De data van EncroChat.. verboden vruchten?

‘Aardschok voor georganiseerde misdaad’luidde de kop van het persbericht van 2 juli jl. van het Openbaar Ministerie, nadat bekend was geworden dat er meer dan 20 miljoen onderschepte chatberichten van criminelen voor een belangrijk deel live meegelezen zouden zijn.  Waarschijnlijk is er een softwareapplicatie (malware) geplaatst bij de servers van EncroChat waardoor berichten zijn meegelezen, vóórdat deze door versleuteling voor derden onleesbaar werden gemaakt. Na versleuteling zou het ontcijferen van de data een zware klus zijn geworden. Al lukte dat nog wel met de data van het bedrijf Ennetcom die in 2016 door Justitie was veiliggesteld. 

Het plaatsen van malware waarmee een geautomatiseerd werk wordt binnengedrongen, wordt ook wel ‘hacken’ genoemd. Een bevel om te hacken kan pas door de officier van justitie worden gegeven na een voorafgaande machtiging van de rechter-commissaris. Dit vereiste van een voorafgaande rechterlijke toetsing beoogt de burger bescherming te bieden tegen willekeurige inmenging door de overheid in zijn privéleven. Het recht op vertrouwelijke communicatie wordt beschermd door artikel 8 van het Europees Verdrag van de rechten van de Mens (EVRM) en artikel 13 van de Grondwet. 

Zo moet duidelijk vaststaan van welk misdrijf iemand wordt verdacht én welke feiten en omstandigheden ten grondslag liggen aan deze verdenking. Ook dient te worden aangegeven hoe lang het onderzoek zal gaan duren en dient het geautomatiseerde werk in voldoende mate identificeerbaar te zijn. Ook het technisch hulpmiddel, bijvoorbeeld de malware, dient nauwkeurig omschreven te worden, zodat de inzet van de bevoegdheid zo goed mogelijk kan worden gecontroleerd. 

Bij de inzet van opsporingsmethoden in het geval van EncroChat, lijkt het helemaal anders te zijn gegaan. In plaats van bij een bepaalde verdachte malware te plaatsen zijn politie en justitie nu bij een server binnengedrongen met tienduizenden gebruikers. Een ‘gamechanger’ noemt het Openbaar Ministerie deze werkwijze. Op de door politie en justitie belegde persconferentie brengen zij naar voren:

“Normaal is het zo dat we in een zaak op zoek zijn naar bewijs. Dat hebben we nu helemaal omgedraaid. Al ons bewijs zoekt nu naar een zaak. Ik ben ervan overtuigd dat er nog vele aanhoudingen zullen volgen”.

Dat klinkt niet alsof politie en justitie zich hebben gehouden aan de strenge voorwaarden die aan hacken worden gesteld om burgerrechten te beschermen. EncroChat was ook in gebruik bij personen die niet werden verdacht van strafbare feiten, maar die nu wel zijn gehackt.   

Politie en justitie stellen zich op het standpunt dat er sprake is van een toelaatbare inmenging van het privéleven, gelet op de ernst van de opgespoorde misdrijven en de onmogelijkheid om de gevonden informatie op een andere manier te achterhalen. Daarbij mag echter niet over het hoofd worden gezien dat veel misdrijven kennelijk niet bekend waren, voordat de inbreuken op de persoonlijke levenssfeer plaatsvonden. Ook kan bediscussieerd worden of bepaalde misdrijven niet op een andere manier opgelost hadden kunnen worden. Het bewijs is mogelijk onrechtmatig verkregen. 

In veel gevallen heeft de hack alleen startinformatie opgeleverd. Dit is informatie die aanleiding geeft om bepaalde personen als verdachte aan te merken. Daardoor kan weer gebruik gemaakt worden van bepaalde bijzondere opsporingsbevoegdheden zoals observeren, huiszoekingen etc. Maar wat nu als die startinformatie onrechtmatig verkregen is? In de Nederlandse rechtspraak leidt onrechtmatig verkregen startinformatie niet snel tot bewijsuitsluiting (via de verboden vruchtenleer). Maar de wijze waarop hier aan de startinformatie is gekomen, kan alleen al met het oog op strafvermindering interessant zijn om tot de bodem te onderzoeken. 

In het hele onderzoek zal de vraag of EncroChat zich daadwerkelijk op de criminele markt richtte, ook een voorname rol kunnen spelen. Dat is immers de reden waarom politie en justitie deze operatie aangedurfd hebben. Volgens het OM zou er ‘geen zicht’ zijn op legale gebruikers van EncroChat, maar dat betekent niet dat ze er niet zijn. Als er andere zoektermen zouden worden ingevoerd, zouden legale gebruikers alsnog in beeld kunnen komen. Maar dergelijk onderzoek is niet zonder meer toelaatbaar, omdat het de privésfeer van de betrokkenen raakt. Wellicht biedt contra-onderzoek door de verdediging hier soelaas.  

Volgens eigen zeggen heeft het bedrijf de software ontwikkeld voor beroemdheden die bang waren dat hun telefoon gehackt zou kunnen worden. Er zijn tal van niet-criminele redenen te bedenken om van een goed beveiligd toestel of dienst gebruik te willen maken. Als aan het licht komt dat een belangrijk deel van de gebruikers de service voor legale doeleinden gebruikte, komt de rechtmatigheid van de hack ook daarom onder druk te staan. De proportionaliteit van deze hack zal dan niet meer zo vanzelfsprekend zijn, als het Openbaar Ministerie ons wil doen geloven.  

Mr. D.M. Penn