Internetrecht door Arnoud Engelfriet

De rechtbank in Amsterdam heeft een crimineel veroordeeld mede op basis van informatie die werd verkregen door het ontsleutelen van een grote hoeveelheid berichten die via pgp-telefoons werden verstuurd. Dat meldde Tweakers vorige week. Uit het ontsleutelde berichtenverkeer blijkt hoe de verdachte een sturende rol had bij een liquidatiepoging en hoe de schutters aan hem verantwoording moesten afleggen toen die poging mislukte. Het is voor zover ik weet de eerste keer dat ontsleuteld PGP-verkeer als bewijs is gebruikt in een strafzaak.

De uitspraak is een uitvloeisel uit de Ennetcom-zaak uit 2016. Ennetcom is een Nederlands bedrijf dat met PGP (Pretty Good Privacy) beveiligde BlackBerry-telefoons aanbood. Hiermee kunnen gebruikers in principe onkraakbare e-mails en dergelijke berichten sturen. Deze systemen gebruiken servers in Canada. Na een inval bij het bedrijf kreeg men de Canadese rechter zo ver beslag op die servers en bijbehorende data te leggen, om zo deze inhoud te kunnen gebruiken voor forensisch onderzoek in strafzaken waarbij verdachten deze telefoons gebruikten.

Dat was bijzonder prettig voor Justitie, want die servers bevatten cruciale informatie over sleutelmanagement waarmee het ineens heel eenvoudig werd om het theoretisch haast onkraakbare PGP te verwijderen van berichten. Kort gezegd, die informatie helpt het aantal mogelijke sleutels te reduceren tot enkele honderdduizenden per bericht, iets dat een beetje computer in de lunchpauze kan nalopen. De inhoud van die berichten is dan ineens beschikbaar in een strafzaak.

De Canadese rechter wees dat toe, maar beperkte de toegang tot specifieke berichten voor specifieke strafzaken om te voorkomen dat de Nederlandse autoriteiten een ‘fishing expedition’ zouden gaan uitvoeren in deze grote hoeveelheid data. Per verzoek zou een Nederlandse rechter een bevel moeten afgeven. Dat was nog even ingewikkeld, want het Nederlands recht kent het concept van een court order eigenlijk helemaal niet. Bij ons toetst de rechter-commissaris bevelen van de officier van justitie, dat is een andere manier van werken. Uiteindelijk kwam men uit bij de mogelijkheid van een bevel onder het Wetboek van Strafvordering tot toegang tot opgeslagen data bij een provider (artikel 126ng), dat door de rechter-commissaris moet worden goedgekeurd. Dit bleek genoeg voor de Canadese rechter.

In deze zaak werden ook een aantal PGP berichten gevonden in het opsporingstraject, die met de Canadese informatie konden worden ontsleuteld. Dat bleek een cruciale stap: de berichten lieten zien welke belangrijke rol de verdachte had in de onderzochte liquidatiepoging.

Het bezwaar van de verdediging betrof de manier waarop deze berichten te pakken waren gekregen. Dat artikel 126ng zou de verkeerde grondslag zijn geweest, er is op de verkeerde manier gewerkt en er zou te weinig toezicht zijn geweest vanuit de rechter-commissaris. En nog veel meer, zo veel dat de rechtbank korzelig opmerkt “dat het niet eenvoudig is geweest tot een begrijpelijke samenvatting van de verschillende onderdelen van het door [de advocaat] gevoerde verweer te komen.” Ik ga dat zelf dan ook niet doen, vooral omdat de rechtbank héél snel klaar is met de analyse:

De gekozen constructie biedt voldoende waarborgen om voor zoveel mogelijk tegemoet te komen aan de privacy-belangen van de overige Ennetcom-gebruikers. Naar het oordeel van de rechtbank is dan ook sprake van een rechtmatige constructie om te beoordelen of binnen het onderzoek Tandem toegang verleend kan worden tot de Ennetcom?data.

Dat is voor de juridische theorie een tikje jammer, want nu weet je niet waar de grenzen liggen. Maar ik kan zo snel geen inhoudelijk tegenargument bedenken. Die data is legaal in Canada door de politie aldaar in beslag genomen, en wordt onder toeziend oog van twéé gerechtelijke instanties vrijgegeven conform specifieke regels waardoor er niet kan worden gegrasduind. Ook hier wordt er met een specifiek protocol op verder gewerkt.

Een terecht punt van de verdediging was wel dat er tussen de verkregen berichten communicatie van en naar de advocaat aanwezig was. Dat mag natuurlijk niet, dergelijke communicatie is beschermd en mag niet onder ogen van de politie komen.

Probleem was wel dat in deze brondata die communicatie niet evident als zodanig te herkennen is. Er waren geen zakelijke mailadressen van de advocaat gebruikt of andere identifiers waarmee je dit vooraf weg kon filteren. Er was wel een communicatiepartij die als “adv” bekend stond, maar moet je daaruit concluderen dat je te maken hebt met een Nederlandse advocaat wiens communicatie vertrouwelijk moet blijven? De rechtbank vindt dat te ver gaan.

Ook als aangenomen wordt dat deze ‘adv’ een advocaat is, betekent dat niet dat deze berichten niet in het dossier mochten worden gevoegd. Onder omstandigheden, bijvoorbeeld als moedwillig slordig met de inhoud van de berichten wordt omgesprongen door deze zonder restricties uit handen te geven, bestaat daartegen geen bezwaar. Met betrekking tot de berichten van ‘adv’ die in het dossier zitten, geldt dat die tussen twee onbekende PGP-gebruikers zijn doorgezonden, zonder dat daarbij een beperking is aangebracht. Ten aanzien van deze berichten is geen sprake van een vormverzuim.

Na het beslag op de Canadese server en data heeft de politie een bericht uitgestuurd waarin staat dat verschoningsgerechtigden (zoals advocaten) zich konden melden, waarna hun berichten als geheim zouden worden gemarkeerd. Klinkt netjes, nietwaar? Maar geen advocaat die reageerde – terecht, want dan onthul je immers dat je via dat netwerk communicatie met je cliënt had en dat suggereert dat die cliënt misschien maar eens onderzocht moest worden.

Dit alles levert echter geen onherstelbaar vormverzuim op. Ik zou zelf ook niet weten wat je méér had moeten doen als OM om uit te sluiten dat er advocaatcommunicatie in zo’n bestand zit. De berichten werden nu echter eruit gehaald door een niet bij de zaak betrokken officier.

Wél een vormverzuim deed zich voor bij een aantal notities (ik denk conceptberichten) die begonnen met “Geachte Mr Inez Weski” maar nooit waren verzonden naar deze advocaat. Hoewel je strikt gesproken dan niet spreekt van communicatie met een advocaat, valt ook zo’n concept onder de geheimhouding voor advocaten. Dit bericht was evident voor een advocaat bedoeld en had dus verwijderd moeten zijn. Dat vormverzuim is ernstig: die berichten hadden nooit in het dossier moeten zitten, en moeten dus verwijderd worden. Bewijs dat daaruit afgeleid is, wordt daarmee uitgesloten.

Arnoud

Een lezer vroeg me:

Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de hand. Maar men bleek me te hebben opgespoord door ‘Absolute Software’ van het bedrijf LoJack/CompuTrace. Het bedrijf geeft te kennen dat het geen middelen schuwt om via een voorgeïnstalleerde backdoor informatie te vergaren betreffende het “gestolen” goed, waaronder: hard drive mining, keystrokes/typed data, screen images en position. Is dat wel legaal, zeker in mijn situatie?

Het kopen van gestolen goed heet normaal ‘heling’ en is strafbaar. Echter, de wet (art. 3:86 BW beschermt de consument die gestolen goed koopt bij een bedrijf of winkel. Deze wordt gewoon eigenaar van het goed, en kan niet worden vervolgd voor heling.

Steeds meer ICT-producten zoals laptops, tablets of telefoons worden voorzien van “phone home”-achtige software, waarmee de eigenaar op afstand kan zien waar het apparaat zich bevindt. Vaak is die software ook voorzien van aanvullende features, waarmee kan worden rondgekeken op de telefoon en waarmee de camera kan worden bediend om de huidige houder vast te leggen. (Zie deze mooie documentaire over wat er allemaal kan.)

Informatie achterhalen over je eigen laptop valt onder de informatievrijheid en dat is een grondrecht. Maar de privacy is óók een grondrecht, zelfs tot op zekere hoogte voor de dader van een misdrijf. De schandpaal is immers afgeschaft, heet dat dan onder beschaafde juristen. En hier gaat het niet om een dief maar om een gewone eerlijke burger die iets legaal kocht in een winkel. Hoezo mag diens privacy worden geschonden door de oude eigenaar van het apparaat? Dit is typisch zo’n balans uit het internetrecht waar niet meteen een eenduidig antwoord op is.

Voor mij zou denk ik uiteindelijk de doorslag geven hoe groot de kans is dat een gestolen laptop via een winkel terecht komt bij een particulier die te goeder trouw is. Als de overgrote meerderheid die laptop in strafbare hoedanigheid verwerft, dan zou ik weinig moeite hebben met de privacyaspecten van deze zaak. Zeker als de gegevens ook nog eens alleen voor aangifte en opsporing gebruikt worden, en niet voor eh documentaires of andere openbaarmakingen door het slachtoffer.

Arnoud

Voor het nieuwe programma What the #Hack?! gaat presentator en rapper Yes-R internetgebruikers confronteren met hun onvoorzichtige sociale mediagedrag. Dat meldde RTL gisteren. Het programma wil aantonen hoe onveilig mensen online zijn, onder meer door met social engineering en keyloggers (naar ik aanneem via Trojans verspreid) te gebruiken. Wat de vraag oproept: mag dat dan, mensen hacken omdat je een televisieprogramma gaat maken?

Een journalist heeft onder de wet geen andere positie dan andere burgers. Je moet je aan precies dezelfde regels houden als anderen, ook waar het gaat over strafrecht en ook als het nieuwsbelang in het gedrang zou komen. Inbreken of privécommunicatie aftappen is strafbaar, dus ook voor journalisten. Dus dan is het antwoord vrij snel duidelijk: nee, dat mag niet.

Het recht zou het recht niet zijn als “ja, toch wel” ook geen mogelijk antwoord was. Want soms heb je belangwekkende kwesties die gewoon aan de kaak gesteld móeten worden, en dat je dan als journalist de wet moet overtreden dat neem je dan voor lief. De rechter neemt de nieuwswaarde wel degelijk mee, en kan je zelfs vrijspreken als blijkt dat je daad puur ingegeven was door het brengen van zo’n algemeen belangwekkend nieuwsitem en dat je zo zorgvuldig mogelijk te werk bent gegaan. Met name is dan van belang dat je geen schade hebt aangericht en niet meer hebt gedaan dan nodig voor je item.

De AVROTROS ziet een dergelijk belang met hun programma:

We willen met het programma impact hebben op de kijkers van NPO 3 op een manier die hen aanspreekt. Het daadwerkelijk laten zien wat de gevaren zijn, is de de enige manier om awareness te creëren

Daar zit natuurlijk wat in. Een theoretisch verhaal heeft veel minder impact dan een daadwerkelijke hack bij echte mensen: kijk, zo makkelijk was het om Marieke haar Facebook over te nemen en met deze truc kregen we Ali zijn WhatsApp-berichtenlogs toegemaild. Maar is het dan ook nodig om dat te doen zonder toestemming te vragen? Had je niet kunnen zeggen, ben jij een echte internetfreak, meld je aan en we kijken hoe hackbaar jij bent? Dan heb je toestemming én echte mensen.

Weliswaar wordt er met een quitclaim gewerkt (hier tekenen dat wij mogen uitzenden) maar die wordt pas achteraf getekend. Wanneer iemand die weigert te tekenen, is er dus geen toestemming – ook niet voor het binnendringen op hun computer of het aftappen van hun datacommunicatie. En dat maakt het strafbaar.

Wat vinden jullie? Slimme manier van awareness creëren of gewoon strafbaar?

Arnoud

De politie gaat tien nieuwe cyberteams oprichten om cybercriminaliteit beter te kunnen bestrijden. Dat las ik bij Nu.nl. De teams gaan uit minimaal tien rechercheurs bestaan, die al in dienst zijn bij de politie. Zij worden ondersteund door digitaal specialisten die beschikken over specifieke ICT-kennis. NRC vult aan dat de focus mede komt te liggen… Lees verder

Producent Klaas de Jong, mede verantwoordelijk voor bioscoophits als Michiel de Ruyter en Verliefd op Ibiza, heeft aangifte bij de politie gedaan tegen Ziggo, Telfort, KPN en Vodafone, zo las ik bij het Parool. Hij meent dat die strafrechtelijk aan te pakken zijn omdat ze downloadsites toegankelijk maken. Nope, nee, nada, kansloos, vergeet het maar…. Lees verder

Het Openbaar Ministerie mag in de openbare ruimte opgenomen camerabeelden van ernstige publieke geweldincidenten in het openbaar tonen om zo dader(s) van dit geweld te kunnen opsporen, las ik (alweer een tijdje geleden) op Rechtspraak.nl. Sorry, ik loop wat achter. De Hoge Raad introduceert meteen maar een checklist met 7 factoren waarmee getoetst kan worden… Lees verder

Een lezer vroeg me: Onlangs zijn de voorwaarden van zelfscannen van de Albert Heij gewijzigd. Er staat nu in dat je diefstal pleegt als achteraf blijkt dat niet alles gescand is. Maar mag AH wel zo kort door de bocht aannemen dat hun systeem onfeilbaar is? Het zou immers zomaar kunnen dat een gebruiker tegen… Lees verder

Iemand die verplicht moet deelnemen aan het alcoholslotprogramma kan daarnaast niet ook nog strafrechtelijk worden vervolgd. Dat bepaalde de Hoge Raad dinsdag. De reden hiervoor is erg formeel: het alcoholslot wordt op grond van het bestuursrecht opgelegd, en bestuursrecht bestaat naast het strafrecht. Zo zou iemand dus twee keer gestraft worden voor hetzelfde feit, en… Lees verder

“Nigga run up on me, he gunna get blown down” gevolgd door emoticons voor een politieagent en een pistool, is dat bedreiging van een ambtenaar in functie? In de VS kennelijk wel, las ik bij Wired: de zeventienjarige Osiris Aristy werd om dit Facebookbericht gearresteerd in New York en vervolgd wegens het doen van een… Lees verder

Een lezer vroeg me: Met het anonieme netwerk TOR maar ook met allerhande proxies kun je je IP-adres verbergen. Nu hoorde ik laatst dat dat illegaal zou zijn omdat de politie je dan niet kan opsporen. Lijkt me sterk, maar is dat misschien toch zo? Er is geen algemene regel in het recht die je… Lees verder