Digitaal en internetrechercheurs hebben momenteel beperkte juridische mogelijkheden om zelf digitaal bewijs te verzamelen en verdachten op te sporen.
Voor welke juridische dilemma’s staan digitaal en internetrechercheurs op het gebied van digitaal onderzoek in opsporingsonderzoeken?
Digitaal en internetrechercheurs hebben momenteel beperkte juridische mogelijkheden om zelf digitaal bewijs te verzamelen en verdachten op te sporen.
Wetsvoorstel computercriminaliteit III:
- Inbreken op servers door politie wordt mogelijk, ook als deze zich in het buitenland bevinden.
- Inzet van lokpubers (volwassenen die zich voordoen als puber).
- Online handelsfraude wordt strafrecht in plaats van burgerlijk recht.
- Heling computergegevens wordt een zelfstandig delict.
Wat zou jij doen als je een briefje zou vinden met daarop het e-mailadres en wachtwoord van iemand die volgens de media wordt verdacht van kindermisbruik? Wellicht overweeg je om het briefje aan de politie te overhandigen in de hoop dat die door in te loggen en mails te lezen bewijs kan verzamelen. Of de politie daadwerkelijk mag inloggen is een juridisch nogal ‘grijs gebied’. Net als het inbreken op een server of computer waarvan zij vooraf niet kan weten waar ter wereld deze zich fysiek bevindt. De druk om bewijs te verzamelen en de onduidelijkheid die nog bestaat over wetgeving zorgt regelmatig voor dilemma’s tijdens het werk van rechercheurs.
De bevoegdheden uit de Wet bijzondere opsporingsbevoegdheden (BOB-wetgeving) zijn vaak niet toereikend genoeg om de genoemde handelingen van digitaal en internetrechercheurs toe te staan. Volgens het legaliteitsbeginsel mag strafvordering alleen plaatsvinden zoals in de wet is voorzien. De politie mag dus geen bevoegdheden ‘verzinnen’. Het gevolg is dat rechercheurs, soms zonder toestemming van het Openbaar Ministerie (OM), zelf beslissingen nemen over de te ondernemen acties in een digitaal onderzoek. In de rechtszaal kan dat zorgen voor uitsluiting van bewijs. Indien er is ingelogd op een server die in het buitenland staat, kan dit zelfs persoonlijke gevolgen hebben voor de rechercheur in kwestie, die dan strafbaar kan zijn voor computervredebreuk in het betreffende land.
Waarom is er discussie over inloggen met gevonden gegevens door de politie? Dat heeft te maken met een aantal definities in wetten en jurisprudentie. Een goed voorbeeld is een doorzoeking. Wanneer de politie een woning wil doorzoeken is hiervoor in principe een doorzoekingsbevel nodig van de rechter-commissaris. Als de politie de sleutel van de woning heeft, zal deze meestal ook de woning met de sleutel betreden. Wanneer de politie geen bevel van de rechter zou hebben, die toestemming geeft om het huis te betreden, zou de politie zich mogelijk schuldig maken aan inbraak met gebruik van een valse sleutel. Of de sleutel fysiek echt of nagemaakt is, is hierin niet relevant. De valsheid zit hem niet in de sleutel zelf, maar in het onrechtmatige gebruik ervan1. De sleutel zelf is wel echt, maar het gebruik ervan is ‘vals’.
Om een computer te doorzoeken, volstaat een doorzoekingsbevel echter niet. Immers, het Wetboek van Strafvordering spreekt alleen van het doorzoeken van een plaats of een vervoermiddel en een computer valt niet onder één van deze categorieën. Aangezien de wet geen duidelijke bevoegdheid kent die de politie het recht geeft om in te loggen op bijvoorbeeld het Facebook-account van een verdachte of een server, maakt de politie mogelijk gebruik van een valse sleutel als zij toch inloggen. Ze maken dan namelijk onrechtmatig gebruik van een gevonden ‘sleutel’, in dit geval de inloggegevens en dat is verboden2. Geen van de BOB-bevoegdheden noemt ergens een bevoegdheid tot inloggen/inbreken op servers waarvan de fysieke locatie onbekend is.
Een gevleugelde uitspraak binnen de politie is: “Met toestemming mag alles”. Dat komt omdat in de wet met name bevoegdheden staan die de politie mag uitoefenen tegen de zin van een burger of bedrijf in. Maar wanneer iemand bewust toestemming geeft aan de politie om een handeling te verrichten, dan is er meestal geen bezwaar tegen. Bij computers werkt dat soms anders. In bepaalde zaken, bijvoorbeeld bij ontvoeringen of moordzaken, kan het van belang zijn om de (privé-) berichten te lezen van een slachtoffer op zijn of haar sociale media account. Mogelijk zijn hier aanwijzingen te vinden over de laatste locatie van het slachtoffer en met wie hij of zij voor laatst contact heeft gehad. Soms hebben directe familieleden het wachtwoord van het account van het slachtoffer en willen dit graag aan de politie geven ter onderzoek. Helaas is het zo dat in de algemene voorwaarden van bijvoorbeeld Facebook staat dat accountgegevens niet overdraagbaar zijn. Ook niet na overlijden van de eigenaar. De familie heeft daarom het recht niet om toestemming te geven aan de politie om in te loggen op het account. Daarbij moet wel de kanttekening worden geplaatst dat dit een civielrechtelijk probleem betreft en waarschijnlijk geen verstrekkende gevolgen zou hebben in een strafzaak tegen een verdachte (mits het om het account van een slachtoffer gaat en niet van de verdachte).
Toch zijn er wel mogelijkheden voor de politie om bij de benodigde informatie te komen zonder dat de wet meteen moet worden aangepast. In het geval van e-mailaccounts en websites is het veelal mogelijk om met behulp van een BOB-bevel3 identificerende gegevens te vorderen van de gebruiker. Dan gaat het bijvoorbeeld om IP-adressen, naam, telefoonnummer en geboortedatum. Als de inhoud van de e-mails van belang is, dan is vaak een rechtshulpverzoek nodig. Dat kan echter maanden in beslag nemen. Tevens is daar in het geval van Amerikaanse aanbieders zoals Hotmail en Gmail veelal een zogenaamde ‘probable cause’ voor nodig. Vrij vertaald betekent dat, dat je als politie al min of meer moet kunnen bewijzen wat je verwacht te vinden. Je moet specifieke e-mailberichten opvragen. De gehele inbox opvragen is niet toegestaan.
Het opvragen van de identificerende gegevens duurt vaak slechts een paar dagen tot een paar weken en kan zonder rechtshulpverzoek op basis van een afspraak tussen Nederland en Amerika. In het geval van een levensbedreigende situatie werken de meeste Amerikaanse bedrijven overigens sneller mee, mits het gevaar van de situatie voldoende door de politie kan worden aangetoond.
Het uitdelen van bevelen en het doen van rechtshulpverzoeken is alleen mogelijk wanneer de politie weet wie de beheerder/service provider is van de benodigde informatie. In het geval van het darkweb (anonieme netwerken zoals TOR, Freenet en I2P) is dat veelal niet het geval. Daar gebruikt men regelmatig anonieme providers en kan de politie geen gegevens vorderen. Het gebruiken van de gevonden inloggegevens of het inbreken op de server zou in dat geval de enige mogelijkheid zijn om de benodigde informatie te achterhalen.
Een deel van de inmiddels bekende ‘terughackwet’ tracht aan de bovengeschetste problematiek iets te veranderen. Bij zeer ernstige misdrijven mag de politie met deze wet wel onderzoek doen naar servers waarvan de fysieke locatie onbekend is en naar computers van particulieren bijvoorbeeld. Dit is vreemd, aangezien de Nederlandse wet geen bevoegdheid kan geven voor het doen van strafrechtelijk onderzoek op grondgebied van een ander land. Zoals het geval is wanneer een door de politie gehackte server in het buitenland blijkt te staan.
Het decryptiebevel, een bevel aan een verdachte om zijn wachtwoord te verstrekken op straffe van drie jaar gevangenisstraf, is al geschrapt. De vraag is hoeveel van de omstreden wet zal overblijven in de praktijk. Het wetsvoorstel is omstreden, omdat men zich zorgen maakt dat de politie nu ‘zomaar’ op de computers van burgers zou mogen inbreken en rondkijken. Men maakt zich zorgen om de privacy van burgers. Het wetsvoorstel omvat echter strenge waarborgen, waaronder toestemming van een rechter-commissaris en de eis dat het moet gaan om zeer ernstige misdrijven waarop een gevangenisstraf van acht jaar of meer staat (bijvoorbeeld terrorisme of mensenhandel).
De geschiedenis leert dat het aanpassen van wetgeving vaak een langdurig proces is en men vrijwel altijd achter de feiten aanloopt. Voorlopig zal de politie dus moeten werken met de bevoegdheden die zij wel hebben om onderzoek te doen naar strafbare feiten in de digitale wereld zoals bevelen en rechtshulpverzoeken.
De juridische dilemma’s waar veel rechercheurs tijdens opsporingsonderzoeken voor komen te staan zijn veelal het niet mogen inloggen op accounts met gevonden – of met toestemming gekregen – gegevens en het niet op afstand mogen doorzoeken van servers. De druk om toch in te loggen om zo een belangrijke zaak op te lossen of iemands leven te redden is veelal groot. De mogelijke gevolgen van het verzamelen van bewijs zonder bevoegdheid daartoe zijn echter niet gering. Zo kan bewijs worden uitgesloten of een rechercheur in een ander land strafrechtelijk vervolgd worden voor computervredebreuk. Digitaal en internetrechercheurs hebben momenteel beperkte juridische mogelijkheden om zelf digitaal bewijs te verzamelen en verdachten op te sporen. Het nieuwe wetsvoorstel biedt meer mogelijkheden, maar is nog omstreden.
1 Artikel 90 Sr, 311 Sr en LJN-AI1588
2 De wet kent wel een ander artikel, namelijk een doorzoeking ter vastlegging van gegevens (artikel 125i en 125j Sv ). Het moet dan wel gaan om een computer die aanstaat in de woning/locatie van een doorzoeking. De politie moet dus fysiek in op dezelfde locatie zijn als de computer in kwestie waarvandaan toegang wordt verschaft naar een andere computer op hetzelfde netwerk.
3 Voor niet inhoudelijke gegevens van een niet-telecomaanbieder veelal 126NC Sv