Rechter staat ontsleutelde berichten van pgp-smartphones toe als bewijs

| AE 10547 | Regulering | 14 reacties

De rechtbank in Amsterdam heeft een crimineel veroordeeld mede op basis van informatie die werd verkregen door het ontsleutelen van een grote hoeveelheid berichten die via pgp-telefoons werden verstuurd. Dat meldde Tweakers vorige week. Uit het ontsleutelde berichtenverkeer blijkt hoe de verdachte een sturende rol had bij een liquidatiepoging en hoe de schutters aan hem verantwoording moesten afleggen toen die poging mislukte. Het is voor zover ik weet de eerste keer dat ontsleuteld PGP-verkeer als bewijs is gebruikt in een strafzaak.

De uitspraak is een uitvloeisel uit de Ennetcom-zaak uit 2016. Ennetcom is een Nederlands bedrijf dat met PGP (Pretty Good Privacy) beveiligde BlackBerry-telefoons aanbood. Hiermee kunnen gebruikers in principe onkraakbare e-mails en dergelijke berichten sturen. Deze systemen gebruiken servers in Canada. Na een inval bij het bedrijf kreeg men de Canadese rechter zo ver beslag op die servers en bijbehorende data te leggen, om zo deze inhoud te kunnen gebruiken voor forensisch onderzoek in strafzaken waarbij verdachten deze telefoons gebruikten.

Dat was bijzonder prettig voor Justitie, want die servers bevatten cruciale informatie over sleutelmanagement waarmee het ineens heel eenvoudig werd om het theoretisch haast onkraakbare PGP te verwijderen van berichten. Kort gezegd, die informatie helpt het aantal mogelijke sleutels te reduceren tot enkele honderdduizenden per bericht, iets dat een beetje computer in de lunchpauze kan nalopen. De inhoud van die berichten is dan ineens beschikbaar in een strafzaak.

De Canadese rechter wees dat toe, maar beperkte de toegang tot specifieke berichten voor specifieke strafzaken om te voorkomen dat de Nederlandse autoriteiten een ‘fishing expedition’ zouden gaan uitvoeren in deze grote hoeveelheid data. Per verzoek zou een Nederlandse rechter een bevel moeten afgeven. Dat was nog even ingewikkeld, want het Nederlands recht kent het concept van een court order eigenlijk helemaal niet. Bij ons toetst de rechter-commissaris bevelen van de officier van justitie, dat is een andere manier van werken. Uiteindelijk kwam men uit bij de mogelijkheid van een bevel onder het Wetboek van Strafvordering tot toegang tot opgeslagen data bij een provider (artikel 126ng), dat door de rechter-commissaris moet worden goedgekeurd. Dit bleek genoeg voor de Canadese rechter.

In deze zaak werden ook een aantal PGP berichten gevonden in het opsporingstraject, die met de Canadese informatie konden worden ontsleuteld. Dat bleek een cruciale stap: de berichten lieten zien welke belangrijke rol de verdachte had in de onderzochte liquidatiepoging.

Het bezwaar van de verdediging betrof de manier waarop deze berichten te pakken waren gekregen. Dat artikel 126ng zou de verkeerde grondslag zijn geweest, er is op de verkeerde manier gewerkt en er zou te weinig toezicht zijn geweest vanuit de rechter-commissaris. En nog veel meer, zo veel dat de rechtbank korzelig opmerkt “dat het niet eenvoudig is geweest tot een begrijpelijke samenvatting van de verschillende onderdelen van het door [de advocaat] gevoerde verweer te komen.” Ik ga dat zelf dan ook niet doen, vooral omdat de rechtbank héél snel klaar is met de analyse:

De gekozen constructie biedt voldoende waarborgen om voor zoveel mogelijk tegemoet te komen aan de privacy-belangen van de overige Ennetcom-gebruikers. Naar het oordeel van de rechtbank is dan ook sprake van een rechtmatige constructie om te beoordelen of binnen het onderzoek Tandem toegang verleend kan worden tot de Ennetcom?data.

Dat is voor de juridische theorie een tikje jammer, want nu weet je niet waar de grenzen liggen. Maar ik kan zo snel geen inhoudelijk tegenargument bedenken. Die data is legaal in Canada door de politie aldaar in beslag genomen, en wordt onder toeziend oog van twéé gerechtelijke instanties vrijgegeven conform specifieke regels waardoor er niet kan worden gegrasduind. Ook hier wordt er met een specifiek protocol op verder gewerkt.

Een terecht punt van de verdediging was wel dat er tussen de verkregen berichten communicatie van en naar de advocaat aanwezig was. Dat mag natuurlijk niet, dergelijke communicatie is beschermd en mag niet onder ogen van de politie komen.

Probleem was wel dat in deze brondata die communicatie niet evident als zodanig te herkennen is. Er waren geen zakelijke mailadressen van de advocaat gebruikt of andere identifiers waarmee je dit vooraf weg kon filteren. Er was wel een communicatiepartij die als “adv” bekend stond, maar moet je daaruit concluderen dat je te maken hebt met een Nederlandse advocaat wiens communicatie vertrouwelijk moet blijven? De rechtbank vindt dat te ver gaan.

Ook als aangenomen wordt dat deze ‘adv’ een advocaat is, betekent dat niet dat deze berichten niet in het dossier mochten worden gevoegd. Onder omstandigheden, bijvoorbeeld als moedwillig slordig met de inhoud van de berichten wordt omgesprongen door deze zonder restricties uit handen te geven, bestaat daartegen geen bezwaar. Met betrekking tot de berichten van ‘adv’ die in het dossier zitten, geldt dat die tussen twee onbekende PGP-gebruikers zijn doorgezonden, zonder dat daarbij een beperking is aangebracht. Ten aanzien van deze berichten is geen sprake van een vormverzuim.

Na het beslag op de Canadese server en data heeft de politie een bericht uitgestuurd waarin staat dat verschoningsgerechtigden (zoals advocaten) zich konden melden, waarna hun berichten als geheim zouden worden gemarkeerd. Klinkt netjes, nietwaar? Maar geen advocaat die reageerde – terecht, want dan onthul je immers dat je via dat netwerk communicatie met je cliënt had en dat suggereert dat die cliënt misschien maar eens onderzocht moest worden.

Dit alles levert echter geen onherstelbaar vormverzuim op. Ik zou zelf ook niet weten wat je méér had moeten doen als OM om uit te sluiten dat er advocaatcommunicatie in zo’n bestand zit. De berichten werden nu echter eruit gehaald door een niet bij de zaak betrokken officier.

Wél een vormverzuim deed zich voor bij een aantal notities (ik denk conceptberichten) die begonnen met “Geachte Mr Inez Weski” maar nooit waren verzonden naar deze advocaat. Hoewel je strikt gesproken dan niet spreekt van communicatie met een advocaat, valt ook zo’n concept onder de geheimhouding voor advocaten. Dit bericht was evident voor een advocaat bedoeld en had dus verwijderd moeten zijn. Dat vormverzuim is ernstig: die berichten hadden nooit in het dossier moeten zitten, en moeten dus verwijderd worden. Bewijs dat daaruit afgeleid is, wordt daarmee uitgesloten.

Arnoud

Mag je stiekem de algemene ledenvergadering filmen?

| AE 9736 | Privacy | 10 reacties

Een lezer vroeg me:

Bij de afgelopen algemene ledenvergadering van onze vereniging bleek iemand stiekem beeld- en geluidsopnamen te hebben gemaakt. Toen hij daarop aangesproken werd, verdedigde hij zich met het argument dat hij bewijs wilde verzamelen van wat er werd gezegd, omdat hij de notulen niet vertrouwde. Staat hij in zijn recht?

In principe heb je inderdaad het recht om zelfstandig bewijs te vergaren van wat er op een vergadering wordt gezegd. De klassieke manier was je eigen aantekeningen van het gesprek te maken, maar daarmee sta je natuurlijk niet heel sterk als de officiële notulen iets anders zeggen. Geluidsopnamen zijn sterker, en helemaal als je er beeld bij hebt.

Het opnemen van beeld en geluid in een vergadering is juridisch echter problematisch. Een ALV is meestal een besloten gebeurtenis, en de wet is vrij streng in stiekem maken van opnames in zo’n situatie. Het stiekem maken van afbeeldingen van mensen is bijvoorbeeld strafbaar (art. 139f Strafrecht), net als het stiekem afluisteren van gesprekken (art. 139a Strafrecht), hoewel bij dat laatste je niet strafbaar bent als deelnemer. Kort en goed: de camera moet worden gemeld maar de microfoon mag stiekem aan.

Wel zal zo’n opname vallen onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming. Beeld en geluid maken waarop mensen herkenbaar te zien/horen zijn, vormt een verwerking van persoonsgegevens. En omdat die meer is dan een zuiver huishoudelijke vastlegging, moet je je daarbij gewoon aan de regels uit de wet houden. (Ja, ook als je zegt dat dit een journalistieke verwerking is.)

Toestemming is niet perse nodig, maar als je zonder toestemming deze opnames maakt dan moet je wel een duidelijke rechtvaardiging hebben én doen wat je kunt om de privacyimpact bij andere mensen te minimaliseren. Publiceren van die beelden zal dus in principe niet kunnen, maar stukjes als bewijs overleggen bij een geschil kan denk ik wel. Daarnaast moet je de beelden natuurlijk veilig opslaan tegen datalekken, en moet je mensen informeren over wat je doet met de beelden.

Alles bij elkaar denk ik dat het nog knap lastig wordt om dit goed te doen als individueel lid. Misschien is het dan ook beter om de ALV te verzoeken standaard geluidsopnames te maken die de secretaris goed bewaart, zodat bij geschillen dingen teruggeluisterd kunnen worden?

Arnoud

Terugblik: Mag een stiekem gemaakte geluidsopname gebruikt worden als bewijs?

| AE 9559 | Regulering | 9 reacties

Vanwege mijn vakantie deze week geen nieuwe blogs. In plaats daarvan een terugblik op de afgelopen tien jaar: ik heb vijf populaire blogs geselecteerd en kijk er anno 2017 graag nog eens naar met jullie.

Vandaag: Mag een stiekem gemaakte geluidsopname gebruikt worden als bewijs?, met bijna 100 reacties en 85.000 views (robots niet meegeteld) een zeer populair onderwerp kennelijk.

Regelmatig krijg ik in diverse varianten de vraag of een stiekem gemaakte geluidsopname van een gesprek gebruikt mag worden als bewijs. Dit meestal naar aanleiding van mijn artikel Opnemen van gesprekken, waarin dat met zoveel woorden staat:

Een telefoongesprek opnemen dat je zelf voert, mag je dus opnemen – ook wanneer je dat niet meldt aan de tegenpartij. Alleen het heimelijk opnemen van zo’n gesprek zonder deelnemer te zijn is dus strafbaar (tenzij je toestemming hebt van één van de deelnemers).

Gebruik als bewijs is eigenlijk altijd toegestaan. In het gewone (civiele) recht gelden namelijk geen specifieke eisen voor hoe het bewijs verkregen mag zijn. De rechter mag zelf alles beoordelen op de merites. Hij hoeft bewijs niet uit te sluiten omdat het een stiekeme opname is. Wel zou hij het bewijs anders kunnen waarderen: een informeel gesprekje op de vrijmibo zal minder bewijskracht hebben over de intenties van een bedrijf dan een formele verklaring van de directie bij een persconferentie. Maar dat gaat dan over de inhoud, niet over de vorm.

Toch hoor ik nog regelmatig dat mensen zeggen, dit is onrechtmatig verkregen bewijs en dus onbruikbaar. Dat klopt dus niet, naar Nederlands recht. Te veel Amerikaanse rechtbankseries gekeken. En nee, ook niet als een agent het zegt: ook in strafzaken mogen stiekeme opnames worden gebruikt als bewijs. Alleen opnames gemaakt door de politie zijn onrechtmatig verkregen bewijs als er geen taplast of andere toestemming conform het Wetboek van Strafvordering is gegeven.

Er is wel een grens: als er sprake is van inbreuk op iemands privacy en die inbreuk “rechtens ontoelaatbaar” is. Dat is een vrij hoge lat, waar je bij zakelijke gesprekken niet snel aan zult zitten. Héél misschien bij een rechtszaak over een echtscheiding, maar zelfs daar geen garanties. Ik heb in ieder geval nog steeds geen vonnis gevonden waarin een illegale gespreksopname als bewijs terzijde werd geschoven vanwege deze grond. (Vanwege kwaliteitsproblemen, authenticiteitsproblemen of gewoon te weinig concreets, ja dat wel.)

Voor bedrijven die gesprekken opnemen, geldt natuurlijk wel de privacywet (Wbp en straks AVG). Zij moeten mensen melden dat ze gesprekken opnemen en waarom, moeten op verzoek een kopie van de opname verstrekken en moeten opnames goed beveiligen. Maar ook wanneer die wet wordt geschonden, mag de opname als bewijs worden gebruikt. Dat er dan een boete voor het schenden van de privacywet volgt, staat daar helemaal los van.

Arnoud

Hoe je vooral niet bewijst dat iemand wat kocht in je webwinkel

| AE 9394 | Ondernemingsvrijheid | 13 reacties

Voorbeeld van een incassozaak van een onderneming die een gecedeerde vordering op basis van een te gebrekkig aanvangsdossier dan wel te gebrekkige vertaling daarvan in de eigen processtukken laat sneuvelen. Een ambtelijke samenvatting van een recent vonnis dat in heerlijke taal een incassopartij werkelijk tot op de enkels affakkelt. Maar met tussen de regels door… Lees verder

Rechter staat gekraakte PGP-berichten van telefoon toe als bewijs

| AE 9392 | Regulering | 15 reacties

Het Openbaar Ministerie (OM) mag de inhoud van versleutelde berichten uit speciale telefoons gebruiken als bewijs in strafzaken, las ik bij Nu.nl. De Blackberry van een verdachte in een grote drugszaak had PGP gebruikt om zijn berichten te versleutelen, en het OM wist die te kraken. Het verweer in deze zaak sluit aan bij de… Lees verder

Rechter veroordeelt webcamafperser ondanks claims over dubieuze keylogger

| AE 9320 | Regulering | 16 reacties

Een man is strafrechtelijk veroordeeld op basis van bewijs verkregen met een politie-keylogger. Dat meldde Tweakers vorige week. De politie heeft eind 2013 de woning van de man in het geheim betreden, waarbij op de aangetroffen laptop en desktop een keylogger werd geïnstalleerd. Zo kreeg men inzicht in zijn internetgedrag en pogingen dat te verhullen…. Lees verder

Kan de blockchain je makerschap en auteursrecht bewijzen?

| AE 9097 | Innovatie, Intellectuele rechten | 13 reacties

Een lezer vroeg me: Bewijzen dat je auteur bent van een werk, blijft een lastige. Nu zie ik mogelijkheden om dat in de blockchain vast te leggen. Hoe juridisch houdbaar zou dat zijn? De wet stelt geen eisen aan het bewijs dat je auteursrecht hebt. Bewijs mag met alle middelen worden geleverd (art. 152 Rechtsvordering)…. Lees verder

Hoe bewijs je dat een ontsleuteld bestand echt is?

| AE 8981 | Regulering | 34 reacties

Een lezer vroeg me: Als er bij een strafzaak versleutelde bestanden worden aangetroffen, kunnen deze in ontsleutelde vorm dan als bewijs dienen? Immers je kunt niet 100% vaststellen dat de gebruikte sleutel echt is, en in theorie is het dan mogelijk dat de deskundige die de ontsleuteling uitvoert, iets anders eruit haalt dan er in… Lees verder

Hoe bewijs ik dat iemand een handtekening heeft gezet?

| AE 8854 | Informatiemaatschappij | 22 reacties

Een lezer vroeg me: Onlangs ben ik aangereden door een bedrijfswagen en ik heb daar (zo bleek achteraf) een whiplash aan overgehouden. De twee inzittenden hebben destijds dat schadeformulier getekend, maar ontkennen nu dat ze die handtekening hebben gezet. Omdat ik achter hen reed (maar zij écht fout zaten) is dit cruciaal. Hoe houd ik… Lees verder