Unieke hack van EncroChat leidt tot veel lastige juridische vraagstukken

Het is een ongebruikelijk fenomeen in coronatijd: file op de snelweg. Maar op vrijdag 12 juni 2020 staat er rond 14.15 uur eentje bij de afslag Nieuwerbrug, op de A12 richting Den Haag. Die file is het begin van een bijzondere zoektocht van de recherche in het onderzoek naar de martelcontainer die vorig jaar juni werd gevonden in het Noord-Brabantse Wouwse Plantage.

Die zoektocht draait om de vraag of een van de hoofdverdachten in het onderzoek naar de martelcontainer zich verschuilt achter het alias ‘Slempo’, een bijnaam die voorkomt in miljoenen berichten die zijn buitgemaakt bij de hack van EncroChat. Slempo stuurt die vrijdagmiddag een foto van de file via EncroChat, een aanbieder van in de onderwereld populaire cryptotelefoons. En daarna volgt een tweede foto, van het navigatiescherm in de auto. Daarop is te zien dat er nog 2,4 kilometer aan langzaam rijdend verkeer is.

Dankzij de hack van Encrochat leest de politie tussen 1 april eind juni 2020 live mee met berichten van de circa negenduizend Nederlandse gebruikers. Maar dat weten Slempo en de andere klanten niet.

De recherche wil weten wie Slempo is, omdat hij begin april foto’s verstuurt van een tandartsstoel in een container en erna rept van „martelen” en „onze gevangenis”. Het vermoeden bestaat dat het Utrechter Robin van O. is – om zijn gestalte ook wel ‘Sport’ of ‘Spierbal’ genoemd. Maar een vermoeden is nog geen bewijs.

De politie observeert Robin van O. al ruim een jaar en weet dat hij regelmatig in een zwarte BMW X5 rijdt. De vraag is nu: stond die auto vrijdagmiddag rond 14.15 uur in de file op de A12? Ja, zo stelt de politie vast dankzij het systeem voor automatische kentekenplaatherkenning.

Slempo

Vervolgens blijkt dat het IMEI-nummer van het Encro-toestel dat Slempo gebruikt, op datzelfde moment contact maakt met een telefoonpaal in de buurt van Nieuwerbrug. En als de politie bij de arrestatie van Van O. tien dagen later de BMW in beslag neemt, wordt op het navigatiescherm van de auto een veeg gevonden die ook op de ‘file-foto’ staat. Slempo zat dus zeer waarschijnlijk in die auto. Maar is Robin van O. dan ook Slempo? Absoluut, zo concludeert het Openbaar Ministerie. Absoluut niet, stelt Robin van O.

Deze identificatie toont wat op basis van databestanden allemaal mogelijk is. Datagedreven politieonderzoek, heet het in slecht Nederlands. En bij de politie en het OM is het dé troefkaart in de aanpak van de georganiseerde misdaad. Er wordt intussen gretig gebruik van gemaakt.

Na de hack van Encro in 2020 is dit voorjaar concurrent Sky uit de lucht gehaald. En deze week presenteerden politiediensten uit zestien landen, inclusief Nederland, undercoveroperatie Anom. Daarbij werd een door de Amerikaanse FBI gecontroleerde berichtendienst wereldwijd in de onderwereld verspreid. In al die onderzoeken gaat het uiteindelijk om één ding: de communicatie van criminelen.

Voor de Nederlandse politie is de hack van EncroChat een gamechanger geweest. Dankzij de hack, volgens justitie formeel door Frankrijk uitgevoerd, kon de Nederlandse recherche vanaf 1 april 2020 vrijwel live meelezen met het berichtenverkeer van duizenden gebruikers. Wie dat waren, wist de politie op dat moment nog niet: de gebruikers gingen schuil achter bijnamen zoals Slempo. En aan welke strafbare feiten ze zich schuldig maakten, bleek pas na het lezen van de berichten.

Lees ook dit interview met politiechef Andy Kraag: ‘We hebben nu het aanbod van de Nederlandse drugseconomie in kaart’

Tienduizend kilo cocaïne

De Nederlandse politiechef Andy Kraag stelde bij de bekendmaking van de hack in juli 2020 dat zijn mensen „een ongelooflijk gedetailleerd beeld hebben gekregen van het dagelijks leven in de onderwereld”. Op dat moment waren dankzij EnCrochat-informatie zo’n honderd verdachten aangehouden, een serie drugslabs ontmanteld, miljoenen contant geld in beslag genomen en tienduizend kilo cocaïne gepakt.

Nu, bijna een jaar later, werpen kritische advocaten in strafzaken door het hele land de vraag op of deze digitale manier van bewijsvergaring wel rechtmatig is geweest. Vooralsnog zonder succes, de eerste drugscriminelen werden al veroordeeld op basis van EncroChat-berichten. En als het aan justitie ligt volgen straks ook criminele kopstukken als Piet Costa, de Rotterdammer die wordt gezien als een van de succesvolste cocaïnehandelaars van het afgelopen decennium. Volgens justitie liet Robin van O. de martelcontainer bouwen in opdracht van deze 49-jarige Piet Costa.

Deze vrijdag kruist Van O’s advocaat Louis de Leon in de martelcontainerzaak in Amsterdam de degens met officieren van justitie Frouke Heus en Koos Plooij over technische en principiële vragen rond de hack van EncroChat. Hoe zit die hack technisch precies in elkaar? Mag je berichtenverkeer van duizenden anonieme burgers meelezen, terwijl op voorhand niet duidelijk is van welke strafbare feiten ze worden verdacht?

Het is een juridisch debat dat door heel veel andere advocaten, officieren én rechters wordt gevolgd. Bij nagenoeg alle Nederlandse rechtbanken spelen dezelfde principiële vragen. Maar de zaak van de martelcontainer springt eruit, mede omdat Koos Plooij, een van de toonaangevende officieren van justitie en een strategisch denker, een belangrijke rol gespeeld heeft in de eerste strafzaken waarin bewijsmateriaal van cryptocommunicatie de doorslag gaf. Lukt dat nu weer?

Lees ook dit artikel: Grote undercoveractie is nieuwe klap voor de onderwereld

Een server in Roubaix

Het Canadese bedrijf EncroChat staat al in 2018 op de radar van Franse en Nederlandse opsporingsautoriteiten. De firma, die volgens onderwereldbronnen Nederlandse financiers heeft, profiteert van politieacties tegen twee concurrenten: Ennetcom en PGP-Safe, die in 2016 en 2017 uit de lucht werden gehaald.

De Britse National Crime Agency achterhaalt dat de servers van EnCrochat in Frankrijk staan. Het is een belangrijke eerste stap, waarvan Franse en Nederlandse opsporingsdiensten dankbaar gebruikmaken. De landen gaan samenwerken in een Joint Investigation Team (JIT). Al wordt die overeenkomst pas een week na de hack geformaliseerd. Het JIT vormt de spil in een – vanuit opsporingsperspectief – ingenieuze juridische constructie. Formeel is het opsporingsonderzoek (codenaam Emma95) gericht op provider EncroChat, wegens het via een versleutelde communicatiedienst faciliteren van zware criminaliteit. In de praktijk lijken de opsporingsdiensten vooral geïnteresseerd in het berichtenverkeer van de duizenden dan nog onbekende criminele gebruikers, zo blijkt uit Britse stukken.

Door zich officieel op EncroChat te richten, hoeft bij de rechtbank geen toestemming gevraagd te worden voor het onderzoek naar die duizenden anonieme gebruikers. Maar zo worden wel in één klap alle chatberichten binnen gehengeld: over martelcontainers, moorden, drugstransporten en nog veel meer.

De berichten kunnen in Nederland formeel worden gepresenteerd als ‘bijvangst’ van het onderzoek naar de provider EncroChat. En volgens de Nederlandse wet mag zulke ‘bijvangst’ gebruikt worden voor nieuwe opsporingsonderzoeken. Dat die wet oud is en niet werd geschreven met het idee dat het OM via een hack ‘toevallig’ duizenden onbekende criminele gebruikers opvist, doet daar niets aan af.

Met één machtiging miljoenen berichten als nevenvangst verzamelen, drukt een grote stempel op veel strafzaken

Jan-Jaap Oerlemans bijzonder hoogleraar inlichtingen en recht

Verschuilen achter de Fransen

Dankzij de JIT-constructie kan het Nederlandse OM zich bovendien verschuilen achter de Fransen en allerlei ‘vervelende’ vragen over de rechtmatigheid en proportionaliteit van de operatie onbeantwoord laten. Het onderzoek naar EncroChat is naar Frans recht uitgevoerd met instemming van Franse rechters. Volgens het OM hebben de Fransen de software ontwikkeld en geplaatst waarmee de hack is uitgevoerd. Vanwege het internationale vertrouwensbeginsel moeten Nederlandse rechters er daarom van uitgaan dat de Franse operatie rechtmatig is.

Volgens hoogleraar strafprocesrecht Sven Brinkhoff van de Open Universiteit past de EncroChat-operatie in een trend. „Het OM en de politie zijn de laatste jaren meer en meer de grens aan het opzoeken van wat mogelijk is. De criminaliteit is zo aantoonbaar aan het verharden, dat het idee leeft dat het doel de middelen heiligt.” Hoewel het OM het in alle toonaarden ontkent, lijkt het onderzoek naar EncroChat volgens Brinkhoff toch vooral te draaien om de „bijvangst”: de miljoenen berichten over criminele activiteiten wereldwijd.

De Nederlandse benadering contrasteert met de Britse. Daar wordt de EncroChat-operatie kritischer benaderd. Dit komt door het Britse systeem van disclosure, waarbij de politie in eerste instantie de openbare aanklager moet overtuigen dat informatie rechtmatig is verkregen. De EncroChat-hack heeft in Groot-Brittannië tot de aanhouding van honderden verdachten geleid en sinds hun zaken bij de rechtbank belanden, komt er heel veel informatie vrij over de techniek van de hack.

Zo wordt in Britse justitiestukken beschreven dat de hack feitelijk een soort tweetrapsraket is. De Fransen hebben eerst malware op de Encro-server in Roubaix geplaatst. Als Encro-toestellen van individuele gebruikers contact maken met die server wordt deze malware in fase twee van de hack onder het mom van een software-update op de telefoons geïnstalleerd.

Deze malware maakt op de telefoon een kopie van berichten, voordat die met een telefoon versleuteld worden verstuurd. Die kopie wordt dan naar een server van de politie gestuurd, net als allerlei andere informatie op de telefoon: losse aantekeningen, locatiegegevens, adresboeken.

Op basis van deze techniek concluderen de Britten dat niet alleen sprake is van een hack in Frankrijk, maar óók van een hack van alle telefoons van Encro-gebruikers op Brits grondgebied. Dat maakt dat ‘zware’ toestemming is vereist en een stevige belangenafweging. Uiteindelijk geeft de hoogste baas van de National Crime Agency haar fiat omdat Encrochat „exclusief door criminelen wordt gebruikt” en er geen publiek belang is om de privacy van EncroChat-gebruikers te respecteren.

Waar is nou gehackt?

De Utrechtse strafrechtadvocaat Ruud van Boom bemachtigt de Britse stukken. Hij werkt met een aantal Nederlandse advocaten en wisselt informatie uit over ontwikkelingen op Encro-vlak. Ze staan perplex over de inhoud van de Britse stukken. Als op Brits grondgebied is gehackt, dan is dat ook in Nederland gebeurd, aldus Van Boom. Volgens hem is sprake van opsporing in Nederland, uitgevoerd door de Fransen. En dat leidt tot een nieuwe serie juridische kwesties waarvan Nederlandse rechters wél iets mogen vinden.

Van Boom maakt er in april voor het eerst werk van in de strafzaak ParkCity. De drugszaak krijgt landelijke aandacht nadat De Telegraaf meldt dat de hoofdverdachte, transportondernemer Peter K., ook betrokken zou zijn bij de heling van een Van Gogh die in 2020 is gestolen uit het Singer in Laren. Peter K. wordt bijgestaan door advocaat Christian Flokstra.

Met Flokstra vraagt Van Boom onderzoek te doen naar de technische achtergronden van de hack. Onder verwijzing naar de Britse stukken stellen ze dat in Nederland is gehackt en dat er daarom openheid moet komen over de wettelijke basis. Is er sprake van hacken door de Fransen op Nederlands grondgebied?, zoals Van Boom kort gezegd stelt. Volgens Van Boom is hiermee niet alleen het verdragsrechtelijke recht op privacy geschonden, maar ook het recht op een eerlijk proces: „De Fransen stellen namelijk dat ‘hun’ methode staatsgeheim is, waardoor de betrouwbaarheid van de methode niet kan worden getoetst.”

Het OM houdt vast aan het argument dat er sprake is van onderzoek op Franse bodem en vraagt de rechtbank het verzoek af te wijzen. Wanneer de rechtbank het OM volgt besluiten Van Boom en Flokstra de rechters te wraken. Volgens hen is het een vooringenomen besluit dat ieder nieuw verzoek voor informatie over de Encro-hack bij voorbaat kansloos maakt.

Het OM en de politie zijn de laatste jaren meer en meer de grens aan het opzoeken van wat mogelijk is

Sven Brinkhoff hoogleraar strafprocesrecht Open Universiteit

‘Het schuurt’

Een zitting van de wrakingskamer laat ongebruikelijk lang op zich wachten. Het geeft de Bossche rechtbank de ruimte te zien wat er deze vrijdag gebeurt bij de martelkamerzaak in Amsterdam met officier Koos Plooij. Daar zal het, is de verwachting, weer gaan over de techniek achter de hack en de relevante juridische vraag die daarop volgt: is er nou naast Frankrijk ook sprake van een hack in Nederland? En zo ja, wie heeft dat dan gedaan en wat is de juridische betekenis daarvan?

Het is een vraag waarop het OM al heeft voorgesorteerd. Vlak voor de Encro-hack op 1 april 2020, geeft een rechter-commissaris in Rotterdam op verzoek van het OM een machtiging waarin ogenschijnlijk toestemming wordt gegeven om als ‘bijvangst’ de telefoons van de circa negenduizend Encro-gebruikers te hacken en hun berichtenverkeer te verzamelen. Maar volgens Van Boom is die machtiging, uitsluitend bedoeld voor Nederlandse opsporingsautoriteiten, niet van toepassing. „Het Nederlandse OM stelt immers dat niet zij, maar de Fransen hebben gehackt.”

Jan-Jaap Oerlemans, bijzonder hoogleraar Inlichtingen en Recht aan de Universiteit Utrecht: „Het schuurt met het proportionaliteitsbeginsel. Het is opvallend dat blijkbaar met één zo’n machtiging tientallen miljoenen berichten als nevenvangst verzameld mogen worden. Het drukt zo een grote stempel op veel strafzaken naar ernstige criminaliteit in Nederland.”