Privacy in relatie tot het hacken van cryptocommunicatiediensten

: Een uiteenzetting van de verhouding tussen artikel 8 EVRM en de bijzondere opsporingsbevoegdheid artikel 126nba Wetboek van Strafvordering

Abstract

Middels het inzetten van bijzondere opsporingsbevoegdheden wordt data verzameld dat als bewijs kan worden gebruikt in strafrechtelijke opsporingsonderzoeken. In maart 2019 is de bijzondere opsporingsbevoegdheid art. 126nba Sv ingevoerd, de zogenoemde hackbevoegdheid. Deze bevoegdheid is mede ingevoerd, vanwege het toenemende gebruik van versleutelde communicatie. Bij het inzetten van deze hackbevoegdheid wordt middels een technisch hulpmiddel heimelijk en op afstand een bij een verdachte in gebruik zijnde geautomatiseerd werk binnengedrongen, om vervolgens aldaar nadere onderzoekshandelingen te verrichten. Op die manier kan relevante versleutelde data worden verzameld. Gelet op de omvang en inhoud van de data die zodoende kunnen worden verzameld, is de conclusie gerechtvaardigd dat hierbij sprake is van een inbreuk op de privacy van de gebruikers van het betreffende geautomatiseerde werk. De wetgever is zich hier terdege van bewust geweest, waardoor de bevoegdheid alleen onder stikte voorwaarden mag worden ingezet. Die voorwaarden volgen onder andere uit art. 126nba Sv. Zo is hiervoor een machtiging van de rechter-commissaris vereist en moet sprake zijn van een "een verdenking van een misdrijf zoals is opgenomen in art. 67 lid 1 dat gezien zijn aard en samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert". Voor bepaalde onderzoekshandelingen uit het artikel gelden nog strengere vereisten. Naast de in het artikel genoemde vereisten, vindt er nog een toetsing plaats door de CTC, die vervolgens het College van procureurs-generaal adviseren. Dit College beslist vervolgens of de bevoegdheid mag worden ingezet. De geldende vereisten en waarborgen worden in de MvT verder beschreven.

In de afgelopen jaren zijn meerdere cryptocommunicatiediensten, zoals EncroChat en SkyECC, door autoriteiten gehackt. Deze diensten bieden hun gebruikers versleutelde communicatie aan, waardoor data normaliter uit het zicht van autoriteiten blijven. De middels deze hacks verzamelde data bleken als bewijs zeer bruikbaar, ten gevolge waarvan vele verdachten zijn veroordeeld. Deze verzamelde data vallen onder het recht op privacy, zoals verankerd in art. 8 EVRM. Om een inbreuk op de privacy te rechtvaardigen en privacyschending te voorkomen, moet aan bepaalde vereisten worden voldaan. Deze vereisten volgen uit art. 8 EVRM en jurisprudentie. Zo moet de inbreuk bij wet zijn voorzien, wat onder andere inhoudt dat het betreffende recht toegankelijk en voorzienbaar moet zijn. Daarnaast moet de inbreuk een legitiem doel dienen. Deze doelen staan beschreven in art. 8 lid 2 EVRM. Onder deze legitieme doelen vallen onder andere het voorkomen van wanordelijkheden en strafbare feiten en het belang van de openbare en nationale veiligheid. Een ander vereiste is dat de inbreuk strikt noodzakelijk moet zijn in een democratische samenleving, waarbij moet worden voldaan aan de beginselen van proportionaliteit en subsidiariteit. Het proportionaliteitsvereiste houdt in dat de inzet in redelijke verhouding moet staan tot het beoogde doel. Het doel moet zogezegd opwegen tegen de inbreuk op de privacy en deze inbreuk rechtvaardigen. Het subsidiariteitsvereiste houdt in dat moet worden bekeken of er geen andere, mindere ingrijpende optie is dan de voorgestelde inbreuk. Het lichtste middel waarmee het doel kan worden bereikt, moet worden ingezet. Bij deze strikte noodzakelijkheid wordt de uitvoering en kwaliteit van regelgeving meegewogen.

Schending van art. 8 EVRM is casuïstisch en moet per geval worden beoordeeld. Uit de jurisprudentie
vallen echter wel handvatten te herleiden. Zo hecht het EHRM bij ingrijpende, heimelijke bevoegdheden – zoals de hackbevoegdheid - veel waarde aan in nationaal recht neergelegde waarborgen om misbruik van autoriteiten te voorkomen. Hierbij moet worden gedacht aan kwaliteit en uitvoering van wet- en regelgeving, de aanwezigheid van een rechterlijke toets, een onafhankelijk en effectief toezicht gedurende het gehele proces, transparantie ten opzichte van de betrokkenen en mogelijkheden tot openbare klachtprocedures. Uit de jurisprudentie van het EHRM valt op te maken dat een te ruim toepassingsbereik van wetgeving en het ontbreken van noodzakelijke procedurele waarborgen in nationaal recht een schending van art. 8 EVRM oplevert. In de uitspraken Zakharov tegen Rusland en Szabo & Vissy tegen Hongarije komt het EHRM tot schending van artikel 8 EVRM, vanwege voornoemde redenen. Het EHRM heeft in haar jurisprudentie zes minimumcriteria bepaald. Hieraan moet nationaal recht voldoen, bij het ongericht en gericht intercepteren van data middels heimelijke opsporingsbevoegdheden. Zo moet uit het nationale recht volgen: 1) welke delicten aanleiding kunnen geven tot de inzet van de bevoegdheid; 2) van welke personen communicatie kan worden onderschept; 3) de duur van de maatregel; 4) de procedure die voor zo'n inzet gevolgd moet worden; 5) de geldende voorwaarden om de verkregen informatie met andere partijen te kunnen delen en 6) de omstandigheden waaronder de verkregen informatie kunnen of moeten worden gewist. In recente uitspraken heeft het EHRM dit aangescherpt voor wat betreft ongerichte interceptie. In de uitspraken Big Brother en Centrum för rättivassa stelt het EHRM dat niet alleen de verzamelfase van gegevens van belang is ter beoordeling, maar ook de verschillende fasen die hierop volgen, zoals het verwerken, analyseren, opslaan en later gebruiken ervan. Deze fasen worden in Nederland geregeld in het Wetboek van Strafvordering en de Wet politiegegevens. Overigens ziet men dat de rechters-commissarissen, door het opleggen van aanvullende voorwaarden in de machtiging met betrekking tot EncroChat en SkyECC, deels hebben voorgesorteerd op deze Europese jurisprudentie. In die opgelegde voorwaarden komen aanvullende toetsingsmomenten van de rechter-commissaris terug. Ook de HR heeft bepaald, naar aanleiding van het Prokuratuur-arrest van het HvJ, dat voor het inzetten van onder andere de opsporingsbevoegdheid 126n Sv, een machtiging van de rechter-commissaris is vereist. Dit in tegenstelling tot wat de wet voorschrijft.

In mijn masterscriptie kom ik tot de conclusie dat de Nederlandse situatie met betrekking tot het inzetten van hackbevoegdheid voldoende eisen en waarborgen bevat om schending van art. 8 EVRM te voorkomen. Zo volgt uit art. 126nba Sv dat de bevoegdheid een rechterlijke machtiging vereist, vindt er een extra toets door het CTC en College van procureurs-generaal plaats, bestaat er de notificatieplicht om betrokkenen op de hoogte te brengen van deze inzet en is de Nederlandse wet- en regelgeving en uitvoering ervan van voldoende kwaliteit. Overigens vindt nog een extra controle plaats door het jaarlijks uitgebrachte rapportage in het kader van het toezicht als bedoeld in artikel 122 lid 1 van de Wet op de rechterlijke organisatie, waarin de ingezette hackbevoegdheden worden onderzocht op relevante punten en aanbevelingen worden gedaan. Wel kom ik tot enkele aanbevelingen, zoals een centraal punt voor wetgeving met betrekking tot gegevensverzameling en de verdere vervolghandelingen hieromtrent. Daarnaast geldt als aanbeveling dat de tijdens het opsporingsonderzoek gebruikte methodieken worden vermeld en de uitvoering ervan wordt beschreven en pleit ik voor meer rechterlijke toetsingsmomenten gedurende het gehele proces.

Date of Award	5 Jun 2024
Original language	Dutch
Awarding Institution	Department of Public Law