‘Heldere regels voor datagedreven onderzoeken zijn dringend nodig’

‘In plaats van de zoveelste persmededeling over hoe succesvol de Sky ECC-operatie was, zou beter werk worden gemaakt van wetgeving om datagedreven onderzoeken in de toekomst van de nodige waarborgen te voorzien en onze digitale communicatie te beschermen tegen massale privacyschendingen’, schrijft Sofie Royer.

Op Radio 1 koos Phara de Aguirre ‘proportionaliteit’ als woord van het jaar 2023. Is een, op zich verantwoorde, (re)actie wel in verhouding tot het probleem? De vraag rijst niet alleen voor het gebruik van geweld in oorlogen, maar ook voor massale privacyschendingen om een maatschappelijk probleem zoals georganiseerde criminaliteit, aan te pakken.

In 2019 kraakte de Belgische politie samen met Nederlandse en Franse collega’s en Europol de server van Sky ECC. Dat bedrijf bood cryptofoons aan waarmee gebruikers op versleutelde wijze – dus zonder dat iemand kon meelezen – communiceerden. De cryptofoons waren populair in het drugsmilieu. Dankzij de operatie konden speurders miljarden berichten onderscheppen, ontsleutelen en lezen. Uit de operatie kwam heel veel belastend bewijsmateriaal voort. Vanuit het kabinet van de minister van Justitie klinken regelmatig mededelingen over het welslagen van de operatie, uitgedrukt in cijfers over het aantal arrestaties, veroordelingen en jaren uitgesproken gevangenisstraffen.

Vanuit juridisch oogpunt is die operatie nochtans niet vanzelfsprekend. Strikt genomen is er geen wettelijke omkadering voor zo’n grootschalige onderschepping van communicatie, ook een datagedreven onderzoek genoemd. De hele operatie wordt gestoeld op de oorspronkelijke regels voor de telefoontap die dateren uit de jaren 2000. Sindsdien werden die regels wel geüpdatet om ook op afstand computers te kunnen hacken, maar de waarborgen kregen geen navenante upgrade.

Een datagedreven onderzoek is echter fundamenteel verschillend van een telefoontap of zelfs een heimelijke IT-zoeking. Om iemand te kunnen afluisteren zijn precieze aanwijzingen vereist dat die persoon een specifiek misdrijf heeft gepleegd. Een datagedreven onderzoek start daarentegen vaak als een onderzoek tegen onbekenden. Het is niet de bedoeling om het geviseerde bedrijf te vervolgen, maar wel de individuele gebruikers van de communicatiedienst.

Als het oprecht om de vervolging van Sky Global ging, was het niet nodig om alle Sky ECC-berichten op criminele inhoud te checken. Enkele steekproeven hadden volstaan om de strafbare activiteiten van het bedrijf te bewijzen. Ook de hoeveelheid aan communicatie is in een datagedreven onderzoek van een veel grotere orde. De regels over de toenmalige telefoontap zijn met andere woorden niet voorzien op de situatie waarin miljarden berichten worden onderschept. Er zijn onvoldoende waarborgen tegen misbruik en de wet behoudt compleet het stilzwijgen over de verdere analyse en het latere gebruik van de gegevens.

Is dat nu een probleem? Voor de lopende strafzaken waarin Sky ECC-bewijs meetelt, wellicht niet. Zelfs als een rechter beslist dat speurders de procedure niet hebben nageleefd, blijft het bewijs bijna altijd overeind. Het Europees Mensenrechtenhof houdt zich vrij afzijdig als het op de verzameling van bewijsmateriaal aankomt. Zelfs in een zaak waarin een huiszoeking op een verkeerd adres plaatsvond, kon het bewijs uiteindelijk bijdragen tot een veroordeling. De rechten van de verdediging moeten al over de hele lijn zijn geschonden om bewijs van tafel te kunnen vegen of de verdachte vrij te spreken. Die drempel ligt hoog: een privacyschending alleen is niet voldoende.

Waarom is het niettemin belangrijk de Sky ECC-operatie kritisch tegen het licht te houden? Omdat datagedreven onderzoeken een blijver zijn. Steeds vaker zullen speurders zich richten op zogenaamde grijze infrastructuren om criminele netwerken in kaart te brengen en bewijs te verzamelen. Europol verwijst hiermee naar aanbieders die de privacy van de communicatie van hun gebruikers willen verzekeren via diensten als cryptofoons, maar ook VPN’s of virtual private networks. Het gebruik daarvan is toegelaten en in zekere zin verplicht de EU-wetgeving dat zelfs. Maar de privacygarantie maakt de diensten ook aantrekkelijk voor wie criminele plannen wil beramen of uitvoeren en speurwerk tegelijkertijd aanzienlijk moeilijker voor politie en justitie.

Daarom zou de wet moeten bepalen vanaf wanneer speurders hun pijlen mogen richten op de server van zo’n grijze infrastructuur. Hoeveel verdachten moeten zo’n communicatiedienst gebruiken om te rechtvaardigen dat de hele server en alle berichten in beslag wordt genomen? In het geval van Sky ECC bestaat blijkbaar weinig twijfel dat de cryptofoons hoofzakelijk of misschien zelfs uitsluitend in het criminele milieu circuleerden, maar dat is zeker niet altijd zo. Er kunnen ook legitieme redenen zijn om veilig en dus versleuteld te willen communiceren. Denk bijvoorbeeld aan een advocaat die zijn beroepsgeheim of een journalist die zijn bronnen wil veiligstellen. Meer nog, ook u en ik hebben het recht om veilig te communiceren zodat ons digitaal verkeer niet ten prooi valt aan cybercriminelen.

(Lees verder onder de preview.)

In een democratische rechtsstaat aanvaarden we niet dat speurders zonder voorafgaande aanwijzingen ieders huis kunnen binnengaan en doorzoeken en achteraf zeggen dat het geen probleem was omdat ze in vele huizen wel iets verboden aantroffen. Dat is precies wat gebeurt in datagedreven onderzoeken. Heldere regels voor zulke onderzoeken zijn dus hoognodig. Vroeg of laat komt niet alleen uw of mijn communicatie terecht in de ruime sleepnetten van politie en justitie, maar mogelijk zelfs het berichtenverkeer van politiemensen of medewerkers van het gerecht zelf.

Het is daarom verontrustend dat het ontwerp voor een nieuw Wetboek van Strafvordering, dat sinds 2020 in het parlement voorligt, hierover met geen woord rept. In plaats van de zoveelste persmededeling over hoe succesvol de Sky ECC-operatie was, zou beter werk worden gemaakt van wetgeving om datagedreven onderzoeken in de toekomst van de nodige waarborgen te voorzien en onze digitale communicatie te beschermen tegen massale privacyschendingen.

Sofie Royer is onderzoeksexpert aan de KU Leuven en gastprofessor aan de UAntwerpen.