De rechter-commissaris in Den Haag heeft de politie bevolen om in te loggen op het WhatsApp- en Google-account van een overleden slachtoffer en zo de WhatsApp-communicatie en Google Takeout veilig te stellen voor zover die gegevens relevant zijn voor het onderzoek. Dat las ik bij Security.nl. Opmerkelijk, want de wet voorziet niet in een specifieke bevoegdheid hiervoor maar gezien de jurisprudentie zou het moeten kunnen.
Het slachtoffer is vermoedelijk door een misdrijf om het leven gekomen, en de politie had het vermoeden dat de WhatsApp- en Google Takeout communicatie relevant bewijs kon geven. Deze uit de telefoon van het slachtoffer halen lukte niet, omdat de telefoons onvindbaar waren. Een vordering bij WhatsApp-moederbedrijf Meta heeft geen zin vanwege de e2e encryptie, en Google zou volgens de officier makkelijk twee jaar over een rechtshulpverzoek doen en het dan waarschijnlijk afwijzen.
Blijft over de optie van de backup terugzetten. Daarvoor is technisch nodig dat je de sim van de verdwenen telefoon dupliceert (de provider kan dit), deze in een nieuwe telefoon plaatst en dan het WhatsApp-account herstelt. Alle backupdata wordt dan teruggezet, en daarna kun je deze lezen vanaf je nieuwe telefoon. Alleen, nergens in de wet is geregeld dat opsporingsambtenaren dit mogen doen. Je zou het zelfs een vorm van hacken kunnen noemen, binnendringen in andermans account bij WhatsApp immers.
De rechter-commissaris ziet in deze specifieke vorm van binnendringen weinig crimineels:
Het betreft stappen die een gebruiker zelf ook kan of zelfs moet zetten op het moment dat deze geen toegang meer heeft tot een account. Het terugzetten van een back-up (zoals bij WhatsApp) kan als een gebruikelijke handeling worden beschouwd, een back-up is immers bedoeld voor de situatie waarin er onverhoopt geen toegang meer tot de gegevens bestaat. Ook het moeten invoeren van bepaalde codes of het invullen van beveiligingsvragen om toegang te verkrijgen tot een account (zoals bij Google) is niet ongebruikelijk. … Het aanvragen van een duplicaat simkaart en het afvangen van een verificatiecode gebeurt niet alleen met toestemming van de nabestaande, maar valt naar het oordeel van de rechter-commissaris ook binnen de rechtmatige uitoefening van de politietaak gelet op artikel 3 van de Politiewet en de artikelen 141 en 142 Sv.Het helpt natuurlijk zeer dat die nabestaande van het slachtoffer ook wilde wat er was gebeurd, en dus toestemming wilde geven. Of dat juridisch genoeg is om het binnendringen rechtmatig te maken, kun je over twisten: een nabestaande kan ook niet per definitie toestemming geven om een garagebox van de overledene open te breken. Maar de rechter-commissaris gebruikt het hier als een van de argumenten die maken waarom het binnendringen door de politie rechtmatig is.
Natuurlijk krijg je na deze actie toegang tot alle logs van alle chats, maar de vordering was beperkt tot bepaalde gesprekken in de elf dagen tot het overlijden. De overige data mag dus niet worden gebruikt.
Arnoud