Uitspraak
RECHTBANK DEN HAAG
rechter-commissaris in strafzaken
parketnummer : [parketnummer]
Beschikking op een vordering ingevolge artikelen 181 en 177 van het Wetboek van Strafvordering
De rechter-commissaris heeft op 9 maart 2022 van de officier van justitie een vordering ontvangen om een onderzoekshandeling te verrichten met het oog op de opsporing van een strafbaar feit, waarbij als verdachte is aangewezen:
[naam verdachte]
geboren op [geboortedatum] te [geboorteplaats] .
De vordering
De vordering strekt ertoe dat de rechter-commissaris – door tussenkomst van de officier van justitie – opdracht geeft aan een medewerker van het team Digitale Opsporing verbonden aan het [politieteam] en/of van Interceptie & Sensing om zich toegang te verschaffen tot:
- het WhatsApp-account van het slachtoffer [naam slachtoffer] (eerder geïnstalleerd op de oude [telefoon] van het slachtoffer, vermoedelijk gekoppeld (geweest) aan nummer [telefoonnummer 1] en/of [telefoonnummer 2] ), en
- het Google-account van het slachtoffer ( [Google-account] );
en vervolgens de zich aldaar bevindende WhatsApp-communicatie en Google Takeout veilig te stellen, voor zover die gegevens relevant zijn met betrekking tot het onderzoek naar de al dan niet aanwezigheid van voorbedachte raad bij het plegen van het feit door de verdachte en/of het onderzoek naar eventuele betrokkenheid van een derde bij het feit, en voor de periode van [elf dagen] .
De officier van justitie heeft tevens gevorderd dat de rechter-commissaris de vordering en de beslissing daarop niet zal doen toekomen aan de verdachte, althans dat deze kennisgeving wordt uitgesteld totdat het gevorderde onderzoek door de politie is voltooid.
Beoordeling van de vordering
Bevoegdheid
De vordering is gebaseerd op de artikelen 181 en 177 Sv. De rechter-commissaris is daarom bevoegd om op de vordering te beslissen.
Analoge toepassing artikel 126ng Sv
De wet voorziet niet in een specifieke bevoegdheid voor een opsporingsambtenaar om zich toegang te verschaffen tot het WhatsApp-account en het Google-account van het slachtoffer en gegevens vast te leggen. In de rechtspraak is echter inmiddels meer dan eens geoordeeld dat het zich verschaffen van toegang tot een account onder bepaalde voorwaarden mogelijk is. [1] Voor de inbreuk op de privacy die deze onderzoekshandeling kan opleveren bestaat een voldoende voorzienbare en kenbare wettelijke basis, onder andere in artikel 126ng lid 2 Sv. In de onderhavige vordering is op goede gronden hierbij aansluiting gezocht, aangezien deze bepaling ook betrekking heeft op gegevens die zijn opgeslagen in een geautomatiseerd werk. Het verschil is dat ingevolge artikel 126ng lid 2 Sv gegevens van de aanbieder van een communicatiedienst worden gevorderd, terwijl deze vordering ertoe strekt dat een opsporingsambtenaar zichzelf toegang verschaft, maar dat verschil is niet wezenlijk en levert geen grotere inbreuk op.
Uit de vordering en de onderliggende stukken blijkt dat aan de voorwaarden voor (analoge) toepassing van 126ng lid 2 Sv is voldaan:
- er is een verdenking van een misdrijf als omschreven in artikel 67 lid 1 Sv, dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert, te weten een verdenking van moord/doodslag;
- er is een dringend onderzoeksbelang, aangezien er nog onduidelijkheid bestaat rond de dood van het slachtoffer en de motieven hiervoor, en het WhatsApp-verkeer en de Google Takeout meer inzicht kunnen geven in de laatste periode dat het slachtoffer leefde;
- het betreft gegevens als bedoeld in artikel 126ng lid 2 Sv, omdat het (onder meer) gaat om eventuele berichten tussen de verdachte en het slachtoffer die kunnen bijdragen aan de waarheidsvinding over de (vermeende) betrokkenheid van de verdachte bij de dood van het slachtoffer en zijn mogelijke motieven.
Uit de vordering volgt dat de gegevens niet (tijdig) op andere wijze kunnen worden verkregen.
Ten eerste zijn de twee telefoons die het slachtoffer in bezit zou hebben gehad niet teruggevonden. Doorzoekingen, telefoon- en printertaps en het opvragen van telefoongegevens hebben geen resultaat gehad.
Ten tweede kunnen de gegevens ook niet (binnen afzienbare tijd) door middel van een vordering aan de aanbieder van de communicatiedienst worden verkregen. Ten aanzien van WhatsApp geldt dat WhatsApp-berichten worden versleuteld via een end-to-end encryptie, waarbij alleen de ontvanger de sleutel heeft om de berichten te ontsleutelen, en dat afgeleverde berichten niet door WhatsApp bewaard worden. Ten aanzien van Google geldt dat het opvragen van een Google Takeout verloopt via een rechtshulpverzoek aan de Verenigde Staten. Volgens de officier van justitie leert de ervaring dat de autoriteiten van de Verenigde Staten een groot deel van de rechtshulpverzoeken weigeren en dat de procedure minimaal anderhalf à twee jaar in beslag neemt, zodat voorzienbaar is dat dit niet of niet binnen afzienbare tijd tot enig resultaat zal leiden.
Gelet op het voorgaande is het indienen van de onderhavige vordering, die naar het oordeel van de rechter-commissaris past in het Nederlandse systeem van strafvordering, gerechtvaardigd.
Wijze van toegang verschaffen
In de vordering is beschreven hoe de toegang tot het WhatsApp-account en het Google-account kan worden verkregen. Daarbij kan gebruik worden gemaakt van een door de politie aangetroffen oude [telefoon] van het slachtoffer, die tot 2018 in gebruik bleek te zijn.
Ten aanzien van het WhatsApp-account wordt benadrukt dat het afhangt van de instellingen van de gebruiker, in de eerste plaats of er standaard een back-up wordt gemaakt naar de cloud, en in de tweede plaats hoe de back-up (bevattende de historische WhatsApp-berichten) kan worden teruggezet op een telefoon. Over dat laatste staat in de vordering het volgende vermeld:
Afhankelijk van de instellingen van het slachtoffer is het mogelijk de backup terug te zetten op een telefoon. Dit kan via verificatiesms, security questions, het emailaccount van het slachtoffer (maar dan moet daar toegang toe zijn en ook dat hangt af van de instellingen die het slachtoffer heeft ingesteld) 2FA etc. Er is van te voren weinig te zeggen over de slagingskansen van deze methodes omdat de telefoons ontbreken en de instellingen op dit moment onbekend zijn. Deze manieren kunnen geprobeerd worden zodra men toegang heeft tot de simkaart op een toestel, doch slechts voor zover er een code terugkomt op de telefoon/simkaart.
Over het binnenhalen van de WhatsApp-berichten die zijn verstuurd na het uitgaan van de telefoon wordt in de vordering de optie dat WhatsApp opnieuw wordt geïnstalleerd beschreven:
Hiervoor is slechts toegang nodig tot het telefoonnummer van het slachtoffer door middel van een duplicaat SIM kaart. Feitelijk wordt de backup van Whatsapp dan teruggezet op een telefoon. Daarvoor moet dus een nieuwe (duplicaat) simkaart worden aangevraagd bij de provider met het nummer van het slachtoffer, welke in een toestel kan worden gedaan waarop Whatsapp opnieuw geïnstalleerd wordt.
Ook ten aanzien van het Google-account wordt benadrukt dat het afhangt van de instellingen van de gebruiker. In de vordering zijn de mogelijkheden als volgt uitgewerkt:
Het zou kunnen zijn dat er tweestapsverificatie staat ingesteld, dat houdt in dat de inlog moet worden goedgekeurd en er een code wordt verzonden die moet worden ingevuld. Dat zou naar een email adres kunnen zijn, maar het zou ook kunnen zijn dat deze code naar het telefoonnummer wordt gestuurd. Deze instellingen zijn van te voren niet bekend. Indien bijvoorbeeld de code naar een email adres wordt gestuurd, en dat email adres komt niet binnen op de genoemde telefoon, stoppen de inlogmogelijkheden. Als de code naar het nummer van de telefoon wordt verzonden dan kan daar wel mee ingelogd worden.
Als dat niet lukt zou op de knop wachtwoord vergeten kunnen worden gedrukt, dan komt het invullen van beveiligingsvragen aan de orde. Indien de beveiligingsvragen vragen betreffen waarop het antwoord bij het onderzoeksteam van politie bekend is, kan dit ingevoerd worden. Deze stap zou de laatste in het geheel kunnen zijn om uiteindelijk in het Google account te kunnen komen.
Zodoende komt men dan in de google account van het slachtoffer en kan er via het google dashboard worden gekeken wat er zich in haar google account bevindt.
De rechter-commissaris stelt allereerst vast dat de politie geen rechtstreekse toegang tot de accounts heeft, maar dat er tussenstappen nodig zijn. Welke tussenstappen moeten worden gezet, is kennelijk afhankelijk van de instellingen, waarover op voorhand geen informatie beschikbaar is. De vraag rijst hoe deze wijzen van toegang verschaffen zich verhouden tot het binnendringen in een geautomatiseerd werk als bedoeld in artikel 126nba Sv (de ‘hackbevoegdheid’). Van een omzeiling van de (strenge) voorwaarden en waarborgen van artikel 126nba Sv mag immers geen sprake zijn. Dat klemt temeer, nu op grond van artikel 126nba Sv alleen kan worden binnengedrongen in een geautomatiseerd werk dat bij de verdachte in gebruik is, terwijl het in dit geval zou gaan om geautomatiseerde werken – te weten: (delen van) servers – die bij het slachtoffer in gebruik waren.
De officier van justitie heeft in de vordering betoogd dat artikel 126nba Sv niet van toepassing is, omdat wordt ingelogd “op een normale wijze, zonder kunstgrepen, met toestemming van de nabestaande ( [nabestaande 1] ), welke doorgaans ook door een provider in staat wordt gesteld om een duplicaat simkaart aan te vragen als iemand overlijdt”.
De rechter-commissaris overweegt dat de hackbevoegdheid van artikel 126nba Sv (onder meer) de bevoegdheid betreft een geautomatiseerd werk op afstand heimelijk binnen te dringen. [2] In de wetsgeschiedenis wordt een aantal technieken genoemd die het mogelijk maken in een geautomatiseerd werk binnen te dringen, zoals (niet limitatief) met behulp van inloggegevens die door middel van ‘social engineering’ of het gebruik van kunstmatige intelligentie zijn verkregen, of door iemand te verleiden te reageren op een e-mailbericht of een ander verzoek of contact. [3] In de praktijk wordt deze wijze van binnendringen afgeschermd en worden methodieken niet prijsgegeven.
Dat is in dit geval anders. In de vordering wordt – zoals hiervoor geciteerd – uitgebreid weergegeven welke stappen er, afhankelijk van de instellingen, moeten worden gezet.
Het betreft stappen die een gebruiker zelf ook kan of zelfs moet zetten op het moment dat deze geen toegang meer heeft tot een account. Het terugzetten van een back-up (zoals bij WhatsApp) kan als een gebruikelijke handeling worden beschouwd, een back-up is immers bedoeld voor de situatie waarin er onverhoopt geen toegang meer tot de gegevens bestaat. Ook het moeten invoeren van bepaalde codes of het invullen van beveiligingsvragen om toegang te verkrijgen tot een account (zoals bij Google) is niet ongebruikelijk. Een tweestapsverificatie is soms al vereist als vanaf een ander apparaat op het account wordt ingelogd. En als de gebruiker is uitgelogd van een account en het wachtwoord niet meer weet, dan zal de gebruiker de procedure van ‘wachtwoord vergeten’ moeten doorlopen.
Kortom, weliswaar beschikt de politie niet over kant-en-klare inloggegevens, maar de wijze waarop een opsporingsambtenaar toegang tot de accounts verkrijgt, is in de kern niet anders dan de wijze waarop de rechtmatige gebruiker in een vergelijkbare situatie toegang zou verkrijgen. Dat er meerdere stappen moeten worden gezet, maakt dit niet anders. Daarbij is van belang dat geen gebruik wordt gemaakt van een bepaalde techniek om inloggegevens te ontfutselen of van kunstmatige intelligentie, zoals genoemd in de wetsgeschiedenis. Het aanvragen van een duplicaat simkaart en het afvangen van een verificatiecode gebeurt niet alleen met toestemming van de nabestaande, maar valt naar het oordeel van de rechter-commissaris ook binnen de rechtmatige uitoefening van de politietaak gelet op artikel 3 van de Politiewet en de artikelen 141 en 142 Sv. Datzelfde geldt voor het beantwoorden van beveiligingsvragen, voor zover daarbij gebruik wordt gemaakt van informatie die rechtmatig is verkregen.
Uit het voorgaande trekt de rechter-commissaris de conclusie dat de wijze waarop de opsporingsambtenaar zich toegang tot de accounts zal verschaffen, ook met de mogelijk te zetten tussenstappen, niet op een voor de gebruiker ongebruikelijke wijze zal geschieden. Verder is relevant dat de wijze van toegang verschaffen volledig wordt verantwoord en van afscherming van methodieken geen sprake is. De keuze voor een vordering op grond van artikel 181 en 177 Sv, met een analoge toepassing van artikel 126ng Sv, past daarom in de lijn van de hiervoor aangehaalde rechtspraak over het inloggen op een account en levert geen omzeiling van artikel 126nba Sv op.
Soevereiniteit
De gevorderde onderzoekshandeling levert naar het oordeel van de rechter-commissaris geen schending van de soevereiniteit op. Allereerst is onbekend waar de gegevens precies zijn opgeslagen. Google stelt bijvoorbeeld alle gegevens over tal van computers in verschillende locaties te verdelen [4] , en heeft locaties in verschillende delen van de wereld, waaronder in Nederland [5] . Daarnaast – en nog belangrijker – heeft de persoon die gerechtigd is tot de gegevens, zijnde [nabestaande 2] als nabestaande, toestemming gegeven voor het gevraagde onderzoek. Ingevolge artikel 32 aanhef en onder b van het Cybercrimeverdrag is in een dergelijke situatie grensoverschrijdende toegang tot deze gegevens toegestaan.
Beperking gebruik gegevens
Uit de vordering blijkt dat voor het onderzoek de gegevens uit de laatste periode dat het slachtoffer nog leefde van belang zijn. In lijn daarmee heeft de officier van justitie de vordering beperkt tot gegevens over de periode van [elf dagen] . Naar het oordeel van de rechter-commissaris is dat alleszins proportioneel. Ook gaat het de officier van justitie alleen om de gegevens die relevant zijn met betrekking tot het onderzoek naar de al dan niet aanwezigheid van voorbedachte raad bij het plegen van het feit door de verdachte en/of het onderzoek naar eventuele betrokkenheid van een derde bij het feit; alleen deze gegevens zullen worden ‘veiliggesteld’. De rechter-commissaris begrijpt dat voor de relevantietoets wel kennis zal moeten worden genomen van alle gegevens uit de genoemde periode, maar dat vervolgens niet-relevante (en mogelijk gevoelige) gegevens buiten het onderzoek(sdossier) zullen worden gehouden.
Toewijzen vordering
De rechter-commissaris zal de vordering integraal toewijzen. Gelet op al het voorgaande is (ook) aan de eisen van proportionaliteit en subsidiariteit voldaan.
Toepassing artikel 181 lid 3 Sv
De rechter-commissaris zal, op grond van artikel 181 lid 3 Sv, bepalen dat de vordering en deze beschikking thans niet aan de verdediging worden verstrekt. Het is, zoals in de vordering beschreven, aannemelijk dat de verdachte nog niet op de hoogte is van het deel van het opsporingsonderzoek waarop deze bevoegdheidsuitoefening betrekking heeft, en dat hij dit onderzoek op afstand zou kunnen beïnvloeden.
Beslissing
De rechter-commissaris wijst de vordering toe en zal de hierna omschreven onderzoekshandeling verrichten.
De rechter-commissaris beveelt – door tussenkomst van de officier van justitie – aan een medewerker van het team Digitale Opsporing verbonden aan het [politieteam] en/of van Interceptie & Sensing:
- om zich – uitsluitend op de in de vordering beschreven wijze – toegang te verschaffen tot:
o het WhatsApp-account van het slachtoffer [naam slachtoffer] (eerder geïnstalleerd op de oude [telefoon] van het slachtoffer, vermoedelijk gekoppeld (geweest) aan nummer [telefoonnummer 1] en/of [telefoonnummer 2] ), en
o het Google-account van het slachtoffer ( [Google-account] );
- en vervolgens de zich aldaar bevindende WhatsApp-communicatie en Google Takeout veilig te stellen, voor zover die gegevens relevant zijn met betrekking tot het onderzoek naar de al dan niet aanwezigheid van voorbedachte raad bij het plegen van het feit door de verdachte en/of het onderzoek naar eventuele betrokkenheid van een derde bij het feit, en voor de periode van [elf dagen] , dus veiligstellen in die zin dat alleen de relevante gegevens uit deze periode in het onderzoek worden gebruikt;
- en van het (eventuele) zich verschaffen van de toegang en vastleggen van de gegevens verslag te doen in een proces-verbaal en een afschrift hiervan te verstrekken aan de rechter-commissaris.
De rechter-commissaris bepaalt dat de vordering en deze beschikking thans niet aan de verdediging worden verstrekt, en draagt de officier van justitie op aan de rechter-commissaris te melden zodra het opgedragen onderzoek is voltooid, waarna de rechter-commissaris de vordering en deze beschikking alsnog aan de verdediging zal verstrekken.
Deze beschikking is gegeven te Den Haag op 15 maart 2022 door mr. M.L. Ruiter, rechter-commissaris belast met de behandeling van strafzaken.