De Nederlandse rol bij de hack van berichtendienst Sky ECC staat opnieuw ter discussie. Een nieuw document roept serieuze vragen op over de rol van het Openbaar Ministerie. Dit stuk kan volgens advocaten en juristen consequenties hebben voor rechtszaken.
is onderzoeksjournalist bij de Volkskrant met als specialisatie cybersecurity en inlichtingendiensten.
De hack van Sky ECC is een van de grootste ooit. Justitie kreeg zo’n 500 miljoen ontsleutelde berichten in handen via een datacenter in Roubaix. Het Nederlandse OM zei bij de openbaarmaking dat de verantwoordelijkheid bij Frankrijk lag: het ging volgens het OM om een Franse hack, gericht op Franse gebruikers, uitgevoerd met een Franse techniek. Maar het nieuwe document – in handen van de Volkskrant en NRC – werpt daar een ander licht op. Opvallend is dat het OM zelf beweert het Franse stuk niet te kennen.
Dat Nederland de verantwoordelijkheid voor de hack bij Frankrijk legde, had gevolgen voor de rechtszaken die volgden. Binnen de Europese Unie is sprake van het ‘interstatelijk vertrouwensbeginsel’. Dat betekent dat als een opsporingsonderzoek plaatsvindt in een ander EU-land, Nederlandse rechters erop moeten vertrouwen dat dit volgens de regels wordt gedaan. Het OM hoeft zich daarom in Nederland niet te verantwoorden over de proportionaliteit en rechtmatigheid van de hackoperatie. Dit terwijl juist Nederland veel Sky-gebruikers kende en na het analyseren van miljoenen berichten vele strafzaken volgden. Veelal vormden de uitgewisselde berichten via Sky-telefoons het belangrijkste bewijs.
In die zaken werd duidelijk dat de Nederlandse rol anders lag dan het OM had gezegd. Zo bleek de cruciale hacktool door Nederland ontwikkeld en geplaatst, niet door Frankrijk. De servers in Roubaix werden door de Nederlandse politie gekopieerd en in beslag genomen en de Sky-data werden door Nederland verwerkt. Ook had Nederland de infrastructuur van Sky in Roubaix in kaart gebracht. ‘De rol van Nederland bij de hack blijkt achteraf bezien veel groter geweest dan (…) door het OM werd gesteld. In die zin heeft het OM de rechtbank en de verdediging (…) onjuist geïnformeerd’, stelde de rechtbank Gelderland in 2022.
De Hoge Raad oordeelde in 2023 desondanks dat het vertrouwensbeginsel in stand kon blijven. Dat wordt aan de kant gezet, schreef de hoogste rechter, als de toepassing van de opsporingsbevoegdheid plaatsvindt op ‘initiatief van de Nederlandse autoriteiten’. En precies daarover gaat het nieuwe document.
Het betreft een Frans proces-verbaal uit 2019, ‘D2’ genaamd. Frankrijk begon toen met de interceptie van het netwerkverkeer tussen de belangrijkste servers van Sky ECC. Dat mondde later uit in de hackoperatie. Volgens het OM was dit een Franse beslissing, volgend uit een Frans onderzoek naar het bedrijf Sky. Maar de Franse politie nuanceert dat. ‘De Nederlandse autoriteiten’, staat in het proces-verbaal, ‘vroegen om de hulp van Frankrijk bij het implementeren van een gerechtelijke interceptie’ van de servers.
Lag het initiatief voor de hackoperatie daardoor bij Nederland? En als dat zo is, wat betekent dat voor de vele rechtszaken die al zijn gevoerd? Het gaat om zaken waardoor honderden personen een vaak langdurige gevangenisstraf kregen en die inmiddels onherroepelijk zijn afgedaan.
Voor advocaten is het duidelijk: ja, dit document vormt het bewijs dat Nederland het initiatief had in de Sky-operatie en dus kan het vertrouwensbeginsel waar het OM zich achter heeft verschuild, niet opgaan.
Justus Reisinger, partner bij Van Boom Reisinger Advocaten: ‘Ik kan dit document niet anders lezen dan een vraag om rechtshulp, al dan niet informeel. Het OM heeft dit altijd ontkend en buiten de Nederlandse rechter om gehandeld. Dat is onherstelbaar.’ Hij zal het Franse proces-verbaal donderdag inbrengen in een strafzaak waarbij Sky-berichten als bewijs dienen.
Hoogleraar internetrecht Bart Schermer van de Universiteit Leiden kan die redenering enigszins volgen. Het document valt te lezen als coördinatie, meent hij. Zo van: die server staat bij jullie, zouden jullie hem willen hacken en als je wat moois vindt, dat aan ons willen geven. Schermer: ‘Dat kun je met wat kwade wil lezen als het omzeilen van de procedures voor rechtshulp. Als je het zo duidt, dan zou dit document ‘de smoking gun’ zijn waar de verdediging al lang naar op zoek is.’
Maar Schermer oordeelt genuanceerder. Hij denkt dat eerder sprake was van een pragmatische vraag. Toch noemt hij het interessant wat er gebeurd zou zijn als Nederland wel een rechtshulpverzoek bij Frankrijk had ingediend. Dan was die getoetst geweest en hadden advocaten in Nederland de mogelijkheid gehad deze te beoordelen. Schermer: ‘Nu loopt de verdediging in alle zaken aan tegen het vertrouwensbeginsel en de geheimhouding van methoden.’
Het OM zegt in een reactie niet te verwachten dat de nieuwe informatie zal leiden tot een ander juridisch oordeel. ‘Het Openbaar Ministerie zal zo nodig in strafzaken nadere uitleg geven.’
De zaak is relevant omdat dit soort datagedreven opsporing steeds vaker voorkomt. De politie heeft in de laatste tien jaar negen maal een grote communicatiedienst gehackt. Daarbij zijn inmiddels meer dan een miljard criminele berichten buitgemaakt.
Deze operaties spelen zich af in een grijs gebied tussen inlichtingen verzamelen en strafrechtelijk onderzoek, constateerde Jan-Jaap Oerlemans, bijzonder hoogleraar inlichtingen en recht bij de Universiteit Utrecht, in 2023. Hij wees op de risico’s van een ‘phishingexpeditie’ waarbij aangetroffen data waardevol zijn maar niet samenhangen met het oorspronkelijke onderzoek. Ook beschreef hij het gevaar van een glijdende schaal omdat het aanbieden van een versleutelde dienst op zichzelf niet illegaal is.
Maar zijn belangrijkste conclusie was dat een rechterlijke machtiging voor het verkrijgen van gegevens niet voldoende is om het recht op privacy te waarborgen. Daarvoor zijn meer beschermingsmaatregelen nodig, zoals aanvullende machtigingen voor de selectie van data. Oerlemans voorspelde daarom ‘een voortgaand debat over transparantie en betrouwbaarheid bij operaties zoals Sky ECC’.
In dat licht is een recente uitspraak van het Europees Hof van Justitie interessant. Dat stelde dat de autoriteiten van het land waar de gebruikers van de gehackte diensten zich bevinden, genotificeerd moeten worden. Dat is in Nederland bij de Sky-hack niet gebeurd. Advocaat Reisinger: ‘Niet bij de start van de interceptie en ook later niet. Het gevolg is dat de Nederlandse rechter nooit heeft kunnen oordelen over de Franse redenen voor de interceptie, waardoor de rechtsbescherming van Nederlandse Sky-gebruikers is omzeild.’
In beide gevallen zullen Nederlandse rechters zich opnieuw over de rechtmatigheid van de Sky-operatie gaan buigen. En waarschijnlijk is het laatste woord, ook nu weer, aan de Hoge Raad of, uiteindelijk, het Europees Hof voor de Rechten van de Mens.
Luister hieronder ook naar de podcast Schaduwoorlog. Al onze podcasts vind je op volkskrant.nl/podcasts.
Wilt u belangrijke informatie delen?
Mail naar tips@volkskrant.nl of kijk op onze tippagina.
Geselecteerd door de redactie
Source: Volkskrant