Terwijl politiechefs in België en Nederland op dinsdag 9 maart 2021 op een persconferentie vertellen over de schat aan informatie die ze hebben binnengehaald met het hacken van berichtendienst Sky ECC, arriveren Nederlandse specialisten op een bedrijventerrein in het Franse Roubaix.
Ze parkeren hun auto’s na de slagboom. Daarna gaan ze een tl-verlichte loods binnen met lange rijen volgepakte stellingkasten. Groene lampjes knipperen, de koeling loeit. Technici van het Nederlandse Team High Tech Crime (THTC) zijn hier in datacenter RBX2 voor het sluitstuk van een jarenlange operatie: ze zullen de computers van de versleutelde berichtendienst Sky ECC mee naar Nederland nemen. Drie verzegelde servers en drie harde schijven gaan in een politiebus naar het technisch lab in Driebergen. Franse digitaal specialisten, ook aanwezig, blijven met lege handen achter.
‘Eén grote tap op de onderwereld’, jubelt Andy Kaag, hoofd van de Dienst Landelijke Recherche op datzelfde moment in Amsterdam. ‘Wat we hebben laten zien, is dat criminelen onterecht denken dat ze onbespied kunnen communiceren.’ Er volgen honderden aanhoudingen en rechtszaken, vaak drugsgerelateerd, met de Sky-berichten als belangrijkste bewijs.
Maar Nederland werpt ook een rookgordijn op. Hoe de politie toegang kreeg tot de honderden miljoenen berichten mag niet bekend worden, terwijl het de kern van de rechtsstaat raakt: als rechters de opsporingsmethode niet kunnen toetsen, krijgen verdachten geen eerlijk proces.
Over de auteur
Huib Modderkolk is onderzoeksjournalist bij de Volkskrant, met bijzondere aandacht voor cybersecurity en inlichtingendiensten. Hij won meerdere journalistieke prijzen en is onder meer auteur van het boek Het is oorlog, maar niemand die het ziet. Eerder werkte hij bij NRC.
Het OM wijst naar Frankrijk: dat is het land dat het onderzoek leidde en ervoor zorgde dat de honderden miljoenen berichten in handen van justitie kwamen. Hoe dat gebeurde, is een Frans staatsgeheim. Nederland beroept zich op het vertrouwensbeginsel: als het samenwerkt met Europese landen, moeten rechters ervan uit kunnen gaan dat het bewijs daar rechtmatig is verzameld.
Maar waarom gingen de servers en harde schijven direct naar Nederland? Welk aandeel hadden Nederlandse specialisten in de internationale operatie? En hoe legaal was de hack? De Volkskrant kreeg inzage in tienduizenden pagina’s uit Belgische, Franse en Nederlandse strafdossiers, waaruit blijkt dat België en Nederland de grenzen van de wet opzochten om Sky te hacken. Frankrijk werd daarbij handig gebruikt.
Als Belgische rechercheurs in de avond van 15 november 2016 een melding krijgen van een gewelddadige ontvoering dicht bij het Antwerpse Sportpaleis, trekken ze alle registers open. Zeker als de politie de gebruikte BlackBerry-telefoons in het vizier krijgt. Via berichten op die toestellen eisen de gijzelnemers tientallen miljoenen euro’s aan losgeld voor de jongste broer van een Antwerpse drugsbaas. De IMEI-nummers van de BlackBerry’s, de 15-cijferige identificatiecode van een telefoon, trekken de rechercheurs onmiddellijk na. Eén daarvan duikt op bij verschillende zendmasten in Antwerpen en zelfs in Den Haag.
Dan volgt een onverwachte verrassing. Het andere IMEI-nummer geeft geen enkele hit. ‘Resultaat voor IMEI: negatief’, sturen telefoonmaatschappijen Proximus, Orange en Base terug. En ook de fabrikant van de telefoon kan de rechercheurs niet verder helpen. ‘De betreffende gebruiker is niet verbonden met een telecomnetwerk binnen uw landsgrenzen. BlackBerry kan daarom de contactlijsten en logs niet overhandigen.’
Dit probleem doet zich na die avond in 2016 vaker voor. In meerdere zaken duiken vergelijkbare BlackBerry-telefoons op. Een schietpartij in Schoten. Een uitgebrande auto in Houthalen. Uithalingen in de haven van Antwerpen. De oproepnummers beginnen niet, zoals gebruikelijk in België, met +32 maar met +8823. ‘Een constante vaststelling is dat deze BlackBerry’s zijn uitgerust met encryptiesoftware van de firma Sky ECC’, schrijft een rechercheur van de Gerechtelijke Politie.
Als ze zo’n toestel grondig analyseren, neemt de frustratie toe: ‘De door Sky aangeboden diensten maken opsporing door politie zo goed als onmogelijk.’ Opsporingsteams zetten tevergeefs technische middelen in om de identiteit van telefoongebruikers te achterhalen. Een stille sms bijvoorbeeld, waarna een telefoon de gps-locatie prijsgeeft. Of een nep-zendmast, IMSI-catcher, die al het telefoonverkeer in een bepaalde straal aantrekt.
Bij Sky-telefoons werkt het niet. De BlackBerry-toestellen – en later ook Nokia’s, Google Pixels en iPhones – zijn speciaal geprepareerd. Camera, microfoon en gps zijn onklaar gemaakt. Een app van Sky zet een verbinding op naar een centrale server. ‘Vermomd achter een gewone app bieden deze encryptietelefoons verregaande beveiliging’, schrijft de Belgische politie. Er zijn meerdere toegangscodes nodig. De telefoon kan op afstand worden gewist. Gebruikers kunnen pseudoniemen instellen. De app kan worden verborgen.
Zelfs als de Belgische politie de telefoons fysiek te pakken krijgt, staat ze machteloos. Het komt meermaals voor dat verdachten een wachtwoord geven dat het ‘distress password’ blijkt te zijn: als de politie de code invoert, worden alle data van de telefoon gewist. Ander probleem: de toestellen zijn niet te koop bij officiële verkooppunten. Wat de Belgen ook proberen, met de huidige opsporingsmethoden komen ze niet ver genoeg, vinden ze.
Nederland heeft dan al ruime ervaring met het kraken van cryptotelefoons, voorlopers van Sky. Eerst Ennetcom, daarna PGPSafe, IronChat en later ook EncroChat: telkens weten politiespecialisten computerservers op te sporen en miljoenen berichten te ontsleutelen. ‘Een klap voor de onderwereld’, zeggen opsporingsdiensten niet zonder trots. Maar justitie weet ook dat ze daarbij de randen van de wet opzoekt – en er soms overheen gaat.
In de middag van 9 mei 2017 dringen politiemensen woningen en kantoorpanden verspreid over Nederland binnen. In Huizen wordt een 51-jarige man aangehouden. De politie vindt 99.680 euro aan contant geld in zijn woning. In Almere staat op hetzelfde moment een arrestatieteam bij een kantoorgebouw. Een helikopter hangt erboven. Omliggende wegen zijn afgezet. Binnen treffen de bewapende agenten een voorraad van honderd BlackBerry’s aan, die ze een dag later vernietigen. ‘De politie en het OM treden hard op tegen mensen die criminele organisaties (digitaal) ondersteunen’, staat in het begeleidende persbericht.
Het OM bereidt een flinke zaak voor. De hoofdverdachte verkocht speciale BlackBerry-toestellen à 1.200 euro. De man liet de versleutelde e-mailcommunicatie via servers in Costa Rica lopen. Ook kon hij op verzoek communicatie wissen – een Emergency Wipe.
Nederlandse politieagenten maken in Costa Rica kopieën van de computerservers, inclusief het sleutelmateriaal, tot de lokale rechter het genoeg vindt. 700 duizend berichten gaan op harde schijven in een verzegelde reiskoffer. De politie weet daarvan 400 duizend mails te ontsleutelen en gebruikt die in talloze rechtszaken.
Tegen de verdachte man uit Huizen wordt vijf jaar cel geëist. Net zoals het Belgische OM vindt justitie in Nederland dat de man door het aanbieden van cryptotelefoons in feite deelnemer is van een criminele organisatie. Maar de rechtbank in Rotterdam gaat daar niet in mee. ‘De handel in PGP-encrypted telefoons is in beginsel legaal. Dat geldt ook voor de dienst van het op verzoek op afstand wissen van de inhoud van telefoons’, corrigeert de rechter het OM. Privacy is een grondrecht. En elk mens mag er alles aan doen om communicatie vertrouwelijk te houden. ‘Het gebruik van encryptie en middelen om anonimiteit te waarborgen, moet worden aangemoedigd’, stelde een speciaal rapporteur van de Verenigde Naties in 2015. Dat de man uit Huizen een flink bedrag vroeg voor zijn exclusieve dienst, doet daar niets aan af.
De rechter geeft hem 65 dagen cel: hij handelde in strijd met de Telecommunicatiewet door niet-gekeurde toestellen te verkopen. Daarnaast werden vier telefoons gewist nadat de politie de eigenaar aanhield, waarmee hij het politieonderzoek frustreerde. Hij komt door aftrek van het voorarrest onmiddellijk vrij en krijgt een deel van het in beslag genomen geld terug.
Het is niet de eerste keer, en niet de laatste, dat de rechter het OM zal terugfluiten. Maar ironisch genoeg is het wel deze zaak, bekend geworden als PGPSafe, die cruciaal is om jaren later tot Sky door te dringen.
In de uit Costa Rica naar Nederland gevlogen data blijken duizenden berichten te staan van Sky ECC. Net zoals de Belgische politie ziet ook de Amsterdamse politie dat criminelen vanaf 2015 steeds vaker kiezen voor speciale BlackBerry-toestellen: de man die de broer van kroongetuige Nabil B. doodschoot, de daders van de vergismoord in het World Fashion Center in Amsterdam-West, de personen die een liquidatie in Amsterdam-Zuid voorbereidden. De politie komt in die onderzoeken telkens weer Sky-telefoons tegen. Een betrokken officier van justitie: ‘We kregen de daders te pakken, maar wilden meer weten over de opdrachtgevers.’
Nederland doet een bevraging bij BlackBerry. En als een IP-adres van de BlackBerry-servers verwijst naar een datacentrum in Roubaix, gaat een specialist van het Team High Tech Crime in juli 2018 op inspectie. Verbalisant R824 noteert ‘een sterke aanwijzing dat een deel of de gehele digitale infrastructuur’ van Sky hier aanwezig is.
Een half jaar later vraagt het OM aan de rechter-commissaris toestemming om alle servers van Sky in Roubaix te kopiëren, vanwege ‘criminele samenwerkingsverbanden die gebruikmaken van Sky’. Ook België vraagt om zware onderzoeksmiddelen: de inzet van infiltranten én een ‘retroactief’ onderzoek onder alle Belgische telecompartijen.
Beide landen legitimeren hun zoektocht op dezelfde manier: Sky-toestellen komen voor in criminele onderzoeken, dus Sky is een criminele organisatie. Een redenering waar je vraagtekens bij kunt zetten. Want geldt dezelfde motivering dan ook voor berichtendiensten Signal en Telegram? Of voor autoverhuurbedrijven waar verdachten een auto reserveren?
Het Belgische federale parket komt in 2018 met vier argumenten voor een strafrechtelijk onderzoek naar het Canadese bedrijf Sky: de hoge prijs voor een toestel (‘Een BlackBerry met Sky-encryptie kost 1.400 euro’), de Sky-website die vermeldt dat opsporingsdiensten niet bij de data kunnen, het aanpassen van de website nadat een concurrerende dienst door de Australische politie is opgerold en ten slotte dat Sky-toestellen opduiken in criminele onderzoeken, zoals de ontvoering in Antwerpen.
Maar ook die argumentatie lijkt niet waterdicht. Want niet iedereen die een Sky-telefoon heeft, is automatisch crimineel. Sky adverteert tevens voor activisten, journalisten en advocaten. ‘Ik maak thans gebruik van PGP-toestellen, waarvan ik de adressen hieronder zal vermelden’, schrijft de Rotterdamse strafrechtadvocaat Haroon Raza in het voorjaar van 2018 aan het OM. De gesprekken met zijn cliënten dienen vertrouwelijk te zijn – hij gebruikt daarvoor onder meer een Sky-telefoon. Daarom geeft hij zijn accountgegevens aan justitie, zodat die bij een eventuele bulkinterceptie de inhoud van zijn berichten zullen vernietigen.
In Groot-Brittannië vinden rechercheurs na het uitlezen van PGP-telefoons ook gesprekken van onverdachte personen. ‘Er staan in totaal 306 foto’s op dit apparaat, die kunnen worden samengevat als: onbekende kinderen op diverse plekken, koken, vrouwen, interieurs, auto – geen criminele intentie vastgesteld’, noteert een Britse politieagent na het kraken van EncroChat in 2020.
De Amsterdamse rechter-commissaris vindt de gevraagde bulkinterceptie in 2018 dan ook te ver gaan. ‘Dat de telefoons en diensten van Sky niet goedkoop zijn, betekent niet zonder meer dat vrijwel alle gebruikers in criminele kringen gezocht moeten worden.’ De politie mag technisch onderzoek doen en eventueel in een later stadium de berichten van ‘een specifieke groep gebruikers’ onderscheppen. Een sleepnet uitwerpen en alle communicatie binnenhalen, is niet toegestaan. Toch laten de Nederlandse opsporingsdiensten het hier niet bij zitten.
De Belgische politie krijgt ondertussen wél toestemming: voor de inzet van infiltranten én een retroactief onderzoek. De Belgische justitie gaat ervan uit dat de Sky-toestellen vanuit Canada worden opgestuurd naar resellers in België. Middels een undercoveractie wil ze deze methode in kaart brengen. De politie heeft twee verkopers op het oog: een man uit Mechelen en een persoon in Antwerpen. ‘Sky weet heus wel dat de klanten geen bakkers zijn’, zegt de verkoper uit Mechelen bij een eerste ontmoeting in een café tegen een undercoveragent. De politieman bestelt drie toestellen bij hem en betaalt contant. ‘Een factuur of aankoopbewijs werd niet overhandigd.’
Tijdens in totaal vier ontmoetingen met resellers, waarvan twee in een McDonald’s, krijgt de politie een completer beeld. De verkoper vertelt dat als hij een vermoeden heeft van crimineel handelen, hij ‘eigenlijk niet’ aan zo’n klant mag verkopen van Sky. Het bedrijf verstuurt volgens de man berichten aan gebruikers die hen erop wijst ‘dat ze met de politie meewerken’ als er een verzoek om informatie komt. Deze ontlastende verklaringen spelen geen verdere rol in het dossier tegen Sky.
Het valt de Belgische rechercheurs op dat Sky-telefoons een specifieke dataverbinding opzetten, een zogeheten APN-instelling. Ze gaan daarom over tot een enorm onderzoek: het parket vordert alle Belgische telecompartijen te kijken welke toestellen over een periode van negen maanden eenzelfde soort verbinding opzetten. Het resultaat geeft de Belgische politie voor het eerst zicht op het aantal Sky-gebruikers: 14.377. De meesten daarvan blijken actief in de haven van Antwerpen en bij de grens met Nederland. Plekken waar ook veel drugscriminelen opereren.
Maar zolang de Belgische politie niet bij de inhoud van de berichten kan, blijft het bij vermoedens wie deze personen zijn en wat ze doen.
België en Nederland komen dus niet dichterbij, maar weten inmiddels wél dat ze bij de servers in Roubaix moeten zijn. Medewerking van Frankrijk is daarom essentieel. Alleen: Frankrijk lijkt weinig profijt te hebben van zo’n samenwerking. Het gebruik van Sky-toestellen komt in Frankrijk nauwelijks voor. De Fransen tellen na een inventarisatie slechts 303 gebruikers.
Eerder bleek de voorloper van Sky, EncroChat, ook al niet zo populair in Frankrijk: slechts 380 Franse gebruikers – minder dan Taiwan en Denemarken – tegen bijna zevenduizend in Nederland. In lopende Franse strafzaken wordt Sky niet genoemd en de enkele keer dat de politie in Lille een BlackBerry Q10 met Sky-app tegenkomt, blijken Franse specialisten, anders dan hun Belgische collega’s, in staat om de versleutelde berichten eruit te halen. ‘De geheime sleutel om de data (…) te ontcijferen (berichten, notities en contacten) is voor een deel gewist. Niettemin is het mogelijk om door middel van hacking het ontbrekende deel terug te vinden en de data te ontcijferen.’ Maar Nederland en België willen toegang tot álle berichten, niet enkel die van individuele telefoons. Dat is kostbaar en tijdrovend.
In mei 2019 volgt een cruciale ontmoeting op het hoofdkantoor van Europol in Den Haag. Hier weet Nederland de Fransen ervan te overtuigen een onderzoek te starten.
Nederlandse rechercheurs overhandigen de duizenden uitgewerkte Franstalige berichten uit de dataset van PGPSafe, in beslag genomen in Costa Rica. Het zet Frankrijk aan tot handelen. Na een eerste analyse ‘kon het gebruik van de SkyECC-oplossing voor criminele doeleinden heel duidelijk worden aangetoond’, schrijft een Franse officier van justitie.
Ook de Belgische undercoveractie geldt als legitimering voor het Franse onderzoek. De Franse justitie citeert de afspraak met een verkoper van Sky in een ‘achterkamer van een louche café’. Die locatie is voor de Fransen typerend voor de schimmige intenties van Sky. Dat de reseller ook tweemaal naar een McDonald’s kwam, vermeldt het Franse document niet.
De laatste hobbel wordt weggenomen door Nederland. De Verenigde Staten blijken Sky óók op de korrel te hebben. Een mogelijk risico, want de onderzoeken mogen elkaar niet beïnvloeden. Nederland heeft dit afgedekt: ‘Een stilzwijgend akkoord tussen de VS en Nederland liet evenwel toe het Europese onderzoek voort te zetten.’
Het Franse OM vraagt twee weken later een tap van de servers in Roubaix aan. Dat Sky criminele intenties heeft, volgt uit verschillende onderzoeken van ‘Nederlandse overheden’, stellen de Fransen. Het is illustratief voor de gang van zaken: hoewel België net zo geïnteresseerd is in Sky, trekt Nederland het initiatief naar zich toe. Door de PGPSafe-berichten te delen, de geheime afspraak met de Verenigde Staten én het bewijs dat de internationale misdaad communiceert met Sky-telefoons. Maar de beslissende stap moet dan nog komen.
Vanaf de zomer van 2019 gaan er wekelijks 3 terabytes aan data naar Nederlandse specialisten: 500 duizend berichten per dag, van zo’n 81 duizend gebruikers. Al snel ontdekken leden van het Team High Tech Crime (THTC) ‘talrijke interessante elementen’ in de enorme stroom informatie. Data over het oprichten van groepsgesprekken, e-mails voor nieuwe accounts en stukjes code voor het uitwisselen van sleutels. Persoonlijke uitnodigingsteksten om een connectie te maken. ‘Hey bro, new buzzer.’ Bijnamen in groepschats (‘Patatje Joppie’), net zoals onderwerpen. Een Nederlandse rechercheur: ‘We hebben veel ervaring met grote datasets’. Dat de Nederlandse politie onder meer ‘General in arms’ en ‘El Chapo is back’ vindt, is voor de Franse rechter voldoende aanwijzing van de criminele intenties van de Sky-gebruikers. De tap wordt telkens verlengd.
De Nederlandse politie staat dus aan de basis van het Franse onderzoek én levert vervolgens, vanwege de technische kennis, cruciale informatie om de tap uit te bouwen. Een betrokken rechercheur bagatelliseert daarentegen de Nederlandse rol: ‘Het was écht een gezamenlijke inspanning.’
Maar in de dossierstukken wijzen het Belgische en Franse OM telkens op de beslissende invloed van Nederland. Na een paar maanden kunnen Nederlandse rechercheurs ‘groepsberichten decoderen terwijl de interceptie wordt voortgezet.’ Het aantal onderschepte berichten blijft oplopen: van 114 miljoen in zeven maanden naar 330 miljoen in tien maanden. ‘Immense’ aantallen, volgens de Belgische politie. Vanaf het voorjaar van 2020 geven Nederlandse experts elke week een update aan hun buitenlandse collega’s.
Ze laten tabellen zien met metadata: hoeveel berichten gebruikers uitwisselen, op welke momenten ze dat doen, welk merk telefoon ze hebben, net zoals het besturingssysteem. Ze komen dichter bij de gebruikers van de telefoons: 117 duizend personen hebben inmiddels een Sky-abonnement.
In de zomer van 2020 gaan Nederlandse technici naar datacenter RBX2 in Roubaix om een ‘functionele kopie’ te maken van één van de Sky-servers. Ze kopiëren daarmee de exacte werking van de server en houden deze draaiende. De Fransen blijken er zelf niet toe in staat. Als de Nederlanders het gedrag van de server en het geheugen analyseren, ontdekken ze wachtwoorden en ‘cryptografische elementen’. Maar over de belangrijkste ontdekking vertellen ze tijdens een technische workshop met de betrokken politiecollega’s in Antwerpen: er zijn niet eerder opgemerkte pushberichten van Sky ontdekt. En mogelijk bevatten die informatie over de ‘privésleutels’ (zie kader).
De Sky-telefoons werken met vier sleutels voor het versleutelen van berichten. Twee daarvan staan op een server van Sky, de andere op de telefoon van de gebruiker. Sky kan daar nooit bij. Zonder de ‘privésleutel’ is het ontcijferen van individuele berichten tussen gebruikers onmogelijk.
Nederlandse rechercheurs ontdekten een zwakheid in dit systeem: de eerste deelnemer van een groepschat stuurt de privésleutel naar de andere deelnemers. Met een Push Notification Service (PNS) kan een server berichten sturen naar gebruikers, bijvoorbeeld als er nieuwe berichten of contactverzoeken zijn. Afhankelijk van het platform kun je ook geluid en plaatjes in die berichten zetten. Dat klinkt eenvoudig, de achterliggende software is dat niet. Er kan een fout zitten in de manier waarop het platform of de app het pushbericht en de inhoud ervan verwerkt.
Vanaf dat moment bouwen specialisten van het THTC in een afgeschermde lab-omgeving in Driebergen aan een hacktool. En dan begint ook het opwerpen van het rookgordijn. De technici maken een systeem waarbij ze de pushberichten van Sky misbruiken. Als een Sky-telefoon inlogt bij de servers van Sky, stuurt deze techniek onzichtbaar een vals aanmeldingsbericht, haalt informatie over de privésleutel uit de telefoon en slaat dat op. Vervolgens kan de politie ontvangen berichten ontsleutelen.
Hoewel Nederland deze hackmethode ontwikkelt, lijkt het in officiële stukken alsof Frankrijk in de lead is. ‘Naar verwachting zal het voor de Franse autoriteiten(…) mogelijk zijn sleutels af te vangen, (…) De Franse autoriteiten zijn bereid die (…) te delen met het Nederlandse opsporingsteam’, stelt een Amsterdamse rechter-commissaris na informatie van het OM.
Eind 2020 zetten Nederlandse rechercheurs de gebouwde hacktool tussen de drie servers van Sky in de loods in Roubaix. Na een paar weken volgt de ‘live’-fase: de politie leest live mee met de chatgesprekken. Het is het eindspel van de jarenlange operatie tegen Sky, die in het najaar van 2016 in België en Nederland begon. Ruim een miljard berichten is onderschept.
Op 9 maart 2021 doorzoeken 1.600 Belgische politieagenten honderden huizen in België en arresteren 48 personen. De Nederlandse politie houdt dertig personen aan.
Maar in de strafzaken die volgen, wil het OM niets weten van een bepalende Nederlandse bijdrage. Het zegt dat er sprake is van een ‘Franse interceptietool’. ‘Het middel is door de Franse autoriteiten ingezet’, benadrukt rechercheur R824 in 2022 nog eens, wat weliswaar door een leidinggevende bij het Franse digitale team wordt weersproken. Hij heeft het over een ‘door de Nederlanders geplaatst’ systeem. Op vragen over de hacktool wil het OM niet reageren. ‘Dat raakt aan onze werkwijze, dat valt onder het zwaarwegend opsporingsbelang en wordt niet prijsgegeven’, stelt de officier van justitie.
Dat het OM niet open was over het eigen aandeel, is voor een enkele rechter bezwaarlijk. ‘De rol van Nederland bij de hack blijkt achteraf bezien veel groter geweest dan (…) door het OM werd gesteld. In die zin heeft het OM de rechtbank en de verdediging (…) onjuist geïnformeerd’, oordeelt de rechtbank in Gelderland in april 2023. Maar de Hoge Raad beslist in juni dat rechters niet opnieuw de rechtmatigheid van het onderzoek in Frankrijk hoeven te beoordelen.
Het OM zegt het ‘jammer’ te vinden dat er ‘verwarring’ is ontstaan over de Franse ‘interceptietool’. ‘We doelden niet op de hacktechniek, maar op de interceptie’, luidt de uitleg. ‘We hadden duidelijker het onderscheid aan kunnen geven’, zegt een betrokken officier. ‘Dat is een les voor de volgende keer.’
Buiten de juridische vraag blijven er ethische vragen. Als de politie de grenzen oprekt en opereert in een grijs gebied, wie heeft daar zicht op? Wat zijn de waarborgen rond dit soort bulkhacks? Het OM benadrukt de ernst van de georganiseerde misdaad. ‘Moord, marteling, afgrijselijke filmpjes, het stond letterlijk op Sky-telefoons.’ Zonder toegang tot die telefoons staat justitie machteloos. ‘Al is het niet verboden bij wet, we willen niet dat platforms strafbare feiten faciliteren.’
Tot tevredenheid van het OM is de rechtspraak aan het opschuiven. ‘Het wordt inmiddels als algemeen feit geaccepteerd dat bij dit soort platforms sprake is van criminele samenwerkingsverbanden’, zegt de betrokken officier van justitie.
Maar experts houden vragen. ‘Het is vreemd dat iets in Nederland wordt bedacht en dat de uitvoering vervolgens wordt uitbesteed. Dat maakt het moeilijk om de opsporingsmethode te toetsen’, zegt Herbert Bos, hoogleraar beveiliging van computersystemen aan de Vrije Universiteit. Matthijs Koot, beveiligingsonderzoeker bij Secura: ‘De politie begeeft zich met deze bulkhack op het terrein van de inlichtingendiensten. Toezicht op de ontwikkeling en inzet van hackmiddelen blijft belangrijk. Zeker als de kans groot is dat het in de toekomst vaker voorkomt.’
De Inspectie Justitie en Veiligheid, die de hackbevoegdheid toetst en dit jaar constateerde dat de politie niet aan de wet voldoet, zal de hack van Sky niet onderzoeken. Dat valt buiten de reikwijdte. Diezelfde Inspectie merkt op dat de politie geen processen heeft om te voorkomen dat vertrouwelijke gesprekken van advocaten, dokters en notarissen worden ingezien.
Dat merkt ook strafrechtadvocaat Haroon Raza als hij in 2022 verbaasd naar Excelrijen met uitgeschreven Sky-berichten tussen hem en zijn cliënten kijkt. Raza had zijn iPhone met Sky-app anderhalf jaar eerder weggegooid. Hoe is het dan mogelijk dat justitie over deze gesprekken beschikt? Het OM had bij het aanvragen van een eerste machtiging om Sky te tappen gezegd dat ze geen ‘historisch verkeer’ van Sky zouden kunnen ontsleutelen. En áls vertrouwelijke gesprekken van advocaten zouden opduiken, moesten die direct worden vernietigd. Die waarborgen werden bij Raza geschonden. Hij doet aangifte tegen justitie.
Inmiddels zijn honderden zaken gevoerd en vele personen veroordeeld op basis van de ontsleutelde Sky-berichten. Afgelopen week nog werd een handlanger van topcrimineel Bolle Jos aangehouden in Eindhoven dankzij ontsleutelde Sky-berichten.
En de eigenaren van de ‘criminele’ berichtendienst zelf? Amerikaanse aanklagers vroegen Canada in 2021 om uitlevering van de twee directeuren. Ze konden lange gevangenisstraffen krijgen. Tot op heden zijn de twee echter niet opgepakt of uitgeleverd. De status van het strafrechtelijk onderzoek tegen Sky, waar het in 2016 in België en Nederland allemaal mee begon, is daarmee ongewis.
‘Het Federaal Parket verwijst naar de vorige officiële persberichten en wenst daar niets aan toe te voegen. Actueel zijn in België ongeveer 560 strafdossiers gevoed met SKY-data.’
Om u deze content te kunnen laten zien, hebben wij uw toestemming nodig om cookies te plaatsen. Open uw cookie-instellingen om te kiezen welke cookies u wilt accepteren. Voor een optimale gebruikservaring van onze site selecteert u "Accepteer alles". U kunt ook alleen de sociale content aanzetten: vink hiervoor "Cookies accepteren van sociale media" aan.
U bent niet ingelogd
Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2023 DPG Media B.V. - alle rechten voorbehouden