Rechtbank Amsterdam, 17-03-2022, ECLI:NL:RBAMS:2022:1274, 13-995007-20

De rechtbank ziet zich voor de principiële vraag gesteld of de wijze waarop de Encro-data zijn verkregen, geanalyseerd en gebruikt, in strijd is met het recht. Meer in het bijzonder met het Unierecht, het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM), en/of het Nederlandse wetboek van Strafvordering.

De vraag is niet helemaal nieuw; de afgelopen tijd hebben meerdere rechtbanken zich uitgesproken over de toelaatbaarheid van het verkrijgen, analyseren en gebruiken van gekraakte pgp-berichten, van onder andere de diensten Sky, Ennetcom, en ook Encrochat. Uit praktische overwegingen en ook omwille van de rechtseenheid heeft de rechtbank soms delen uit die oordelen overgenomen. Ook in deze zaak, Rockdale 2, heeft de rechtbank al eerder, in de tussenbeslissingen van 8 juli 2021 en 30 september 2021, overwegingen gewijd aan de Encro-hack. De rechtbank komt thans tot eindbeslissingen.

Uitgangspunten

De rechtbank wil vooraf twee uitgangspunten vaststellen:

Om de Encro-verweren te kunnen beoordelen, is allereerst van belang vast te stellen wat de feitelijke gang van zaken precies is geweest. De rechtbank heeft die al beschreven in de tussenbeslissing van 8 juli 2021, maar daarna is het dossier aangevuld met meer informatie over de feitelijke gang van zaken. De rechtbank gaat er nu van uit dat die als volgt is.

Beschrijving Encrochat

Encrochat was een aanbieder van telefoons waarmee door middel van de Encrochat-applicatie versleutelde chats (bestaande uit tekstberichten en afbeeldingen) konden worden verzonden en ontvangen en waarmee onderling gebeld kon worden. Ook was het mogelijk om notities te bewaren op de telefoontoestellen. De gebruiker had niet de mogelijkheid om zelf applicaties te installeren op het toestel en was dus beperkt tot het gebruik van de communicatie-applicaties die er door de leveranciers op gezet werden. Gebruikers kochten een telefoontoestel waarop de Encrochat-applicaties vooraf geïnstalleerd waren in combinatie met een abonnement om de service te kunnen gebruiken. De duur van het abonnement was vaak 1, 3 of 6 maanden en kon verlengd worden.

Een Encrochat telefoon werd geleverd met een simkaart waarmee alleen dataverkeer verzonden en ontvangen kon worden. Deze simkaart had een wereldwijde dekking. De inhoud van een Encrochat telefoon kon door de gebruiker volledig worden gewist. Dit werd ook wel ‘panic-wipe’ genoemd. Door Encrochat zijn diverse typen telefoontoestellen geleverd voor het gebruik van de Encrochat-applicatie.

Door middel van de Encrochat-applicatie konden de Encrochat gebruikers alleen onderling en één-op-één communicatie voeren. Er konden dus geen groepsgesprekken worden gevoerd. De onderlinge communicatie kon tot stand komen nadat een gebruiker zijn ‘username’ stuurde naar een andere gebruiker, met het verzoek om toegevoegd te worden aan diens contactenlijst. De ander moest dit verzoek eerst accepteren voordat onderlinge communicatie mogelijk was. Gebruikers konden elkaars username opslaan in hun contactenlijst onder een zelfgekozen omschrijving (‘nickname’). Er kon dus slechts gecommuniceerd worden met contacten in de contactenlijst; niet met overige Encrochat gebruikers ook al was daarvan de Encrochat gebruikersnaam bekend.

Een chat kon bestaan uit tekstberichten en foto’s. De berichten verliepen in principe na een vooraf ingestelde tijd, ook wel burn-time of beveiligde verwijdertijd genoemd. Deze tijd was door de gebruiker aan te passen, standaard stond hij ingesteld op zeven dagen. Tevens kon er vanuit de chat een ‘VoIP’ spraakgesprek gevoerd worden.

De kosten voor een Encrochat telefoon bedroegen ongeveer € 1.500,- voor een abonnement van zes maanden.

Het onderzoek naar (het bedrijf) Encrochat en het JIT

Al vanaf 2017 vonden er in onder meer Frankrijk en Nederland onderzoeken plaats naar Encrochat. Telefoons van Encrochat zijn in diverse strafrechtelijke onderzoeken aangetroffen en in beslag genomen bij personen die van ernstige strafbare feiten werden verdacht. De indruk ontstond bij de politie dat deze telefoons vrijwel uitsluitend in het (georganiseerde) criminele circuit werden gebruikt. De gebruikers van de Encrochat telefoons waren (doorgaans) onbekend. De onmogelijkheid om de telefoons te herleiden tot de persoon die de telefoon gebruikte, zou volgens de politie maken dat deze dienst populair was binnen bepaalde typen van criminaliteit. De mogelijkheden van ‘burn time’ en ‘panic-wipe’ maakten dat ook op het moment dat een dergelijke telefoon in beslag was genomen én forensisch kon worden ontsleuteld, er zeer beperkt berichtenverkeer kon worden uitgelezen.

Uit de op de Encrochat-hack betrekking hebbende stukken in Rockdale 2 (afkomstig uit het onderzoek 26Lemont), de toelichting(en) daarop van het Openbaar Ministerie (OM) en uit door de verdediging in het geding gebrachte stukken, volgt dat er -in elk geval- in de eerste maanden van 2020 overleg is gevoerd door politie en justitie uit verschillende landen met als doel te komen tot een gecoördineerde aanpak bij de vervolging van het bedrijf Encrochat en de daaraan gelieerde personen. De server van Encrochat bleek te zijn gevestigd in Roubaix, Frankrijk, bij het bedrijf OVH. Bij het verzenden van een Encrochat-bericht van het ene naar het andere toestel verliep de communicatie via deze server. De communicatie was versleuteld (encrypted). Deze versleutelde communicatie bleek niet of nauwelijks inzichtelijk te zijn voor opsporingsdiensten.

Het gezamenlijk overleg heeft geleid tot de oprichting van een Joint Investigation Team ( JIT) om de verdenkingen tegen Encrochat verder te onderzoeken. Die verdenkingen waren dat het bedrijf Encrochat en de daaraan gelieerde personen zich schuldig maakten aan witwassen, deelname aan een criminele organisatie en medeplichtigheid aan strafbare feiten die door de gebruikers van Encrochat werden gepleegd.¹

De hack

Binnen het JIT is afgesproken dat Frankrijk met de door hen ontwikkelde mogelijkheden Encrochat zou hacken, en dat de zo verkregen informatie binnen het JIT zou worden gedeeld. De verdediging heeft uit enkele andere strafzaken waarin Encrochat-informatie een rol speelt documenten in het geding gebracht, o.a. uit Engelse strafrechtelijke procedures. Uit deze stukken komt naar voren dat een hacktool zou worden ingezet op alle Encrochat-toestellen wereldwijd. Dit middel zou op de toestellen worden gezet via een update vanaf de server in Frankrijk. Het middel zou de op de toestellen vastgelegde data verzamelen en verzenden naar de Franse autoriteiten. Het gaat dan om alle data die op dat moment op de telefoon waren opgeslagen, waaronder IMEI-gegevens, gebruikersnamen, wachtwoorden, opgeslagen chatberichten, afbeeldingen, locatiegegevens (‘geodata’) en notities. Gedurende de tweede fase (stage 2) zou communicatie, zoals chatberichten, live of nagenoeg live worden verzameld. De geplande duur van de interceptie was twee maanden.

De vanuit Engeland verkregen informatie sluit aan bij de informatie die de Nederlandse politie en het OM hieromtrent hebben gegeven. Volgens die informatie heeft het Franse onderzoeksteam op de hierna beschreven wijze uitgaande en inkomende communicatie verzameld van Encrochat telefoontoestellen. De Franse Gendarmerie heeft op 1 april 2020 vanuit Pontoise, Frankrijk, rond 17:15 uur een door een Franse technische politiedienst ontwikkeld opnamemiddel geïnstalleerd. Het doel van dit middel was het vastleggen van de inkomende en uitgaande communicatie door middel van de Encrochat telefoontoestellen. Het Franse onderzoeksteam verzamelde de Encrochat telefoondata gedurende de periode van 1 april 2020 17:15 uur tot 26 juni 2020 omstreeks 17:00 uur. Het Franse politieteam sloeg deze data gedurende deze periode op in computersystemen in Frankrijk.

Wat is er met de gehackte data gebeurd?

Alle door Frankrijk verzamelde data zijn in het JIT gevoegd in het gezamenlijke onderzoeksdossier, ook de door Frankrijk live verzamelde info. De informatie is op die manier gedeeld met alle JIT partners, waaronder Nederland.²

Uit het proces-verbaal Overzicht beschikbare data Encrochat (AD aanvulling 1, p. 191 e.v.) en het Proces-verbaal van veiligstellen (AD aanvulling 1, p. 195 e.v.), blijkt verder het volgende. Het Franse onderzoeksteam heeft de Nederlandse politie toegang gegeven tot de Encrochat telefoondata via een beveiligde verbinding met de computersystemen in Frankrijk. De Encrochat telefoondata zijn vervolgens door Nederlandse opsporingsambtenaren vanaf het Franse computersysteem gekopieerd naar het onderzoeksnetwerk van de Nederlandse politie. Om een zo actueel mogelijke kopie van de Encrochat telefoondata te krijgen, gebruikte de politie een wijze van kopiëren waarbij met een zo klein mogelijke vertraging de nieuwe Encrochat telefoondata werden gekopieerd naar het onderzoeksnetwerk van de Nederlandse politie. De aldus verkregen data vanuit Frankrijk, veelal bestaand uit Encrochat-berichten, is volgens de politie de dataset die de politie in Nederland heeft verkregen binnen het onderzoek 26Lemont. Het betreft data afkomstig van 39.000 telefoons, waarvan zich ongeveer 9.000 telefoons (deels) in Nederland bevonden. Nederland heeft ook nog een harde schijf ontvangen van Frankrijk met daarop alle data. De informatie op die harde schijf is vergeleken met de data die eerder gekopieerd waren. Uit deze vergelijking heeft de politie geconcludeerd dat de data “volledig en integer zijn gekopieerd” vanaf de Franse systemen naar het onderzoeksnetwerk van de Nederlandse politie.

Daarnaast heeft het Franse onderzoeksteam op 4 verschillende momenten, te weten januari 2019, oktober 2019, februari 2020 en juni 2020, een kopie gemaakt van de Encrochat infrastructuur en de informatie die op dat moment beschikbaar was op de verschillende servers. Deze informatie is ook gedeeld met Nederland, zowel in het onderzoek Bismarck dat al eerder liep, als in het kader van het JIT. Dit heeft eveneens veel informatie opgeleverd. Geen inhoudelijke berichten, maar wel veel metadata, zoals back-ups van de notitie-app, administratieve gegevens, IP adressen, overzicht van users en databases met wachtwoorden.

De Encrochat data kunnen dus opgedeeld worden in twee categorieën:

Nederlandse autoriteiten hebben toegang gehad tot beide data.

De machtiging van de rechter-commissaris

De op de zojuist omschreven manieren verkregen data werden door de Nederlandse opsporingsautoriteiten ondergebracht in het onderzoek 26Lemont, een onderzoek gericht tegen het bedrijf Encrochat en haar gebruikers. Bij de rechter-commissaris is een vordering ingediend om een machtiging te geven teneinde de informatie te mogen analyseren en gebruiken. De officier van justitie heeft gekozen voor de aanvraag van een gecombineerde 126uba Sv / 126t Sv machtiging. Uit de aanvraag voor de machtiging³ blijkt dat het onderzoek 26Lemont voortkwam uit een al langer lopend onderzoek, Bismarck, en dat de verdenking zich richtte tegen het bedrijf Encrochat c.s. en diens directeuren, en daarnaast tegen de NN gebruikers van Encro-telefoons, die zich strafbaar zouden maken aan ‘diverse vormen van georganiseerde criminaliteit’. Daarbij is een lijst overgelegd van onderzoeken waarin reeds was vastgesteld dat sprake is van in georganiseerd verband gepleegde strafbare feiten. In de aanvraag voor de machtiging wordt gesteld dat het in totaal om 55.000 Encro-telefoons gaat die wereldwijd worden gebruikt, waarvan vermoedelijk ongeveer 12.000 Nederlandse gebruikers. Doel is, aldus het proces-verbaal, de NN gebruikers te identificeren en onderzoek te doen naar hun betrokkenheid bij in georganiseerd verband gepleegde en/of nog te plegen strafbare feiten.

De machtiging 126uba en 126t Sv is door de rechter-commissaris afgegeven op 27 maart 2020⁴ en maakt inmiddels (zij het voorzien van enkele zwartgemaakte passages) onderdeel uit van het dossier Rockdale 2. In die machtiging zijn door de rechter-commissaris afwegingen gemaakt en voorwaarden gesteld, om op die manier de privacy schending zoveel mogelijk in te kaderen en zogenaamde ‘fishing expeditions’ te voorkomen. Volgens het OM is deze machtiging overigens ten overvloede aangevraagd, want die was eigenlijk niet nodig.

Wat is er in Nederland met de verkregen data gebeurd?

De Nederlandse opsporingsdiensten beschikten aldus over een enorme hoeveelheid data. Die data kan worden onderverdeeld in 3 subcategorieën:

De dataset is door de Nederlandse politie met behulp van algoritmes en zoektermen geanalyseerd en onderzocht. Deels in het kader van reeds bekende onderzoeken die op de hiervoor genoemde lijst stonden die de rechter-commissaris had goedgekeurd. Deels op basis van in categorieën ingedeelde zoektermen. Het onderzoek Rockdale 2 heeft niet op de lijst gestaan met reeds bekende lopende onderzoeken, maar is later in beeld gekomen, naar aanleiding van het doorzoeken van de data met behulp van zoektermen.

Welke data zijn onderzocht door Nederland?

De rechtbank heeft zich de vraag gesteld of binnen het onderzoek 26Lemont alleen de informatie afkomstig van de Nederlandse Encro-telefoons is doorzocht, of alle informatie die door Frankrijk is verzameld. De stukken zijn hier niet heel expliciet over, maar de rechtbank heeft na herhaalde lezing van de stukken geconcludeerd dat Nederland in elk geval de beschikking heeft gekregen over álle data, dus niet alleen data afkomstig van Nederlandse toestellen, en dat het onderzoek met de zoektermen zoals dat in 26Lemont is verricht ook is verricht binnen de gehele dataset. Nergens staat beschreven dat vanuit de Franse gegevens eerst een afsplitsing is gemaakt van de data afkomstig van Nederlandse telefoons of Nederlandse Encrochat gebruikers. Een dergelijke afsplitsing lijkt ook niet goed mogelijk binnen een zo grote dataset die nog ongedifferentieerd is en nog onderzocht moet worden. Hoewel in sommige stukken wordt gesproken over onderzoek aan Nederlandse toestellen/gebruikers van Encrochat, gaat de rechtbank ervan uit dat niet alleen de data van Nederlandse toestellen of Encrochat gebruikers zijn onderzocht, maar alle beschikbare Encrochat data.⁷

Hoe is de Encro-informatie in Rockdale terecht gekomen?

In het proces-verbaal Verantwoording aanmelding en toewijzing tot verstrekking informatie aan onderzoek Rockdale van 27 oktober 2021⁸ is beschreven dat in de dataset in 26Lemont is gezocht (in de categorie cocaïne) op de woorden ‘loods’, ‘schuur’ en ‘hexaan’. Het ging om één of meer hits met een van de zoeksleutels. Daarbij kwam o.a. de gebruiker ‘ [naam account] ’ naar voren. Verdere analyse van de berichten en afbeeldingen van [naam account] leidde tot de verdenking dat deze gebruiker betrokken was bij de opzet van drugslabs. Ook kwam daarbij de locatie [adres] te Kwintsheul naar voren. Vervolgens is met die informatie gezocht of in Nederland een onderzoek liep dat hierbij aansloot. Dat bleek het geval. Er was een onderzoek, Rockdale genaamd, waarin sprake was van verdachte aankopen van hexaan, en de locatie [adres] te Kwintsheul. De verdenking in het onderzoek Rockdale was dat sprake was van een of meer drugslaboratoria.

Aan de rechter-commissaris is vervolgens, op 13 mei 2020, gevraagd of de gegevens uit 26Lemont verder konden worden onderzocht op basis van deze verdenking, en of de informatie kon worden gedeeld met onderzoek Rockdale. Die toestemming is door de rechter-commissaris op dezelfde dag per e-mail gegeven. Het onderzoek Rockdale is vervolgens op 14 mei 2020 aan de zogenoemde lijst van onderzoeken toegevoegd.⁹

Hierna is de dataset Encrochat verder onderzocht op relevante informatie voor het onderzoek Rockdale. Op basis van de informatie die naar voren kwam uit de Encro-data werd duidelijk dat er een lab was, nader recherchewerk leidde tot de locatie Nijeveen, waarop een TCI melding werd gemaakt inhoudende dat zich mogelijk een cocaïne lab in een manege in Nijeveen bevond. Daar is op 7 augustus 2020 binnengetreden (en in een loods in Elshout en in Apeldoorn) en dat heeft de basis gevormd voor het onderzoek Rockdale 1. Binnen Rockdale 2 is men verder gaan rechercheren en analyseren, wat uiteindelijk heeft geleid tot de 10 verdachten in het onderhavige onderzoek Rockdale 2 en evenzoveel zaaksdossiers.

Dat het EVRM van toepassing is op deze zaak en de beoordeling van de rechtmatigheid van het onderzoek, staat niet ter discussie. Over het daarnaast al dan niet van toepassing zijn van het Unierecht is in de aanloop naar de zitting wel discussie geweest. Inmiddels lijken OM en verdediging het erover eens dat EU Richtlijn 2002/58 niet van toepassing is op deze zaak, maar Richtlijn 2016/680 wel, en dat daarmee ook het Handvest van toepassing is. De verdediging is hierover duidelijk.¹⁰ Het OM, in repliek, stelt het niet zo expliciet, maar gaat wel in op Richtlijn 2016/680 en het Unierecht. Uit het feit dat het OM concludeert dat er geen strijd is met het Unierecht, leidt de rechtbank af dat het OM er dus wel van uitgaat dat het Unierecht van toepassing is.

De rechtbank heeft in haar tussenbeslissing van 8 juli 2021 overwogen dat ook zij ervan uitgaat dat Richtlijn 2002/58 niet van toepassing is, maar Richtlijn 2016/680 mogelijk wel. Thans is de rechtbank definitief van oordeel dat Richtlijn 2016/680 inderdaad van toepassing is op deze zaak (en Richtlijn 2002/58 niet). Daarmee is de toepasselijkheid van het Handvest en het Unierecht een gegeven.

Daarnaast is uiteraard het Nederlandse recht van toepassing.

Is met de hierboven omschreven feitelijke gang van zaken inbreuk gemaakt op de persoonlijke levenssfeer van de Encrochat gebruikers? Ook daarover lijkt geen discussie te zijn. De verdediging heeft zich van meet af aan op dit standpunt gesteld. Maar ook het OM lijkt die mening toegedaan. Het OM heeft in alle stukken aangegeven dat de 126uba Sv machtiging is gevraagd aan de rechter-commissaris, omdat werd voorzien dat een inbreuk zou worden gemaakt op de persoonlijke levenssfeer van de Encrochat gebruikers.¹¹

Ook de rechtbank gaat uit van een inbreuk op de persoonlijke levenssfeer van de Encrochat gebruikers.

Van belang is verder te weten niet alleen of een inbreuk is gemaakt op de persoonlijke levenssfeer, maar ook hoe groot die inbreuk is geweest. De rechtbank overweegt daarover het volgende. Hoewel het best waar kan zijn dat (sommige? alle?) Encrochat gebruikers nog een of meer andere telefoons gebruikten, naast hun Encro-telefoon, beschikten de Nederlandse opsporingsautoriteiten over een dataset die niet alleen alle inhoudelijke communicatie van de Encrochat-gebruikers in een bepaalde periode bevatte, maar ook alle notities, afbeeldingen, locatiegegevens, wachtwoorden en contactgegevens. Met deze gegevens kon een behoorlijk volledig beeld worden verkregen van het privéleven van de Encrochat gebruikers.

Uit de rechtspraak rondom artikel 8 EVRM volgt dat sprake is van een grote inbreuk, indien het mogelijk is een ‘min of meer volledig beeld van iemands persoonlijke leven’ te krijgen. Het Unierecht kent vergelijkbare rechtspraak. Zo spreekt het Hof van Justitie van de Europese Unie (HvJEU) in het Prokuratuur arrest over: “precieze ja zelfs zeer nauwkeurige conclusies met betrekking tot dagelijkse gewoonten, de permanente of tijdelijke verblijfplaats, dagelijkse verplaatsingen, activiteiten die zij uitoefenen, sociale relaties en de sociale kringen waarin zij verkeren.”¹² Dit is allemaal informatie die uit de dataset kon worden gehaald en ook is gehaald, zo blijkt ook uit het dossier Rockdale 2, dat immers informatie bevat over de verblijfplaats van de verdachten, onderlinge contacten, bezoek aan familieleden op verjaardagen, en wie met wie wanneer sprak, allemaal gebaseerd op de informatie uit de Encro-dataset.

Het oordeel van de rechtbank is dan ook dat niet alleen sprake is geweest van een inbreuk op het persoonlijke leven van de Encrochat gebruikers, maar ook dat die inbreuk (vrij) groot is geweest.

Nu duidelijk is dat inbreuk is gemaakt op de persoonlijke levenssfeer van de Encrochat gebruikers, en evenmin ter discussie staat dat het Unierecht van toepassing is, is duidelijk dat de artikelen 7, 8 (en 11) Handvest van toepassing zijn op deze zaak, evenals artikel 8 EVRM. Daarmee is de eerste kernvraag gegeven: is de inbreuk die op de persoonlijke levenssfeer van de Encrochat gebruikers is gemaakt, bij wet voorzien? De vraag of eerst aan het Handvest of eerst aan het EVRM moet worden getoetst vindt de rechtbank minder relevant: beide verdragen eisen een wettelijke grondslag voor inbreuken op de persoonlijke levenssfeer.

Overigens eist ook het legaliteitsbeginsel zoals neergelegd in artikel 1 Sv een wettelijke basis voor strafvordering. De officier van justitie heeft daar – terecht – bij repliek nog op gewezen.

Over de wettelijke basis voor wat met betrekking tot Encrochat is gebeurd, is veel gezegd en geschreven. Het (uiteindelijke) standpunt van het OM lijkt te zijn dat er geen wettelijke basis is. Want bij repliek heeft de officier van justitie overwogen: “De Nederlandse wet kent geen expliciete bepaling die het mogelijk maakt om ‘bulkdata van communicatie’ ontvangen van opsporingsinstanties van een andere staat te doorzoeken”.¹³ Echter, artikel 126uba Sv en 126t Sv waren de wettelijke basis geweest voor het hacken en afluisteren als de server in Nederland had gestaan. Analoog toegepast kunnen deze artikelen ook een wettelijke basis bieden aan wat hier heeft plaatsgevonden, aldus de officier van justitie.

Volgens de verdediging is er geen wettelijke basis, niet op grond van artikel 126uba Sv, maar ook niet op grond van een andere bepaling.

Anders dan de verdediging en de officier van justitie is de rechtbank van oordeel dat de inbreuk op de persoonlijke levenssfeer van de Encrochat gebruikers door het opslaan, onderzoeken en verwerken van de Encrochat data, zoals dat hier is gebeurd, wel bij wet is voorzien. Die wettelijke basis biedt artikel 126uba Sv.

Immers, artikel 126uba Sv biedt de mogelijkheid aan de officier van justitie om (na machtiging van de rechter-commissaris) een geautomatiseerd werk binnen te dringen, oftewel het hacken, en vervolgens onderzoek te doen met het oog op onder meer de vastlegging van bepaalde kenmerken van de gebruiker, zoals de identiteit of de locatie, en de vastlegging daarvan, maar ook met het oog op de uitvoering van een bevel als bedoeld in artikel 126t Sv, oftewel het afluisteren, en met het oog op de vastlegging van gegevens die in het geautomatiseerde werk zijn of worden opgeslagen. Dat is precies wat hier is gebeurd. Het feit dat de hack zelf, het binnendringen in het geautomatiseerde werk, door de Franse autoriteiten heeft plaatsgevonden maakt naar het oordeel van de rechtbank niet dat daarmee artikel 126uba Sv niet meer van toepassing is op hetgeen na die hack is gebeurd: het afluisteren en onderzoeken. Anders gezegd: als artikel 126uba Sv het meerdere toestaat (het hacken, afluisteren, opslaan en daarna onderzoeken) dan staat 126uba Sv ook het mindere toe, het onderzoeken van de data. De rechtbank oordeelt daarom dat artikel 126uba Sv een wettelijke grondslag biedt voor het ontvangen, opslaan en onderzoeken van de Encrochat data.¹⁴

De rechtbank heeft hiervoor geoordeeld dat artikel 126uba Sv een wettelijke basis vormt voor de inbreuk op de persoonlijke levenssfeer van de Encrochat gebruikers. De volgende vraag is, of bij die inbreuk de in het Unierecht en het EVRM neergelegde waarborgen in acht zijn genomen. Eerbiedigen de beperkingen de wezenlijke inhoud van het recht op privacy, en zijn de beperkingen noodzakelijk en beantwoorden zij aan doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen (artikel 52 Handvest), dan wel zijn de beperkingen in een democratische samenleving noodzakelijk in het belang van de openbare veiligheid, ter voorkoming van strafbare feiten of ter bescherming van rechten en vrijheden van anderen (artikel 8 lid 2 EVRM)?

Om die vraag te kunnen beantwoorden, is het allereerst van belang te kijken naar hoe hetgeen hier is gebeurd moet worden geduid; is sprake van het doorzoeken van bulkdata? Of moeten we daar anders naar kijken? Daarnaast is van belang te kijken hoe de wettelijke basis is vormgegeven. En wat de (Europese) rechtspraak hierover zegt.

Bulkdata?

Nationaal en internationaal is veel gezegd en geschreven over zogenaamde ‘bulkdata’. Wat ‘bulkdata’ precies zijn, is echter niet per sé duidelijk. Duidelijk is wel dat er een grens ligt tussen het min of meer afgebakend opslaan en analyseren van bepaalde data, en het ongedifferentieerd opslaan, opvragen of doorzoeken van grote hoeveelheden data.

Met de verdediging is de rechtbank van oordeel dat de Nederlandse overheid in deze zaak beschikte over een enorme hoeveelheid data, namelijk het berichtenverkeer en de metadata van alle Encrochat gebruikers gedurende een bepaalde periode, plus nog serverinformatie van vier andere momenten. De rechtbank hecht er aan op te merken dat het enkele feit dat de Nederlandse autoriteiten de beschikking kregen over deze data een inbreuk op de privacy betekende, onafhankelijk van de vraag wat er verder met de data gebeurde. In sommige stukken die betrekking hebben op het hacken van data lijkt veel waarde te worden gehecht aan een onderscheid tussen het verzamelen van data, het analyseren van data, en het gebruiken daarvan in strafrechtelijke onderzoeken. Die stukken lijken te suggereren dat met name het gebruik een inbreuk op de privacy oplevert. De rechtbank denkt daar anders over en vindt dat de inbreuk op de privacy niet pas werd gemaakt op het moment dat de data werd gebruikt, oftewel werd overgedragen aan andere onderzoeken, maar al op het moment dat de data werd doorzocht / geanalyseerd op basis van de zoektermen. En eigenlijk al daarvoor, namelijk op het moment dat de Nederlandse autoriteiten de beschikking kregen over de data. Bescherming van het recht op privacy ziet immers niet zozeer op wat er daadwerkelijk met de beschikbare data gebeurt, maar veel meer op wat er kan gebeuren, het beeld dat van iemand(s) leven) kan worden verkregen, de informatie die kan worden bekeken.

In zoverre dus veel data en een (potentieel) grote inbreuk op de privacy. Toch oordeelt de rechtbank dat geen sprake is geweest van ‘bulkdata’ in de zin van ongedifferentieerde dataverzameling. Het ging hier om een afgebakende groep, namelijk de gebruikers van Encrochat, en om een concrete verdenking, namelijk dat Encrochat werd gebruikt, geheel of in overwegende mate, door deelnemers aan georganiseerde criminaliteit. Dat is een essentieel andere situatie dan bijvoorbeeld het bewaren van alle metadata van alle abonnees van een telecomprovider ten behoeve van eventuele toekomstige strafrechtelijke onderzoeken. Weliswaar gaat het dan ook om de gebruikers van één bepaalde aanbieder, maar niet alleen is dat een veel grotere groep abonnees, vooral ook is dat een groep gebruikers tegen wie niet op voorhand een verdenking bestaat van deelname aan georganiseerde criminaliteit. Hetzelfde geldt voor het opslaan of analyseren van alle gefotografeerde kentekens die langs een bepaalde locatie komen, of het opslaan en analyseren van alle beelden van alle beveiligingscamera’s. Het verschil zit erin dat in casu weliswaar veel data is verzameld, maar wel van een afgebakende groep en bovendien een groep tegen wie sprake was van een verdenking van deelname aan georganiseerde criminaliteit.

Artikel 126uba Sv – Titel V

Artikel 126uba Sv staat in Titel V van (het eerste boek van) het Wetboek van Strafvordering, de titel die ziet op ’bijzondere bevoegdheden tot opsporing voor het onderzoek naar het beramen of plegen van ernstige misdrijven in georganiseerd verband’. Dit is een bijzondere titel, specifiek bedoeld voor onderzoek naar georganiseerde criminaliteit. Omdat het om misdrijven in georganiseerd verband gaat, is de kring van personen die onderzocht mocht worden breder dan alleen verdachten, en hoeft het ook niet te gaan om gepleegde misdrijven, maar kan het ook gaan om onderzoek naar het georganiseerde verband in bredere zin, en ook om het beramen van misdrijven. Het doel van dit deel van het opsporingsonderzoek kan worden omschreven als het onderzoeken van een complex van personen en feiten teneinde een tot de georganiseerde criminaliteit behorende groepering in beeld te brengen, inclusief de misdrijven die daarin worden gepleegd en beraamd alsmede de rol die de verschillende betrokkenen bij dat verband spelen teneinde de te vervolgen feiten en verdachten te selecteren. De modaliteit van het opsporingsonderzoek als bedoeld in Titel V richt zich op het crimineel verband en daarmee op alle daarbij betrokken personen. Het onderzoek richt zich niet tegen een bepaalde persoon in de zin dat jegens hem een bepaalde verdenking moet bestaan als voorwaarde wil hij voorwerp van onderzoek kunnen zijn.¹⁵

Dat artikel 126uba Sv in Titel V staat betekent dus dat niet zomaar, ten behoeve van elk strafvorderlijk onderzoek, data kunnen worden verzameld en doorzocht. Er moet sprake zijn van een uit feiten of omstandigheden voortvloeiend redelijk vermoeden dat in georganiseerd verband misdrijven worden beraamd of gepleegd die een ernstige inbreuk op de rechtsorde opleveren, gezien hun aard of de samenhang met andere misdrijven die in dat georganiseerd verband worden beraamd of gepleegd. Alleen in die gevallen kan, met machtiging van de rechter-commissaris, door de officier van justitie opdracht worden gegeven binnen te dringen in een geautomatiseerd werk, en daar onderzoek te doen. In zo’n geval kan de kring van te onderzoeken personen wel breder zijn dan alleen degenen ten aanzien van wie een redelijk vermoeden van schuld bestaat.

Europese rechtspraak over dit onderwerp

De algemene regel die het HvJEU ten aanzien van het bewaren van verkeersgegevens hanteert, lijkt te zijn¹⁶: als er beperkingen zijn aan de groep, qua tijd of plaats en het gaat om bestrijding van zware criminaliteit, dan is het bewaren van gegevens in principe geoorloofd. De verdediging heeft de unierechtelijke rechtspraak op dit punt als volgt samengevat: er moet sprake zijn van ernstige criminaliteit, een rechterlijke toets en het op het grondgebied van de Unie bewaren van de gegevens. De rechtbank gaat ervan uit dat in diezelfde gevallen ook het doorzoeken of afluisteren van gegevens geoorloofd is. Dat volgt ook uit Ministerio Fiscal (overweging 54)¹⁷: alleen bij bestrijding van zware criminaliteit mag de overheid toegang hebben tot een reeks verkeers- en locatiegegevens op grond waarvan precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van betrokkene.

De wettelijke regeling zoals neergelegd in artikel 126uba Sv voldoet aan deze criteria. Er moet sprake zijn van een redelijk vermoeden dat in georganiseerd verband strafbare feiten worden gepleegd of beraamd en de rechter-commissaris moet een machtiging afgeven. In artikel 126uba Sv staat niet beschreven dat de data in Nederland (of een andere unie-lidstaat) bewaard moeten worden, maar dat is in deze zaak in elk geval wel zo geweest.

De conclusie van de rechtbank is dan ook: de inbreuk op de persoonlijke levenssfeer is bij wet voorzien en met inachtneming van de in het Unierecht en het EVRM neergelegde waarborgen.

Aanleiding voor het hacken en onderzoeken van de Encrochat data

In de stukken die ter onderbouwing van het verzoek om de 126uba Sv machtiging af te geven aan de rechter-commissaris zijn overgelegd¹⁸, is door het OM uitgebreid omschreven wat de verdenking tegen het bedrijf Encrochat, de daaraan gelieerde personen en de NN-gebruikers van Encrochat inhield, en waar die verdenking op was gebaseerd.

De 126uba Sv machtiging

De rechter-commissaris heeft deze verdenkingen ten grondslag gelegd aan zijn 126uba Sv machtiging. Met de rechter-commissaris is de rechtbank van oordeel dat het niet onredelijk is te veronderstellen dat veel, mogelijk alle, Encrochat-gebruikers zich bezig hielden met criminele activiteiten. Voor die veronderstelling heeft het OM voldoende gegevens aangeleverd. Nu het ging om een Titel V onderzoek, is dat naar het oordeel van de rechtbank voldoende.

Uit de 126uba Sv machtiging blijkt dat de rechter-commissaris de vordering heeft getoetst aan de criteria van artikel 126uba Sv. De rechter-commissaris heeft zich, zo blijkt uit de 126uba Sv machtiging, gerealiseerd dat inbreuk gemaakt zou worden op de persoonlijke levenssfeer, en heeft afwegingen gemaakt in het kader van proportionaliteit en subsidiariteit. De rechter-commissaris heeft zijn goedkeuring gegeven, maar onder bepaalde voorwaarden. De rechter-commissaris heeft expliciet overwogen dat de inbreuk op de privacy zoveel mogelijk moest worden beperkt, en dat voorkomen moest worden dat sprake zou zijn van een ‘fishing expedition’. Naar het oordeel van de rechtbank heeft de rechter-commissaris daarmee blijk gegeven de in het Unierecht en het EVRM neergelegde waarborgen te hebben onderkend en gewogen bij het verlenen van de 126uba Sv machtiging.

Fishing expedition?

De rechtbank is van oordeel dat in casu wel sprake is geweest van een soort ‘fishing expedition’. Immers, de zaak Rockdale is niet een van de zaken waarvan op voorhand bekend was dat er een verdenking lag tegen gebruikers van Encrochat. De 126uba Sv machtiging had in eerste instantie geen betrekking op de zaak Rockdale. Zoals hierboven omschreven is eerst de (gehele) dataset doorzocht met zoektermen, waaruit een verdenking ontstond jegens onder andere ‘ [naam account] ’, vervolgens is de data van ‘ [naam account] ’ nader onderzocht, daar kwam onder andere het adres te [plaats 2] uit. Vervolgens is in de politiesystemen gezocht naar een zaak die hiermee verband zou kunnen houden, die werd gevonden, en pas daarna werd aan de rechter-commissaris toestemming gevraagd (en verkregen) om verder te zoeken en de informatie te delen. De rechterlijke toets heeft dus in feite pas plaatsgevonden nadat er al onderzoek was verricht.

Daar staat tegenover dat de 126uba Sv machtiging weliswaar niet specifiek zag op de zaak Rockdale, maar wel op het analyseren van de gehele dataset met behulp van de door de rechter-commissaris goedgekeurde woordenlijst. Dat is ook wat er is gebeurd. De tweede rechterlijke toets, specifiek in de zaak Rockdale, betrof dus niet zozeer het doorzoeken van de data, als wel het delen van de resultaten van dat zoeken met een ander onderzoek.

De verdediging heeft moeite met het gegeven dat een grote dataset wordt onderzocht door opsporingsautoriteiten op zoek naar nog onbekende strafbare feiten, zonder dat op dat moment sprake is van een verdenking van een concreet strafbaar feit. Dat ligt op het eerste gezicht wellicht ook gevoelig. Echter, zoals hiervoor uiteengezet heeft dat zoeken plaatsgevonden op basis van een rechterlijke machtiging, met behulp van door de rechter-commissaris goedgekeurde woorden, en zijn na het zoeken de resultaten eerst aan de rechter-commissaris voorgelegd voordat de resultaten verder werden gebruikt. Nu het een onderzoek betrof in het kader van georganiseerde criminaliteit, een Titel V onderzoek, en er voldoende reden was te veronderstellen dat Encrochat in elk geval grotendeels voor georganiseerde criminaliteit werd gebruikt, beoordeelt de rechtbank deze gang van zaken als rechtmatig.

De rechtbank oordeelt dat er voor het onderzoeken, analyseren en verwerken van de data een wettelijke basis is. De inbreuk op de persoonlijke levenssfeer is bij wet voorzien en met inachtneming van de in het Unierecht en het EVRM neergelegde waarborgen. De wettelijke basis is ook nageleefd; er heeft een rechterlijke toets plaatsgevonden, waarbij de rechter-commissaris rekening heeft gehouden met alle belangen en de eisen van subsidiariteit en proportionaliteit. Ook in de wijze waarop de opsporingsautoriteiten vervolgens hebben gehandeld heeft de rechtbank geen onrechtmatigheden aangetroffen. De rechtbank oordeelt dan ook dat met betrekking tot het onderzoeken en verwerken van de Encrochat data geen sprake is van vormverzuimen of andere onrechtmatigheden.

Het voorgaande heeft allemaal betrekking op het opslaan, onderzoeken en verwerken van de data in Nederland. De verdediging heeft ook verweren gevoerd die zien op de fase van het vergaren van de data: de hack zelf, en het JIT. De rechtbank heeft in de tussenbeslissing van 8 juli 2021 over het vertrouwensbeginsel al het volgende overwogen:

De rechtbank stelt voorop dat in het kader van deze verzoeken relevant is dat in Frankrijk de inzet van de interceptietool en de daarvoor benodigde aanvragen en toetsing heeft plaatsgevonden. De Encrochat data is in Frankrijk verzameld op basis van Franse strafvorderlijke bevoegdheden waarvoor een Franse rechter een machtiging heeft verleend. Daarbij heeft het OM vanaf het begin benadrukt, en laatstelijk in de brief van 24 maart 2021 bevestigd, dat sprake is geweest van een Frans strafrechtelijk opsporingsonderzoek naar het bedrijf Encrochat. Frankrijk heeft de aanvraag tot machtiging en inzet op basis van eigen feiten en omstandigheden onderbouwd, waarbij Nederland geen feiten en omstandigheden betreffende lopende Nederlandse strafrechtelijke onderzoeken heeft aangedragen om de aanvraag van de machtiging nader te onderbouwen.

Bij die stand van zaken, die vooralsnog op basis van de stukken die vanuit de Engelse procedure over Encrochat door de verdediging zijn overgelegd ook niet anders blijkt, is sprake van een opsporingsonderzoek dat onder verantwoordelijkheid van de Franse autoriteiten heeft plaatsgevonden. Gelet op het vertrouwensbeginsel zoals de Hoge Raad dat heeft uitgelegd in het arrest van 5 oktober 2010 ¹⁹ staat niet ten toets van de Nederlandse strafrechter of in het recht van het desbetreffende land al dan niet een toereikende wettelijke grondslag bestond voor de door de buitenlandse autoriteiten verrichte onderzoekshandelingen. Het is met andere woorden niet de taak van de Nederlandse strafrechter om aan de hand van (Franse) stukken te controleren of de machtiging door de Franse rechter op juiste (wettelijke) gronden is verleend, dan wel na te gaan of daar gebreken aan kleven. De taak van de Nederlandse strafrechter is ertoe beperkt te waarborgen dat de wijze waarop van de resultaten van dit buitenlandse onderzoek in de strafzaak gebruik wordt gemaakt, geen inbreuk maakt op zijn recht op een eerlijk proces, als bedoeld in artikel 6, eerste lid, van het EVRM.

Het oordeel van de rechtbank is op dit punt, ook na de inhoudelijke behandeling, niet gewijzigd. De verdediging heeft aangevoerd dat het vertrouwensbeginsel niet van toepassing kan zijn, omdat in Nederland data van Nederlandse gebruikers zijn onderschept, maar de rechtbank kijkt anders tegen de feitelijke gang van zaken aan op dit punt. Het klopt dat (ook) data zijn onderschept van telefoons die zich in Nederland bevonden, maar dat is gebeurd door het plaatsen van een tool op die telefoons via een server die in Frankrijk stond, waarna de informatie van die telefoons, via die server, naar de Franse autoriteiten werd gezonden, dus in feite in Frankrijk.

Het vertrouwensbeginsel is derhalve onverkort van toepassing. Dit betekent dat de Nederlandse strafrechter niet toetst of de inzet van de interceptietool strookt met de in Frankrijk geldende rechtsregels. Voorts staat niet ter toetsing aan de Nederlandse strafrechter of al dan niet een toereikende wettelijke grondslag bestond voor eventueel door de Franse autoriteiten gemaakte inbreuk op het recht op respect voor het privéleven dan wel of die inbreuk noodzakelijk is geweest. Het antwoord op de vraag van de verdediging of het JIT al bestond op het moment dat de interceptie begon is daarmee evenmin relevant. De taak van de Nederlandse strafrechter is ertoe beperkt te waarborgen dat de wijze waarop van de resultaten van dit buitenlandse onderzoek in de strafzaak gebruik wordt gemaakt, geen inbreuk maakt op het recht op een eerlijk proces, als bedoeld in artikel 6, eerste lid, van het EVRM. Daarover heeft de rechtbank hierboven al geoordeeld.

De verdediging heeft met betrekking tot Encrochat nog enkele verweren gevoerd, die niet direct onder het bovenstaande zijn te groeperen. De rechtbank zal nog kort op die verweren reageren.

Allereerst heeft de verdediging betoogd dat de live gelezen bestanden (JSON) niet betrouwbaar zijn: de politie heeft wel gecheckt of de in Nederland ontvangen berichten klopten met de in Frankrijk opgeslagen berichten, maar niet of de in Frankrijk opgeslagen berichten ook overeenkomen met de daadwerkelijke chatberichten. De verdediging heeft gesuggereerd dat het mogelijk zou kunnen zijn dat door gebruik van de tool veranderingen in de data plaatsvonden, of bestanden niet goed werden gekopieerd. Bij suggesties is het echter gebleven. Er is geen begin van aannemelijkheid dat sprake zou zijn van veranderde berichten of het onjuist kopiëren van de data, hetgeen ook niet logisch lijkt met de installatie van een tool of app die kennelijk automatisch de gehele inhoud van de telefoon kopieert en doorgeeft. Dat hier en daar informatie is weggevallen, maakt nog niet dat de informatie die er wel is daardoor als onbetrouwbaar moet worden beoordeeld. De rechtbank verwerpt dit verweer.

Hetzelfde geldt voor de betrouwbaarheid van de data van vóór 25 maart 2020. Hoewel niet exact duidelijk is geworden op welke wijze of via welk toestel die data bij de autoriteiten zijn gekomen, is wel duidelijk dat dit data betreffen die zijn meegekomen na plaatsing van de tool, en dus afkomstig zijn van een of meer Encrochat telefoons, waarschijnlijk omdat die berichten (toch) nog op die telefoons stonden opgeslagen. Aan de betrouwbaarheid van de data doet dit alles niets af.

Tenslotte heeft de verdediging de onrechtmatigheid bepleit van wat hij noemt de ‘bulkvergaring van mastgegevens’. Het OM heeft mastgegevens opgevraagd van meerdere NN-gebruikers van Encrochat zonder machtiging van de rechter-commissaris, terwijl dit wel vereist was gelet op het arrest Prokuratuur. De rechtbank is, met de verdediging en het OM, van oordeel dat het arrest Prokuratuur hier van toepassing is, en de opgevraagde mastgegevens - hoewel deze zijn opgevraagd in overeenstemming met de voorschriften uit het Wetboek van Strafvordering - achteraf gezien niet door een officier van justitie gevorderd hadden mogen worden zonder voorafgaande onafhankelijke toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit. Dit betekent dat sprake is van schending van het Unierecht. De rechtbank is echter van oordeel dat het nadeel dat door de schending is veroorzaakt in deze zaak beperkt is. De mastgegevens beslaan slechts een beperkte tijdspanne en niet kan worden gezegd dat daarmee een min of meer compleet beeld van het privéleven van verdachte c.q. de verdachten is verkregen. Voorts is niet aangevoerd welke persoonlijke informatie kon worden achterhaald die de ernst aangeeft van de inbreuk op zijn persoonlijke levenssfeer. Bovendien weegt de rechtbank mee dat het aannemelijk is dat de rechter-commissaris - indien deze was benaderd met het verzoek de vorderingen vooraf te toetsen - toestemming zou hebben gegeven voor het doen van deze vorderingen.

Het voorgaande brengt met zich dat de rechtbank zal volstaan met de constatering dat sprake is van een vormverzuim, zonder dat daaraan een rechtsgevolg wordt verbonden.

De verdediging heeft een voorwaardelijk verzoek gedaan tot het stellen van prejudiciële vragen indien – kort gezegd - de rechtbank de verweren inzake het Unierecht niet volgt. Die voorwaarde doet zich voor. De rechtbank zal echter geen prejudiciële vragen stellen en overweegt daarover als volgt.

De rechtbank realiseert zich, zoals in de inleiding gezegd, dat een oordeel over de rechtmatigheid van het gebruik van de Encrochat data principiële vragen betreft, ook op het gebied van het Unierecht, en dat er nog weinig rechtspraak is op dit punt. Alleen al om die reden zou het interessant zijn een oordeel van het HvJEU te vragen. Daar staat tegenover dat het stellen van prejudiciële vragen veel tijd kost en dus veel vertraging betekent voor het strafproces. Dat zijn overwegingen die de rechtbank meeneemt. Maar het belangrijkste is, dat de rechtbank zich na de inhoudelijke behandeling, bestudering van alle stukken, en nadere bestudering van de jurisprudentie van het HvJEU voldoende in staat acht een beslissing te nemen die in overeenstemming is met het Unierecht. De rechtbank wijst het verzoek daarom af.

De rechtbank oordeelt dat geen sprake is van vormverzuimen in het voorbereidend onderzoek, anders dan het zonder rechterlijke machtiging opvragen van mastgegevens, waaraan geen consequentie wordt verbonden. Het voorwaardelijk verzoek tot het stellen van prejudiciële vragen wordt afgewezen. De Encrochat data kunnen gebruikt worden voor het bewijs en de rechtbank zal dat ook doen.