Over de zogenaamde Encrohack is al veel te doen geweest. Het gaat in hoofdlijnen, alle voetangels en klemmen kunnen in dit bestek niet worden besproken, om het volgende. In het kader van een grootschalig internationaal onderzoek werden in 2020 door het gelijktijdig hacken van vele duizenden encryptietelefoons geleverd door EncroChat en SkyECC, miljoenen berichten onderschept die volgens justitie een ongehoorde inkijk gaven in de (internationale) wereld van de georganiseerde misdaad, die zich veilig waande met Encrotelefoons te communiceren. Hetzelfde gold voor de telefoons en diensten verstrekt door SkyECC, waarvan de servers zich eveneens in Frankrijk bevonden. Deze gegevens, die door een zogenaamde JIT (Joint Investigation Team) van Frankrijk en Nederland zijn ontsleuteld, hebben geleid tot honderden arrestaties in verschillende Europese landen. In Nederland lopen inmiddels veel strafzaken waarin gebruik wordt gemaakt van de gehackte informatie.³ In die zaken is van begin af aan fel gedebatteerd over de rechtmatigheid van de gang van zaken rond de hacks en over de vraag of de verdachten in deze strafzaken een rechtens te respecteren belang hebben bij een onderzoek daarnaar. Volgens het OM is dat niet het geval omdat de hacks zijn uitgevoerd door Frankrijk en het Nederlandse onderzoeksteam zich uitsluitend richtte op de bedrijven zelf en niet op de gebruikers van de encryptietelefoons. Nederland heeft via een Europees onderzoeksbevel Frankrijk gevraagd om ‘images’ van de servers om onderzoek te kunnen doen naar de technische mogelijkheden voor het tappen en ontsleutelen van de communicatie. Met behulp van deze technische ‘assistentie’ is vervolgens Frankrijk zelf overgegaan tot het hacken en tappen van de servers en heeft Frankrijk het hierop aangesloten dataverkeer gedeeld met Nederland. In Nederland heeft vervolgens, met machtiging van de RC met toepassing van de Nederlandse strafvorderlijke bepalingen, onderzoek plaatsgevonden in de door Frankrijk verstrekte (bulk)data om ‘fishing expeditions’ te voorkomen. Van de kant van de verdediging is aangevoerd dat de onderzoeken van begin af aan mede gericht zijn geweest op individuele gebruikers en dus deel uitmaken van het voorbereidend onderzoek in de individuele zaken en door de rechter ook als zodanig moeten worden getoetst. Daarnaast wordt verwezen naar een uitspraak van de Hoge Raad waarin is uitgemaakt dat ook vormverzuimen begaan buiten het voorbereidend onderzoek naar de verdachte, rechtsgevolgen kunnen hebben als deze van bepalende invloed zijn geweest op het verloop van het opsporingsonderzoek naar de verdachte.⁴ Daarom moet ­volgens de verdediging informatie op tafel komen om te kunnen onderzoeken of de EncroChat- en Sky-berichten op rechtmatige wijze zijn verkregen. Tot nu toe zijn de onderzoekswensen en verweren met betrekking tot de EncroChat- en SkyECC-data door de Nederlandse rechters verworpen, grosso modo omdat de oorspronkelijke JIT-onderzoeken niet gericht waren tegen de verdachten en omdat op grond van het vertrouwensbeginsel EU-lidstaten over en weer mogen vertrouwen op ieders rechtssysteem. Nu de door Frankrijk gehanteerde methode waarmee de data zijn verkregen in Franse onderzoeken met toestemming van een Franse rechter heeft plaatsgevonden, behoort het niet tot de taak van de Nederlandse rechter om te toetsen of het in Frankrijk wel volgens de regels is gegaan.

De hamvraag blijft echter of het vertrouwensbeginsel wel onverkort geldt, nu het niet gaat om puur Frans onderzoek, maar om een samenwerking tussen de Nederlandse en Franse autoriteiten op grond waarvan gesteld zou kunnen worden dat Nederland medeverantwoordelijkheid draagt.

De Rechtbanken Noord-Nederland en Overijssel hebben nu het voortouw genomen door deze kwestie aan de Hoge Raad voor te leggen. Zij stellen kort samengevat de volgende vragen: 1. Is het interstatelijke vertrouwensbeginsel zonder meer van toepassing op bewijs verkregen door de inzet van een opsporingsmiddel in het buitenland, in het kader van een JIT waarbij Nederland partner is? En mag de Nederlandse rechter, gelet op het interstatelijke vertrouwensbeginsel, ervan uitgaan dat in het buitenland een opsporingsbevoegdheid rechtmatig is ingezet en de betrouwbaarheid van de resultaten ervan gegeven is, zolang de (on)rechtmatigheid van dat opsporingsmiddel en de (on)betrouwbaarheid van die resultaten niet onherroepelijk in rechte zijn komen vast te staan in dat land? 2. Geldt het vertrouwensbeginsel ook als de gebruikers van de telecommunicatiediensten zich op Nederlands grondgebied bevinden terwijl de interceptie in een andere EU-lidstaat plaatsvindt? 3. Is in een dergelijk geval een machtiging van de Nederlandse rechter vereist? Zo ja welk wetsartikel (art. 126uba, 126nba Sv inzake hackbevoegdheden?) moet dan als grondslag dienen? Daarnaast wordt een aantal vragen gesteld over de onderzoeksbevoegdheid c.q. -plicht van de Nederlandse rechter naar de rechtmatigheid van de buitenlandse digitale bewijsgaring en het bewaren van de gegevens.

De kluwen wol ligt nu bij de Hoge Raad. Ook al betekent de beantwoording van de nu voorgelegde vragen niet dat alle problemen zijn opgelost, bijvoorbeeld wat de rol is van de Justitiële Dataprotectectierichtlijn om maar iets te noemen. Er staat nogal wat op het spel. Het OM en de politie zien in dit soort internationale samenwerking de toekomst van de opsporing van de georganiseerde criminaliteit. Waar het knijpt is of daarmee de nationale rechtsbeschermende waarborgen buiten spel worden gezet.

Dit Vooraf verschijnt in NJB 2023/1, afl. 1. 

Afbeelding van Pete Linforth via Pixabay

Noten:

1. ECLI:NL:RBNNE:2022:4797 en ECLI:NL:RBOVE:2022:4015.

2. Art. 553-555 Sv.

3. Een zoekslag op 30 december 2022 in rechtspraak.nl levert 341 hits op. Zie ook Hof Den Haag 15 december 2022 ECLI:NL:GHDHA:2022:2505, waarin een schorsingsverzoek hangende de prejudiciële procedure wordt afgewezen.

4. HR 1 december 2020 ECLI:NL:HR:2020:1889.

Over de auteur(s)

Taru Spronken

A-G bij de Hoge Raad