Rechter staat ontsleutelde berichten van pgp-smartphones toe als bewijs

| AE 10547 | Regulering | 14 reacties

De rechtbank in Amsterdam heeft een crimineel veroordeeld mede op basis van informatie die werd verkregen door het ontsleutelen van een grote hoeveelheid berichten die via pgp-telefoons werden verstuurd. Dat meldde Tweakers vorige week. Uit het ontsleutelde berichtenverkeer blijkt hoe de verdachte een sturende rol had bij een liquidatiepoging en hoe de schutters aan hem verantwoording moesten afleggen toen die poging mislukte. Het is voor zover ik weet de eerste keer dat ontsleuteld PGP-verkeer als bewijs is gebruikt in een strafzaak.

De uitspraak is een uitvloeisel uit de Ennetcom-zaak uit 2016. Ennetcom is een Nederlands bedrijf dat met PGP (Pretty Good Privacy) beveiligde BlackBerry-telefoons aanbood. Hiermee kunnen gebruikers in principe onkraakbare e-mails en dergelijke berichten sturen. Deze systemen gebruiken servers in Canada. Na een inval bij het bedrijf kreeg men de Canadese rechter zo ver beslag op die servers en bijbehorende data te leggen, om zo deze inhoud te kunnen gebruiken voor forensisch onderzoek in strafzaken waarbij verdachten deze telefoons gebruikten.

Dat was bijzonder prettig voor Justitie, want die servers bevatten cruciale informatie over sleutelmanagement waarmee het ineens heel eenvoudig werd om het theoretisch haast onkraakbare PGP te verwijderen van berichten. Kort gezegd, die informatie helpt het aantal mogelijke sleutels te reduceren tot enkele honderdduizenden per bericht, iets dat een beetje computer in de lunchpauze kan nalopen. De inhoud van die berichten is dan ineens beschikbaar in een strafzaak.

De Canadese rechter wees dat toe, maar beperkte de toegang tot specifieke berichten voor specifieke strafzaken om te voorkomen dat de Nederlandse autoriteiten een ‘fishing expedition’ zouden gaan uitvoeren in deze grote hoeveelheid data. Per verzoek zou een Nederlandse rechter een bevel moeten afgeven. Dat was nog even ingewikkeld, want het Nederlands recht kent het concept van een court order eigenlijk helemaal niet. Bij ons toetst de rechter-commissaris bevelen van de officier van justitie, dat is een andere manier van werken. Uiteindelijk kwam men uit bij de mogelijkheid van een bevel onder het Wetboek van Strafvordering tot toegang tot opgeslagen data bij een provider (artikel 126ng), dat door de rechter-commissaris moet worden goedgekeurd. Dit bleek genoeg voor de Canadese rechter.

In deze zaak werden ook een aantal PGP berichten gevonden in het opsporingstraject, die met de Canadese informatie konden worden ontsleuteld. Dat bleek een cruciale stap: de berichten lieten zien welke belangrijke rol de verdachte had in de onderzochte liquidatiepoging.

Het bezwaar van de verdediging betrof de manier waarop deze berichten te pakken waren gekregen. Dat artikel 126ng zou de verkeerde grondslag zijn geweest, er is op de verkeerde manier gewerkt en er zou te weinig toezicht zijn geweest vanuit de rechter-commissaris. En nog veel meer, zo veel dat de rechtbank korzelig opmerkt “dat het niet eenvoudig is geweest tot een begrijpelijke samenvatting van de verschillende onderdelen van het door [de advocaat] gevoerde verweer te komen.” Ik ga dat zelf dan ook niet doen, vooral omdat de rechtbank héél snel klaar is met de analyse:

De gekozen constructie biedt voldoende waarborgen om voor zoveel mogelijk tegemoet te komen aan de privacy-belangen van de overige Ennetcom-gebruikers. Naar het oordeel van de rechtbank is dan ook sprake van een rechtmatige constructie om te beoordelen of binnen het onderzoek Tandem toegang verleend kan worden tot de Ennetcom?data.

Dat is voor de juridische theorie een tikje jammer, want nu weet je niet waar de grenzen liggen. Maar ik kan zo snel geen inhoudelijk tegenargument bedenken. Die data is legaal in Canada door de politie aldaar in beslag genomen, en wordt onder toeziend oog van twéé gerechtelijke instanties vrijgegeven conform specifieke regels waardoor er niet kan worden gegrasduind. Ook hier wordt er met een specifiek protocol op verder gewerkt.

Een terecht punt van de verdediging was wel dat er tussen de verkregen berichten communicatie van en naar de advocaat aanwezig was. Dat mag natuurlijk niet, dergelijke communicatie is beschermd en mag niet onder ogen van de politie komen.

Probleem was wel dat in deze brondata die communicatie niet evident als zodanig te herkennen is. Er waren geen zakelijke mailadressen van de advocaat gebruikt of andere identifiers waarmee je dit vooraf weg kon filteren. Er was wel een communicatiepartij die als “adv” bekend stond, maar moet je daaruit concluderen dat je te maken hebt met een Nederlandse advocaat wiens communicatie vertrouwelijk moet blijven? De rechtbank vindt dat te ver gaan.

Ook als aangenomen wordt dat deze ‘adv’ een advocaat is, betekent dat niet dat deze berichten niet in het dossier mochten worden gevoegd. Onder omstandigheden, bijvoorbeeld als moedwillig slordig met de inhoud van de berichten wordt omgesprongen door deze zonder restricties uit handen te geven, bestaat daartegen geen bezwaar. Met betrekking tot de berichten van ‘adv’ die in het dossier zitten, geldt dat die tussen twee onbekende PGP-gebruikers zijn doorgezonden, zonder dat daarbij een beperking is aangebracht. Ten aanzien van deze berichten is geen sprake van een vormverzuim.

Na het beslag op de Canadese server en data heeft de politie een bericht uitgestuurd waarin staat dat verschoningsgerechtigden (zoals advocaten) zich konden melden, waarna hun berichten als geheim zouden worden gemarkeerd. Klinkt netjes, nietwaar? Maar geen advocaat die reageerde – terecht, want dan onthul je immers dat je via dat netwerk communicatie met je cliënt had en dat suggereert dat die cliënt misschien maar eens onderzocht moest worden.

Dit alles levert echter geen onherstelbaar vormverzuim op. Ik zou zelf ook niet weten wat je méér had moeten doen als OM om uit te sluiten dat er advocaatcommunicatie in zo’n bestand zit. De berichten werden nu echter eruit gehaald door een niet bij de zaak betrokken officier.

Wél een vormverzuim deed zich voor bij een aantal notities (ik denk conceptberichten) die begonnen met “Geachte Mr Inez Weski” maar nooit waren verzonden naar deze advocaat. Hoewel je strikt gesproken dan niet spreekt van communicatie met een advocaat, valt ook zo’n concept onder de geheimhouding voor advocaten. Dit bericht was evident voor een advocaat bedoeld en had dus verwijderd moeten zijn. Dat vormverzuim is ernstig: die berichten hadden nooit in het dossier moeten zitten, en moeten dus verwijderd worden. Bewijs dat daaruit afgeleid is, wordt daarmee uitgesloten.

Arnoud

‘Amerikaanse politie ontgrendelt iPhones met vingers overledenen’

| AE 10476 | Regulering | 13 reacties

Politiediensten in de VS zouden regelmatig iPhones met de Touch ID-beveiliging ontgrendelen, door de vinger van overledenen op de vingerafdrukscanner te houden. Dat meldde Tweakers vorige week. De reden erachter zou zijn dat men zo een stuk goedkoper die telefoon kan ontgrendelen, een forensisch specialist is duur en Apple werkt zelf niet mee zonder gerechtelijk bevel. Helaas werkte het niet in het recentste geval, omdat ook een pincode nodig was. Desondanks: handige jongens die agenten, maar is het legaal?

Een risico van biometrische gegevens voor identificatie of authenticatie is altijd dat die gegevens tegen de wil van de eigenaar kunnen worden verkregen. Juridisch gezien ligt het namelijk nogal anders of je iemands wachtwoord opeist of iemands vingerafdruk. Een wachtwoord is een stukje kennis, iets dat men weet. Kennis opeisen van een verdachte ligt moeilijk vanwege het verbod om tegen jezelf te getuigen. Maar medewerking eisen aan een fysieke handeling – ga deze kamer in, ga hier zitten, leg je vinger op dit stempelkussen en nu op dit papier – is lang aanvaard als een legitieme bevoegdheid.

Het doet hier vooral raar aan omdat deze persoon overleden is. Juridisch gezien is de status van een overleden persoon altijd wat ingewikkeld, maar in de praktijk worden dingen er vooral simpeler op. Een overleden persoon heeft bijvoorbeeld geen privacyrechten – de AVG en andere privacywetgeving geldt alleen voor levende mensen (“natuurlijke personen”) en dus niet voor overledenen.

Maar in het strafrecht ligt dat anders: als iemand overlijdt, dan stopt de strafvervolging (art. 69 Strafrecht). Daarmee komt in principe ook een einde aan de bevoegdheid om de voor die vervolging gebruikte bewijsmiddelen te doorzoeken. Maar niet helemaal: die gegevens kunnen immers ook voor andere onderzoeken nog relevant zijn, en daarom mogen ze langer (tot twee jaar na overlijden, art. 6 Wet justitiële en strafvorderlijke gegevens) bewaard worden.

Ik kan in het Nederlands recht niets vinden dat de bevoegdheid geeft om de vinger van een overledene op een telefoon te plaatsen om die daarmee te unlocken. Ik denk dat het mag, omdat niets het verbiedt en het niet raakt aan de privacy van de eigenaar – die is immers overleden en hééft dus geen privacy meer. Hoe cru dat ook klinkt. Dit is dus een uitzondering op de regel dat men telefoons niet zomaar mag doorzoeken.

Arnoud

Politie werkt aan Pokémon Go-achtige app voor opsporing gestolen auto’s

| AE 9727 | Regulering | 48 reacties

De Nederlandse politie werkt aan een Pokémon Go-achtige app genaamd Automon waarmee burgers kentekens kunnen scannen en punten krijgen voor een ‘hit’. Dat meldde Tweakers onlangs. De app gaat een overlay tonen met informatie uit politieregisters over het al dan niet gestolen zijn van de auto op basis van kenteken. Maar wacht even, mogen burgers op die manier wel door de politie worden ingeschakeld?

In principe mogen burgers natuurlijk helpen bij de opsporing van gestolen goederen, zoals auto’s. Wie auto ziet en reden heeft te vermoeden dat die gestolen is, heeft natuurlijk het volste recht daar aangifte van te doen. En dat mag ook zijn op basis van iemands bericht op internet “Mijn auto met kenteken XX-123-XX is gestolen, wie ziet hem”. Of met een app die helpt met dergelijke informatie gestructureerd te verschaffen.

Anders ligt het als de politie een burger opdraagt of verzoekt bepaalde informatie te achterhalen. In dat geval valt diens handelen onder dezelfde regels als die voor de politie zelf gelden. Een door de politie ingehuurde IT-specialist mag dus niet ineens computervredebreuk plegen, het daardoor verkregen bewijs zou onrechtmatig zijn. Terwijl als die IT-er dat ongevraagd deed, het bewijs wél bruikbaar was (maar hij natuurlijk nog steeds wel strafbaar.)

Met een app als deze zit je ergens in het midden. Enerzijds vraagt de politie je om mee te helpen, anderzijds zou je dit een nogal ongerichte vraag kunnen noemen. Dit is geen inhuuropdracht, meer een “Opsporing verzocht” in een nieuw jasje. En er is niets mis met kijken naar Opsporing Verzocht en dan driftig gaan zoeken naar auto’s met het genoemde kenteken, dus waarom zou dat bij een app anders zijn?

Wat mij eigenlijk vooral interesseert, is met welke database deze app praat. Er is of komt dus een database met daarin kentekens en “gestolen ja/nee”, en die app kan daarbij. Die database lijkt me dan publieke informatie te noemen, want iedereen die de betreffende API call weet, kan die informatie ophalen. Dat voelt wel opmerkelijk, dat die informatie openbaar zou zijn?

Arnoud

Politie mag smartphones van verdachten niet zomaar meer doorzoeken

| AE 9370 | Privacy | 25 reacties

De Hoge Raad heeft grenzen gesteld aan het politieonderzoek naar smartphones van verdachten. Dat meldde Nu.nl vorige week. De politie mag een smartphone doorzoeken als dit niet verder gaat dan een beperkte inbreuk op de privacy. De huidige praktijk van iemands telefoon compleet leegtrekken en doorzoeken staat daar op gespannen voet mee, eigenlijk moet daar… Lees verder

Rechter veroordeelt webcamafperser ondanks claims over dubieuze keylogger

| AE 9320 | Regulering | 16 reacties

Een man is strafrechtelijk veroordeeld op basis van bewijs verkregen met een politie-keylogger. Dat meldde Tweakers vorige week. De politie heeft eind 2013 de woning van de man in het geheim betreden, waarbij op de aangetroffen laptop en desktop een keylogger werd geïnstalleerd. Zo kreeg men inzicht in zijn internetgedrag en pogingen dat te verhullen…. Lees verder

Politie krijgt tien nieuwe teams om cybercriminaliteit te bestrijden

| AE 9187 | Regulering | 65 reacties

De politie gaat tien nieuwe cyberteams oprichten om cybercriminaliteit beter te kunnen bestrijden. Dat las ik bij Nu.nl. De teams gaan uit minimaal tien rechercheurs bestaan, die al in dienst zijn bij de politie. Zij worden ondersteund door digitaal specialisten die beschikken over specifieke ICT-kennis. NRC vult aan dat de focus mede komt te liggen… Lees verder

Tweede Kamer wil agent niet meer herkenbaar in beeld, eh nee vergeet het maar

| AE 9118 | Uitingsvrijheid | 25 reacties

De Tweede Kamer vindt dat politieagenten voortaan niet meer herkenbaar in beeld mogen worden gebracht, las ik bij het AD. Men spreekt zelfs van het tegengaan van ‘treitervloggers’ die kennelijk agenten hinderlijk volgen. Maar de motie, die oproept tot een wetsvoorstel, gaat verder dan dat: agentenportretten mogen dan niet meer worden uitgezonden waar dan ook… Lees verder

Mag de politie zeggen “U twittert wel heel veel”?

| AE 8376 | Regulering, Uitingsvrijheid | 60 reacties

Twitterende tegenstanders van azc’s moeten rekening houden met een bezoekje van de politie. Mag dat? Dat schreef NRC vorige week. „Wij hebben orders gekregen om u te vragen op uw toon te letten. Uw tweets kunnen opruiend overkomen”, kreeg een Sliedrechtenaar te horen nadat hij had getwitterd over een AZC-bijeenkomst. Iets strafbaars zei hij niet,… Lees verder