Digitale geheimhouderinformatie: vernietigen ≠ bewaren

Een veelvoorkomend probleem in strafrechtelijke (fraude)onderzoeken is de al dan niet heimelijke inbeslagneming van digitale gegevens die onder het professioneel verschoningsrecht van de advocaat vallen. Geheimhouderinformatie dus, die vervolgens jarenlang wordt bewaard op de systemen van opsporingsinstanties en het OM, omdat het te ingewikkeld en kostbaar zou zijn om deze te vernietigen, zoals de wet voorschrijft. In plaats daarvan wordt digitale geheimhouderinformatie “uitgegrijsd”. Daarmee wordt beoogd informatie ontoegankelijk te maken voor leden van het opsporingsteam. De “uitgegrijsde” informatie blijft bewaard en kan ook weer worden “ontgrijsd” zodat deze weer toegankelijk is.

Een probleem van iedereen

Dat is een probleem voor het OM, dat uitdraagt niet over geheimhouderinformatie te willen beschikken, maar met name een probleem voor cliënten en advocaten die hierdoor vrezen dat de vertrouwelijkheid van hun onderlinge communicatie niet gewaarborgd is. Dat is funest voor het maatschappelijk belang dat het verschoningsrecht dient: dat iedereen zich vrij voelt om alles met zijn of haar advocaat te delen. Een belang dat zo groot is dat het, zeer uitzonderlijke situaties daargelaten, boven het belang van waarheidsvinding prevaleert.1

Deze problematiek speelde ook in de zaak waarover Advocaat-Generaal Harteveld zich heeft gebogen in zijn Conclusie van 5 juli 2022.2 In deze zaak bleek digitale geheimhouderinformatie “uitgegrijsd” te zijn. In cassatie ligt de vraag voor of dat in lijn is met de wettelijke vernietigingsplicht. De Advocaat-Generaal betoogt dat dit het geval is mits er voldoende waarborgen in acht worden genomen. In deze blog licht ik toe waarom deze benadering onvoldoende recht doet aan het verschoningsrecht.

Het geitenpaadje

Het begin van deze problematiek ontstaat vaak, ook in deze zaak, op het geitenpaadje dat het OM neemt bij geheimhouderinformatie die is verkregen met een vordering ex artikel 126nd/ug. Op basis van artikel 126nd/ug Sv kan het OM (integrale) e-mailboxen vorderen bij providers zonder dat verdachten daarvan op de hoogte zijn. In e-mailboxen van verdachten bevindt zich regelmatig e-mailcorrespondentie met advocaten, zeker wanneer de vordering is gedaan nadat de verdachte bekend is geworden met het strafrechtelijk onderzoek en (dus) een advocaat heeft ingeschakeld.

Door het OM is een werkwijze ontwikkeld waarbij het OM zelfstandig beoordeelt of e-mails van en aan advocaten die op deze wijze zijn verkregen onder het verschoningsrecht vallen. Daarbij nemen “geheimhouderofficieren van justitie” en “geheimhouderopsporingsambtenaren” inhoudelijk kennis van de informatie om vervolgens te beslissen of het verschoningsrecht daarop van toepassing is. Die beslissing neemt men zonder dat de betrokken advocaat, Deken van de Orde van Advocaten of rechter-commissaris daaraan te pas komt. Als het verschoningsrecht volgens de geheimhouderfunctionaris niet van toepassing is, wordt de e-mail vrijgegeven aan het onderzoeksteam. Als het verschoningsrecht wel van toepassing is, wordt de e-mail niet vernietigd maar “uitgegrijsd” (ontoegankelijk gemaakt voor het opsporingsteam). Het OM meent deze werkwijze te kunnen baseren op artikel 126aa Sv en artikel 4 van het Besluit bewaren en vernietigen niet-gevoegde stukken (‘Besluit’).3

Het gevolg hiervan is dat gevorderde geheimhouderinformatie op geen enkele wijze tegen kennisneming door OM en opsporing beschermd is, terwijl dat wel zo zou zijn geweest indien de informatie (openlijk) met een beslag ex art. 98 Sv of art. 125i Sv zou worden meegenomen. In dat geval wordt (potentiële) geheimhouderinformatie immers in een gesloten envelop naar de rechter-commissaris gebracht. Pas wanneer de rechter onherroepelijk oordeelt dat het verschoningsrecht niet van toepassing is, mogen OM en de opsporing er kennis van nemen. Zo wordt voorkomen dat het verschoningsrecht onherstelbaar wordt geschonden doordat de informatie al bekeken is voordat vaststaat dat dat toelaatbaar was.

Het OM kan bij de geschetste benadering zelf kiezen op welke wijze er met geheimhouder-e-mails wordt omgegaan, al naar gelang de bevoegdheid waarmee deze worden verkregen. Wie de essentie van het verschoningsrecht begrijpt, begrijpt ook op voorhand al dat dat niet logisch, niet consistent en dus niet juist is.

Hoewel het misverstand dat dit geitenpaadje een wettelijke basis heeft tamelijk wijdverspreid lijkt te zijn,4 wijzen de tekst van de wet, de wetssystematiek, de wetsgeschiedenis, de rechtspraak van de Hoge Raad en de opvatting van de moderniseringswetgever in het ontwerp Wetboek van Strafvordering allemaal in dezelfde richting: dat een geheimhouder-e-mail die met een vordering in handen van justitie komt niet anders behandeld moet worden dan een geheimhouder-e-mail die tijdens een doorzoeking in beslag wordt genomen.5

Aan de werkwijze van het OM komt als het aan de moderniseringswetgever ligt overigens een eind. Uit de ontwerpversie van Boek 2 van het nieuwe Wetboek van Strafvordering volgt dat het ook bij vorderingen altijd aan de rechter-commissaris is om te oordelen over de toepasselijkheid van het verschoningsrecht.6

In de praktijk is deze werkwijze echter al jarenlang gevolgd. Gevolg daarvan is dat de systemen van het OM en de opsporing inmiddels bol staan van de “uitgegrijsde” digitale geheimhouderstukken die zolang een strafzaak gaande is, worden bewaard. “Geheimhouderfunctionarissen” van OM en opsporing hebben bovendien toegang tot deze gegevens.

Achtergrond van de zaak in cassatie

Het beschreven geitenpaadje was ook genomen in de zaak die de aanleiding was voor de Conclusie van de A-G van 5 juli 2022. In deze zaak vorderde het OM in de loop van een strafrechtelijk onderzoek naar fiscale fraude een dossier bij de e-mailprovider van een advocaat, de echtgenote van de verdachte. Dit dossier bevatte digitale verschoningsgerechtigde communicatie tussen de verdachte en zijn raadslieden. Kennelijk is dit standpunt (op enig moment) door het OM erkend, nu het OM besloot deze gegevens ‘uit te grijzen’. De raadslieden hebben op hun beurt een klaagschrift ex artikel 552a Sv ingediend bij de Rechtbank Rotterdam waarin werd verzocht om vernietiging van het dossier en een verbod op het gebruik van de gegevens.

De wet schrijft voor dat indien opsporingsambtenaren stuiten op geheimhouderinformatie, hiervan onverwijld melding moet worden gedaan aan de officier van justitie die vervolgens terstond de vernietiging daarvan moet bevelen (artikel 126aa, tweede lid, Sv en het Besluit). Door de raadslieden is aangevoerd dat hieraan niet is voldaan. Dat de geheimhouderinformatie door het ‘uitgrijzen’ niet definitief ontoegankelijk was gemaakt, was onder andere gebleken doordat het geheimhouderdossier op verzoek van een mederaadsman weer zichtbaar was gemaakt tijdens een inzage in de dataset. Ook de Belastingdienst bleek toegang te hebben gehad tot de integrale dataset, inclusief geheimhouderdossier.

Het OM stelde dat klagers niet-ontvankelijk waren in hun beklag omdat “uitgrijzen” gelijk zou staan aan “vernietigen”. Daadwerkelijke vernietiging zou niet mogelijk zijn omdat de ‘forensic trail’ dan zou verdwijnen. De Rechtbank volgde dit standpunt en oordeelde dat het feit dat het mogelijk is om eenmaal ‘gegrijsde’ informatie opnieuw toegankelijk te maken niet tot de conclusie leidt dat geen sprake is van vernietiging. In cassatie stellen klagers (opnieuw) dat “uitgrijzen” niet gelijkgesteld kan worden met vernietigen in de zin van artikel 126aa Sv. Hierover gaat de Conclusie van de A-G van 5 juli 2022.

Conclusie A-G Harteveld 5 juli 2022

De A-G schetst de eerdere rechtspraak over de vraag of ‘uitgrijzen’ gelijkgesteld kan worden aan “vernietigen”. Daarbij valt op dat in alle uitspraken is geoordeeld dat ‘uitgrijzen’ niet voldoet aan de wettelijke vernietigingsplicht.7

Vervolgens worden de relevante bepalingen en documenten beschreven, in het bijzonder artikel 126aa Sv. Uit de wetsgeschiedenis blijkt dat de wetgever met dit voorschrift beoogde te garanderen dat geheimhouderinformatie niet bewaard blijft voor de opsporing en dus zo snel mogelijk wordt vernietigd. De wet schrijft daarom voor dat indien opsporingsambtenaren stuiten op geheimhouderinformatie, hiervan onverwijld melding moet worden gedaan aan de officier van justitie die vervolgens terstond de vernietiging daarvan moet bevelen.

Ook wordt stilgestaan bij de memorie van toelichting van het ontwerpwetsvoorstel van het nieuwe Wetboek van Strafvordering waarin staat dat aan vernietigen bij digitale stukken een “functioneel-equivalente uitleg” gegeven moet worden. In de memorie van toelichting is het door het OM in de praktijk vaak gebruikte argument dat vernietigen duur, complex en soms zelfs onmogelijk zou zijn terug te vinden. Vernietigen wordt in de door de A-G aangehaalde passage zo uitgelegd dat de opsporing er “alles” aan moet doen om te zorgen dat “geheimhoudersinformatie niet meer zichtbaar is voor het opsporingsteam en niet meer gebruikt kan worden.

Vervolgens beschrijft de AG de relevante bepalingen uit het Besluit en de Toelichting op het Besluit. In artikel 5 van het Besluit staat dat met “vernietiging van een voorwerp” gelijk staat het “op zodanige wijze bewerken van een voorwerp” dat de gegevens “niet meer kenbaar zijn.” In de toelichting wordt daarover opgemerkt dat het “simpelweg wissen van bestanden” niet voldoende is.

Ten slotte gaat de AG in op oude en ‘voorlopige’ beleidsdocumenten van het OM over “uitgrijzen” en “ontgrijzen” naar aanleiding van het eerdergenoemde kort geding vonnis van 22 maart 2022.

Op basis van deze bronnen onderscheidt de A-G vervolgens “vier interpretaties” van vernietigen van digitale gegevens.

De eerste interpretatie is een absoluut vernietigingsbegrip waarvan het resultaat is dat de informatie onherroepelijk verdwenen en niet meer kenbaar is. Deze interpretatie sluit het beste aan bij de bedoeling van de wetgever bij de introductie van de vernietigingsplicht en vindt steun in een daarop betrekking hebbend arrest van de Hoge Raad van 16 juni 2009.8

De tweede optie is een functioneel-equivalente uitleg van het begrip vernietiging (‘de digitale papierversnipperaar’) waarbij het de bedoeling is dat gegevens niet teruggehaald kunnen worden en dat voor ‘normaal onderlegde mensen’ ook niet mogelijk is. Deze optie sluit in de optiek van de A-G het beste aan bij de visie van de moderniseringswetgever.

De derde en vierde optie zijn twee varianten van het “uitgrijzen” van gegevens. Hierbij is vernietiging van de informatie niet beoogd. Het resultaat is dat gegevens (in meer of mindere mate) ‘beveiligd bewaard’ blijven. In de derde variant kunnen de geheimhouderfunctionarissen beschikken over de geheimhouderinformatie (aangeduid als ‘de kluis met sleutel’): zij kunnen hier kennis van nemen en informatie eventueel ‘ontgrijzen’. In de vierde variant (‘kluis zonder slot’) kunnen leden van het opsporingsteam de geheimhouderinformatie ook zelf weer ‘ontgrijzen’.

De vierde variant (‘kluis zonder slot’) wordt door de A-G als niet houdbaar bestempeld. Ook de eerste interpretatiemethode wordt verworpen nu deze achterhaald zou zijn door de ‘ontwikkeling van de digitale techniek en de veranderde inzichten van de (moderniserings)wetgever’.

De twee ‘tussenvarianten’ resteren. Voor de tweede methode (de ‘digitale papierversnipperaar’) pleit volgens de A-G dat dit aansluit bij de taalkundige betekenis van het begrip ‘vernietigen’ en de bedoeling van de wetgever dat geheimhouderinformatie niet wordt bewaard. Nadeel van deze methode zouden de hiermee gemoeide kosten en “technische haken en ogen” zijn. De derde methode (‘kluis met sleutel’) zou het doel van de wet volgens de A-G ook voldoende kunnen dienen “mits deze ontoegankelijkmaking in theorie en praktijk met voldoende waarborgen is omkleed”. Deze methode zou steun vinden in de argumentatie van de moderniseringswetgever en passen bij de huidige praktijk van inbeslagneming van grote datasets waarbij niet direct duidelijk is of er geheimhouderinformatie inzit en het onverwijld vernietigen daarvan alleen daarom al ingewikkeld is.  

Alles afwegende meent de A-G dat de derde variant “de beste kaarten heeft” maar hij plaatst daar de volgende kanttekeningen bij:

- dat opsporingsinstanties moeten voorkomen dat zij geheimhouderinformatie in handen krijgen, bijvoorbeeld door deze gegevens van een vordering uit te zonderen;

- dat, indien het vermoeden rijst dat er toch geheimhouderinformatie in een dataset zit, de rechter-commissaris bij de schifting moet worden betrokken;

- dat het systeem ‘waterdicht’ moet zijn en leden van het opsporingsteam ‘op geen enkele wijze’ toegang kunnen krijgen tot die gegevens.

Toegepast op de zaak leidt dat tot de conclusie dat het middel slaagt omdat de rechtbank niets heeft vastgesteld over de wijze waarop het “uitgrijzen” heeft plaatsgevonden en over de wijze waarop is gewaarborgd dat de bij het strafrechtelijk onderzoek betrokken personen geen toegang konden krijgen tot de gegevens.

Kritiek op het bewaren van geheimhouderinformatie in een ‘kluis met sleutel’

De A-G neemt naar mijn overtuiging een gevaarlijke afslag door te kiezen voor een systeem waarin geheimhouderinformatie ‘beveiligd’ wordt bewaard op systemen van de opsporing.

Het lijkt erop dat er hierbij vanuit wordt gegaan dat het verschoningsrecht en de vernietigingsplicht ex artikel 126aa Sv er enkel toe strekken te garanderen dat bij het strafrechtelijk onderzoek betrokken personen geen kennis kunnen nemen van geheimhouderinformatie. Dat is niet juist. Artikel 126aa Sv is ingevoerd als voorziening om bij telefoontaps zo veel mogelijk te voorkomen dat kennis wordt genomen van geheimhouderinformatie omdat dat bij telefoontaps (indertijd) onvermijdelijk was. Dat neemt niet weg dat de essentie van het verschoningsrecht is dat niemand anders dan de advocaat en cliënt kennis kan nemen van geheimhouderinformatie. Vanzelfsprekend geldt dat voor leden van het opsporingsteam, maar ook voor andere functionarissen binnen de opsporing en justitie, ook voor medewerkers van de Belastingdienst en ook voor andere raadslieden.9  

De keuze voor de “kluis met sleutel” benadering is daarom fundamenteel onjuist. Er wordt dan immers niet eens geprobeerd of beoogd om de digitale geheimhouderinformatie te vernietigen, maar de informatie wordt bewust bewaard. Bovendien blijft de informatie bij die benadering toegankelijk voor de zogenaamde “geheimhouderfunctionarissen” waarbij dus kennelijk wordt toegestaan dat zij ook nog eens kennisnemen van geheimhouderinformatie. Dat is in strijd met de essentie van het verschoningsrecht.

De voorwaarde van de A-G bij het toestaan van ‘uitgrijzen’ is dat het systeem “waterdicht” moet zijn. Die voorwaarde is in de praktijk niet realistisch gebleken. Een fundamenteler bezwaar is dat deze benadering een oplossing is voor een probleem dat ook voorkomen kan worden door digitale geheimhouderinformatie niet op systemen van de opsporing te bewaren.

Daaraan kan worden toegevoegd dat de lekdichtheid van het systeem in een concrete zaak voor de verdediging en rechter in beginsel niet te controleren is. Zelfs in zaken waarin vaststaat dat er ongelukken met geheimhouderinformatie gebeurd zijn, staat het OM inzage in de systemen niet toe of blijkt de informatie niet meer raadpleegbaar.10

De andere kanttekeningen die de A-G bij zijn keuze voor de derde variant plaatst, zijn daarentegen toe te juichen. De A-G is van mening dat het OM moet voorkomen dat het geheimhouderinformatie in handen krijgt en dat de rechter-commissaris bij de schifting moet worden betrokken. Die uitgangspunten kunnen – en moeten –  echter ook gecombineerd worden met een systeem waarbij geheimhouderinformatie die desondanks op de systemen van de opsporing terecht is gekomen, daadwerkelijk vernietigd worden.

De keuze van de A-G voor de ‘uitgrijsmethode’ lijkt met name voort te komen uit de opmerkingen van de moderniseringswetgever over de kosten en de complexiteit daarvan. Ik neem aan dat die opmerkingen (indirect) afkomstig zijn van de zijde van het openbaar ministerie en de opsporing, nu dat door hen in de praktijk regelmatig naar voren wordt gebracht.

De stelling dat het vernietigen van digitale gegevens (te) kostbaar en complex is en de vernietigingsplicht daarom terzijde moet worden geschoven, verbaast omdat het OM bepaald niet de enige overheidsinstantie is met een vernietigingsplicht. Op overheidsinformatie rust immers onder bepaalde omstandigheden een vernietigingsplicht, bijvoorbeeld op basis van de Archiefwet en de Algemene Verordening Gegevensbescherming. Met het oog daarop heeft het Nationaal Archief een speciale Handreiking Digitaal vernietigen voor digitale overheidsinformatie opgesteld. Hierin is het “blijvend ontoegankelijk maken” van digitale gegevens waardoor deze niet meer leesbaar of beschikbaar is, omschreven.11

De Handreiking gaat onder meer in op de vraag wat digitaal vernietigen is en hoe het er in de praktijk uit kan zien. Bij de totstandkoming van de handreiking is gebruik gemaakt van de kennis van experts op het gebied van vernietiging van digitale gegevens en daarop betrekking hebbende internationale standaarden, zoals de MoReq2010, ISO 16175 en ISO 15489. Er zijn, zo staat in de Handreiking beschreven, verschillende gradaties van digitaal vernietigen mogelijk afhankelijk van de vraag hoe definitief de vernietiging dient te zijn. Aan de hand van een risicoanalyse kan worden gekozen voor meer of minder vergaande gradaties van vernietiging, van ‘administratief vernietigen’ tot eenmalig of meervoudig overschrijven tot en met de uiterste graad van vernietiging, het fysiek vernietigen van de gegevensdragers waarop de informatie zich bevindt in het geval van staatsgeheime informatie. Al deze gradaties van vernietiging hebben als gemene deler dat het doel is de informatie definitief te verwijderen waardoor deze niet meer kenbaar is. Met uitzondering van de uiterste graad van vernietiging, betreft dit “functioneel-equivalenten” van de fysieke papierversnipperaar voor digitale informatie. Zeer geschikte methoden dus om te kunnen voldoen aan de verplichting ex artikel 126aa Sv.

Conclusie

Het is te hopen dat de Hoge Raad een duidelijke grens trekt en de voorkeur van de A-G voor een systeem waarin geheimhouderinformatie wordt “uitgegrijsd” niet volgt. Ook wanneer een dergelijk systeem voorzien is van “waarborgen” is dit namelijk zeker geen ‘functioneel-equivalent’ van de wettelijke vernietigingsplicht. Het bewaren van geheimhouderinformatie op systemen van de opsporing is niet alleen fundamenteel fout, maar gaat ook in de praktijk onherroepelijk tot ongelukken leiden. Ook uit de onderhavige zaak blijkt weer dat geheimhouderinformatie niet veilig is bij de opsporing.12

Boven alles geldt dat het uitgangspunt moet zijn dat wordt voorkomen dat geheimhouderinformatie door deze informatie, zoals de A-G terecht benadrukt, uit te zonderen van de vordering. Gemakkelijker, veiliger en dus beter zou een geautomatiseerd systeem van e-mailherkenning zijn, zoals dat er ook is voor telefoonnummers van advocaten.13 De Staatssecretaris liet in 2011 al weten dat hieraan werd gewerkt zodat e-mailverkeer op dezelfde wijze kan worden gefilterd als telefoonverkeer. Het is, ruim tien jaar later, van groot belang dat dit. 

 

Afbeelding: Afbeelding van mohamed Hassan via Pixabay

 

Noten:

1 HR 1 maart 1995, ECLI:NL:HR:1985:AC9066 (Notaris Maas).

2 ECLI:NL:PHR:2022:647.

3 M. van der Horst en mr. R. Klein, ‘Het verschoningsrecht, de toekomst met vertrouwen tegemoet?’, Tijdschrift voor Sanctierecht & Onderneming 2019, 4, p. 150-170. Zie ook het ‘Voorlopig Beleid’ van het OM via https://www.om.nl/documenten/richtlijnen/2022/04/19/voorlopig-beleid-uitspraak-kort-geding-verschoningsrecht

4 De Voorzieningenrechter in de Rechtbank Den Bosch heeft het standpunt van de Staat op dit onderdeel gevolgd in het vonnis van 22 maart 2019 (hiertegen is incidenteel appèl ingesteld). De auteur is als advocaat bij deze procedure betrokken.

5 Prof. mr. D.R. Doorenbos en mr. M.E. Rosing, ‘Recht doen aan het verschoningsrecht’, Tijdschrift voor Sanctierecht & Onderneming, 2020, 5-6, p. 217-224.

6 Ambtelijke eindversie juli 2020, Boek 2, titel 7.5: Bevoegdheden met betrekking tot voorwerpen en gegevens waarover het verschoningsrecht zich uitstrekt, met name artikel 2.7.67 en 2.7.68.

7 Rechtbank Amsterdam 19 april 2018, ECLI:NL:RBAMS:2018:2504; Rechtbank Oost-Brabant 29 maart 2019, ECLI:NL:RBOBR:2019:1783, Gerechtshof ’s-Hertogenbosch 14 mei 2019, ECLI:NL:GHSHE:2019:1808 (in stand gelaten door de Hoge Raad in zijn arrest van 19 februari 2021, ECLI:NL:HR:2021:273), Rechtbank Oost-Brabant 22 maart 2022, ECLI:NL:RBOBR:2022:1035.

8 Hoge Raad 16 juni 2009, ECLI:NL:HR:2009:BH2678.

9 Zie hierover recent voor wat betreft advocaten: Hof van Discipline 15 juni 2022, ECLI:NL:TAHVD:2022:105.

10 Gerechtshof ’s-Hertogenbosch 14 mei 2019, ECLI:NL:GHSHE:2019:1808, r.o. 6.10 en 6.11.

11 https://www.nationaalarchief.nl/archiveren/kennisbank/handreiking-digitaal-vernietigen

12 Zie recent ook: Rechtbank Rotterdam 22 juni 2022, ECLI:NL:RBROT:2022:5019 en Gerechtshof Amsterdam 29 september 2021, ECLI:NL:GHAMS:2021:2820. Zie ook Gerechtshof ’s-Hertogenbosch 14 mei 2019, ECLI:NL:GHSHE:2019:1808.

13 Mr. T.N.B.M. Spronken, ‘Verschoningsrecht en repressieve druk’, Nederlands Juristenblad 2022/1188

Over de auteur(s)