Uitspraak
HOGE RAAD DER NEDERLANDEN
STRAFKAMER
Nummer22/03889
Datum18 maart 2025
ARREST
op het beroep in cassatie tegen een arrest van het gerechtshof Den Haag van 13 oktober 2022, nummer 22-005666-19, in de strafzaak
tegen
[verdachte] ,
geboren in [geboorteplaats] op [geboortedatum] 1996,
hierna: de verdachte.
1.Procesverloop in cassatie
De beroepen zijn ingesteld door de verdachte en het openbaar ministerie.
Namens de verdachte heeft N. van Schaik, advocaat in Utrecht, bij schriftuur een cassatiemiddel voorgesteld. Ook het openbaar ministerie heeft bij schriftuur een cassatiemiddel voorgesteld.
De raadsman van de verdachte heeft het beroep van het openbaar ministerie tegengesproken.
De advocaat-generaal A.E. Harteveld heeft geconcludeerd tot vernietiging van de uitspraak van het hof, maar uitsluitend wat betreft de duur van de opgelegde gevangenisstraf, tot vermindering daarvan naar de gebruikelijke maatstaf en tot verwerping van het beroep voor het overige.
2.Waar het in deze zaak om gaat
In dit arrest gaat de Hoge Raad in op de betekenis van recente rechtspraak van het Hof van Justitie van de Europese Unie (hierna: Hof van Justitie) – in het bijzonder de uitspraak in de zaak CG/Bezirkshauptmannschaft Landeck (hierna: CG/Landeck) – voor de eisen die moeten worden gesteld aan onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones. Deze recente rechtspraak brengt mee dat dit onderzoek op een enigszins andere manier moet worden genormeerd dan uit een eerdere uitspraak van de Hoge Raad voortvloeit. Het is aan de wetgever om een wettelijke regeling op te stellen die in haar algemeenheid voldoet aan alle in de rechtspraak van het Hof van Justitie gestelde vereisten. In afwachting van zo’n regeling ziet de Hoge Raad aanleiding om zijn eerdere rechtspraak bij te stellen. In dit arrest wordt in rechtsoverweging 5 uiteengezet wat deze bijstelling inhoudt. Vervolgens worden de cassatiemiddelen van het openbaar ministerie en van de verdachte beoordeeld (rechtsoverweging 6 en 7). In rechtsoverweging 9 geeft de Hoge Raad een samenvatting van zijn oordeel in deze zaak.
3.De overwegingen van het hof
Het hof heeft in zijn arrest onder meer overwogen:
“Tenlastelegging
Aan de verdachte is – na wijziging van de tenlastelegging ter terechtzitting in eerste aanleg en voor zover in hoger beroep nog van belang – tenlastegelegd dat:
1.
hij op één of meer tijdstip(pen) in of omstreeks de periode van 1 april 2018 tot en met 2 mei 2018 te [plaats] en/of [plaats] en/of [plaats] en/of [plaats] , althans in Nederland, tezamen en in vereniging met een ander of anderen, althans alleen,
hij op één of meer tijdstip(pen) in of omstreeks de periode van 1 april 2018 tot en met 2 mei 2018 te [plaats] en/of [plaats] en/of [plaats] en/of [plaats] , althans in Nederland, tezamen en in vereniging met een ander of anderen, althans alleen,
(telkens) opzettelijk en wederrechtelijk in (een) (gedeelte van) één of meer geautomatiseerd(e) werk(en), te weten een server en/of netwerk van de ING Bank en/of ABN AMRO Bank, althans een bank, is/zijn binnengedrongen, althans een deel daarvan, doordat verdachte en/of zijn mededader(s) (telkens)
één of meerdere Tikkie link(s), althans (een) applicatie(s), heeft/hebben verzonden naar [slachtoffer 1] (zaak Mediamarkt) en/of [slachtoffer 2] (zaak Mediamarkt) en/of [slachtoffer 3] (zaak Mediamarkt) en/of [slachtoffer 4] (zaak Ipad) en/of [slachtoffer 5] en/of [slachtoffer 6] en/of [slachtoffer 7] en/of [slachtoffer 8] , althans één of meer andere perso(o)n(en), waarbij die [slachtoffer 1] en/of [slachtoffer 2] (zaak Mediamarkt) en/of [slachtoffer 3] (zaak Mediamarkt) en/of [slachtoffer 5] en/of [slachtoffer 6] en/of [slachtoffer 7] en/of [slachtoffer 8] en/of één of meer andere perso(o)n(en), naar phishings website(s) werd(en) geleid, waardoor één of meer (inlog)gegevens van de bankrekening(en) van voornoemde perso(o)n(en) zijn opgevangen/afgevangen en/of achterhaald,
waarna verdachte en/of zijn mededader(s) vervolgens (telkens) inlogden met die al dus verkregen gegevens (al dan niet met behulp van mobiel bankieren betaal-apps van de ING Bank) op/van voornoemd(e) geautomatiseerd(e) werk(en), waarin hij verdachte en/of zijn mededader(s) zich wederrechtelijk bevond(en) en gegevens voor zichzelf en/of een ander heeft/hebben opgenomen, afgetapt of overgenomen, althans betalingen mee heeft/hebben verricht;
2.
hij op één of meer tijdstip(pen) in of omstreeks de periode van 1 april 2018 tot en met 2 mei 2018 te [plaats] en/of [plaats] en/of [plaats] en/of [plaats] , althans in Nederland, tezamen en in vereniging met een ander of anderen, althans alleen,
hij op één of meer tijdstip(pen) in of omstreeks de periode van 1 april 2018 tot en met 2 mei 2018 te [plaats] en/of [plaats] en/of [plaats] en/of [plaats] , althans in Nederland, tezamen en in vereniging met een ander of anderen, althans alleen,
(telkens) één of meerdere toegangscode(s) en/of daarmee vergelijkbaar gegeven(s), waardoor toegang kon worden gekregen tot een (deel van een) geautomatiseerd(e) werk(en)
heeft vervaardigd, verkocht, verworven, ingevoerd, verspreid en/of anderszins ter beschikking heeft gesteld en/of voorhanden heeft gehad, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c Wetboek van Strafrecht werd gepleegd, door één of meerdere TAN codes en/of (inlog)gegevens (ondere andere van [slachtoffer 1] (zaak Mediamarkt) en/of [slachtoffer 2] (zaak Mediamarkt) en/of [slachtoffer 3] (zaak Mediamarkt) en/of [slachtoffer 4] (zaak Ipad) en/of [slachtoffer 5] en/of [slachtoffer 6] en/of [slachtoffer 7] en/of [slachtoffer 8] ), althans één of meerdere toegangscode(s)
(waarmee kon worden ingelogd op een server en/of website van de ING Bank, althans een bank en/of bankrekening(en) van [slachtoffer 1] en/of [slachtoffer 2] en/of [slachtoffer 3] (zaak Mediamarkt) en/of [slachtoffer 5] en/of [slachtoffer 6] en/of [slachtoffer 7] en/of [slachtoffer 8] , althans één of meer andere perso(o)n(en))
heeft doorgegeven aan en/of verspreid onder, althans ter beschikking gesteld, aan vrienden en/of mededader(s), althans één of meer andere personen en/of voorhanden heeft gehad;
3.
hij op één of meer tijdstippen in of omstreeks de periode van 1 april 2018 tot en met 28 mei 2018 te [plaats] en/of [plaats] en/of [plaats] , althans in Nederland,
hij op één of meer tijdstippen in of omstreeks de periode van 1 april 2018 tot en met 28 mei 2018 te [plaats] en/of [plaats] en/of [plaats] , althans in Nederland,
tezamen en in vereniging met een ander of anderen, althans alleen,
met het oogmerk om zich en/of (een) ander(en) wederechtelijk te bevoordelen (telkens) door het aannemen van een valse naam en/of een valse hoedanigheid en/of door één of meer listige kunstgrepen en/of door een samenweefsel van verdichtsels de ING Bank (telkens) heeft/hebben bewogen tot de afgifte van één of meer geldbedrag(en), althans tot afgifte van enig goed,
hebbende verdachte en/of zijn mededader(s) toen aldaar (telkens) met vorenomschreven oogmerk -zakelijk weergegeven- valselijk en/of listiglijk en/of bedrieglijk en/of in strijd met de waarheid meermalen, althans éénmaal,
inlog- en/of accountgegevens en/of gebruikersgegevens van (ING) bankrekening(en) van [slachtoffer 1] (zaak Mediamarkt) en/of [slachtoffer 2] (zaak Mediamarkt) en/of [slachtoffer 3] (zaak Mediamarkt) en/of [slachtoffer 5] en/of [slachtoffer 6] en/of [slachtoffer 7] en/of [slachtoffer 8] , althans één of meer andere perso(o)n(en), waarbij die [slachtoffer 1] en/of [slachtoffer 2] (zaak Mediamarkt) en/of [slachtoffer 3] (zaak Mediamarkt) en/of [slachtoffer 5] en/of [slachtoffer 6] en/of [slachtoffer 7] en/of [slachtoffer 8] heimelijk en zonder toestemming verworven en/of (vervolgens)
met die gegevens (van de ING bankrekening(en) van die in de voorgaande alinea genoemde personen) ingelogd op de server en/of website en/of een netwerk, althans een deel daarvan, van voornoemde ING Bank, als zijnde hij, verdachte, en/of zijn mededader(s) die in de voorgaande alinea genoemde personen en/of (vervolgens)
(al dan niet met behulp van een mobiel bankieren app van de ING Bank op naam van de in de vierde alinea genoemde personen) (digitaal) één of meerdere goederen aangekocht/betaald,
waardoor de ING Bank werd bewogen tot bovenomschreven afgifte;
4.
hij op of omstreeks 16 april 2018 te [plaats] , althans in Nederland, tezamen en in vereniging met een ander of anderen, althans alleen, meermalen, althans éénmaal,
hij op of omstreeks 16 april 2018 te [plaats] , althans in Nederland, tezamen en in vereniging met een ander of anderen, althans alleen, meermalen, althans éénmaal,
met het oogmerk van wederrechtelijk toe-eigening heeft/hebben weggenomen één of meerdere geldbedrag(en) (ongeveer 2.488,22,=), in elk geval enig goed, geheel of ten dele toebehorende aan [slachtoffer 2] , in elk geval aan een ander of anderen dan aan verdachte en/of zijn mededader(s), waarbij verdachte en/of zijn mededader(s) zich de toegang tot de plaats des misdrijfs heeft/hebben verschaft en/of de/het weg te nemen goed(eren) onder zijn/hun bereik heeft/hebben gebracht door middel van een valse sleutel, te weten door met een ING mobiel bankieren app (op naam van voornoemde [slachtoffer 2] en welke mobiel bankieren app was geïnstalleerd op een/de telefoon(s) van verdachte en/of die van zijn, verdachtes, mededader(s)) waartoe hij verdachte en/of zijn mededader(s) niet gerechtigd was/waren één of meerdere mobiele telefoon(s), althans één of meer goederen aangekocht bij de Mediamarkt aan [a-straat] te [plaats] , te betalen;
5.
hij in of omstreeks de periode van 1 januari 2018 tot en met 1 juli 2018 te [plaats] en/of [plaats] , althans in Nederland,
hij in of omstreeks de periode van 1 januari 2018 tot en met 1 juli 2018 te [plaats] en/of [plaats] , althans in Nederland,
heeft deelgenomen aan een organisatie die werd gevormd door hem, verdachte, en/of [medeverdachte 1] en/of [medeverdachte 2] en/of [medeverdachte 3] en/of [medeverdachte 4] en/of één of meer anderen,
welke organisatie tot oogmerk had het plegen van misdrijven, te weten (onder meer)
het plegen van computervredebreuk (artikel 138ab Wetboek van Strafrecht) en/of
het verspreiden, ter beschikking stellen en/of voorhanden hebben van een technisch hulpmiddel waarmee een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk kan worden afgeluisterd, afgetapt of opgenomen kan worden of een technisch hulpmiddel op een bepaalde plaats aanwezig doet zijn met het oogmerk dat daarmee computervredebreuk te plegen (artikel 139d Wetboek van Strafrecht) en/of
het plegen van oplichting (artikel 326 Wetboek van Strafrecht) en/of
het plegen van diefstal door middel van een valse sleutel (artikel 311 Wetboek van Strafrecht).
(...)
Rechtmatigheid onderzoek gegevensdragers
In het navolgende zal het hof uit praktische overwegingen de term ‘digitale-gegevensdrager’ gebruiken ter aanduiding van alle apparaten met de functionaliteit om digitale gegevens op te slaan, ook als deze daarnaast aangemerkt kunnen worden als geautomatiseerd werk in de zin van artikel 80sexies van het Wetboek van Strafrecht (hierna: ‘Sr’).
Het hof overweegt dat ten aanzien van het onderzoek dat in onderhavige zaak heeft plaatsgevonden aan digitale-gegevensdragers toebehorende aan de verdachte en/of een of meer medeverdachten, dient te worden beoordeeld of, indien eenmaal sprake is van rechtmatig door de rechter-commissaris in beslag genomen voorwerpen, uit (de uitoefening van) die bevoegdheid zonder meer voortvloeit dat de gegevens op die gegevensdragers ongeclausuleerd mochten worden onderzocht.
Zoals het hof eerder heeft overwogen (Hof Den Haag, 26 augustus 2021, ECLI:NL:GHDHA:2021:1873) vloeit, indien het onderzoek van de gegevens op een digitale gegevensdrager zo verstrekkend is dat op voorhand is te voorzien dat een min of meer compleet beeld kan worden verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van die gegevensdrager, uit de enkele beslissing tot inbeslagneming niet zonder meer voort dat gegevens op die digitale-gegevensdragers zonder meer mogen worden onderzocht. Indien een dergelijke voorzienbaarheid zich voordoet, zal door de rechter-commissaris die de inbeslaggenomen gegevensdragers voor onderzoek overdraagt aan een opsporingsdienst, moeten worden overwogen of wel of niet beperkingen aan dat onderzoek dienen te worden verbonden.
Bij die beslissing en bij het bepalen van aard en omvang van die eventuele beperkingen zullen factoren als de ingrijpendheid van de inbreuk op de persoonlijke levenssfeer van de gebruiker van de betreffende gegevensdragers door het onderzoek en de proportionaliteit en subsidiariteit van de te verrichten onderzoekshandelingen in relatie tot de aard en omvang van de verdenking waarop het onderzoek betrekking heeft een rol kunnen spelen. Daarbij kan onder meer worden gedacht aan beperkingen betreffende het aantal te onderzoeken gegevensdragers, beperkingen betreffende de te onderzoeken gegevens (zoals afbeeldingen, communicatie, internetgedrag et cetera) en beperkingen betreffende de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd of op de betreffende digitale-gegevensdrager terecht zijn gekomen. Ook kan worden gekozen voor fasering van toegestane onderzoekshandelingen doordat de rechter-commissaris eventueel tussentijds beslist tot uitbreiding of (verdere) beperking van het toegestane onderzoek.
In het onderhavige geval heeft een dergelijke toetsing niet kenbaar plaatsgevonden.
Uit het strafdossier blijkt dat na de doorzoekingen in de woningen van de verdachte en de medeverdachten [medeverdachte 3] en [medeverdachte 4] de in beslag genomen voorwerpen door de rechter-commissaris voor nader onderzoek zijn overgedragen aan het onderzoeksteam. Het proces-verbaal van doorzoeking van de woning van de medeverdachte [medeverdachte 1] bevat een dergelijke vermelding niet, maar uit het strafdossier blijkt onmiskenbaar dat aldaar digitale-gegevensdragers in beslag zijn genomen en vervolgens zijn onderzocht door het onderzoeksteam. Nu deze voorwerpen kennelijk feitelijk bij het onderzoeksteam terecht zijn gekomen, neemt het hof aan dat de rechter-commissaris die deze voorwerpen in beslag heeft genomen deze eveneens voor nader onderzoek aan het onderzoeksteam heeft overgedragen.
Voorts blijkt dat bij de aanhouding van de verdachte twee digitale-gegevensdragers bij hem zijn aangetroffen, welke met toestemming van de officier van justitie zijn doorzocht. Nu het hier ging om zogenaamde ‘smartphones’ welke door de verdachte bij zich werden gedragen, moest – nu niet blijkt van aanwijzingen dat hij hier anders dan als een doorsnee-gebruiker mee omging – er rekening mee worden gehouden dat hierop zodanige informatie omtrent zijn persoonlijk leven te vinden zou zijn dat op voorhand te voorzien was dat uit het onderzoek daarvan een min of meer compleet beeld kon worden verkregen van bepaalde aspecten van het persoonlijk leven van de verdachte. Dit leidt ertoe dat het louter met toestemming van de officier van justitie onderzoeken van de betreffende twee digitale-gegevensdragers onrechtmatig was.
Tegen deze achtergrond is thans slechts een beoordeling achteraf mogelijk van de vraag of de rechter-commissaris toestemming zou hebben gegeven voor het onderzoek van de gegevens op de digitale-gegevensdragers van verdachte en de medeverdachten, op de wijze zoals dat heeft plaatsgevonden, namelijk zonder enige kenbare beperking. Daartoe overweegt het hof het volgende.
Het proces-verbaal Aanvraag doorzoeking ter inbeslagneming met betrekking tot de medeverdachte [medeverdachte 1] is gebaseerd op de verdenking dat deze zich schuldig heeft gemaakt aan een zogenaamde Tikkie-fraude op 13 en 14 april 2018 ten aanzien van één aangever ( [aangever 1] ).
Het proces-verbaal Aanvraag doorzoeking ter inbeslagneming met betrekking tot de medeverdachte [medeverdachte 3] is gebaseerd op de verdenking dat deze zich schuldig heeft gemaakt aan het medeplegen van een of meer Tikkie-fraudes met de verdachte.
Het proces-verbaal Aanvraag doorzoeking ter inbeslagneming met betrekking tot de medeverdachte [medeverdachte 4] is gebaseerd op de verdenking dat deze zich schuldig heeft gemaakt aan een of meer Tikkie-fraudes op 8/9 en 30 juni 2018.
Het proces-verbaal Aanvraag doorzoeking ter inbeslagneming met betrekking tot de verdachte is gebaseerd op de verdenking dat deze zich schuldig heeft gemaakt aan een of meer Tikkie-fraudes op 21 en 23 april 2018.
Gegeven hetgeen omtrent deze verdenkingen uit de verschillende aanvragen blijkt, had de rechter-commissaris niet ongeclausuleerd toestemming mogen geven voor doorzoeking van de diverse digitale-gegevensdragers, zodat dit onrechtmatig jegens de verdachte was.
Het hof heeft hiervoor reeds aangegeven waaraan bij bedoelde clausulering eventueel zou kunnen worden gedacht. Zo had in dit geval bijvoorbeeld in eerste instantie de toestemming beperkt kunnen worden tot gegevens afkomstig uit 2018. Het ligt voor de hand dat in voorkomende gevallen de visie van de aanvragend officier van justitie op de concrete vormgeving van dergelijke beperkingen wordt betrokken.
Het voorgaande betekent dat het hof op de voet van artikel 359a Sv dient te beoordelen of aan het ontbreken van een wettelijke legitimatie aan de respectievelijke onderzoeken enig rechtsgevolg dient te worden verbonden en, zo ja, welk rechtsgevolg dan in aanmerking komt.
Vastgesteld dient te worden dat noch de verdachte, noch één van de medeverdachten, heeft aangevoerd, laat staan onderbouwd, dat de facto sprake is geweest van enige inbreuk op de persoonlijke levenssfeer. Het hof zal derhalve, rekening houdend met het belang dat de geschonden norm dient (de bescherming van de persoonlijke levenssfeer van de verdachte), de ernst van het verzuim en het nadeel dat daardoor wordt veroorzaakt (: geen), volstaan met de constatering dat een vormverzuim is begaan.”
4.Juridisch kader
Wetboek van Strafvordering
4.1
In deze zaak zijn in het bijzonder de volgende bepalingen uit het Wetboek van Strafvordering (hierna: Sv) van belang.
- Artikel 94 lid 1 Sv:
“Vatbaar voor inbeslagneming zijn alle voorwerpen die kunnen dienen om de waarheid aan de dag te brengen (...).”
- Artikel 95 lid 1 Sv:
“De opsporingsambtenaar die de verdachte staande houdt of aanhoudt, kan de voor inbeslagneming vatbare voorwerpen die de verdachte met zich voert, in beslag nemen.”
- Artikel 96 lid 1 Sv:
“In geval van ontdekking op heterdaad van een strafbaar feit of in geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, is de opsporingsambtenaar bevoegd de daarvoor vatbare voorwerpen in beslag te nemen en daartoe elke plaats te betreden.”
- Artikel 104 lid 1 Sv:
“De rechter-commissaris is tot inbeslagneming van alle daarvoor vatbare voorwerpen bevoegd. Buiten het geval hij uit hoofde van de artikelen 181 tot en met 183 onderzoekshandelingen verricht, vindt inbeslagneming door de rechter-commissaris slechts plaats op vordering van de officier van justitie.”
- Artikel 141 Sv:
“Met de opsporing van strafbare feiten zijn belast:
a. de officieren van justitie;
b. de ambtenaren van politie, bedoeld in artikel 2, onder a, van de Politiewet 2012, en de ambtenaren van politie, bedoeld in artikel 2, onder c en d, van die wet, voor zover zij zijn aangesteld voor de uitvoering van de politietaak;
c. de door Onze Minister van Veiligheid en Justitie in overeenstemming met Onze Minister van Defensie aangewezen militairen van de Koninklijke marechaussee;
d. de opsporingsambtenaren van de bijzondere opsporingsdiensten, bedoeld in artikel 2 van de Wet op de bijzondere opsporingsdiensten.”
- Artikel 148 leden 1 en 2 Sv:
“1. De officier van justitie is belast met de opsporing van de strafbare feiten waarvan de rechtbank in het arrondissement waarin hij is aangesteld, kennisneemt, alsmede met de opsporing binnen het rechtsgebied van die rechtbank van de strafbare feiten waarvan andere rechtbanken kennisnemen.
2. Hij geeft daartoe bevelen aan de overige personen met de opsporing belast.”
- Artikel 177 lid 1 Sv:
“De rechter-commissaris kan, zoveel mogelijk door tussenkomst van de officier van justitie, in het belang van het onderzoek, het doen van nasporingen opdragen en bevelen geven aan de ambtenaren genoemd in artikel 141 onder b, c en d en aan de personen genoemd in artikel 142, eerste lid.”
Rechtspraak van de Hoge Raad
4.2
In zijn arrest van 4 april 2017, ECLI:NL:HR:2017:584 heeft de Hoge Raad onder meer overwogen:
“2.5. Voor de waarheidsvinding mag onderzoek worden gedaan aan inbeslaggenomen voorwerpen teneinde gegevens voor het strafrechtelijk onderzoek ter beschikking te krijgen. In computers opgeslagen of beschikbare gegevens zijn daarvan niet uitgezonderd (vgl. HR 29 maart 1994, ECLI:NL:HR:1994:AD2076, NJ 1994/577). Dat geldt ook voor in andere inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones, opgeslagen of beschikbare gegevens. De wettelijke basis voor dat onderzoek door opsporingsambtenaren is gelegen in het samenstel van de bepalingen waarop de bevoegdheid tot inbeslagneming is gebaseerd.
2.6.
Voor het doen van onderzoek door een opsporingsambtenaar aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken teneinde de beschikking te krijgen over daarin opgeslagen of beschikbare gegevens vereist de wet geen voorafgaande rechterlijke toetsing of tussenkomst van de officier van justitie. Indien de met het onderzoek samenhangende inbreuk op de persoonlijke levenssfeer als beperkt kan worden beschouwd, biedt de algemene bevoegdheid van opsporingsambtenaren, neergelegd in art. 94, in verbinding met art. 95 en 96 Sv, daarvoor voldoende legitimatie. Dit zal het geval kunnen zijn indien het onderzoek slechts bestaat uit het raadplegen van een gering aantal bepaalde op de elektronische gegevensdrager of in het geautomatiseerde werk opgeslagen of beschikbare gegevens. Indien dat onderzoek zo verstrekkend is dat een min of meer compleet beeld is verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van de gegevensdrager of het geautomatiseerde werk, kan dat onderzoek jegens hem onrechtmatig zijn. Daarvan zal in het bijzonder sprake kunnen zijn wanneer het gaat om onderzoek van alle in de elektronische gegevensdrager of het geautomatiseerde werk opgeslagen of beschikbare gegevens met gebruikmaking van technische hulpmiddelen.
(...)
2.8.
Mede gelet op het vooralsnog ontbreken van een daarop toegesneden wettelijke regeling verdient het volgende opmerking. De bevoegdheid tot inbeslagneming van voorwerpen en de daarin besloten liggende bevoegdheid tot het verrichten van onderzoek aan die voorwerpen kunnen op grond van art. 95 en 96 Sv ook worden uitgeoefend door de op grond van art. 148 Sv met het gezag over de opsporing belaste officier van justitie, nu deze blijkens art. 141, aanhef en onder a, Sv met opsporing is belast. Voorts kunnen die bevoegdheden op grond van art. 104, eerste lid, Sv worden uitgeoefend door de rechter-commissaris. De hier genoemde wettelijke bepalingen bieden tevens de grondslag voor het verrichten van onderzoek aan inbeslaggenomen voorwerpen door de officier van justitie respectievelijk de rechter-commissaris, indien de inbeslagneming is geschied door een opsporingsambtenaar.
In zo een geval vormen de genoemde wettelijke bepalingen een toereikende grondslag voor onderzoek aan inbeslaggenomen voorwerpen – waaronder elektronische gegevensdragers en geautomatiseerde werken – dat een meer dan beperkte inbreuk op de persoonlijke levenssfeer meebrengt. Daarbij valt – in het licht van art. 8 EVRM – aan onderzoek door de rechter-commissaris in het bijzonder te denken in gevallen waarin op voorhand is te voorzien dat de inbreuk op de persoonlijke levenssfeer zeer ingrijpend zal zijn.”
4.3.1
Het Wetboek van Strafvordering kent niet expliciet een specifieke bevoegdheid toe aan opsporingsambtenaren – onder wie de officier van justitie – of de rechter-commissaris tot het verrichten van onderzoek aan (inbeslaggenomen) elektronische gegevensdragers en geautomatiseerde werken. Voor de toepassing van zo’n bevoegdheid kunnen artikel 94 lid 1, 95 lid 1, 96 lid 1, 104 lid 1, 141 en 148 lid 1 Sv wel een wettelijke grondslag bieden.
4.3.2
In de onder 4.2 weergegeven uitspraak wordt de vraag aan welke functionaris in eerste instantie de bevoegdheid toekomt tot het verrichten van een onderzoek aan (inbeslaggenomen) elektronische gegevensdragers en geautomatiseerde werken, beantwoord aan de hand van de mate waarin door de toepassing van de bevoegdheid een inbreuk wordt gemaakt op de persoonlijke levenssfeer van de gebruiker van de elektronische gegevensdrager of het geautomatiseerde werk. Als de met het onderzoek samenhangende inbreuk op de persoonlijke levenssfeer als beperkt kan worden beschouwd, kan die bevoegdheid zelfstandig door opsporingsambtenaren worden uitgeoefend. Als op voorhand is te voorzien dat het onderzoek zo verstrekkend is dat een min of meer compleet beeld kan worden verkregen van bepaalde aspecten van het persoonlijk leven van die gebruiker, kan die bevoegdheid niet in eerste instantie door opsporingsambtenaren worden uitgeoefend, maar kan de officier van justitie dat onderzoek verrichten. Op grond van artikel 148 lid 2 Sv kan de officier van justitie aan opsporingsambtenaren het bevel geven om dat onderzoek uit te voeren. Als op voorhand is te voorzien dat de inbreuk op de persoonlijke levenssfeer zeer ingrijpend zal zijn, zal het onderzoek door de rechter-commissaris moeten worden verricht. Op grond van artikel 177 lid 1 Sv kan de rechter-commissaris, zoveel mogelijk door tussenkomst van de officier van justitie, in het belang van het onderzoek, aan opsporingsambtenaren het bevel geven om het onderzoek te verrichten.
4.3.3
Naar aanleiding van de hierna onder 4.4.4 weer te geven uitspraak van het Hof van Justitie is de vraag gerezen of deze rechtspraak over het onderzoek aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken moet worden bijgesteld. Deze vraag wordt onder 5 nader besproken.
Unierecht en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: EVRM)
4.4.1
Het Unierecht stelt regels voor het verwerken van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen. Deze regels zijn neergelegd in Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (hierna: Richtlijn 2016/680). De volgende bepalingen uit deze richtlijn zijn in het bijzonder van belang.
- Artikel 1:
“Onderwerp en doelstellingen
1. Bij deze richtlijn worden de regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.
2. Overeenkomstig deze richtlijn hebben de lidstaten de verplichting:
a) de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens te beschermen; en
b) erop toe te zien dat de uitwisseling van persoonsgegevens door bevoegde autoriteiten binnen de Unie, wanneer die uitwisseling bij het Unierecht of het recht van de lidstaten is vereist, niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.
3. Deze richtlijn belet de lidstaten niet uitgebreidere waarborgen te bieden dan die waarin deze richtlijn voorziet voor de bescherming van de rechten en vrijheden van de betrokkene in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten.”
- Artikel 2 leden 1 en 2:
“Toepassingsgebied
1. Deze richtlijn is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de doeleinden van artikel 1, lid 1.
2. Deze richtlijn is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”
- Artikel 3:
“Definities
Voor de toepassing van deze richtlijn wordt verstaan onder:
1) „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaking door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
(...)
4) „profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling aspecten betreffende zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;
(...)
6) „bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
7) „bevoegde autoriteit”:
a) iedere overheidsinstantie die bevoegd is voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; of
b) ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
(...)
11) „inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
12) „genetische gegevens”: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;
13) „biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;
14) „gezondheidsgegevens”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten, waarmee informatie over zijn gezondheidstoestand wordt gegeven; (...).”
- Artikel 4 lid 1:
“Beginselen inzake verwerking van persoonsgegevens
1. De lidstaten schrijven voor dat persoonsgegevens:
a) rechtmatig en eerlijk worden verwerkt;
b) voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt;
c) toereikend, ter zake dienend en niet bovenmatig in verhouding tot de doeleinden waarvoor zij worden verwerkt, zijn;
d) juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren;
e) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt;
f) met gebruikmaking van passende technische of organisatorische middelen op een dusdanige manier worden verwerkt dat de beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.”
- Artikel 8:
“Rechtmatigheid van de verwerking
1. De lidstaten zorgen ervoor dat verwerking alleen rechtmatig is indien en voor zover die verwerking noodzakelijk is voor de uitvoering door een bevoegde autoriteit van een taak voor de in artikel 1, lid 1, bedoelde doeleinden, en dat die verwerking gebaseerd is op het Unierecht of het lidstatelijke recht.
2. In het lidstatelijke recht dat verwerking binnen het toepassingsgebied van deze richtlijn regelt, worden ten minste de verwerkingsdoeleinden, de te verwerken persoonsgegevens en de doeleinden van de verwerking gespecificeerd.”
- Artikel 10:
“Verwerking van bijzondere categorieën van persoonsgegevens
Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijkt, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over gezondheid of gegevens over seksueel gedrag of seksuele gerichtheid van een natuurlijke persoon zijn slechts toegelaten wanneer de verwerking strikt noodzakelijk is, geschiedt met inachtneming van passende waarborgen voor de rechten en vrijheden van de betrokkene, en:
a) bij het Unierecht of het lidstatelijke recht is toegestaan;
b) noodzakelijk is om vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen; of
c) die verwerking betrekking heeft op gegevens die kennelijk door de betrokkene zelf openbaar zijn gemaakt.”
4.4.2
Verder zijn de volgende bepalingen uit het Handvest van de grondrechten van de Europese Unie (hierna: Handvest) van belang.
- Artikel 7:
“Eerbiediging van het privé-leven en het familie- en gezinsleven
Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie.”
- Artikel 8:
“Bescherming van persoonsgegevens
1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan.
3. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.”
- Artikel 52 leden 1 en 3:
“Reikwijdte en uitlegging van de gewaarborgde rechten en beginselen
1. Beperkingen op de uitoefening van de in dit Handvest erkende rechten en vrijheden moeten bij wet worden gesteld en de wezenlijke inhoud van die rechten en vrijheden eerbiedigen. Met inachtneming van het evenredigheidsbeginsel kunnen slechts beperkingen worden gesteld, indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen.
3. Voor zover dit Handvest rechten bevat die corresponderen met rechten welke zijn gegarandeerd door het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, zijn de inhoud en reikwijdte ervan dezelfde als die welke er door genoemd verdrag aan worden toegekend. Deze bepaling verhindert niet dat het recht van de Unie een ruimere bescherming biedt.”
4.4.3
Artikel 8 EVRM luidt in de Nederlandse vertaling:
“1. Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.
2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.”
4.4.4
Het Hof van Justitie is in de zaak CG/Landeck ingegaan op, kort gezegd, de voorwaarden die door het Unierecht worden gesteld aan het verkrijgen van toegang door politiediensten tot de gegevens die zijn opgeslagen op een inbeslaggenomen mobiele telefoon (HvJ EU 4 oktober 2024, zaak C-548/21, ECLI:EU:C:2024:830). Het arrest van het Hof van Justitie houdt onder meer in:
“Hoofdgeding en prejudiciële vragen
20 Op 23 februari 2021 hebben ambtenaren van het douanekantoor Innsbruck (Oostenrijk) bij een drugscontrole een aan CG geadresseerd pakket met daarin 85 gram cannabis in beslag genomen. Dit pakket is voor onderzoek overgedragen aan het politiebureau van St. Anton am Arlberg (Oostenrijk).
21 Op 6 maart 2021 hebben twee politieagenten van dit bureau een huiszoeking gedaan bij CG, waarbij zij hem hebben ondervraagd over de afzender van dit pakket en zijn woning hebben doorzocht. Tijdens deze huiszoeking hebben de politieagenten CG verzocht om toegang tot de verkeersgegevens van zijn mobiele telefoon. Nadat deze laatste dit had geweigerd, hebben die politieagenten deze mobiele telefoon (met inbegrip van een simkaart en een SD-kaart) in beslag genomen en CG het proces-verbaal van de inbeslagneming overhandigd.
22 Vervolgens is deze telefoon, met het oog op de ontgrendeling ervan, overgedragen aan een expert van het Bezirkspolizeikommando Landeck (regionale politie Landeck, Oostenrijk). Aangezien deze er niet in slaagde om de betrokken mobiele telefoon te ontgrendelen, is die telefoon aan het Bundeskriminalamt (federale recherche, Oostenrijk) in Wenen gezonden, waar een nieuwe poging is gedaan om die telefoon te ontgrendelen.
23 De inbeslagneming van de mobiele telefoon van CG alsmede de latere pogingen om die telefoon uit te lezen, hebben plaatsgevonden op eigen initiatief van de betrokken politieagenten, zonder dat zij daarvoor toestemming hadden gekregen van het openbaar ministerie of een rechter.
(...)
30 In deze omstandigheden heeft het Landesverwaltungsgericht Tirol de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vragen gesteld:
„1) Moet artikel 15, lid 1, [van richtlijn 2002/58, eventueel gelezen in samenhang met artikel 5], in het licht van de artikelen 7 en 8 van het [Handvest], aldus worden uitgelegd dat de toegang van overheidsinstanties tot de op mobiele telefoons opgeslagen gegevens op dermate ernstige wijze inbreuk maakt op de door die artikelen van het Handvest gewaarborgde grondrechten dat die toegang op het gebied van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten moet worden beperkt tot de bestrijding van zware criminaliteit?
2) Moet artikel 15, lid 1, van [richtlijn 2002/58], in het licht van de artikelen 7, 8 en 11 alsook artikel 52, lid 1, van het [Handvest], aldus worden uitgelegd dat het zich verzet tegen een nationale regeling als § 18 juncto § 99, lid 1, [StPO], op grond waarvan veiligheidsdiensten zichzelf in het kader van een strafrechtelijk onderzoek zonder toestemming van een rechterlijke instantie of onafhankelijk bestuursorgaan volledige en ongecontroleerde toegang kunnen verschaffen tot alle op een mobiele telefoon opgeslagen digitale gegevens?
3) (...)”
(...)
Ten gronde
(...)
57 In dit verband dient in herinnering te worden gebracht dat het Hof met name op basis van artikel 1, leden 1 en 3, en artikel 3 van richtlijn 2002/58 heeft geoordeeld dat wanneer de lidstaten rechtstreeks maatregelen toepassen die inbreuk maken op het beginsel van de vertrouwelijkheid van elektronische communicatie, zonder dat zij verwerkingsverplichtingen opleggen aan aanbieders van elektronische-communicatiediensten, de bescherming van de gegevens van de betrokken personen niet wordt beheerst door richtlijn 2002/58, maar uitsluitend door nationaal recht, behoudens de toepassing van richtlijn 2016/680 (arresten van 6 oktober 2020, Privacy International, C-623/17, EU:C:2020:790, punt 48, en 6 oktober 2020, La Quadrature du Net e.a., C-511/18, C-512/18 en C-520/18, EU:C:2020:791, punt 103).
58 Vast staat dat in het hoofdgeding de politiediensten rechtstreeks hebben geprobeerd om toegang te krijgen tot op een mobiele telefoon opgeslagen persoonsgegevens, zonder dat om de tussenkomst van een aanbieder van elektronische-communicatiediensten is verzocht.
59 Bijgevolg is het duidelijk dat dit geding niet valt binnen de werkingssfeer van richtlijn 2002/58, waarop de eerste en de tweede prejudiciële vraag betrekking hebben.
(...)
Toepassing van richtlijn 2016/680 op een poging tot het verkrijgen van toegang tot de op een mobiele telefoon opgeslagen gegevens
69 Artikel 2, lid 1, van richtlijn 2016/680 definieert de materiële werkingssfeer. Volgens deze bepaling is deze richtlijn „van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de doeleinden van artikel 1, lid 1”, te weten met name „de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten”.
70 Artikel 3, punt 2, van die richtlijn definieert het begrip „verwerking” als „een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het [...] opvragen, raadplegen” of het „verspreiden of op andere wijze ter beschikking stellen”.
71 Zo blijkt uit de bewoordingen zelf van artikel 3, punt 2, van richtlijn 2016/680 en met name uit het gebruik van de uitdrukkingen „een bewerking”, „een geheel van bewerkingen” en „op andere wijze ter beschikking stellen” dat de Uniewetgever een ruime strekking heeft willen geven aan het begrip „verwerking” en dus aan de materiële werkingssfeer van die richtlijn. Deze uitlegging vindt steun in het feit dat de in die bepaling genoemde handelingen niet exhaustief zijn, wat tot uitdrukking komt in het woord „zoals” [zie naar analogie arrest van 24 februari 2022, Valsts ieņēmumu dienests (Verwerking van persoonsgegevens voor fiscale doeleinden), C-175/20, EU:C:2022:124, punt 35].
72 Deze tekstuele elementen pleiten dan ook voor een uitlegging volgens welke de politiediensten, wanneer zij een telefoon in beslag nemen en die manipuleren om de op die telefoon opgeslagen persoonsgegevens op te vragen en te raadplegen, een verwerking initiëren in de zin van artikel 3, punt 2, van richtlijn 2016/680, ook als die diensten er om technische redenen niet in slagen om toegang te krijgen tot die gegevens.
73 Deze uitlegging wordt bevestigd door de context van artikel 3, punt 2, van richtlijn 2016/680. Op grond van artikel 4, lid 1, onder b), van die richtlijn schrijven de lidstaten immers voor dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt. In deze laatste bepaling is het beginsel van doelbinding neergelegd [zie in die zin arrest van 26 januari 2023, Ministerstvo na vatreshnite raboti (Registratie van biometrische en genetische gegevens door de politie), C-205/21, EU:C:2023:49, punt 122]. De doeltreffendheid van dit beginsel vereist noodzakelijkerwijs dat het doel van de gegevensverzameling wordt bepaald vanaf het moment waarop de bevoegde autoriteiten proberen om toegang te krijgen tot persoonsgegevens, aangezien een dergelijke poging, wanneer die succesvol is, die autoriteiten met name in staat stelt om de betrokken gegevens onmiddellijk te verzamelen, op te vragen of te raadplegen.
74 Wat de doelstellingen van richtlijn 2016/680 betreft, beoogt deze richtlijn met name een hoge mate van bescherming van de persoonsgegevens van natuurlijke personen te waarborgen, zoals blijkt uit de overwegingen 4, 7 en 15.
75 Aan deze doelstelling zou echter afbreuk worden gedaan indien een poging om toegang te verkrijgen tot op een mobiele telefoon opgeslagen persoonsgegevens niet kan worden aangemerkt als „verwerking” van die gegevens. Een dergelijke uitlegging van richtlijn 2016/680 zou voor de personen op wie die poging tot toegang betrekking heeft immers het grote risico met zich meebrengen dat een schending van de in deze richtlijn neergelegde beginselen niet meer kan worden vermeden.
76 Opgemerkt dient nog te worden dat die uitlegging in overeenstemming is met het rechtszekerheidsbeginsel, dat volgens vaste rechtspraak van het Hof vereist dat de toepassing van rechtsregels voorzienbaar is voor de justitiabelen, in het bijzonder wanneer die regels nadelige gevolgen kunnen hebben (arrest van 27 juni 2024, Gestore dei Servizi Energetici, C148/23, EU:C:2024:555, punt 42 en aldaar aangehaalde rechtspraak). Een uitlegging volgens welke de toepasselijkheid van richtlijn 2016/680 afhangt van het succes van de poging tot het verkrijgen van toegang tot op een mobiele telefoon opgeslagen persoonsgegevens, zou immers voor zowel de bevoegde nationale autoriteiten als de justitiabelen een onzekerheid met zich meebrengen die onverenigbaar is met dit beginsel.
77 Uit het voorgaande volgt dat een poging om toegang te verkrijgen tot de op een mobiele telefoon opgeslagen gegevens door politiediensten ten behoeve van een strafrechtelijk onderzoek, zoals die in het hoofdgeding, binnen de werkingssfeer van richtlijn 2016/680 valt, zoals ook de advocaat-generaal heeft overwogen in punt 53 van zijn conclusie.
Eerste en tweede prejudiciële vraag
78 De verwijzende rechter heeft in zijn eerste en tweede vraag uitdrukkelijk verwezen naar, enerzijds, artikel, 15, lid 1, van richtlijn 2002/58, dat met name vereist dat de wettelijke maatregelen die de lidstaten kunnen treffen ter beperking van de reikwijdte van de in meerdere artikelen van deze richtlijn bedoelde rechten en plichten noodzakelijk, redelijk en proportioneel zijn in een democratische samenleving ter waarborging van de nationale veiligheid, dat wil zeggen de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem, en, anderzijds, artikel 52, lid 1, van het Handvest, waarin het evenredigheidsbeginsel is neergelegd in verband met de beperking van de uitoefening van de door het Handvest erkende rechten en vrijheden.
79 Op grond van artikel 4, lid 1, onder c), van richtlijn 2016/680 moeten de lidstaten ervoor zorgen dat de persoonsgegevens toereikend en ter zake dienend zijn en niet bovenmatig zijn in verhouding tot de doeleinden waarvoor zij worden verwerkt. Deze bepaling vereist dus dat de lidstaten het beginsel van de „minimale gegevensverwerking” in acht nemen, dat uitdrukking geeft aan dit evenredigheidsbeginsel (arrest van 30 januari 2024, Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia, C-118/22, EU:C:2024:97, punt 41 en aldaar aangehaalde rechtspraak).
80 Hieruit volgt dat met name bij het verzamelen van persoonsgegevens in het kader van een strafprocedure en bij de opslag daarvan door de politiediensten voor in artikel 1, lid 1, van richtlijn 2016/680 genoemde doeleinden, aan dit laatste beginsel moet worden voldaan, net zoals bij elke verwerking die binnen de werkingssfeer van deze richtlijn valt (arrest van 30 januari 2024, Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia, C-118/22, EU:C:2024:97, punt 42 en aldaar aangehaalde rechtspraak).
81 Derhalve moet worden aangenomen dat de verwijzende rechter met zijn eerste en tweede vraag, die gezamenlijk moeten worden onderzocht, in wezen wenst te vernemen of artikel 4, lid 1, onder c), van richtlijn 2016/680, gelezen in het licht van de artikelen 7 en 8 alsmede artikel 52, lid 1, van het Handvest, zich verzet tegen een nationale regeling die de bevoegde autoriteiten de mogelijkheid biedt om zich toegang te verschaffen tot de op een mobiele telefoon opgeslagen gegevens met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten in het algemeen, en die het gebruik van die mogelijkheid niet afhankelijk stelt van een voorafgaande toetsing door een rechter of een onafhankelijk bestuursorgaan.
82 Om te beginnen blijkt uit de overwegingen 2 en 4 van richtlijn 2016/680 dat deze richtlijn bedoeld is om bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht binnen de Unie, waarbij een solide en coherent kader voor de bescherming van persoonsgegevens wordt ontwikkeld om de eerbiediging te waarborgen van het grondrecht van de bescherming van natuurlijke personen met betrekking tot de verwerking van de hen betreffende persoonsgegevens, dat is erkend in artikel 8, lid 1, van het Handvest en artikel 16, lid 1, VWEU [zie in die zin arrest van 25 februari 2021, Commissie/Spanje (Persoonsgegevensrichtlijn – Strafrechtelijk gebied), C-658/19, EU:C:2021:138, punt 75].
83 Hiertoe beoogt richtlijn 2016/680 met name, zoals is opgemerkt in punt 74 van dit arrest, een hoge mate van bescherming van de persoonsgegevens van natuurlijke personen te waarborgen.
84 In dit verband dient in herinnering te worden gebracht dat, zoals in overweging 104 van richtlijn 2016/680 wordt onderstreept, de beperkingen die op grond van deze richtlijn kunnen worden gesteld aan het in artikel 8 van het Handvest neergelegde recht op bescherming van persoonsgegevens, alsmede aan het recht op eerbiediging van het privéleven en het familie- en gezinsleven, dat wordt beschermd door artikel 7 van het Handvest, moeten worden uitgelegd in overeenstemming met de vereisten van artikel 52, lid 1, van het Handvest, waartoe onder meer de eerbiediging van het evenredigheidsbeginsel behoort (zie in die zin arrest van 30 januari 2024, Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia, C-118/22, EU:C:2024:97, punt 33).
85 Die grondrechten hebben immers geen absolute gelding, maar moeten worden beschouwd in relatie tot hun functie in de samenleving en moeten worden afgewogen tegen andere grondrechten. Beperkingen op de uitoefening van deze grondrechten moeten overeenkomstig artikel 52, lid 1, van het Handvest bij wet worden gesteld alsook de wezenlijke inhoud van die grondrechten en het evenredigheidsbeginsel eerbiedigen. Krachtens dit beginsel kunnen er slechts beperkingen worden gesteld indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen die voortvloeien uit de bescherming van de rechten en vrijheden van anderen. Zij moeten binnen de grenzen van het strikt noodzakelijke blijven en de regeling die de beperkingen in kwestie inhoudt moet duidelijke en nauwkeurige regels bevatten over de draagwijdte en de toepassing van deze beperkingen (arrest van 30 januari 2024, Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia, C-118/22, EU:C:2024:97, punt 39 en aldaar aangehaalde rechtspraak).
86 Wat in de eerste plaats de doelstelling van algemeen belang betreft die een beperking van de uitoefening van de in de artikelen 7 en 8 van het Handvest neergelegde grondrechten kan rechtvaardigen, zoals de beperking die voortvloeit uit de in het hoofdgeding aan de orde zijnde regeling, dient erop te worden gewezen dat een verwerking van persoonsgegevens in het kader van een politieonderzoek dat gericht is op de vervolging van een strafbaar feit, zoals een poging om zich toegang te verschaffen tot de op een mobiele telefoon opgeslagen gegevens, in beginsel moet worden geacht daadwerkelijk te beantwoorden aan een door de Unie erkende doelstelling van algemeen belang in de zin van artikel 52, lid 1, van het Handvest.
87 Wat in de tweede plaats het vereiste betreft dat die beperking noodzakelijk is, is aan dit vereiste niet voldaan wanneer de beoogde doelstelling van algemeen belang redelijkerwijs op even doeltreffende wijze kan worden bereikt met andere middelen, die minder inbreuk maken op de grondrechten van de betrokken personen, zoals in wezen in overweging 26 van richtlijn 2016/680 wordt onderstreept (zie in die zin arrest van 30 januari 2024, Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia, C-118/22, EU:C:2024:97, punt 40 en aldaar aangehaalde rechtspraak).
88 Daarentegen is aan het noodzakelijkheidsvereiste voldaan wanneer het met de betrokken gegevensverwerking nagestreefde doel niet redelijkerwijs even doeltreffend kan worden bereikt op een andere wijze, die minder inbreuk maakt op de grondrechten van de betrokkenen, met name het recht op eerbiediging van het privéleven en het familie- en gezinsleven alsmede het recht op bescherming van persoonsgegevens, zoals die worden gewaarborgd door de artikelen 7 en 8 van het Handvest [arrest van 26 januari 2023, Ministerstvo na vatreshnite raboti (Registratie van biometrische en genetische gegevens door de politie), C-205/21, EU:C:2023:49, punt 126 en aldaar aangehaalde rechtspraak].
89 Wat in de derde plaats de evenredigheid betreft van de beperking van de uitoefening van de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten als gevolg van dergelijke verwerkingen, impliceert deze evenredigheid een afweging van alle relevante elementen van het geval (zie in die zin arrest van 30 januari 2024, Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia, C-118/22, EU:C:2024:97, punten 62 en 63 alsmede aldaar aangehaalde rechtspraak).
90 Deze elementen omvatten met name de ernst van de beperking van de uitoefening van de betrokken grondrechten, die afhangt van de aard en de gevoeligheid van de gegevens waartoe de bevoegde politiediensten zich toegang kunnen verschaffen, het belang van de met die beperking nagestreefde doelstelling van algemeen belang, de relatie tussen de eigenaar van de mobiele telefoon en het betrokken strafbare feit of de relevantie van de betrokken gegevens voor de vaststelling van de feiten.
91 Wat ten eerste de ernst betreft van de beperking van de grondrechten als gevolg van een regeling zoals die in het hoofdgeding, blijkt uit de verwijzingsbeslissing dat die regeling de bevoegde politiediensten toestaat om zich zonder voorafgaande toestemming toegang te verschaffen tot de op een mobiele telefoon opgeslagen gegevens.
92 Een dergelijke toegang kan, afhankelijk van de inhoud van de betrokken mobiele telefoon en de door die politiediensten gemaakte keuzes, niet alleen verkeers- en locatiegegevens betreffen, maar ook betrekking hebben op foto’s en de browsergeschiedenis van die telefoon, en zelfs op een deel van de inhoud van de via die telefoon uitgewisselde communicatie, met name door de daarop bewaarde berichten te lezen.
93 De toegang tot al die gegevens maakt het mogelijk om zeer nauwkeurige conclusies te trekken over het privéleven van de betrokkene, zoals zijn dagelijkse gewoonten, zijn permanente of tijdelijke verblijfplaats, zijn dagelijkse of andere verplaatsingen, de activiteiten die hij uitoefent, zijn sociale relaties en de sociale kringen waarin hij verkeert.
94 Tot slot kan niet worden uitgesloten dat sommige van de op een mobiele telefoon opgeslagen gegevens bijzonder gevoelig van aard zijn, zoals persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen en religieuze of levensbeschouwelijke overtuigingen blijken. Deze gevoelige gegevens genieten de specifieke bescherming van artikel 10 van richtlijn 2016/680, die zich ook uitstrekt tot gegevens waaruit dergelijke informatie indirect, door beredeneerde deductie of vergelijking, kan worden afgeleid [zie naar analogie arrest van 5 juni 2023, Commissie/Polen (Onafhankelijkheid en privéleven van rechters), C-204/21, EU:C:2023:442, punt 344].
95 De inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten waartoe de toepassing van een regeling zoals die in het hoofdgeding kan leiden, moet derhalve worden beschouwd als ernstig of zelfs bijzonder ernstig.
96 Wat ten tweede het belang van de nagestreefde doelstelling betreft, moet erop worden gewezen dat de ernst van het strafbare feit waarnaar het onderzoek loopt, een van de belangrijkste parameters is bij de toetsing van de evenredigheid van de ernstige inmenging die het gevolg is van de toegang tot de op een mobiele telefoon opgeslagen persoonsgegevens aan de hand waarvan nauwkeurige conclusies kunnen worden getrokken over het privéleven van de betrokkene.
97 Indien zou worden geoordeeld dat alleen de bestrijding van zware criminaliteit de toegang tot gegevens op een mobiele telefoon kan rechtvaardigen, zou dit echter de onderzoeksbevoegdheden van de bevoegde autoriteiten, in de zin van richtlijn 2016/680, beperken ten aanzien van strafbare feiten in het algemeen. Dit zou leiden tot een hoger risico van straffeloosheid van die strafbare feiten, gelet op het belang dat zulke gegevens kunnen hebben voor strafonderzoeken. Een dergelijke beperking zou derhalve in strijd zijn met de specifieke aard van de taken die deze autoriteiten uitvoeren voor de in artikel 1, lid 1, van die richtlijn genoemde doeleinden, zoals benadrukt in de overwegingen 10 en 11 ervan, en afbreuk doen aan de met die richtlijn nagestreefde doelstelling om een ruimte van vrijheid, veiligheid en recht tot stand te brengen binnen de Unie.
98 Deze overwegingen gelden echter onverminderd het in artikel 52, lid 1, van het Handvest gestelde vereiste dat beperkingen op de uitoefening van een grondrecht „bij wet worden gesteld”. Dit vereiste impliceert dat de wettelijke grondslag die een dergelijke beperking toestaat, de draagwijdte ervan voldoende duidelijk en nauwkeurig omschrijft [zie in die zin arrest van 26 januari 2023, Ministerstvo na vatreshnite raboti (Registratie van biometrische en genetische gegevens door de politie), C-205/21, EU:C:2023:49, punt 65 en aldaar aangehaalde rechtspraak].
99 Om aan dit vereiste te voldoen, staat het aan de nationale wetgever om voldoende nauwkeurig te bepalen met welke elementen rekening moet worden gehouden, met name de aard of de categorieën van de strafbare feiten in kwestie.
100 Wat ten derde de relatie tussen de eigenaar van de mobiele telefoon en het betrokken strafbare feit betreft alsmede de relevantie van de betrokken gegevens voor de vaststelling van de feiten, blijkt uit artikel 6 van richtlijn 2016/680 dat het begrip „betrokkene” verschillende categorieën van personen omvat, te weten, in wezen, personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen plegen; personen die voor een strafbaar feit zijn veroordeeld; slachtoffers of potentiële slachtoffers van een strafbaar feit, alsmede andere bij een strafbaar feit betrokken personen die als getuige kunnen worden opgeroepen in een onderzoek naar strafbare feiten of een daaruit voortvloeiende strafrechtelijke procedure. Volgens dit artikel moeten de lidstaten voorschrijven dat de verwerkingsverantwoordelijke, in voorkomend geval en voor zover mogelijk, een duidelijk onderscheid maakt tussen persoonsgegevens betreffende deze verschillende categorieën van betrokkenen.
101 Wat in dit verband met name de toegang betreft tot gegevens die zijn opgeslagen op de mobiele telefoon van de persoon tegen wie een strafrechtelijk onderzoek loopt, zoals in het hoofdgeding, is het van belang dat het bestaan van redelijke vermoedens ten aanzien van die persoon, in de zin dat hij een strafbaar feit heeft gepleegd, pleegt of van plan is te plegen of dat hij op enigerlei wijze betrokken is bij dat strafbare feit, wordt gestaafd door voldoende objectieve elementen.
102 Met name om ervoor te zorgen dat het evenredigheidsbeginsel in elk concreet geval wordt geëerbiedigd door middel van een afweging van alle relevante elementen, is het essentieel dat, wanneer de toegang van de bevoegde nationale autoriteiten tot de persoonsgegevens het risico van een ernstige of zelfs zeer ernstige inmenging in de grondrechten van de betrokkene met zich meebrengt, deze toegang afhankelijk wordt gesteld van een voorafgaande toetsing door een rechter of een onafhankelijk bestuursorgaan.
103 Die voorafgaande toetsing vereist dat de rechter die of het onafhankelijke bestuursorgaan dat belast is met die toetsing, over alle bevoegdheden beschikt en alle noodzakelijke waarborgen biedt om ervoor te zorgen dat de verschillende betrokken legitieme belangen en rechten met elkaar in overeenstemming worden gebracht. In het specifieke geval van een strafrechtelijk onderzoek vereist een dergelijke toetsing dat die rechter of entiteit in staat is een juist evenwicht te verzekeren tussen, enerzijds, de legitieme belangen die verband houden met de behoeften van het onderzoek in het kader van de bestrijding van criminaliteit en, anderzijds, de fundamentele rechten op eerbiediging van de persoonlijke levenssfeer en op bescherming van de persoonsgegevens van de personen op wier gegevens de toegang betrekking heeft.
104 In een situatie zoals bedoeld in punt 102 van dit arrest moet deze onafhankelijke toetsing plaatsvinden voorafgaand aan elke poging tot het verkrijgen van toegang tot de betrokken gegevens, behalve in naar behoren gemotiveerde spoedeisende gevallen, waarin die toetsing op korte termijn dient plaats te vinden. Met een latere toetsing kan immers niet worden beantwoord aan het doel van een voorafgaande toetsing, dat erin bestaat te verhinderen dat tot de betrokken gegevens een toegang wordt verleend die verder gaat dan strikt noodzakelijk is.
105 In het bijzonder moet de rechter die of het onafhankelijke bestuursorgaan dat een voorafgaande toetsing verricht naar aanleiding van een met redenen omkleed verzoek om toegang dat binnen de werkingssfeer van richtlijn 2016/680 valt, die toegang kunnen weigeren of beperken wanneer wordt vastgesteld dat de inmenging in de grondrechten die deze toegang met zich meebrengt, onevenredig is gelet op alle relevante elementen.
106 De toegang tot de op een mobiele telefoon opgeslagen gegevens door de bevoegde politiediensten moet derhalve worden geweigerd of beperkt indien, rekening houdend met de ernst van het strafbare feit en de behoeften van het onderzoek, de toegang tot de inhoud van de communicatie of tot gevoelige gegevens niet gerechtvaardigd wordt geacht.
107 Wat in het bijzonder de verwerking van gevoelige gegevens betreft, dient rekening te worden gehouden met de vereisten van artikel 10 van richtlijn 2016/680, dat beoogt een versterkte bescherming te waarborgen tegen dergelijke verwerkingen die, zoals uit overweging 37 van die richtlijn naar voren komt, aanzienlijke risico’s kunnen meebrengen voor de grondrechten en de fundamentele vrijheden, zoals het recht op eerbiediging van het privéleven en het familie- en gezinsleven en het recht op bescherming van persoonsgegevens, die door de artikelen 7 en 8 van het Handvest zijn gewaarborgd. Hiertoe moet, zoals blijkt uit de bewoordingen zelf van dit artikel 10, het vereiste volgens hetwelk de verwerking van dergelijke gegevens „slechts” toegelaten is „wanneer de verwerking strikt noodzakelijk is”, aldus worden uitgelegd dat daarin strengere voorwaarden voor de rechtmatigheid van de verwerking van gevoelige gegevens worden vastgesteld dan die welke voortvloeien uit artikel 4, lid 1, onder b) en c), en artikel 8, lid 1, van deze richtlijn, waarin enkel wordt verwezen naar de „noodzaak” van een verwerking van gegevens die binnen de algemene werkingssfeer van die richtlijn vallen [arrest van 26 januari 2023, Ministerstvo na vatreshnite raboti (Registratie van biometrische en genetische gegevens door de politie), C-205/21, EU:C:2023:49 punten 116 en 117 alsmede aldaar aangehaalde rechtspraak].
108 Zo benadrukt het gebruik van het bijwoord „slechts” vóór de uitdrukking „wanneer strikt noodzakelijk” dat de verwerking van bijzondere categorieën van gegevens in de zin van dit artikel 10 alleen in een beperkt aantal gevallen noodzakelijk kan worden geacht. Verder impliceert het feit dat de verwerking van dergelijke gegevens „strikt” noodzakelijk moet zijn dat deze noodzaak bijzonder streng wordt beoordeeld [arrest van 26 januari 2023, Ministerstvo na vatreshnite raboti (Registratie van biometrische en genetische gegevens door de politie), C205/21, EU:C:2023:49, punt 118].
109 In het onderhavige geval geeft de verwijzende rechter aan dat de Oostenrijkse politiediensten in het kader van een strafrechtelijk onderzoek bevoegd zijn om zich toegang te verschaffen tot de op een mobiele telefoon opgeslagen gegevens. Bovendien wijst deze rechter erop dat die toegang in beginsel niet is onderworpen aan een voorafgaande toestemming van een rechter of een onafhankelijke bestuurlijke autoriteit. Het is evenwel uitsluitend een zaak van de verwijzende rechter om in het hoofdgeding consequenties te trekken uit de verduidelijkingen die met name in de punten 102 tot en met 108 van het onderhavige arrest zijn gegeven.
110 Uit het voorgaande volgt dat op de eerste en de tweede vraag moet worden geantwoord dat artikel 4, lid 1, onder c), van richtlijn 2016/680, gelezen in het licht van de artikelen 7 en 8 alsmede artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich niet verzet tegen een nationale regeling die de bevoegde autoriteiten de mogelijkheid biedt om zich toegang te verschaffen tot de op een mobiele telefoon opgeslagen gegevens, met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten in het algemeen, indien die regeling:
– de aard of de categorieën van de betrokken strafbare feiten voldoende nauwkeurig omschrijft,
– de eerbiediging van het evenredigheidsbeginsel waarborgt, en
– de gebruikmaking van die mogelijkheid onderwerpt aan een voorafgaande toetsing door een rechter of een onafhankelijk bestuursorgaan, behalve in naar behoren gemotiveerde spoedeisende gevallen.
(...)
Het Hof (Grote kamer) verklaart voor recht:
1) Artikel 4, lid 1, onder c), van richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van kaderbesluit 2008/977/JBZ van de Raad, gelezen in het licht van de artikelen 7 en 8 alsmede artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie,
moet aldus worden uitgelegd dat
het zich niet verzet tegen een nationale regeling die de bevoegde autoriteiten de mogelijkheid biedt om zich toegang te verschaffen tot de op een mobiele telefoon opgeslagen gegevens, met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten in het algemeen, indien die regeling:
– de aard of de categorieën van de betrokken strafbare feiten voldoende nauwkeurig omschrijft,
– de eerbiediging van het evenredigheidsbeginsel waarborgt, en
– de gebruikmaking van die mogelijkheid onderwerpt aan een voorafgaande toetsing door een rechter of een onafhankelijk bestuursorgaan, behalve in naar behoren gemotiveerde spoedeisende gevallen.”
4.4.5
Het Hof van Justitie is in de zaak La Quadrature du Net II ingegaan op, kort gezegd, de vraag onder welke omstandigheden in het licht van Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie; hierna: Richtlijn 2002/58/EG) een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit achterwege kan blijven bij een inmenging in onder meer de in artikel 7 en 8 Handvest verankerde grondrechten (HvJ EU 30 april 2024, zaak C-470/21, ECLI:EU:C:2024:370 (La Quadrature du Net II)). Het arrest van het Hof van Justitie houdt onder meer in:
“130 Uit de rechtspraak van het Hof over het evenredigheidsbeginsel, dat volgens artikel 15, lid 1, eerste volzin, van richtlijn 2002/58 moet worden geëerbiedigd – met name uit de rechtspraak volgens welke, bij de beoordeling of de lidstaten een beperking van de omvang van de met name in de artikelen 5, 6 en 9 van deze richtlijn bedoelde rechten en plichten kunnen rechtvaardigen, moet worden bepaald wat de ernst is van de inmenging in de in de artikelen 7, 8 en 11 van het Handvest verankerde grondrechten die een dergelijke beperking meebrengt, en moet worden nagegaan of het belang van de met die beperking nagestreefde doelstelling van algemeen belang in verhouding staat tot die ernst (arrest van 6 oktober 2020, La Quadrature du Net e.a., C-511/18, C-512/18 en C-520/18, EU:C:2020:791, punt 131) – volgt dat de mate van inmenging in de betrokken grondrechten die de toegang tot de persoonsgegevens in kwestie met zich meebrengt alsmede de gevoeligheid van die gegevens ook van invloed moeten zijn op de materiële en procedurele waarborgen voor die toegang, zoals het vereiste van een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit.
131 Gelet op dit evenredigheidsbeginsel moet derhalve worden geoordeeld dat het vereiste van voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit noodzakelijk is wanneer, in de context van een nationale regeling die voorziet in de toegang van een overheidsinstantie tot persoonsgegevens, die toegang het risico inhoudt van een ernstige inmenging in de grondrechten van de betrokkene, in die zin dat die overheidsinstantie op basis daarvan nauwkeurige gevolgtrekkingen over zijn privéleven kan maken en, in voorkomend geval, een gedetailleerd profiel van hem kan bepalen.
132 Omgekeerd is het niet de bedoeling dat dit vereiste van voorafgaande toetsing wordt toegepast wanneer de inmenging in de betrokken grondrechten die de toegang van een overheidsinstantie tot persoonsgegevens met zich meebrengt, niet als ernstig kan worden aangemerkt.
133 Dat is het geval met de toegang tot gegevens betreffende de burgerlijke identiteit van de gebruikers van elektronische-communicatiemiddelen met als enige doel de betrokken gebruiker te identificeren en zonder dat deze gegevens in verband kunnen worden gebracht met informatie over de tot stand gebrachte communicatie, omdat de inmenging die een dergelijke verwerking van die gegevens met zich meebrengt volgens het Hof in beginsel niet als ernstig kan worden aangemerkt (zie in die zin arrest van 6 oktober 2020, La Quadrature du Net e.a., C-511/18, C512/18 en C-520/18, EU:C:2020:791, punten 157 en 158).
134 Wanneer een bewaringsmechanisme zoals beschreven in de punten 86 tot en met 89 van dit arrest wordt ingevoerd, is er bijgevolg in beginsel geen voorafgaande toetsing door een rechterlijke instantie of een onafhankelijk bestuurlijke autoriteit vereist voor de toegang van de overheidsinstantie tot de aldus bewaarde met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit.”
5.Bijstelling van eerdere rechtspraak
5.1.1
Uit het onder 4.4.4 weergegeven arrest van het Hof van Justitie in de zaak CG/Landeck kan het volgende worden afgeleid. Dat arrest heeft betrekking op een wettelijke bepaling in de betreffende lidstaat die de politie in het kader van een strafrechtelijk onderzoek zonder nadere vereisten de bevoegdheid geeft zich toegang te verschaffen tot alle op een mobiele telefoon opgeslagen gegevens. Die toegang kan, afhankelijk van de inhoud van de telefoon en de aard en de inrichting van het onderzoek dat aan die telefoon wordt verricht, ertoe leiden dat inzicht wordt verkregen in verkeers- en locatiegegevens, maar ook in andersoortige gegevens (zoals foto’s, de browsergeschiedenis, de inhoud van via die telefoon uitgewisselde communicatie, en gevoelige gegevens). De toegang tot al die gegevens kan, in het bijzonder als deze gegevens in onderling verband met elkaar worden gebracht, leiden tot zeer nauwkeurige conclusies over het privéleven van de gebruiker. De daaruit voortvloeiende inbreuk op de door artikel 7 en 8 Handvest gewaarborgde grondrechten moet worden aangemerkt als ernstig of bijzonder ernstig, in het bijzonder als daarbij ook de in artikel 10 Richtlijn 2016/680 bedoelde ‘gevoelige gegevens’ aan de orde kunnen zijn. In het licht van het evenredigheidsbeginsel moet de toegang van de bevoegde nationale autoriteiten tot persoonsgegevens daarom afhankelijk worden gesteld van een voorafgaande toetsing door een rechter of een onafhankelijk bestuursorgaan als die toegang het risico van een ernstige of zelfs zeer ernstige inmenging in de grondrechten van de gebruiker met zich brengt.
5.1.2
Of de toegang tot een mobiele telefoon (of een andere elektronische gegevensdrager) het risico oplevert van een ernstige of zeer ernstige inmenging in de grondrechten van de gebruiker, hangt mede af van de keuzes met betrekking tot de aard en de inrichting van het te verrichten onderzoek. Het onder 4.4.4 weergegeven arrest van het Hof van Justitie houdt niet in dat een voorafgaande toetsing door een rechter of een onafhankelijk bestuursorgaan ook is vereist als die keuzes niet leiden tot het risico van een ernstige of zeer ernstige inmenging in de grondrechten van de gebruiker. Dat in zo’n geval niet het vereiste van een voorafgaande toetsing door een rechter of een onafhankelijk bestuursorgaan geldt, wordt bevestigd door het onder 4.4.5 weergegeven arrest van het Hof van Justitie in de zaak La Quadrature du Net II. Uit dat arrest vloeit (met betrekking tot Richtlijn 2002/58/EG) voort dat het niet nodig is dat het vereiste van voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit wordt toegepast als de inmenging in de betrokken grondrechten die de toegang van een overheidsinstantie tot persoonsgegevens met zich brengt, niet als ernstig kan worden aangemerkt.
5.2.1
Deze rechtspraak van het Hof van Justitie brengt mee dat het onderzoek aan (inbeslaggenomen) elektronische gegevensdragers en geautomatiseerde werken voortaan op een enigszins andere manier moet worden genormeerd dan uit de onder 4.2 weergegeven uitspraak van de Hoge Raad voortvloeit. Het is aan de wetgever om een wettelijke regeling op te stellen die in haar algemeenheid voldoet aan alle in de rechtspraak van het Hof van Justitie gestelde vereisten. In afwachting van zo’n regeling ziet de Hoge Raad aanleiding om zijn eerdere rechtspraak bij te stellen. De rechtspraak van het Hof van Justitie brengt in dit verband het volgende met zich voor het onderzoek aan elektronische gegevensdragers en geautomatiseerde werken.
5.2.2
In lijn met de onder 4.2 weergegeven uitspraak van de Hoge Raad bieden de bevoegdheden van opsporingsambtenaren zoals neergelegd in artikel 94 in samenhang met artikel 95 en 96 Sv en in artikel 141 en 148 lid 1 Sv een toereikende grondslag voor een onderzoek aan voorwerpen – waaronder ook elektronische gegevensdragers en geautomatiseerde werken – als de met dat onderzoek samenhangende inbreuk op de persoonlijke levenssfeer als beperkt kan worden beschouwd. De wet vereist in zo’n geval geen voorafgaande rechterlijke toetsing of tussenkomst van de officier van justitie. Het kan dan – naast onderzoek dat slechts strekt tot het identificeren van de gebruiker – onder meer gaan om onderzoek dat een opsporingsambtenaar in het kader van zijn taakuitoefening doet waarbij hij een bij een verdachte aangetroffen elektronische gegevensdrager of geautomatiseerd werk bekijkt en daarbij enkele beperkte waarnemingen doet over het feitelijk gebruik daarvan op dat moment of direct daaraan voorafgaand, bijvoorbeeld door na te gaan welke contacten de gebruiker van een telefoon kort tevoren heeft gelegd.
5.2.3
Richtlijn 2016/680 biedt, zo volgt uit de onder 4.4.4 weergegeven uitspraak van het Hof van Justitie, de mogelijkheid dat in ‘naar behoren gemotiveerde spoedeisende gevallen’ wordt afgezien van het vereiste van voorafgaande toetsing door de rechter. Dat betekent dat de hiervoor genoemde bevoegdheden van opsporingsambtenaren ook een toereikende grondslag bieden voor onderzoek dat een meer dan beperkte inbreuk op de persoonlijke levenssfeer maakt, als en voor zover met dat onderzoek niet kan worden gewacht totdat toetsing door de rechter, op de hierna te bespreken manier, heeft plaatsgevonden.
5.2.4
In het licht van de rechtspraak van het Hof van Justitie moet het er – voor de toepassing van de genoemde algemene bevoegdheden van opsporingsambtenaren – voor worden gehouden dat van een beperkte inbreuk op de persoonlijke levenssfeer al geen sprake meer is als op voorhand is te voorzien dat door het onderzoek aan de smartphone (of andere elektronische gegevensdrager of geautomatiseerd werk) inzicht wordt verkregen in verkeers- en locatiegegevens, maar ook in andersoortige gegevens (zoals foto’s, de browsergeschiedenis, de inhoud van via die smartphone uitgewisselde communicatie, en gevoelige gegevens). Als politie en justitie in zo’n geval onderzoek willen verrichten aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken, dan is voor dat onderzoek – behalve in spoedeisende gevallen – een voorafgaande toetsing door de rechter-commissaris vereist. Deze toetsing vergt een beoordeling of de inbreuk die door het onderzoek wordt gemaakt op de persoonlijke levenssfeer van de gebruiker, is gerechtvaardigd mede gelet op de ernst van het strafbare feit waarop de verdenking betrekking heeft en het belang van het onderzoek aan de elektronische gegevensdrager of het geautomatiseerde werk voor de waarheidsvinding. Daarbij neemt de Hoge Raad in aanmerking dat het openbaar ministerie niet kan worden aangemerkt als een onafhankelijk bestuursorgaan in de onder 5.1.1 bedoelde zin, gelet op de eisen die in de rechtspraak van het Hof van Justitie worden gesteld aan de onafhankelijkheid van zo’n bestuursorgaan (vgl. HR 5 april 2022, ECLI:NL:HR:2022:475, rechtsoverweging 6.11.1-6.11.2).
5.2.5
Zo’n rechterlijke toetsing kan plaatsvinden naar aanleiding van een vordering van de officier van justitie tot het verkrijgen van een machtiging van de rechter-commissaris voor het verrichten van het onderzoek aan de betreffende elektronische gegevensdrager of het geautomatiseerde werk. Hoewel het Wetboek van Strafvordering het vorderen van zo’n machtiging niet als eis stelt, verzet het stelsel van dat wetboek zich er niet tegen dat de officier van justitie zo’n vordering doet. In geval van dringende noodzaak kan de machtiging van de rechter-commissaris mondeling worden gegeven. In dat geval stelt de rechter-commissaris de machtiging binnen drie dagen op schrift. (Vgl. HR 5 april 2022, ECLI:NL:HR:2022:475, rechtsoverweging 6.11.3.)
Als de officier van justitie een machtiging van de rechter-commissaris vordert, moet in deze vordering voldoende concreet worden omschreven welk onderzoek aan de elektronische gegevensdrager of het geautomatiseerde werk zal worden verricht en hoe dit onderzoek zal worden uitgevoerd. Bij het verlenen van een machtiging voor het gevorderde onderzoek kan de rechter-commissaris zo nodig nadere eisen stellen aan het te verrichten onderzoek. In het geval dat de officier van justitie de uitvoering van het onderzoek op grond van artikel 148 lid 2 Sv opdraagt aan opsporingsambtenaren, wordt het onderzoek verricht in overeenstemming met de omschrijving van het onderzoek in de vordering van de officier van justitie die aan de door de rechter-commissaris verleende machtiging ten grondslag ligten de eventueel in de machtiging van de rechter-commissaris gestelde nadere eisen.
Als de officier van justitie een machtiging van de rechter-commissaris vordert, moet in deze vordering voldoende concreet worden omschreven welk onderzoek aan de elektronische gegevensdrager of het geautomatiseerde werk zal worden verricht en hoe dit onderzoek zal worden uitgevoerd. Bij het verlenen van een machtiging voor het gevorderde onderzoek kan de rechter-commissaris zo nodig nadere eisen stellen aan het te verrichten onderzoek. In het geval dat de officier van justitie de uitvoering van het onderzoek op grond van artikel 148 lid 2 Sv opdraagt aan opsporingsambtenaren, wordt het onderzoek verricht in overeenstemming met de omschrijving van het onderzoek in de vordering van de officier van justitie die aan de door de rechter-commissaris verleende machtiging ten grondslag ligten de eventueel in de machtiging van de rechter-commissaris gestelde nadere eisen.
5.2.6
Aan het vereiste van een voorafgaande rechterlijke toetsing wordt ook voldaan als na de inbeslagneming van een elektronische gegevensdrager of een geautomatiseerd werk door een opsporingsambtenaar, het onderzoek aan die gegevensdrager of dat geautomatiseerde werk wordt verricht door de rechter-commissaris op grond van artikel 104 lid 1 Sv. Op grond van artikel 177 lid 1 Sv kan de rechter-commissaris opsporingsambtenaren het bevel geven om dit onderzoek te verrichten.
5.2.7
In dit verband verdient opmerking dat aan het waarborgen dat bij het aan een elektronische gegevensdrager of een geautomatiseerd werk te verrichten onderzoek geen grotere inbreuk wordt gemaakt op de persoonlijke levenssfeer van de gebruiker dan noodzakelijk, kan bijdragen dat in de door de officier van justitie gevorderde machtiging of in het op grond van artikel 177 lid 1 Sv door de rechter-commissaris te verlenen bevel wordt vastgelegd waarop dit onderzoek is gericht, en dat daarbij wordt voorgeschreven dat dit onderzoek – voor zover mogelijk – geautomatiseerd wordt gedaan met behulp van een technisch hulpmiddel alsmede dat uit een schriftelijke verslaglegging van de uitkomst van het onderzoek ook de inrichting en de omvang daarvan kunnen blijken.
5.2.8
In het licht van het vorenstaande komt aan het in de onder 4.2 weergegeven uitspraak van de Hoge Raad gemaakte onderscheid tussen onderzoek dat een meer dan beperkte inbreuk op de persoonlijke levenssfeer meebrengt en onderzoek waarbij op voorhand is te voorzien dat de inbreuk op de persoonlijke levenssfeer zeer ingrijpend zal zijn, voor de bevoegdheidsverdeling tussen de officier van justitie en de rechter-commissaris geen bijzondere betekenis meer toe. Immers, bij elke vorm van onderzoek aan een elektronische gegevensdrager of een geautomatiseerd werk die een meer dan beperkte inbreuk op de persoonlijke levenssfeer meebrengt, is een voorafgaande betrokkenheid van de rechter-commissaris vereist, op de onder 5.2.5 dan wel de onder 5.2.6 besproken manier. De omstandigheid dat door het onderzoek waarschijnlijk inzicht zal worden verkregen in gegevens die “bijzonder gevoelig van aard zijn, zoals persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen en religieuze of levensbeschouwelijke overtuigingen blijken”, of in andere in artikel 10 Richtlijn 2016/680 genoemde gegevens, kan wel van belang zijn voor de beslissing van de rechter-commissaris of het onderzoek aan de elektronische gegevensdrager of het geautomatiseerde werk wordt toegestaan en, zo ja, welk onderzoek wordt toegestaan en hoe dat onderzoek moet worden uitgevoerd.
5.2.9
Op grond van Richtlijn 2016/680 moet verzekerd zijn dat, als onderzoek heeft plaatsgevonden aan een elektronische gegevensdrager of een geautomatiseerd werk en voor dat onderzoek voorafgaande rechterlijke toetsing is vereist, de gebruiker in kennis wordt gesteld van de gronden waarop de toestemming voor dat onderzoek is verleend, vanaf het moment waarop het belang van het onderzoek zich niet daartegen verzet. De verdachte zal in het algemeen van deze gronden op de hoogte komen doordat de stukken die op het onderzoek betrekking hebben, bij de processtukken worden gevoegd. Daarbuiten rust de verplichting tot notificatie op de officier van justitie, die hiertoe in overeenstemming met artikel 126bb Sv kan handelen.
6. Beoordeling van het cassatiemiddel dat door het openbaar ministerie is voorgesteld
6.1
Het cassatiemiddel komt met drie klachten op tegen het oordeel van het hof dat het onderzoek aan smartphones en (andere) elektronische gegevensdragers onrechtmatig was.
6.2.1
Ten eerste wordt geklaagd dat het oordeel van het hof dat het louter met toestemming van de officier van justitie verrichte onderzoek aan elektronische gegevensdragers (smartphones) onrechtmatig was omdat er rekening mee gehouden moest worden dat hierop zodanige informatie over het persoonlijk leven van de verdachte te vinden zou zijn dat op voorhand te voorzien was dat uit het onderzoek daarvan een min of meer compleet beeld kon worden verkregen van bepaalde aspecten van dat persoonlijk leven, de uit het onder 4.2 weergegeven arrest voortvloeiende bevoegdheidsverdeling miskent.
6.2.2
Het hof heeft vastgesteld dat bij de aanhouding van de verdachte twee elektronische gegevensdragers (smartphones) zijn aangetroffen, die met toestemming van de officier van justitie zijn onderzocht. Het hof heeft geoordeeld dat die toestemming niet volstaat voor dat onderzoek, nu er rekening mee moest worden gehouden dat – gelet op het kennelijke gebruik daarvan – op deze gegevensdragers zodanige informatie over het persoonlijk leven van de verdachte te vinden zou zijn dat op voorhand te voorzien was dat uit het onderzoek daarvan een min of meer compleet beeld kon worden verkregen van bepaalde aspecten van het persoonlijk leven van de verdachte. Dit oordeel – waarin besloten ligt dat de officier van justitie zijn toestemming verleende zonder dat hij een machtiging van de rechter-commissaris voor het onderzoek aan de gegevensdragers had verkregen – getuigt, gelet op wat onder 5.2 is overwogen, niet van een onjuiste rechtsopvatting en is niet onbegrijpelijk.
6.2.3
De klacht faalt.
6.3.1
Het cassatiemiddel betoogt ten tweede dat, nu bij doorzoekingen elektronische gegevensdragers door de rechter-commissaris in beslag zijn genomen en deze door de rechter-commissaris zijn overgedragen aan het onderzoeksteam van de politie, door de politie onderzoek aan die voorwerpen mocht worden verricht zonder (nadere) machtiging van de rechter-commissaris, en klaagt over het andersluidende oordeel van het hof. In samenhang hiermee klaagt het cassatiemiddel ten derde over het oordeel van het hof dat de rechter-commissaris beperkingen kan stellen aan het onderzoek aan inbeslaggenomen gegevensdragers.
6.3.2
Het hof heeft overwogen dat, als het onderzoek van de gegevens op een elektronische gegevensdrager zo verstrekkend is dat op voorhand is te voorzien dat een min of meer compleet beeld kan worden verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van die gegevensdrager, uit de enkele beslissing tot inbeslagneming niet zonder meer voortvloeit dat gegevens op die elektronische gegevensdrager zonder meer mogen worden onderzocht. Verder heeft het hof overwogen dat in zo’n situatie door de rechter-commissaris die de inbeslaggenomen gegevensdrager voor onderzoek overdraagt aan een opsporingsdienst, moet worden overwogen of beperkingen aan dat onderzoek moeten worden verbonden. In verband daarmee heeft het hof overwogen dat bij die beslissing van de rechter-commissaris en bij het bepalen van de aard en de omvang van die eventuele beperkingen, factoren als de ingrijpendheid van de inbreuk op de persoonlijke levenssfeer van de gebruiker van de betreffende gegevensdragers door het onderzoek en de proportionaliteit en subsidiariteit van de te verrichten onderzoekshandelingen in relatie tot de aard en omvang van de verdenking waarop het onderzoek betrekking heeft, een rol kunnen spelen. Daarbij kan volgens het hof onder meer worden gedacht aan beperkingen van het aantal te onderzoeken gegevensdragers, van de te onderzoeken gegevens en van de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd of op de betreffende elektronische gegevensdrager zijn terechtgekomen. Ook kan volgens het hof worden gekozen voor fasering van toegestane onderzoekshandelingen doordat de rechter-commissaris eventueel tussentijds beslist tot uitbreiding of (verdere) beperking van het toegestane onderzoek.
Het hof heeft vastgesteld dat na doorzoekingen in onder meer de woning van de verdachte de inbeslaggenomen voorwerpen – smartphones en (andere) elektronische gegevensdragers – door de rechter-commissaris voor nader onderzoek zijn overgedragen aan het onderzoeksteam van de politie. Het hof heeft verder vastgesteld dat dit onderzoek is uitgevoerd, terwijl door de rechter-commissaris niet is overwogen of wel of niet beperkingen aan dat onderzoek waren verbonden. Op grond hiervan heeft het hof geoordeeld dat het verrichte onderzoek onrechtmatig was. Daarmee heeft het hof ook tot uitdrukking gebracht dat in het geval dat de inbeslagneming van gegevensdragers door de rechter-commissaris heeft plaatsgevonden en die gegevensdragers door de rechter-commissaris voor nader onderzoek in handen worden gesteld van opsporingsambtenaren, de rechter-commissaris gehouden is een instructie te geven welk onderzoek moet plaatsvinden en hoe dit onderzoek moet worden uitgevoerd, en dus in zoverre beperkingen kan stellen aan het te verrichten onderzoek. Deze oordelen van het hof getuigen, gelet op wat onder 5.2 is overwogen, niet van een onjuiste rechtsopvatting en zijn niet onbegrijpelijk.
6.3.3
De klachten falen.
7.Beoordeling van het cassatiemiddel dat namens de verdachte is voorgesteld
De Hoge Raad heeft de klachten over de uitspraak van het hof beoordeeld. De uitkomst hiervan is dat deze klachten niet kunnen leiden tot vernietiging van die uitspraak. De Hoge Raad hoeft niet te motiveren waarom hij tot dit oordeel is gekomen. Bij de beoordeling van deze klachten is het namelijk niet nodig om antwoord te geven op vragen die van belang zijn voor de eenheid of de ontwikkeling van het recht (zie artikel 81 lid 1 van de Wet op de rechterlijke organisatie).
8.Ambtshalve beoordeling van de uitspraak van het hof
De Hoge Raad doet uitspraak nadat meer dan twee jaren zijn verstreken na het instellen van het cassatieberoep. Dat brengt mee dat de redelijke termijn als bedoeld in artikel 6 lid 1 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden is overschreden. Dit moet leiden tot vermindering van de opgelegde gevangenisstraf van veertien maanden.
9.Samenvatting
De Hoge Raad heeft naar aanleiding van het arrest van het Hof van Justitie in de zaak CG/Landeck zijn rechtspraak over het onderzoek aan elektronische gegevensdragers en geautomatiseerde werken bijgesteld. Kort gezegd en op hoofdlijnen houdt het oordeel van de Hoge Raad het volgende in.
De algemene wettelijke bevoegdheden van opsporingsambtenaren bieden voldoende legitimatie voor een onderzoek aan voorwerpen – waaronder ook elektronische gegevensdragers en geautomatiseerde werken – als de met dat onderzoek samenhangende inbreuk op de persoonlijke levenssfeer als beperkt kan worden beschouwd. De wet vereist in zo’n geval geen voorafgaande rechterlijke toetsing of tussenkomst van de officier van justitie. Van zo’n beperkte inbreuk kan – naast onderzoek dat slechts strekt tot het identificeren van de gebruiker – bij het verrichten van onderzoek aan een elektronische gegevensdrager of een geautomatiseerd werk bijvoorbeeld sprake zijn als een opsporingsambtenaar een bij een verdachte aangetroffen elektronische gegevensdrager of geautomatiseerd werk bekijkt en daarbij enkele beperkte waarnemingen doet over het feitelijk gebruik daarvan op dat moment of direct daaraan voorafgaand, bijvoorbeeld door na te gaan welke contacten de gebruiker van een telefoon kort tevoren heeft gelegd. (Zie rechtsoverweging 5.2.2.)
Van een beperkte inbreuk op de persoonlijke levenssfeer is echter al geen sprake meer als op voorhand is te voorzien dat door het onderzoek aan de smartphone (of andere elektronische gegevensdrager of geautomatiseerd werk) inzicht wordt verkregen in verkeers- en locatiegegevens, maar ook in andersoortige gegevens (zoals foto’s, de browsergeschiedenis, de inhoud van via die smartphone uitgewisselde communicatie, en gevoelige gegevens). Als politie en justitie in zo’n geval onderzoek willen verrichten aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken, dan is voor dat onderzoek – behalve in spoedeisende gevallen – een voorafgaande toetsing door de rechter-commissaris vereist. (Zie rechtsoverweging 5.2.4.) De toetsing kan resulteren in een – naar aanleiding van een vordering van de officier van justitie – door de rechter-commissaris verstrekte machtiging tot het verrichten van onderzoek aan de elektronische gegevensdrager of het geautomatiseerde werk (zie rechtsoverweging 5.2.5), of in een onderzoek aan de elektronische gegevensdrager of het geautomatiseerde werk door de rechter-commissaris op grond van artikel 104 lid 1 Sv, waarbij de rechter-commissaris op grond van artikel 177 lid 1 Sv opsporingsambtenaren het bevel kan geven om dit onderzoek te verrichten (zie rechtsoverweging 5.2.6).
Aan het waarborgen dat bij het aan een elektronische gegevensdrager of een geautomatiseerd werk te verrichten onderzoek geen grotere inbreuk wordt gemaakt op de persoonlijke levenssfeer van de gebruiker dan noodzakelijk, kan bijdragen dat in de door de officier van justitie gevorderde machtiging of in het op grond van artikel 177 lid 1 Sv door de rechter-commissaris te verlenen bevel wordt vastgelegd waarop dit onderzoek is gericht, en dat daarbij wordt voorgeschreven dat dit onderzoek – voor zover mogelijk – geautomatiseerd wordt gedaan met behulp van een technisch hulpmiddel alsmede dat uit een schriftelijke verslaglegging van de uitkomst van het onderzoek ook de inrichting en de omvang daarvan kunnen blijken (zie rechtsoverweging 5.2.7).
10.Beslissing
De Hoge Raad:
- vernietigt de uitspraak van het hof, maar uitsluitend wat betreft de duur van de opgelegde gevangenisstraf;
- vermindert deze in die zin dat deze dertien maanden en twee weken beloopt;
- verwerpt de beroepen voor het overige.
Dit arrest is gewezen door de vice-president V. van den Brink als voorzitter, de vicepresident M.J. Borgers en de raadsheren A.L.J. van Strien, M. Kuijer en T. Kooijmans, in bijzijn van de waarnemend griffier H.J.S. Kea, en uitgesproken ter openbare terechtzitting van
18 maart 2025.
18 maart 2025.