Politie mocht iPhone verdachte onder dwang via duim ontgrendelen

| AE 11158 | Regulering, Security | 10 reacties

De politie heeft in een onderzoek naar een phishingbende de iPhone van een verdachte onder dwang via zijn duim mogen ontgrendelen, las ik bij Security.nl. In drie vonnissen besliste de rechtbank Noord-Holland dat deze opsporingstechniek legitiem is, ook nu er geen specifieke wettelijke regeling is. Dat bevestigt de eerdere lijn uit februari waarin ook de Marechaussee dit mocht doen.

In deze zaak ging het om verdenkingen van phishing (juridisch: diefstal in vereniging en oplichting), waarbij de verdachten in voorlopige hechtenis waren genomen. Daarbij werd een iPhone aangetroffen, die de politie wilde ontgrendelen waarvoor de vinger van de verdachte nodig was. Die weigerde dat, waarop de officier besloot dat de verdachte weerspannig was en hem liet boeien, waarna de vinger door een agent op de telefoon werd gezet. Daarna was de telefoon toegankelijk voor onderzoek.

Het juridische probleem hierachter is dat er geen specifieke regels zijn over het doorzoeken van telefoons die als bewijs in beslag zijn genomen. Dat moet eigenlijk wel, omdat dergelijke apparaten tegenwoordig veel persoonlijke informatie bevatten. Om diepgaand te treden in de privacy van een verdachte, is een wettelijke regeling nodig. Denk aan huiszoeking of snuffelen in iemands mailbox.

De Hoge Raad bepaalde in 2017 dat de politie terughoudend moet zijn met telefoondoorzoekingen. Even kijken naar “een gering aantal bepaalde gegevens” bij een concrete aanleiding kan nog net, de gehele telefoon van 0 tot 255 doornemen zou te ver gaan tenzij daar héél zwaarwegende redenen voor zijn. In de praktijk komt dit erop neer dat hoe ernstiger de verdenking, hoe verder men mag kijken.

Leuk en aardig maar als die telefoon niet open gaat, dan houdt al het onderzoek snel op. De laatste jaren is er dan ook veel discussie geweest over hoe de politie een telefoon mag open forceren als ze niet zelf de pincode of andere unlockinformatie kan achterhalen. De vinger op de sensor forceren werd al snel een centraal punt in die discussie. Is dat nu gewoon een vingerafdruk nemen (zoals al sinds jaar en dag gebeurt) of is dit iemand dwingen tegen zichzelf te getuigen?

De lijn die bij dit nemo tenetur-beginsel in mensenrecht-jurisprudentie getrokken wordt, is of de gedwongen actie iets is dat al dan niet onafhankelijk van de wil van de verdachte plaats kan vinden. Hem fotograferen of een vingerafdruk afnemen voor het dossier, is iets dat kan of hij dat nu wil of niet. Zeggen waar het lijk ligt, vereist zijn wil. Je mag in die lijn dan ook wel een verdachte dwingen in de lens te kijken of zijn vinger op een stempelkussen te duwen en daarna op een papiertje, maar niet op een kaart te markeren waar het lijk te vinden is.

Anders dan de situatie waarin verdachte wordt gedwongen de toegangscode van zijn telefoon te geven, hetgeen een verklaring van verdachte vereist, maakt het plaatsen van de duim van verdachte op zijn iPhone naar het oordeel van de rechtbank geen inbreuk op het nemo tenetur-beginsel. Het betreft hier namelijk het dulden van een onderzoeksmaatregel die geen actieve medewerking van verdachte vereist. Daar komt bij dat de vingerafdruk met een zeer geringe mate van dwang is verkregen. Dat met het plaatsen van de duim van verdachte op de iPhone toegang wordt verkregen tot mogelijk wilsafhankelijke en voor hem belastende gegevens, maakt dit naar het oordeel van de rechtbank niet anders.

De rechtbank weegt daarbij mee dat er maar weinig andere mogelijkheden waren, onder meer omdat een telefoon zich na een bepaald aantal pogingen permanent vergrendelt. En de verwachting was zeer groot dat er wat te vinden zou zijn. Dat alles bij elkaar maakt dat het ontgrendelen legitiem wordt geacht.

De uiteindelijk gevonden informatie blijkt vervolgens ook relevant voor de strafzaak. Ik ben dan nog wel benieuwd hoe dit uit zou pakken als blijkt dat de politie verkeerd zat, maar de lijn dat een vinger afdwingen mag, lijkt daarmee wel definitief gezet.

Arnoud

Nederlandse politie wil gebruikmaken van particuliere DNA-databank in VS

| AE 11115 | Privacy, Regulering | 11 reacties

De coldcaseteams van de Amsterdamse en Rotterdamse politie willen de Amerikaanse particuliere DNA-databank GEDmatch inzetten om de identiteit van onbekende doden te achterhalen. Dat meldde NRC gisteren. GEDmatch is een openbare, Amerikaanse databank waarin genetische gegevens van allerlei mensen zitten, en daarin kan iedereen zoeken op potentiële matches. Daarmee is in theorie de mogelijkheid voor de politie om ook te zoeken naar bijvoorbeeld een verdachte, of een bloedverwant van een slachtoffer. Maar het roept de nodige vragen op, omdat juridisch niet duidelijk is of men dit überhaupt mag.

Genetische informatie zoals DNA valt onder de AVG onder de strenge regels voor bijzondere persoonsgegevens. Deze mogen niet zomaar worden gebruikt, omdat er zeer gevoelige informatie uit afgeleid kan worden. Je eigen DNA in zo’n databank plaatsen mag in principe wel, wanneer daarbij duidelijk wordt gezegd wat en hoe er gaat gebeuren – je geeft dan uitdrukkelijke toestemming. Maar een complicatie is dat DNA ook informatie over anderen bevat, en dan kun je dus zeggen dat je andermans persoonsgegevens staat te uploaden.

Voor de politie en het OM geldt de AVG niet. Zij moeten zich houden aan de Wet politiegegevens en het Wetboek van Strafvordering. Onder de Wet politiegegevens mag er iets meer; als verwerking “onvermijdelijk is voor het doel van de verwerking” waarvoor andere gegevens worden gebruikt. Ik denk niet dat je daar snel aan komt met genetisch materiaal uit een openbare databank.

In het Wetboek van Strafvordering staan een aantal bevoegdheden over inzet en onderzoek van DNA-materiaal, en er is ook een Besluit DNA-onderzoek in strafzaken met nadere regels. Maar het probleem is eigenlijk vrij simpel: al deze regels gaan uit van matches in individuele zaken. Er is DNA bij het slachtoffer gevonden en dat willen we matchen aan de verdachte, even kort door de bocht. Er is gewoon geen regel die toeziet op het gebruik van grootschalige bronnen van DNA-materiaal. Dat is niet gek, want die regels zijn gemaakt voordat dergelijke databanken bestonden.

Dit maakt de situatie voor de cold case teams erg ingewikkeld, want in principe geldt voor opsporingsdiensten dan de regel dat het niet mag. De politie mag niets tenzij de wet zegt van wel, even weer heel kort door de bocht. Maar dat voelt specifiek bij het oplossen van oude zaken wel heel erg cru. Dit is wellicht de laatste kans om de zaak nog op te lossen, en het gaat om ernstige zaken zoals moord zodat het maatschappelijk belang wel héél zwaarwegend voelt.

Voor het identificeren van slachtoffers ligt dat anders. De AVG geldt niet bij overledenen, en datzelfde geldt op de Wet politiegegevens. Ik denk dus dat DNA materiaal wel mag worden gebruikt om te achterhalen wie een onbekende is, mits dat uitsluitend wordt ingezet voor het doel van informeren van de nabestaanden.

Arnoud

200.000 particuliere beveiligingscamera’s in politiedatabase

| AE 11065 | Regulering, Security, Uitingsvrijheid | 19 reacties

De afgelopen jaren hebben bedrijven en particulieren meer dan 200.000 beveiligingscamera’s in een database van de politie laten registreren, las ik bij Security.nl. Het gaat om de database “Camera in Beeld”, die informatie over beveiligingscamera’s in Nederland bevat. Het register stelt de politie in staat om snel camerabeelden te vorderen van strafbare feiten en andere misstanden.

Voor de duidelijkheid: Camera in Beeld is géén centrale toegang tot private beveiligingscamera’s. Het is een database met waar camera’s hangen, welk deel van de straat wordt opgenomen en wie de beheerder is. Zo kan de politie zoeken naar beelden van een misdrijf (zoals een vluchtende verdachte) en direct de juiste persoon benaderen met een vordering tot afgifte. Want ja, de politie moet die beelden opeisen en kan niet zomaar snuffelen of vrijwillig vragen beelden aan te leveren.

Juridisch lijkt me dit prima in orde. De kern zit hem in dat vorderen. Dat is een wettelijk recht van de politie, het enige nieuwe van Camera in Beeld is dat men makkelijk en snel weet bij wie de vordering moet worden neergelegd. Met deze route kunnen er ook geen discussies ontstaan of de camera-eigenaar dit wel had moeten doen of niet; bij een vordering moet het gewoon, klaar.

Het gaat vrijwel altijd om beelden van de openbare weg. (Natuurlijk kan men ook beelden van privéterrein zoeken hiermee, maar dan gaat het om misdrijven gepleegd op dat terrein en dan is de eigenaar vaak zelf aanwezig om de camera aan te wijzen en de beelden op vordering te verstrekken.) Daar kun je vraagtekens bij stellen vanuit privacyoogpunt, maar ook illegale beelden zijn bewijs wanneer burgers ze hebben gemaakt. De AVG of het portretrecht staat niet in de weg aan gebruik van camerabeelden voor opsporing en vervolging van strafbare feiten.

In het verleden waren er nog wel geluiden vanuit de AP dat filmen van de openbare weg met je beveiligingscamera niet zou mogen. Zowel de politie als de AP bevestigen nu dat de regels overigens niet zó streng zijn dat cameratoezicht op de openbare weg nooit mag. De AP zegt nu:

De AVG is wél van toepassing als u delen van de openbare ruimte filmt voor beveiliging. Bijvoorbeeld als u een camera in uw tuin heeft om uw woning te beveiligen en deze camera ook de openbare weg filmt die aan de tuin grenst. U mag alleen dát deel van de openbare weg filmen dat noodzakelijk is om uw woning te beveiligen.

Die noodzaak zul je overigens vooraf moeten bedenken en motiveren (op papier zetten dus), je kunt niet volstaan met “dat kwam handig zo uit” of “de installateur zei dat de camera hier moest”. Je zou kunnen denken aan kwesties als de auto ook willen bewaken, omdat er in jouw buurt nog wel eens auto’s bekrast worden, of kunnen vastleggen wie er jouw oprit op draait zodat je nummerbord en bestuurder kunt vastleggen. Maar wie bang is voor diefstal in de achtertuin, heeft denk ik een lastiger argument waarom de stoep vóór ook gefilmd moet worden.

Arnoud

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

| AE 10967 | Privacy, Regulering | 38 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel… Lees verder

Groningse telecomprovider weigert klantenbestand preventief aan politie te geven

| AE 10909 | Regulering | 10 reacties

Telecomproviders zijn verplicht om preventief de persoonlijke gegevens van alle klanten te overhandigen aan de politie, maar het Groningse Voys weigert dat. Dat las ik bij de NOS. Dit is ingegeven door eerder nieuws dat het zogeheten Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) niet altijd zorgvuldig omgaat met deze gegevens. Er is veel onduidelijkheid over de… Lees verder

Ja, de politie mag illegale camerabeelden gewoon gebruiken als bewijs

| AE 10688 | Regulering | 58 reacties

De politie kan nu een beroep doen op bijna 200.000 vrijwillig aangemelde privécamera’s. Politievakbonden willen een verplicht register, zoals in België. Dat meldde het AD vorige week. Het register stelt de politie in staat om snel camerabeelden te verkrijgen van strafbare feiten en andere misstanden. Een punt van aandacht daarbij is dat het dan vaak… Lees verder

Rechter staat ontsleutelde berichten van pgp-smartphones toe als bewijs

| AE 10547 | Regulering | 14 reacties

De rechtbank in Amsterdam heeft een crimineel veroordeeld mede op basis van informatie die werd verkregen door het ontsleutelen van een grote hoeveelheid berichten die via pgp-telefoons werden verstuurd. Dat meldde Tweakers vorige week. Uit het ontsleutelde berichtenverkeer blijkt hoe de verdachte een sturende rol had bij een liquidatiepoging en hoe de schutters aan hem… Lees verder

‘Amerikaanse politie ontgrendelt iPhones met vingers overledenen’

| AE 10476 | Regulering | 13 reacties

Politiediensten in de VS zouden regelmatig iPhones met de Touch ID-beveiliging ontgrendelen, door de vinger van overledenen op de vingerafdrukscanner te houden. Dat meldde Tweakers vorige week. De reden erachter zou zijn dat men zo een stuk goedkoper die telefoon kan ontgrendelen, een forensisch specialist is duur en Apple werkt zelf niet mee zonder gerechtelijk… Lees verder

Politie werkt aan Pokémon Go-achtige app voor opsporing gestolen auto’s

| AE 9727 | Regulering | 48 reacties

De Nederlandse politie werkt aan een Pokémon Go-achtige app genaamd Automon waarmee burgers kentekens kunnen scannen en punten krijgen voor een ‘hit’. Dat meldde Tweakers onlangs. De app gaat een overlay tonen met informatie uit politieregisters over het al dan niet gestolen zijn van de auto op basis van kenteken. Maar wacht even, mogen burgers… Lees verder