De rechtbank Overijssel en de rechtbank Noord-Nederland stellen de hiervoor weergegeven prejudiciële vragen in zaken waarin, kort gezegd, het in het buitenland verrichte opsporingsonderzoek mede bestond uit interceptie van versleutelde berichten. Deze berichten werden verstuurd en ontvangen met gebruikmaking van door de bedrijven Encrochat en SkyECC aangeboden diensten.
De strafzaak bij de rechtbank Overijssel houdt verband met het onderzoek Elrits. De strafzaak bij de rechtbank Noord-Nederland houdt verband met het onderzoek Shifter. Deze beide onderzoeken hebben betrekking op (internationale) handel in verdovende middelen. Daarbij is informatie verkregen uit onderzoeken die zich richtten op (gebruikers van) Encrochat en SkyECC (het onderzoek 26Lemont en het onderzoek 26Argus).
De door de rechtbanken vastgestelde feiten houden verder het volgende in.
Encrochat
- Encrochat is de naam van een bedrijf dat een versleutelde berichtendienst aanbood. Met een mobiele telefoon van Encrochat konden versleutelde berichten worden verstuurd. Encrochat leverde naast deze telefoons een pakket aan diensten, waarmee toegang kon worden verkregen tot een communicatienetwerk waarbinnen versleutelde tekst- en spraakberichten en afbeeldingen konden worden verstuurd naar en ontvangen van andere gebruikers van Encrochat-toestellen. De toestellen beschikten over een speciaal ontwikkeld besturingssysteem en bevatten functionaliteiten voor het snel en eenvoudig wissen van berichten, terwijl er geen mogelijkheid was om het apparaat of de simkaart te koppelen aan een gebruikersaccount.
- Op 25 september 2017 is het openbaar ministerie het onderzoek 26Bismarck gestart, omdat in verschillende Nederlandse en buitenlandse opsporingsonderzoeken sinds 2017 toestellen van dit bedrijf waren aangetroffen bij verdachten van ernstige delicten. In dit onderzoek, dat zich richtte op het bedrijf Encrochat, zijn via een aan Frankrijk gericht Europees onderzoeksbevel (hierna: EOB) meerdere kopieën van de infrastructuur van dat bedrijf verkregen.
- In Frankrijk is ook onderzoek gedaan naar het bedrijf Encrochat. In dat onderzoek is gebleken dat de server waarvan door Encrochat gebruik werd gemaakt, zich in Roubaix (Frankrijk) bevond bij serverbedrijf OVH. Op 30 januari 2020 is door de Franse rechter een machtiging gegeven voor het plaatsen van een interceptiemiddel.
- Op 10 februari 2020 is het openbaar ministerie het onderzoek 26Lemont gestart, dat voortvloeide uit het onderzoek 26Bismarck en zich richtte op het bedrijf Encrochat, de directeuren van dat bedrijf, de resellers en de gebruikers van Encrochat-toestellen. In het kader van dit onderzoek is een gemeenschappelijk onderzoeksteam (‘joint investigation team’) opgericht en een overeenkomst over dit gemeenschappelijk onderzoeksteam met Frankrijk gesloten. In deze overeenkomst is afgesproken dat alle informatie en bewijsmiddelen die ten behoeve van het gemeenschappelijk onderzoeksteam worden verzameld, worden gevoegd in een gezamenlijk onderzoeksdossier.
- Op 1 april 2020 is het interceptiemiddel geplaatst op de server in Roubaix. Dit interceptiemiddel is ontworpen door de Service Technique National de Captation Judiciaire en valt onder het Franse staatsgeheim.
- Door de Franse autoriteiten is in de periode van 1 april tot 14 juni 2020 live informatie van Encrochat-telefoons verzameld. Deze informatie is gedeeld met Nederland als partner in het gemeenschappelijk onderzoeksteam en toegevoegd aan het gezamenlijk onderzoeksdossier.
- De Nederlandse politie heeft van 1 april tot en met 24 juni 2020 data van gebruikers van Encrochat-toestellen gekopieerd, waarbij met een zo klein mogelijke vertraging de verzamelde nieuwe data van de Encrochat-toestellen werden gekopieerd naar het onderzoeksnetwerk van de Nederlandse politie.
- In het onderzoek 26Lemont heeft het openbaar ministerie op 13 maart 2020 – dus voorafgaand aan het plaatsen van het interceptiemiddel en het verzamelen van informatie door de Franse autoriteiten – een vordering ingediend bij de rechter-commissaris om een machtiging te verstrekken voor het geven van een bevel tot het binnendringen en het doen van onderzoek in een geautomatiseerd werk, als bedoeld in artikel 126uba Sv, en tot het opnemen van (tele)communicatie, als bedoeld in artikel 126t Sv. De rechter-commissaris heeft deze machtiging verleend op 27 maart 2020. Daaraan heeft de rechter-commissaris voorwaarden gesteld om op die manier de privacyschending zoveel mogelijk in te kaderen en zogenaamde ‘fishing expeditions’ te voorkomen. Die voorwaarden houden het volgende in:
“1. De wijze waarop zal worden binnengedrongen in het/de geautomatiseerde syste(e)m(en) zal worden vastgelegd aan de hand van logs en in een beschrijvend proces-verbaal van bevindingen, voor zover er geen gebruik is gemaakt van een reeds goedgekeurd middel tot interventie en met uitzondering van de zaken waarin in een andere jurisdictie geen plicht bestaat tot het geven van inzage in de werking van een technisch middel waarmee wordt binnengedrongen;
2. Een beschrijving van de daarbij gebruikte software zal voor onderzoek beschikbaar zijn en dient op enig later tijdstip te kunnen worden ingezet bij een nabootsing of demonstratie van het binnendringen van het/de syste(e)men), voor zover er geen gebruik is gemaakt van een reeds goedgekeurd middel tot interventie en met uitzondering van de zaken waarin in een andere jurisdictie geen plicht bestaat tot het geven van inzage in de werking van een technisch middel waarmee wordt binnengedrongen;
3. De vergaarde informatie wordt opgeslagen op zodanige wijze dat die aan de hand van hashwaarden of anderszins de integriteit garanderende wijze te controleren en te onderzoeken is;
4. De vergaarde informatie/communicatie kan slechts worden onderzocht met toepassing van de in een proces-verbaal vastgelegde zoeksleutels (woordenlijsten) welke zullen worden opgeslagen en bewaard ten behoeve van mogelijk later reproductie of onderzoek, zulks met uitzondering van de onderzoeken waarin reeds is vastgesteld dat er sprake is van in georganiseerd verband gepleegde strafbare feiten, welke onderzoeken zijn vermeld op een voor aanvang van de inzet van het middel, aan de rechter-commissaris over te leggen lijst;
5. De vergaarde informatie/communicatie wordt onderzocht op het voorkomen van zogenaamde verschoningsgerechtigden in die communicatie aan de hand van zoeksleutels waarbij ten minste de bekende namen van advocaten, door hen opgegeven telefoonnummers en/of e-mailadressen ten behoeve van communicatie met cliënten zullen worden opgenomen;
6. De vergaarde informatie/communicatie wordt na het onderzoek door middel van voornoemde zoeksleutels na maximaal twee weken aangeboden aan de rechter-commissaris om de inhoud, omvang en relatie tot de vermoedelijk gepleegde of te plegen strafbare feiten te controleren en zal niet eerder ter beschikking worden gesteld aan het Openbaar Ministerie of de politie ten behoeve van (opsporings)onderzoeken;
7. De vergaarde informatie/communicatie zal slechts ter beschikking worden gesteld voor onderzoeken naar strafbare feiten die naar hun aard, in georganiseerd verband gepleegd of beraamd, een ernstige inbreuk op de rechtsorde maken, dan wel misdrijven met een terroristisch oogmerk, een en ander voor zover die onderzoeken niet behoren tot die welke op de reeds voor aanvang van de inzet van het middel aan de rechter-commissaris overgelegde lijst zijn vermeld.”
- De door de rechter-commissaris afgegeven machtiging is nadien tussentijds verlengd en getoetst. Na analyse van de verkregen informatie hebben de zaaksofficieren van justitie in het onderzoek 26Lemont op grond van artikel 126dd Sv toestemming gegeven informatie te delen met onder meer het onderzoeksteam Elrits en het onderzoeksteam Shifter, waarbij die informatie eerst aan de rechter-commissaris is voorgelegd voor het vragen van toestemming voor het delen van de informatie. De ter beschikking gestelde datasets bestonden uit Encrochat-berichten van specifieke gebruikers en de verschillende tegengebruikers in de periode van april tot en met juni 2020.
SkyECC
- Ook het bedrijf SkyECC bood een versleutelde berichtendienst aan. Daarvoor werden voorgeprogrammeerde toestellen aangeboden, met daarop functionaliteiten voor diverse vormen van communicatie en de automatische vernietiging daarvan. De toestellen werden volledig anoniem en alleen tegen contante betaling of betaling via cryptovaluta verhandeld.
- Op 30 oktober 2018 is in Nederland het onderzoek 13Yucca gestart, naar aanleiding van meerdere lopende strafrechtelijke onderzoeken waaruit zou blijken dat personen die deel uitmaakten van criminele samenwerkingsverbanden die zich bezighielden met het beramen en plegen van zware criminaliteit, in de periode vanaf augustus 2015 voor versleutelde communicatie gebruikmaakten van telefoons en software van SkyECC.
- Voorafgaand aan het onderzoek 13Yucca was al door Nederlandse opsporingsambtenaren vastgesteld dat de servers van SkyECC zich in Roubaix (Frankrijk) bij hostingbedrijf OVH bevonden. Samen met de Belgische autoriteiten, die ook voornemens waren een strafrechtelijk onderzoek te doen naar SkyECC, is contact gezocht met de Franse autoriteiten en heeft een verkennend overleg plaatsgevonden. Dat overleg was erop gericht een toelichting te geven op nog uit te vaardigen EOB’s en helderheid te verkrijgen over de vraag of Frankrijk de onderzoeken zou kunnen verrichten.
- Op 6 december 2018 heeft Nederland een EOB naar Frankrijk verzonden om daarmee een ‘image’ te verkrijgen van de servers, zodat de technische inrichting van de servers kon worden onderzocht met het oog op nader onderzoek (onder meer in de vorm van het tappen en ontsleutelen van de via de servers gevoerde communicatie), en om zo inzicht te verkrijgen in de organisatie van SkyECC. Verder was het EOB gericht op het verstrekken van informatie over historische en toekomstige klantgegevens van SkyECC en het verstrekken van technische gegevens van de server.
- Voorafgaand aan het verzenden van dit EOB heeft de rechter-commissaris op 30 november 2018 een machtiging verleend voor het door de officier van justitie doen van een vordering als bedoeld in artikel 126ug lid 2 Sv tot, kort gezegd, het vorderen van gegevens die zijn opgeslagen in een geautomatiseerd werk van een aanbieder van een openbare of niet-openbare telecommunicatiedienst, terwijl die gegevens niet bestemd zijn voor of afkomstig zijn van die aanbieder. De rechter-commissaris heeft daarmee toestemming gegeven voor het maken van een ‘image’, met de restrictie dat de vergaarde informatie uitsluitend mocht worden aangewend voor het onderzoek naar de technische mogelijkheden voor het tappen en de ontsleuteling. De inhoud van de eventueel op de servers aan te treffen berichten mocht niet zonder uitdrukkelijke toestemming van de rechter-commissaris worden gebruikt in een strafrechtelijk onderzoek.
- Een soortgelijk EOB is op 21 november 2018 door België aan Frankrijk gezonden.
- Frankrijk heeft uitvoering gegeven aan de EOB’s. Daarbij is de architectuur van de servers geanalyseerd. Naar aanleiding van dit onderzoek heeft de Franse officier van justitie een opsporingsonderzoek geopend, waarin toestemming is gevraagd en door de Franse rechter (op 14 juni 2019) is verleend voor de interceptie, opname en transcriptie van de communicatie tussen de SkyECC-servers.
- Op 24 en 26 juni 2019 zijn IP-taps geplaatst op de twee SkyECC-servers. De Nederlandse autoriteiten, die niet aanwezig waren bij de plaatsing van deze taps, zijn hierover op 8 juli 2019 geïnformeerd. Op 11 juli 2019 zijn de data van de IP-taps beschikbaar geworden voor Nederland. In een tweede EOB van Nederland aan Frankrijk staat vermeld dat Nederland heeft vernomen dat Frankrijk een tap heeft aangesloten en dataverkeer tussen de SkyECC-servers heeft afgetapt, waarbij dit EOB was gericht op het verstrekken van de verkregen data aan Nederland.
- Verder is gebleken dat de geïntercepteerde data door de rechter-commissaris van de rechtbank Lille op eigen initiatief zijn overgedragen aan twee Nederlandse officieren van justitie, op grond van artikel 26 van het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (hierna: het Cybercrimeverdrag) en – naar de Hoge Raad begrijpt – artikel 7 van de Overeenkomst, door de Raad vastgesteld overeenkomstig artikel 34 van het Verdrag betreffende de Europese Unie, betreffende de wederzijdse rechtshulp in strafzaken tussen de lidstaten van Europese Unie, Trb. 2000, 96 (hierna: EU-Rechtshulpovereenkomst). Daarbij is het verzoek gedaan de bevindingen naar aanleiding van de data terug te koppelen aan Frankrijk.
- Op 1 november 2019 is het opsporingsonderzoek 26Werl gestart, waarbij de verdenking was gericht tegen het bedrijf SkyECC. Op 13 december 2019 hebben Nederland, België en Frankrijk een overeenkomst voor een gemeenschappelijk onderzoeksteam gesloten, waarvan het onderzoek 26Werl deel is gaan uitmaken. Vanaf dat moment zijn de door Frankrijk geïntercepteerde data aan het gemeenschappelijk onderzoeksteam verstrekt en op die wijze met onder meer de Nederlandse autoriteiten gedeeld.
- Naar aanleiding van nader onderzoek zijn de mogelijkheden tot ontsleuteling van de data uit de IP-taps verkend, waarbij ook een (succesvolle) test is gedaan met een deel van de groepsberichten. Nederlandse technici hebben binnen het gemeenschappelijk onderzoeksteam een techniek ontwikkeld om een kopie te maken van het werkgeheugen van één van de SkyECC-servers zonder dat die offline zou gaan. Op 14 mei en 3 juni 2020 heeft Frankrijk deze techniek ingezet.
- Vervolgens is door Nederland een techniek ontwikkeld (‘man in the middle’) die het ontsleutelen van het berichtenverkeer mogelijk maakte. Deze techniek is op 18 december 2020 aangesloten en geactiveerd, nadat de Franse adviescommissie die een oordeel moet geven over apparatuur die inbreuk kan maken op de persoonlijke levenssfeer en het briefgeheim, hiervoor toestemming had verleend.
- Op 11 december 2020 is het onderzoek 26Argus gestart. Dit onderzoek richtte zich op NN-gebruikers van SkyECC die in georganiseerd verband door middel van de SkyECC-applicatie zware strafbare feiten beraamden en pleegden.
- In het onderzoek 26Argus hebben rechters-commissarissen op 15 december 2020 een machtiging verleend voor het geven van een bevel op grond van artikel 126t Sv (tapmachtiging) en op 7 en 11 februari 2021 machtigingen voor het geven van een bevel op grond van artikel 126uba Sv (machtiging voor het binnendringen in een geautomatiseerd werk). In een proces-verbaal van bevindingen hebben de betrokken rechters-commissarissen overwogen dat, hoewel op voorhand niet vaststaat dat een beslissing door de Nederlandse rechter-commissaris noodzakelijk is voor de rechtmatigheid van het gebruik van de SkyECC-data, een toetsing van de proportionaliteit door de rechter-commissaris aangewezen is met het oog op de bescherming van de persoonlijke levenssfeer van de betrokkenen. Daarbij hebben de rechters-commissarissen voorwaarden gesteld om op die manier de privacyschending zoveel mogelijk in te kaderen en zogenoemde ‘fishing expeditions’ te voorkomen. Deze voorwaarden houden het volgende in:
“1. De vergaarde en ontsleutelde informatie mag slechts worden onderzocht met toepassing van vooraf aan de rechter-commissaris voorgelegde zoeksleutels, zoals:
- informatie over SkyECC-gebruikers (en hun tegencontacten en eventueel daar weer de tegencontacten van) uit lopend onderzoek naar criminele samenwerkingsverbanden;
- zoektermen (steekwoorden) en/of afbeeldingen die naar hun aard wijzen op ernstige criminele activiteiten in georganiseerd verband;
2. Het onderzoek met de zoeksleutels moet zo worden ingericht dat desgewenst achteraf reproduceerbaar en verifieerbaar is voor de rechtbank en verdediging welke resultaten/dataset de zoekslag heeft opgeleverd, en dus welke gegevens ter beschikking zijn gesteld voor het desbetreffende opsporingsonderzoek;
3. Er wordt bij het onderzoek recht gedaan aan het verschoningrecht van geheimhouders waaronder advocaten. Voor zoveel mogelijk wordt geheimhouderscommunicatie actief uitgefilterd;
4. De rechter-commissaris wordt inzage gegeven in de onderliggende Franse rechterlijke beslissingen;
5. De vergaarde informatie wordt na het onderzoek zoals hiervoor omschreven voorgelegd aan de rechter-commissaris om de inhoud en omvang te controleren, en de relatie tot concrete vermoedelijke strafbare feiten te beoordelen;
6. De vergaarde informatie zal pas na uitdrukkelijke toestemming van de rechter-commissaris aan het Openbaar Ministerie of de politie ter beschikking worden gesteld ten behoeve van (verder) opsporingsonderzoek. Daarbij moet (gelet op voorwaarde 2) duidelijk zijn op welke gegevens de toestemming ziet, en welke gegevens aan het onderzoeksteam worden verstrekt;
7. De vergaarde informatie zal slechts ter beschikking worden gesteld voor onderzoeken naar strafbare feiten die naar hun aard, in georganiseerd verband gepleegd of beraamd, een ernstige inbreuk maken op de rechtsorde, dan wel misdrijven met een terroristisch oogmerk.”
- Op 11 januari 2021 is de machtiging op grond van artikel 126t Sv verlengd, waarbij de voorwaarden waaronder aanvullende toestemming kan worden verkregen voor het gebruik van de data, nader zijn uitgewerkt.
- Op basis van de verkregen machtigingen heeft de officier van justitie een bevel gegeven om de verkregen data te analyseren binnen de door de rechter-commissaris gestelde voorwaarden. Vervolgens is door de rechter-commissaris aanvullende toestemming verleend voor inzage in en het gebruik van in- en uitgaande communicatie van steeds een (data)set van Sky-ID’s. De zaaksofficieren van justitie in het onderzoek 26Argus hebben op 3 januari 2022 op grond van artikel 126dd Sv toestemming gegeven informatie uit dat onderzoek te delen met het onderzoeksteam Shifter. Daarbij zijn uit het onderzoek 26Argus SkyECC-accounts naar voren gekomen die konden worden gekoppeld aan de Encrochat-gebruikers.
.jpg?width=50&height=55)
.jpg?width=50&height=55)
