafdruk nemen (zoals al sinds jaar en dag gebeurt) of is dit iemand dwingen tegen zichzelf te getuigen?

De lijn die bij dit nemo tenetur-beginsel in mensenrecht-jurisprudentie getrokken wordt, is of de gedwongen actie iets is dat al dan niet onafhankelijk van de wil van de verdachte plaats kan vinden. Hem fotograferen of een vingerafdruk afnemen voor het dossier, is iets dat kan of hij dat nu wil of niet. Zeggen waar het lijk ligt, vereist zijn wil. Je mag in die lijn dan ook wel een verdachte dwingen in de lens te kijken of zijn vinger op een stempelkussen te duwen en daarna op een papiertje, maar niet op een kaart te markeren waar het lijk te vinden is.

Anders dan de situatie waarin verdachte wordt gedwongen de toegangscode van zijn telefoon te geven, hetgeen een verklaring van verdachte vereist, maakt het plaatsen van de duim van verdachte op zijn iPhone naar het oordeel van de rechtbank geen inbreuk op het nemo tenetur-beginsel. Het betreft hier namelijk het dulden van een onderzoeksmaatregel die geen actieve medewerking van verdachte vereist. Daar komt bij dat de vingerafdruk met een zeer geringe mate van dwang is verkregen. Dat met het plaatsen van de duim van verdachte op de iPhone toegang wordt verkregen tot mogelijk wilsafhankelijke en voor hem belastende gegevens, maakt dit naar het oordeel van de rechtbank niet anders.

De rechtbank weegt daarbij mee dat er maar weinig andere mogelijkheden waren, onder meer omdat een telefoon zich na een bepaald aantal pogingen permanent vergrendelt. En de verwachting was zeer groot dat er wat te vinden zou zijn. Dat alles bij elkaar maakt dat het ontgrendelen legitiem wordt geacht.

De uiteindelijk gevonden informatie blijkt vervolgens ook relevant voor de strafzaak. Ik ben dan nog wel benieuwd hoe dit uit zou pakken als blijkt dat de politie verkeerd zat, maar de lijn dat een vinger afdwingen mag, lijkt daarmee wel definitief gezet.

Arnoud

Australisch parlement stemt in met omstreden ‘anti-encryptiewet’

De Australische senaat heeft donderdag ingestemd met de omstreden wet die techbedrijven zoals Apple en Facebook verplicht om mee te werken bij het ongedaan maken van encryptie bij het onderscheppen van communicatie. Dat meldde Tweakers vorige week. De wet is omstreden omdat in het Angelsaksische rechtsgebied het doorbreken van encryptie door opsporingsdiensten als controversieel geldt, en deze wet de primeur heeft aldaar die er ook nog eens met trucjes doorgeduwd werd. Toch is het bepaald niet de “encryptie is nu verboden!!1!” wet die het in sommige media genoemd wordt. De regels over encryptie zijn volgens mij minder streng dan in Nederland.

De omstreden Assistance and Access-wet heeft inderdaad als gesteld doel bevoegdheden van politie en andere opsporingsdiensten te vergroten om het probleem van alomtegenwoordige encryptie op te kunnen lossen. Criminelen gebruiken encryptie om hun daden te verhullen, is dan het argument, dus moeten de diensten bij die versleutelde berichten kunnen in het belang van het onderzoek.

Een kernaspect van de wet is dan ook dat opsporingsdiensten zogeheten “technical assistance notices” en “technical capability notices” mogen sturen. Dat zijn bevelen om bepaalde technische ondersteuning te geven (assistance) maar ook om mogelijkheden in te bouwen (capability) om daarmee in de toekomst meer ondersteuning te realiseren. Dus “geef me de mailbox van Jan” is een assistance notice, maar “bouw iets in dat ik live mails van en naar Jan kan zien” is een capability notice. Met name die laatste is natuurlijk behoorlijk vérgaand, ook omdat je het gratis moet opvolgen.

Wat encryptie betreft is wel weer opgenomen dat zo’n notice niet mag leiden tot structurele verzwakking van encryptie of authenticatie. Een notice mag dus denk ik wel eisen dat een specifiek bericht wordt opengemaakt, maar niet dat standaard een achterdeur wordt ingebouwd.

Een specifiek bericht decrypten is dus een van de nieuwe bevoegdheden. In Nederland is dat helemaal niet zo nieuw, ons wetboek van strafvordering vermeldt onder meer in artikel 125k:

[Een bevel tot toegang tot gegevens kan worden gegeven in het belang van het onderzoek] indien in een geautomatiseerd werk versleutelde gegevens worden aangetroffen. Het bevel richt zich tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van versleuteling van deze gegevens.

Dit vereist wel dat een verdenking bestaat van een ernstig misdrijf (minstens vier jaar cel, en enkele specifieke strafbare feiten zoals mensenhandel). Het bevel mag overigens niet aan de verdachte worden gegeven (dit staat ter discussie)

Als het gaat om een onderzoek door een toezichthouder, dan gaat de wet nog verder. Artikel 5:20 Awb:

Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.

Hieronder valt dus ook het ongedaan maken van encryptie. De letter van de wet sluit echter zelfs niet uit dat je dingen gaat bouwen om meer structureel bij bepaalde gegevens te kunnen, maar het zou wel een gedurfde* inzet van bevoegdheden zijn om dit te vorderen.

In de praktijk hebben vrijwel alle grotere bedrijven achterdeuren in hun encryptie-infrastructuur. Dat moet ook wel, want als een sleutelhouder ontslag neemt of overlijdt dan wil je als bedrijf door kunnen. Het openen van versleutelde berichten is dus altijd technisch mogelijk. En als dat zo is, dan mag bijvoorbeeld markttoezichthouder ACM vorderen dat dit gebeurt omdat zij een bestuursrechtelijke overtreding vermoeden.

Arnoud<br/> *Gedurfd besluit: een politiek besluit waarmee je de verkiezingen verliest. Yes, minister

Apple haalt tientallen gokapps uit Nederlandse App Store

onlinegokken.jpgTientallen apps voor casino’s en sportweddenschappen zijn door Apple uit de App Store verwijderd, meldde de NOS vorige week. Dit naar aanleiding van verzoeken van de Nederlandse Kansspelautoriteit; kansspelen organiseren is immers verboden en een app die dat faciliteert dus ook. Maar toch vind ik dit gek: hoezo vráág je zoiets als toezichthouder, en dan ook nog eens aan een andere partij dan de aanbieder van die kansspelen?

In Nederland is het organiseren van kansspelen al heel lang wettelijk verboden. Er komt verandering aan, met name ten voordele van internetgokken, maar dat duurt nog even. Tot die tijd mag je dus Nederlanders niet laten gokken (althans niet als er geld te winnen is, behalve als promotioneel kansspel).

Daar kun je van alles van vinden, maar juridisch gezien lijkt het me in de haak dat de Kansspelautoriteit op zoek gaat naar overtreders en ze vervolgens een last onder dwangsom oplegt om daarmee te stoppen. Dat is immers de geëigende weg: er is een wet, er is een toezichthouder die iets een overtreding vindt en dan komt er een last (besluit met verplichting). Daar kun je dan tegen in bezwaar bij de Ksa zelf, en daarna naar de bestuursrechter.

De route die hier wordt gekozen, doet bepaald raar aan. In plaats van een besluit te nemen tegen de aanbieders van de app of het achterliggende spel, zegt de Ksa tegen Apple “volgens ons is dit illegaal, wilt u daar wat aan doen” en dan haalt Apple die apps uit de store. Ja, notice en takedown bestaat en Apple verbiedt in haar voorwaarden apps die in strijd zijn met toepasselijke wetgeving. Dus Apple staat in haar recht, volgens mij.

Alleen: ik blijf erbij dat een overheidsinstantie niet mag vragen. Niet kán vragen. Natuurlijk, ze kunnen dingen in de vragende vorm formuleren en er bij zeggen dat het geen verplichting is et cetera et cetera. Maar uiteindelijk blijft het een uitspraak van een overheidsinstantie die een paar stevige knuppels in de kast heeft staan. En dan komt het toch een heel eind over als een bevel.

Dat is dus waarom we die constructie hebben van besluiten, bezwaar en beroep bij de rechter. Net als in het strafrecht, waar de politie geen dingen vraagt maar ze vordert. Bij die vorderingen staan grenzen en procedures in de wet (met name het wetboek van Strafvordering), en die heeft men dan te volgen. Zo weten we dat de gevorderde zaken legaal zijn en netjes verlopen. En als dat niet gebeurt, dan kan de rechter daar wat mee doen.

Hier gaat het mis. De aanbieders van de apps kunnen niets doen tegen de Ksa, want formeel is er geen besluit tegen ze genomen dat die apps illegaal zijn. Ook kunnen ze niet protesteren bij Apple, want Apple mag immers doen wat haar goeddunkt zo staat in de voorwaarden (en bij zakelijke partijen is dat in principe legaal om in je voorwaarden te zetten). Maar raar is het wel.

Arnoud

Geen uitspraak over IP-bevriesbevel, dat schiet niet op natuurlijk

Grmbl. Weet u nog, die zaak uit 2011 waarin IP-beheersclub RIPE een rechtszaak begon tegen het OM vanwege een IP-adresbevriesbevel? Het vonnis is er, maar wat een teleurstelling: géén inhoudelijke uitspraak of het mag maar een afwijzing op de formele grond dat RIPE “onvoldoende belang” heeft bij de ingestelde eis.

In 2011 werd RIPE bevolen een aantal IP-adressen te “bevriezen”, omdat deze gebruikt zouden worden bij een crimineel botnet. Klinkt nobel, alleen: waar staat in het wetboek dat de politie zo’n bevel mag geven? Een specifiek artikel dat hierover gaat, is er niet, dus de byte_fightende officier van Justitie gooide het op artikel 2 Politiewet. Dit artikel omschrijft in algemene bewoordingen de taak van de politie: zorgen voor de daadwerkelijke handhaving van de rechtsorde.

Ja, dat is heel generiek en het was dan ook terecht dat RIPE zich afvroeg of daarmee wel een rechtsgeldig bevel gegeven kan worden om IP-adressen te blokkeren. We hebben immers voor iets andere categorieën van data bevriezen hele specifieke regelingen (artikel 126ni Strafvordering en nog een paar). En zo’n specifieke regeling is belangrijk, omdat de politie (waar het gaat om grondrechten) alléén dingen mag bevelen met zo’n specifieke regeling. Dus hoezo kan het dan juist voor IP-adressen zonder regeling, gewoon met de kapstok van artikel 2?

De rechtbank wijst de eis af vanwege een formeel argument: je moet als eiser wel “voldoende belang” hebben bij je eis, een theoretisch interessante maar niet direct dringende kwestie is niet genoeg. RIPE had op zeker moment de bevriezing eraf gehaald, en hoewel de officier enige boze piepgeluiden had gemaakt, werd er niet daadwerkelijk vervolgd noch was daar een reële dreiging voor. Zonder zo’n dreiging kun je niet preventief naar de rechter rennen en vragen of deze wil verklaren of de officier je wel mág vervolgen. En omdat er dus geen reële, concrete aanleiding (meer) is dat de officier iets gaat doen dat hij misschien niet mag, wil de rechter niet nader ingaan op de vragen van RIPE.

Buitengewoon frustrerend dit. En nee, het betekent niet dat de officier dit soort bevelen dus wél mag geven (of dat het niet mag) maar alleen dat de rechtbank het een té theoretisch verhaal vindt. De volgende keer moet RIPE dus bij de eerste wapper met zo’n bevel de agent in kwestie de deur wijzen, hopen dat de officier dan concreet gaat dreigen met dwangmiddelen en dán snel opnieuw de procedure opstarten.

Arnoud

Politie vraagt verwijdering opruiende tekst, mag dat wel?

politie-verzoek-verwijderen-bevelDe Nationale Recherche eist dat Publicintelligence.net stopt met het publiceren van het magazine Inspire, meldde Webwereld gisteren. De site zou opruiende informatie publiceren, die volgens de KLPD tegen de wet is. Als de publicatie niet vrijwillig gestaakt wordt, zal de server offline gehaald worden, dreigt de brief. Alleen: dat mag de politie helemaal niet.

In de takedownbrief (stijlloze spiegel) is te lezen dat het gaat om een magazine “Inspire” dat opruiende inhoud gerelateerd aan Al-Qa’ida zou hebben. Dergelijke inhoud kan strafbaar zijn, als deze concreet aanzet of oproept tot geweld. In 2007 werd een vrouw veroordeeld voor opruiing omdat ze had gelinkt naar vergelijkbare teksten.

Zoals al bij de Crimesite-zaak van januari aan de orde kwam: de politie mag niet vrijwillig vragen om dingen te verwijderen of af te geven. Haar bevoegdheden (en die van het OM) zijn geregeld in de strafwet, en ze moeten daar gebruik van maken. Vrijwillig vragen om iets dat ze niet mogen vorderen botst daarmee. Dat blijkt onder meer uit een arrest uit 2007 van de Hoge Raad. (Toegegeven, dat ging om persoonsgegevens en niet om publicaties, maar het gaat om het principe.)

In dit geval is de enige grondslag artikel 54a Strafrecht, dat de Officier van Justitie (na machtiging van de rechter-commissaris) de bevoegdheid geeft verwijdering te eisen. De politie heeft géén bevoegdheid om dit te doen. En wat ze niet mag vorderen, mag ze ook niet vragen. Terecht dan ook dat hostingpartij EuroVPS weigert de site te sluiten.

Arnoud

Machtiging rechter-commissaris bij strafbare uitingen echt nodig

wetboek-strafvordering-2009-2010.pngEen webhoster hoeft smadelijke berichten niet te verwijderen als het OM dat eist, tenzij er een machtiging van de rechter-commissaris bij zit. Dat blijkt uit een recent vonnis van de rechtbank in Assen. Die rechtbank oordeelde in 2008 net zo, maar het OM was in hoger beroep gegaan en de zaak werd terugverwezen voor een nieuw vonnis, dat dus identiek is aan het vorige.

In feite is de zaak zo simpel dat ik niet snap waarom deze hele toestand nodig was. Op een website stond een vermeend lasterlijke uiting over een advocaat. Het OM had de webhoster (Budget Webhosting) gesommeerd deze te verwijderen, maar zo’n bevel mag op grond van artikel 54a Wetboek van Strafrecht alleen worden gegeven als de rechter-commissaris daar toestemming voor heeft gegeven. En die was er niet.

in het Dagblad van het Noorden zegt de Officier van Justitie boos:

“In Assen verleent de rechter-commissaris gewoon geen toestemming. Daarmee is dit wetsartikel in feite geschrapt, want dit vonnis is nu de standaard”, aldus officier van justitie Jan Hoekman.

Dat lijkt terug te komen in het vonnis als:

De officier van justitie heeft zich op het standpunt gesteld dat de vereiste machtiging wel aan de rechter-commissaris is gevraagd doch dat de rechter-commissaris op formele/principiële gronden tot niet ontvankelijkheid van het OM heeft beslist. Een inhoudelijke toetsing heeft niet plaatsgevonden door de rechter-commissaris.

Er is echter geen manier voor een OvJ om in beroep of bezwaar te gaan tegen zo’n beslissing. Dat verklaart zo te lezen waarom deze officier toch de strafzaak heeft doorgezet. Echter, de rechtbank vindt dat geen argument om dan de provider toch maar te gaan vervolgen: deze moet kunnen afgaan op de wet, en als daarin staat dat er een machtiging van de R-C moet zijn dan moet die er zijn, anders is de provider niet gehouden het bevel op te volgen.

Oftewel: jammer voor die OvJ dat men in Assen kennelijk alleen koppige Drenten als rechters-commissaris (rechter-commissarissen?) heeft zitten maar het alternatief is dat de officier in strijd met de wet bevelen mag geven tot weghalen van teksten.

Update (9 januari 2010): zie ook het TILT-rapport ‘Wat niet weg is, is gezien’ met achtergrond van art. 54a Strafrecht en de (on)mogelijkheiden voor het OM bij weigerachtige R-Cs.

Update (30 augustus 2014) de Hoge Raad beslist dat ook de provider niet in beroep of bezwaar kan als hij gehoor gaf aan het bevel en de officier vervolgens de zaak seponeert tegen de plaatser.

Arnoud