Kort nieuws


The future of data driven investigation in light of the Sky ECC operation

6 november 2023


Together with Jan-Jaap Oerlemans, I wrote an article entitled ‘The future of data driven investigations in light of the Sky ECC operation’. In this article, we examine whether or not, and on what terms, there is a future for data driven criminal investigations. To answer the research question, we identified the main characteristics and legal criteria for data driven investigations. We use the Sky ECC operation to contextualise data driven investigations. The legal criteria are derived from the right to privacy and the right to a fair trial. Finally, we examine the impact of a violation of these criteria for the use of evidence in criminal proceedings. The full article is published in open access in the New Journal of European Criminal Law. It is part of a thematic issue ‘Bridging the Regulatory Disconnection Between Data Collection and Data Analysis in Criminal Investigation’. In this blog post, we share our main findings.


The Sky ECC operation

Sky ECC is an app on so-called cryptophones, which were widely used by individuals involved in organised crime. The app used encryption techniques to communicate more securely and entailed additional features to anonymise its users.


French, Dutch and Belgium law enforcement authorities cooperated in a Joint Investigation Team (JIT) to gather evidence about the criminal activities of Sky Global and its users and share technical knowhow. In our article we explain the events of the operation as detailed as possible. Most notably, French law enforcement authorities were able to collect and decrypt messages and other data sent by Sky ECC cryptophones from 18 December 2020 until presumably approximately 9 March 2021.


According to Belgian law enforcement officials, 1 billion (!) messages were intercepted by French law enforcement authorities in France and shared with the JIT partners. At least 500 million messages of this ‘bulk interception’ were decrypted within the first month. We believe that these messages represent a treasure trove or “jackpot” for law enforcement authorities, due to the potential evidence of crimes and intelligence that can be derived from them. Law enforcement officials have made similar statements in interviews.


Therefore, the Sky ECC operation is a prime example of a data driven investigation. This type of investigation involves the processing of data that has been collected by law enforcement authorities in an earlier phase, which is then enriched, and linked with other data for future investigations. Of course, the bulk collection and subsequent analyses of data for use of evidence, raises questions relating to the right to privacy and the right to a fair trial.


The right to privacy

In our article, we examine the privacy interference in an operation such as Sky ECC and identify which minimum safeguards the European Court of Human Rights (ECtHR) would probably require in a (future) case involving this type of operation. We explain that the bulk collection in Sky ECC significantly interferes with the right to privacy and the ECtHR would probably require at least the same safeguards as identified in the case of Big Brother Watch and Centrum för Rättvisa.


We find it particularly noteworthy that the minimum safeguards do not only focus on the collection phase, but require safeguards during all phases, including the (further) processing of data. Obviously, only a warrant provided by a judge or independent authority to justify bulk interception of communications is not enough. With these minimum safeguards, the ECtHR makes clear that throughout the phases of bulk data investigations, principles of data protection regulations apply. Here, the ECtHR clearly establishes a connection between criminal procedural law and data protection law.


In order to minimise the risk of the bulk interception power being abused, the ECtHR emphasises the need for ‘end-to-end safeguards’. This entails the following key elements: (a) a necessity and proportionality assessment should be made at each stage of the process; (b) bulk interception should be subject to independent authorisation at the outset, when the object and scope of the operation are being defined; and (c) the operation should be subject to supervision and independent ex post facto review.


The right to a fair trial

In our analysis of the right to fair trial, we focused on the ‘equality of arms’, a key principle of the right to a fair trial. The ECtHR has consistently judged that criminal procedure should be adversarial and that there should be ‘equality of arms’ between prosecution and defence. Building upon earlier work of others, we identified three main elements of the equality of arms in the context of the Sky ECC operation: (1) transparency; (2) reliability of evidence; and (3) access to datasets.


We noted that the use of algorithms, key word indexes, or network analysis techniques is rarely mentioned in case law. Yet, this information may be relevant when discussing the reliability of the evidence. Compared to earlier work, we made a more in-depth analysis regarding the issue of the reliability of evidence.


The legal evaluation of the authenticity and reliability of digital evidence, and therefore the opportunity for the defence to challenge digital forensics expertise, depends on the selected digital forensic process, methods, and tools for each forensic task. There must be sufficient documentation and possibilities to challenge the reliability of evidence. At the same time, we point out that Sky ECC messages are rarely the only source of evidence used to convict individuals of crimes. Oftentimes, additional sources of evidence are available, such as data production orders directed at telecommunication service providers to gather subscriber and location data, data production orders to gather passenger name records, seizing a suspect’s cryptophone, correlating the nicknames of suspects from other sources of evidence to Sky ECC messages, and, of course, obtaining testimonials or even confessions from suspects. Taken together, this may be factored in when assessing the reliability of evidence.


With regard to access to datasets, we reiterated that all information that is deemed relevant in a particular case and that can be used against the suspect in a criminal case (the tertiary dataset), should be disclosed to the suspect. In addition, the defence should have sufficient facilities (an ‘effective opportunity’) to access and analyse the data. The defence can request and should motivate why they require further access to the secondary dataset. When the Public Prosecution Service denies access to the data, it must motivate this refusal, for example by referring to ongoing (other) criminal investigations or the risk of reprisals for individuals who are also part of the dataset.


Exclusion of evidence

In general, the ECtHR keeps aloof when it comes to the assessment of evidence, as this is rather a task for the national judges, especially assessing the admissibility or weight of specific pieces of evidence. In other words, the ECtHR provides for a large margin of appreciation on this matter by national judges. Nevertheless, some overall observations should be made.


In our article we first point out that the ECtHR has repeatedly found that evidence obtained through a violation of the right to privacy does not necessarily amount to a violation of the right to a fair trial. Hence, privacy violations should not lead to the exclusion of evidence and could have little to no impact on ongoing and future possible criminal cases. However, it is uncertain this will remain so, due to case law of the Court of Justice of the European Union.


Second, violations of the right to a fair trial may have serious consequences for the outcome of an investigation. Not only can evidence be excluded from the procedure, e.g., when evidence is not reliable, but a violation of the right to a fair trial can also render the procedure as a whole inadmissible or lead to the acquittal of suspects, e.g., when the defendant has not had proper access to the evidence.



The Sky ECC operation illustrates a law enforcement practice in which intelligence and criminal investigations have become intricately intertwined, potentially spawning hundreds, if not thousands, of criminal cases from a single activity involving bulk data collection.


We posit that Sky ECC may serve as a precursor to future operations in which law enforcement authorities target similar ‘grey infrastructures’, employing investigative techniques such as the seizure of servers, hacking, or the interception of communications, or all of these at the same time. However, law enforcement authorities must tread carefully on the fine line between intelligence gathering and criminal investigation. There is a danger that the main objective becomes a fishing expedition, because the sought-after data may be a treasure trove for other criminal investigations, but not sufficiently related to the investigation at hand. There is also the risk of a slippery slope, as it is unclear what proportion of criminal activity makes an infrastructure exactly ‘grey’ and thereby a potential target for law enforcement agencies.


When regulating data-driven investigations, the main take-away of our analysis relating to the right to privacy is that a warrant authorising the acquisition of the data is not a sufficient safeguard. The ECtHR requires that data protection regulations are also applied and overseen by independent and effective oversight bodies. Criminal procedural law, which regulates the collection of data, and data protection law, which regulates the processing of data, are connected and intertwined. We also emphasise that violations of the right to a fair trial may have serious consequences for criminal proceedings, since they may lead to the exclusion of evidence. Therefore, we anticipate an ongoing discourse on the transparency and reliability concerns in operations like Sky ECC.



Europees Mensenrechtenhof over versleutelde communicatieapplicatie en dito digitaal bewijs

24 oktober 2023


De Grote Kamer van het Europees Mensenrechtenhof moest zich buigen over de vraag of de veroordeling van een voormalige leraar wegens lidmaatschap van een gewapende terroristische groep verzoenbaar was met het EVRM. Dat de leraar de versleutelde communicatieapplicatie Bylock zou hebben gebruikt, was doorslaggevend voor zijn veroordeling. De nationale rechters meenden dat die applicatie immers uitsluitend werd gebruikt door leden van FETÖ/PDY, een organisatie die volgens de Turkse overheid achter de mislukte staatsgreep van 15 juli 2016 zat.


In een arrest van 26 september 2023 stelt het EHRM, naast een schending van de vrijheid van vergadering en vereniging (art. 11 EVRM) waarop we hier verder niet ingaan, een schending vast van het legaliteitsbeginsel (art. 7 EVRM) en het recht op een eerlijk proces (art. 6, § 1 EVRM).


Het EHRM brengt begrip op voor de moeilijkheden die gepaard gaan met de strijd tegen terrorisme, maar herinnert eraan dat zelfs in tijden van een algemene noodtoestand die het bestaan van een land bedreigt, geen afbreuk kan worden gedaan aan de principes van artikel 7 EVRM. Dat houdt onder meer in dat strafbaarstellingen niet naar analogie in het nadeel van de beklaagde kunnen worden geïnterpreteerd. Het is dus aan de lidstaten om te zorgen voor aangepaste wetgeving die toelaat om een effectieve strijd te voeren tegen de evoluerende vormen van terrorisme.


Daarom gaat het Hof na of de veroordeling op grond van lidmaatschap van een gewapende terroristische groep voldoende voorzienbaar was. Dat misdrijf vereist niet alleen een organische band met de terroristische groep (materieel element), maar ook de kennis van en het opzet om bij te dragen aan de activiteiten van die groep (moreel element). Het Hof erkent dat het gebruik van Bylock kan wijzen op een connectie met de terroristische groep, maar benadrukt dat ook het moreel element aanwezig moet zijn voor een veroordeling. Hoewel het gebruik van Bylock volgens de letter van de wet niet strafbaar is, stelden de nationale rechters het gebruik ervan gelijk met het lidmaatschap van de terroristische groep, zonder het materieel en het moreel element van dat misdrijf in hoofde van de individuele beklaagde na te gaan. Dat komt neer op de toekenning van objectieve strafrechtelijke aansprakelijkheid aan Bylock-gebruikers, wat een schending is van het geen-straf-zonder-wet-beginsel in artikel 7 EVRM.


Wat het recht op een eerlijk proces betreft, herhaalt het EHRM dat de beoordeling van de rechtmatigheid van het bewijs niet tot zijn bevoegdheid behoort, maar dat het enkel en alleen nagaat of de procedure in haar geheel eerlijk verliep. Het Hof heeft oog voor het toenemende belang van digitaal bewijs in strafzaken, maar wijst er tegelijkertijd op dat door het complexe karakter het vermogen van rechters om de authenticiteit, de accuraatheid en de integriteit ervan na te gaan, vermindert.


In deze zaak had de Turkse inlichtingendienst via de Bylock-server een lijst verzameld van alle IP-adressen die toegang hadden genomen tot de server. De verzoeker betwistte de betrouwbaarheid van dat bewijs, omdat de inlichtingendienst de gegevens zonder rechterlijke machtiging of andere waarborgen had verzameld. Het EHRM aanvaardt dat informatie verzameld door inlichtingendiensten en met behulp van de allernieuwste technologieën, steeds belangrijker wordt in strafzaken en spreekt zich niet uit over de concrete toelaatbaarheid. Verder vindt het Hof dat de verzoeker zijn claim in verband met de onbetrouwbaarheid niet hard maakt. Andere metadata en een expertenverklaring bevestigden immers de inhoud van de initieel verzamelde gegevens.


De verzoeker vond dat ook het beginsel van de wapengelijkheid en het recht op tegenspraak waren geschonden aangezien hij geen toegang had gekregen tot de ruwe data die de inlichtingendienst had verzameld, maar enkel tot rapporten hierover. Die data waren in dit geval uitermate belangrijk, aangezien ze niet alleen de strafzaak tegen de verzoeker op gang hadden gebracht, maar ook het voornaamste bewijsmateriaal uitmaakten. Nochtans kunnen er goede redenen zijn om het bewijsmateriaal niet te delen met de verdediging, vindt het Hof. Het gaat dan na of er voldoende compenserende waarborgen zijn.


Daar knelde het schoentje in deze zaak. Zo bleef het verzoek om toegang te krijgen tot de gegevens onbeantwoord. Ook ging de nationale rechter niet in op de vraag van de verzoeker om de gegevens aan een onafhankelijk onderzoek te onderwerpen. Verder kregen de problemen in verband met de betrouwbaarheid van de gegevens die de verzoeker had aangekaart, geen gehoor bij de nationale rechters. Als de verdediging geen directe toegang tot de data heeft, rust er op de overheid nochtans een grotere verantwoordelijkheid om hiermee om te gaan. Ten slotte vindt het EHRM dat de nationale rechters beter hadden moeten motiveren waarom ze vonden dat de Bylock-applicatie uitsluitend door leden van FETÖ/PDY werd gebruikt. De overheid staafde dit met verwijzing naar de technische kenmerken van Bylock, zoals de versleuteling, het verplichte gebruik van een VPN en de automatische verwijdering van de inhoud van berichten. De verzoeker had er nochtans op gewezen dat iedereen de applicatie vrij via onder meer de Google Play store kon downloaden. Al die omstandigheden leiden ertoe dat de verzoeker zijn recht op tegenspraak niet afdoende heeft kunnen uitoefenen en een schending van zijn recht op een eerlijk proces.



Wat een patissier en een schildpaddenkweker ons leren over straffen in tijden van sociale media

30 augustus 2023


In 1996 werd een Brusselse zakenman met de naam Nihoul opgepakt in de zaak Dutroux. Vrijwel meteen ontstond het gerucht dat het zou gaan om een bekende patissier. In 2018 zond de vrt een documentaire uit over Schild en Vrienden, een extreemrechtse jongerenorganisatie. Niet veel later opende het parket een onderzoek naar inbreuken op de wapen- en de antiracismewetgeving door hun leden. In hetzelfde jaar kwam een jongeman om het leven tijdens studentendoop in Vlaanderen. Enkele leden van de studentenclub werden onder meer schuldig bevonden aan onopzettelijke slagen en verwondingen met de dood tot gevolg en veroordeeld tot werkstraffen. Weken op rij kreeg de zaak aandacht in de pers en vonden protesten plaats in verschillende steden. Velen vonden de opgelegde straffen te licht en onrechtvaardig.


U vraagt zich wellicht af wat het verband is tussen die drie zaken. De patissier die Nihoul heette, bleek niets met de affaire Dutroux te maken te hebben, maar zijn zaak sloot een tijdje later de deuren, mede door die negatieve reclame. Een schildpaddenkweker werd overspoeld met haatberichten omdat zijn winkel nagenoeg dezelfde naam droeg als de beruchte beweging Schild en Vrienden. En in de derde zaak onthulde een bekende YouTuber op eigen houtje niet alleen de identiteit van de veroordeelde leden van de studentenclub, maar ook namen van betrokkenen die niet waren veroordeeld en informatie over hun familieleden. De YouTuber vond dat Justitie haar werk niet had gedaan en was het niet eens met de beslissing van de Vlaamse mediakanalen om ook na de veroordeling de namen van de betrokkenen niet wereldkundig te maken. Dit keer kreeg een restaurant dat in de video werd genoemd, heel wat bagger over zich heen en de uitbaters overwogen zelfs tijdelijk te sluiten.


Die zaken doen nadenken over wat we met straffen willen bereiken en aan wie het toekomt ze op te leggen. Er bestaat echter geen eensgezindheid over de vraag of een straf deels als vergelding of wraak mag dienen. Over het antwoord op de vraag wie het toekomt straffen op te leggen, bestaat dan weer geen twijfel: alleen onafhankelijke rechters kunnen en mogen straffen opleggen. Ze moeten daarbij een vooraf bepaalde procedure volgen waarin ook slachtoffers hun rechten kunnen laten gelden. Dat systeem moet beklaagden en hun naasten tegen de soms blinde volkswoede beschermen. De opgelegde straffen moeten in verhouding staan tot de ernst van de feiten. Ze moeten ook persoonlijk zijn. Ouders moeten zich niet verantwoorden voor de misstappen van hun (meerderjarige) kinderen of omgekeerd. Tot slot moeten straffen beperkt zijn in de tijd. We willen mensen niet blijven afrekenen op fouten uit hun verleden. Een strafrechtelijke veroordeling mag geen molensteen om de nek zijn.


Wanneer iemand via naming and shaming op sociale media het heft – of liever het recht – in eigen handen neemt, is geen dosering mogelijk. De gevolgen van zo’n bekendmaking zijn niet te voor- of overzien, van negatieve recensies over haatberichten tot soms zelfs fysieke bedreigingen, en dus verre van proportioneel. De virtuele schandpaal katapulteert ons met andere woorden terug naar de middeleeuwen. YouTubehelden die teren op clicks, likes en shares, zijn de hotdogverkopers bij publieke executies op het marktplein van toen. De zaken hierboven tonen bovendien aan dat niet alleen familieleden, maar ook toevallige naamgenoten door zogenaamde cancelacties worden getroffen. Sociale media kennen tot slot geen afbakening in de tijd. Het internet vergeet immers nooit.


Terughoudendheid om namen bekend te maken moet daarom niet alleen aan de orde zijn bij verdachten, familieleden of betrokkenen, maar ook bij veroordeelden. De deontologische code voor journalisten vermeldt het maatschappelijk belang als een van de voorwaarden om een verdachte of veroordeelde te identificeren. Die voorwaarde moet in internettijden strikt worden geïnterpreteerd. Wanneer een politicus wordt verdacht van of veroordeeld voor corruptie, is die voorwaarde van het maatschappelijk belang vanzelfsprekend vervuld. Maar al te vaak geven (burger)journalisten de identiteit van verdachten of veroordeelden vrij om - onder het mom van het maatschappelijk belang - de sensatiehonger van het publiek te stillen.


Geldboete voor Instagrampost zonder toestemming

3 juli 2023


Strafrechtelijke veroordelingen vanwege inbreuken op de AVG komen niet zo vaak voor aangezien het gegevensbeschermingsrecht een eigen handhavingsmechanisme heeft. Nochtans bevat artikel 222 van de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (hierna de Gegevensbeschermingswet) twee erg ruim geformuleerde strafbaarstellingen. Zo is het verwerken van persoonsgegevens zonder wettelijke basis strafbaar, bijvoorbeeld bij een gebrek aan toestemming.


Het hof van beroep van Gent past die bepaling toe in een arrest van 9 mei 2023. In die zaak stond een man terecht die beelden van politiemensen in zijn Instagramverhaal had gepost. Het hof verduidelijkt dat er geen algemeen verbod geldt op het filmen van politiemensen tijdens interventies, maar dat die laatste zich wel kunnen beroepen op de bescherming van de AVG. Daarom gaat het hof eerst na of de beelden persoonsgegevens bevatten. Hoewel de politiemensen in kwestie mondmaskers dragen, zijn ze duidelijk identificeerbaar. Het hof verwijst onder meer naar de fysionomie, de gestalte, het gelaat, de haarkleur en -snit van de betrokkene(n).


De beklaagde riep in dat zijn Instagrampost onder de journalistieke exceptie zou vallen (artikel 24 Gegevensbeschermingswet). De verwerking van persoonsgegevens is immers toegelaten zonder toestemming voor journalistieke doeleinden. Daarom gaat het hof van beroep na of de verwerking onder meer bijdraagt aan een debat van publiek belang. Volgens de beklaagde wilde hij een maatschappelijk probleem aankaarten, namelijk dat hij, zoals sommige van zijn vrienden, frequent door de politie werd tegengehouden en aan een, vaak denigrerende, controle onderworpen.


Het hof erkent dat zo’n kwestie een debat van publiek belang zou kunnen zijn. Uit het strafdossier blijkt echter niet dat de Instagrampost bijdroeg aan dat debat en evenmin dat de beklaagde die bedoeling had. Dat leidt het hof af uit het feit dat de beklaagde de beelden eenvoudigweg op zijn Instagramverhaal plaatste zonder ze van enige duiding te voorzien. De beklaagde vergezelde de beelden wel van de opschriften “crime scene do not cross” en “6.3 problems”. Dat kan volgens het hof niet worden begrepen als een beklag over het optreden van de politie. Bovendien kan het hof uit de beelden niet afleiden dat de politiemensen op onrechtmatige wijze handelden. Tot slot voegt het hof hieraan toe dat de beklaagde niet kan worden beschouwd als een objectieve waarnemer van de politiecontrole, nu hij zelf werd gecontroleerd. Het hof vindt die omstandigheid niet doorslaggevend, maar houdt er wel rekening mee.


De beklaagde kan zich met andere woorden niet beroepen op de journalistieke exceptie. De inbreuk op de Gegevensbeschermingswet is dus bewezen, naast verboden wapendracht waarvoor de beklaagde ook terechtstond. Het hof van beroep bevestigt de eerder opgelegde geldboete van 2.400 euro, deels met uitstel.


Dit is niet de eerste keer dat iemand wordt vervolgd voor delen van beeldmateriaal van politiemensen zonder toestemming. In 2018 veroordeelde het hof van beroep van Brussel een beklaagde vanwege gelijkaardige feiten. Het hof vond toen dat de huishoudelijke exceptie uit de Gegevensbeschermingswet niet van toepassing was omdat de beklaagde 10.000 volgers had. Het hof van beroep van Gent sprak eerder een blogger vrij die beelden van een politie-interventie had gepost om racisme aan te kaarten. In die zaak aanvaardde het hof het journalistieke argument wel.


Gent 9 mei 2023, niet-gepubliceerd.



Teruggave digitale bestanden mogelijk ondanks verbeurdverklaring gegevensdrager

1 maart 2023


Gegevensdragers, zoals smartphones, laptops en harde schijven, zijn vatbaar voor verbeurdverklaring als ze het voorwerp of het product van een misdrijf waren of het middel waarmee een misdrijf werd gepleegd. Ook gegevensdragers die het vermogensvoordeel van een misdrijf uitmaken, kunnen worden verbeurdverklaard (art. 42 Sw.). Een typisch voorbeeld is de verbeurdverklaring van de laptop van de veroordeelde vanwege het bezit van beelden van seksueel misbruik van minderjarigen. Die verbeurdverklaring kan zich uitstrekken tot gegevens die op de gegevensdrager zijn opgeslagen, maar niets met het misdrijf te maken hebben. Dat doet vragen rijzen naar de verzoenbaarheid van de straf met onder meer het recht op privéleven (art. 8 EVRM) en de bescherming van het recht op eigendom (art. 1 Eerste Protocol EVRM).


In een uitgebreid gemotiveerd arrest van 7 februari 2023 sprak het Hof van Cassatie zich voor het eerst uit over die problematiek. Als uitgangspunt stelt het Hof dat een informaticasysteem of een digitalegegevensdrager één geïntegreerd geheel vormt. Daarom spreekt de feitenrechter in principe de verbeurdverklaring uit van de volledige gegevensdrager met inbegrip van alle componenten, zoals interne harde schijven ongeacht op welke precieze harde schijf de illegale bestanden zijn aangetroffen. De rechter moet geen onderscheid maken tussen een fysieke digitalegegevensdrager en de digitale bestanden. Die zijn immers onlosmakelijk verbonden met de gegevensdrager, aangezien ze enkel door het gebruik van die drager hun normale werking kunnen hebben, aldus het Hof. De rechter moet evenmin een informaticastudie (laten) uitvoeren om het precieze nut of de precieze werking of inhoud van elke harde schijf of andere component van het informaticasysteem te achterhalen.


Niettemin heeft het Hof van Cassatie oog voor de rechtmatige privacy- en eigendomsclaims die een veroordeelde kan hebben wanneer zijn of haar gegevensdrager wordt verbeurdverklaard. De technische en maatschappelijke evoluties rechtvaardigen dat de artikelen 42 en 44 Sw. evolutief worden geïnterpreteerd in het licht van de mensenrechtelijke privacybescherming en het recht op eigendom. Het Hof merkt op dat de verbeurdverklaring van de volledige digitalegegevensdrager ervoor kan zorgen dat de veroordeelde ook legale digitale gegevens van persoonlijke of professionele aard, die op die gegevensdrager zijn opgeslagen, verliest. Daarnaast overweegt het Hof dat digitale gegevens vatbaar zijn voor een in principe onbeperkte vermenigvuldiging zonder kwaliteitsverlies.


Dat doet het Hof besluiten dat de beklaagde principieel de mogelijkheid moet hebben om aan de rechter de teruggave te vragen van een digitale kopie van de legale gegevens die zijn opgeslagen op een digitalegegevensdrager die in aanmerking komt voor verbeurdverklaring. Het Hof van Cassatie verbindt wel enkele voorwaarden aan dat verzoek. De betrokkene moet (i) de teruggave uitdrukkelijk vragen, (ii) aantonen dat zijn vraag betrekking heeft op essentiële gegevens van persoonlijke of professionele aard waar hij zonder de teruggave geen toegang meer kan hebben, (iii) die gegevens en hun precieze locatie op de gegevensdrager aanduiden en (iv) zelf een gegevensdrager ter beschikking stellen waarop de gegevens kunnen worden gekopieerd. Tot slot (iv) moet het technisch en zonder onevenredige werklast mogelijk zijn de gevraagde gegevens te kopiëren. De rechter die over het verzoek oordeelt, moet het belang van de beklaagde op teruggave en dat van de maatschappij op verbeurdverklaring tegen elkaar afwegen.


In de voorliggende zaak bevatte de verbeurdverklaarde laptop negen harde schijven en op slechts een ervan was illegale inhoud aangetroffen. Op die schijf was al de illegale inhoud verzameld in een mapje met de naam “I.”. De veroordeelde wierp op dat er geen risico was op bestandsvermenging en de illegale bestanden op een niet onevenredig arbeidsintensieve manier eruit konden worden gefilterd. Verder zou de technische uitvoerbaarheid van de teruggave van die legale gegevens geen enkel probleem opleveren voor de RCCU. Het hof van beroep weigerde echter de verbeurdverklaring te beperken tot drie webcamera's, de desktop, de hardware van de interne harde schijf 7 en de gegevens hierop opgeslagen onder de map “I”, omdat de harde schijven deel uitmaken van één en hetzelfde apparaat. Het Hof van Cassatie verbrak het arrest op dat punt.


De principiële beslissing van het Hof van Cassatie valt toe te juichen vanuit mensenrechtelijk oogpunt. De vraag rijst nu in welke mate een verdachte die argumenten al eerder in de strafprocedure kan opwerpen, bijvoorbeeld in het kader van het strafrechtelijk kortgeding, om de opheffing van een beslagmaatregel te verkrijgen.


Iedereen wordt geacht … de toegangscode van zijn gsm te kennen

21 februari 2023


De onderzoeksrechter kan iemand van wie hij vermoedt dat die de toegangscode van een te doorzoeken informaticasysteem zoals een gsm kent, bevelen die code mee te delen (art. 88quater, § 1 Sv.). Wie de gevorderde medewerking niet verleent, is strafbaar (art. 88quater, § 3 Sv.). Hoewel er jarenlang discussie bestond over de vraag of dat bevel ook aan een verdachte kon worden opgelegd, beantwoordden zowel het Hof van Cassatie als het Grondwettelijk Hof die vraag in 2020 op positieve wijze. Het Hof van Cassatie verbond wel enkele voorwaarden aan de toepassing van die strafbaarstelling. Zo moeten de speurders het toestel hebben opgespoord zonder het gebruik van dwang op de verdachte. Ook moet de vervolgende instantie aantonen dat de verdachte de toegangscode zonder redelijke twijfel kent. De vraag rees dus hoe het Openbaar Ministerie het bewijs van de kennis van de code zou kunnen leveren.


In een arrest van 14 februari 2023 verduidelijkt het Hof van Cassatie die kennisvoorwaarde. In de zaak die aanleiding gaf tot het arrest, had de verdachte een verkeerde code ingegeven en voorgesteld zijn zoon te bellen om de juiste code te achterhalen. Hij betwistte nadien dat hij zich schuldig had gemaakt aan het misdrijf in artikel 88quater, § 3 Sv., aangezien dat artikel geen resultaatsverbintenis zou inhouden. De feitenrechters verwierpen dat verweer. Op basis van de gegevens zichtbaar op het startscherm leidden ze af dat het toestel aan de verdachte toebehoorde of dat hij er minstens de regelmatige gebruiker van was. Ook hadden de gezinsleden de gsm herkend als die van de verdachte. Die elementen volstonden volgens het Hof van Cassatie als bewijs van kennis van de code. Het Hof gaat met andere woorden uit van het vermoeden dat wie de eigenaar of regelmatige gebruiker is van een toestel, ook de toegangscode kent.


Internetverbod voor ‘consument’ beelden kindermisbruik

3 januari 2023


Het hof van beroep van Gent heeft een man veroordeeld tot een voorwaardelijke gevangenisstraf wegens het verspreiden en bezitten van beelden van seksueel misbruik van minderjarigen (art. 383bis Sw., nieuw art. 417/46 Sw.). Een medepassagier in het vliegtuig merkte op dat de veroordeelde tijdens een vlucht naar beelden keek waarop minderjarige jongens seksuele handelingen stelden. Tijdens het onderzoek trof de politie bij de veroordeelde talloze gelijkaardige beelden aan waarvoor hij onder meer betaald had. Hij bleek ook beelden te hebben uitgewisseld.


Het hof herinnert eraan dat de eerder vernoemde strafbaarstelling (de afbeelding van) minderjarigen wil beschermen en de handel in beelden van seksueel misbruik van minderjarigen bestrijden. Daarom is de veroordeling van de gewone ‘consument’, die de bestaansreden van dat verwerpelijk materiaal in stand houdt, mogelijk, aldus het hof. Hoewel de veroordeelde al eerder tegen de lamp liep voor dezelfde misdrijven, legt het hof een voorwaardelijke gevangenisstraf op.


Naast de altijd terugkerende voorwaarden moet de veroordeelde zich laten begeleiden door het Forensisch Instituut voor Deviante Seksualiteit dat gespecialiseerde hulp aanbiedt. Verder moet de veroordeelde zijn internetgebruik door technische of technologische ingrepen zelf aan banden leggen, zodat hij het niet kan gebruiken om naar pornosites van welke aard ook te surfen. Zijn internetbrowser en -modem moeten desgevallend met hulp van de internetprovider of een gespecialiseerde dienst zo worden ingesteld dat hij niet langer toegang heeft tot zulke sites. Als de veroordeelde die alsnog bezoekt, hangt hem een effectieve gevangenisstraf van 40 maanden boven het hoofd. De justitieassistent kijkt toe op de naleving van de voorwaarden.


Gent 24 juni 2022, T.Strafr. 2022, afl. 6, 383-387.


Eerste Belgische uitspraken in Sky ECC-zaken

3 januari 2023


Nu pas beginnen de rechtszaken die voortvloeien uit de massale onderschepping van Sky ECC-communicatie tot in de Belgische rechtbanken door te sijpelen, in tegenstelling tot in Nederland waar dat al langer het geval is. Het onderzoek in het ‘moederdossier’ is gericht tegen onbekenden wegens lidmaatschap en leiderschap van en deelname aan een criminele organisatie die de communicatie-applicatie Sky ECC en bijhorende smartphones zou aanbieden aan personen die erop gebrand zijn hun communicatie van justitie af te schermen. Uit de onderschepping van communicatie in het kader van dat onderzoek is gebleken dat de Sky ECC-telefoons hoofdzakelijk voor crimineel doeleinden werden aangewend. De oorspronkelijk gevatte onderzoeksrechter maakte het volledige dossier daarom over aan de federaal procureur die verschillende opsporingsonderzoeken naar Sky ECC-gebruikers heeft opgestart. In wat volgt, ligt de focus op de procedurele argumenten aangevoerd in twee van die ‘dochterdossiers’.


In een van die strafzaken werden enkele beklaagden vervolgd omdat ze een stadsambtenaar zouden hebben omgekocht om tegen betaling een aantal opzoekingen in het Rijksregister te verrichten. In die zaak vroeg de verdediging aan de correctionele rechtbank een integrale kopie van het oorspronkelijke strafdossier te krijgen of toch minstens een kopie van enkele belangrijke processen-verbaal, vorderingen en de metadata waaronder alle gedecrypteerde communicatie van enkele zogenaamde pins. Dit zijn nummers waarmee Sky ECC-accounts kunnen worden geïdentificeerd en waarmee de communicatie van een account aan een specifieke beklaagde kan worden gelinkt. In een proces-verbaal deden de speurders opmerken dat sommige gebruikers van pin wisselen. Het Openbaar Ministerie moet dus kunnen aantonen dat een pin op een concreet tijdstip aan een beklaagde kan worden gelinkt.


Dat bewijs bestond in casu uit de gegevens van passagierslijsten van vluchten en ANPR-gegevens waardoor de beklaagden onrechtstreeks konden worden geïdentificeerd. De passagierslijsten en ANPR-registraties werden echter niet aan het dossier toegevoegd. Bij gebrek aan gegevens voerde de verdediging aan niet in de mogelijkheid te zijn om de regelmatigheid en betrouwbaarheid van de bewijsvergaring na te gaan (art. 6 EVRM). Om de verdediging niet in een nadelige positie te plaatsen, oordeelde de rechtbank in een tussenvonnis dat het Openbaar Ministerie een aantal stukken aan het dossier moet toevoegen, zoals alle schriftelijke opdrachten van de onderzoeksrechter die leidden tot informatie over alle in het strafdossier betrokken pins, de relevante passagierslijsten en de ANPR-registraties. De rechtbank ging echter niet in op het verzoek van de verdediging om een integrale kopie van het moederdossier en alle onderschepte metadata te verkrijgen.


In een andere zaak werden vier beklaagden vervolgd voor lidmaatschap aan een criminele organisatie en opzettelijke brandstichting. In de uitspraak ten gronde gaf de correctionele rechtbank van Antwerpen de verdediging op alle procedurele argumenten ongelijk. Vooreerst vond de verdediging dat het recht op tegenspraak was geschonden omdat het strafdossier onvolledig was. Ook hier vond de rechtbank dat het volledige moederdossier niet moest worden meegedeeld, omdat het een grote hoeveelheid communicatie bevat tussen partijen die niet betrokken zijn in de specifieke strafzaak. Het delen van al die gegevens zou een disproportionele inbreuk zijn op de privacy en het geheim van het onderzoek. Verder riep de verdediging in dat de onderzoeksrechter met zijn oorspronkelijke machtiging om de communicatie verstuurd via Sky ECC te onderscheppen, zijn bevoegdheid te buiten was gegaan. Volgens de rechtbank was er echter geen sprake van een phishing expedition of sleepnetzoeking, maar van een gerichte onderzoekstechniek. Het is niet omdat een onderzoek veel resultaten oplevert, dat er ongedifferentieerd werd tewerk gegaan. Ook de argumenten van de verdediging over de onrechtmatige ontsleuteling van gegevens en de onrechtmatige verkrijging van passagiersgegevens veegde de rechtbank van tafel. De rechtbank ging evenmin in op het verweer dat de bulkverzameling van de communicatiegegevens onrechtmatig zou zijn in het licht van de dataretentierechtspraak. Tot slot achtte de rechtbank de feiten bewezen op de vrijspraak van een beklaagde na.


Tegen de beslissing kon op het moment van het schrijven nog hoger beroep worden aangetekend. In elk geval is het reikhalzend uitkijken of de argumentatie van de rechtbank zal standhouden in graad van beroep, zeker in het licht van de ontwikkelingen van de rechtspraak in andere Europese landen wat het recht op tegenspraak betreft.


Corr. Antwerpen, afdeling Antwerpen 28 januari 2022, nr. 2022/583, niet-gepubliceerd; Corr. Antwerpen, afdeling Antwerpen 25 oktober 2022, nr. 2022/4901, niet-gepubliceerd.


Frans Hof van Cassatie over decryptiebevel aan verdachten

28 november 2022


Artikel 434-15-2 van het Franse Strafwetboek stelt de weigering strafbaar om aan de bevoegde autoriteiten de geheime code mee te delen die toelaat een cryptografisch middel te ontsleutelen dat kan gebruikt worden om een wanbedrijf of misdaad voor te bereiden, te vergemakkelijken of te plegen. Een cryptografisch middel wordt elders gedefinieerd als hard- of software ontworpen of gewijzigd om gegevens te transformeren met behulp van geheime codes of om de omgekeerde operatie met of zonder geheime code uit te voeren.


De aanleiding van het arrest van het Franse Hof van Cassatie van 7 november 2022 was de weigering van een verdachte om het wachtwoord vrij te geven van twee smartphones die hij in het kader van drugshandel zou hebben gebruikt. Voor de tweede keer moest het Franse Hof van Cassatie zich in die zaak uitspreken over de vraag of het deblokkeren van de schermbeveiliging van een smartphone moet worden beschouwd als een ontsleutelingscode in de zin van artikel 434-15-2 van het Franse Strafwetboek. In het gepubliceerde arrest bevestigt het Hof van Cassatie dat de opheffing van de schermbeveiliging een ontsleutelingscode kan zijn, wanneer de activering van die code leidt tot het vrijgeven van versleutelde gegevens die het apparaat bevat of waartoe het toegang geeft. Dat vereist dat de smartphone met een cryptografisch middel is uitgerust, maar volgens het Hof is dat tegenwoordig meestal het geval. Wie over zo’n smartphone beschikt die bovendien kan worden gebruikt om een misdrijf voor te bereiden of te plegen, is verplicht om aan de speurders op hun verzoek de code te geven om de schermbeveiliging op te heffen. Wie weigert, is strafbaar op grond van het eerder vermelde artikel 434-15-2 van het Franse Strafwetboek.


Ook in België bestond er onduidelijkheid over de draagwijdte van het decryptiebevel (art. 88quater, § 1 Sv.). In een gelijkaardige zaak besloot het Hof van Cassatie dat het decryptiebevel aan verdachten mag worden opgelegd op voorwaarde dat de speurders het toestel hebben opgespoord zonder het gebruik van dwang op de persoon en dat de vervolgende instantie aantoont dat de verdachte de toegangscode zonder redelijke twijfel kent. Datzelfde artikel 88quater, § 1 Sv. doorstond ook een toets aan het gelijkheidsbeginsel door het Grondwettelijk Hof. Niettemin werden die uitspraken kritisch onthaald omdat het decryptiebevel aan verdachten in strijd zou zijn met het zwijgrecht en het non-incriminatiebeginsel dat volgt uit artikel 6 EVRM. Tegen een eerdere beslissing van het Franse Hof van Cassatie dat het decryptiebevel aan verdachten niet in strijd met artikel 6 EVRM achtte, werd ondertussen een beroep bij het EHRM ingesteld. Het is dan ook uitkijken naar een uitspraak van het Europese Mensenrechtenhof in die zaak.


Echtgenoten niet langer strafbaar wegens informaticabedrog

28 oktober 2022


Wie een diefstal pleegt ten nadele van een (overleden) echtgenoot, van zijn bloedverwanten in de opgaande lijn of van zijn afstammelingen, is niet strafbaar en kan alleen tot een schadevergoeding worden veroordeeld (art. 462 Sw.). Met die regel wilde de Belgische wetgever de familierust niet in het gedrang brengen door strafrechtelijke vervolgingen omdat het soms moeilijk te bepalen is wat eigendom is van wie in gezins- of familieverband. De strafuitsluitende verschoningsgrond is ook van toepassing op misdrijven als misbruik van vertrouwen (art. 492 Sw.) en oplichting (art. 504 Sw.). Vreemd genoeg overwoog de wetgever die niet uit te breiden tot informaticabedrog (art. 504quater Sw.), wat nochtans de digitale evenknie van die vermogensmisdrijven is.


Dat onderscheid werd onlangs aangekaart bij het Grondwettelijk Hof. In die zaak werd iemand vervolgd om onder meer zonder toestemming domiciliëringen op de gemeenschappelijke rekening te hebben geopend en aankopen met de bank- en kredietkaart van de echtgenoot te hebben verricht. De verwijzende rechter vroeg of artikel 462 Sw. het gelijkheidsbeginsel schendt, aangezien het niet van toepassing is op de situatie waarin een gehuwde ten nadele van zijn echtgenoot het misdrijf van informaticabedrog pleegt. Het Grondwettelijk Hof beantwoordde die vraag positief. Zowel in het geval diefstal als van informaticabedrog kan het er immers op neerkomen dat een van de gehuwden een geldsom ontvreemdt ten nadele van de echtgenoot. Het criterium van onderscheid, namelijk het toepasselijke misdrijf, is niet relevant omdat de eerder vermelde doelstelling van de wetgever in beide situaties kan gelden. Hoewel het arrest van het Grondwettelijk Hof zich enkel uitspreekt over echtgenoten, valt te verwachten dat eenzelfde redenering kan opgaan ten aanzien van ouders die informaticabedrog ten aanzien van hun kinderen plegen en omgekeerd.


Nieuwe dataretentiewet in werking

22 augustus 2022


Ondanks de tegenkanting werd de veelbesproken dataretentiewet op 20 juli 2022 aangenomen in het Parlement (klik hier voor de volledige tekst). De reparatiewet bevat ook een aantal bepalingen die tegemoet komen aan de gedeeltelijke vernietiging van de wet op het verbod op anonieme vooraf betaalde belkaarten door het Grondwettelijk Hof. De nieuwe dataretentiewet werd gepubliceerd op 8 augustus 2022 en trad tien dagen later al in werking. Verwacht wordt dat de wet nog het voorwerp van betwistingen zal uitmaken.


Geldezel kaalgeplukt

1 juli 2022


Geldezels of money mules zijn personen die hun bankrekening als tussenpersoon ter beschikking stellen om geld uit phishing-operaties te ontvangen. In een zaak die aan het Hof van Cassatie werd voorgelegd, had een vrouw zo 10.300 euro ontvangen. Daarvan besteedde ze 3.414,91 euro aan luxeproducten. De bank boekte het resterende bedrag over naar een wachtrekening.


Vervolgens werd de vrouw vervolgd en veroordeeld voor het eerste witwasmisdrijf op basis van art. 505, eerste lid, 2° Strafwetboek. Dit artikel stelt het kopen, ruilen of om niet ontvangen, bezitten, bewaren of beheren van vermogensvoordelen uit misdrijven strafbaar als de dader de illegale oorsprong van die zaken kende of moest kennen. Die vermogensvoordelen maken het voorwerp van het witwasmisdrijf uit, waarvoor de wet de verplichte verbeurdverklaring voorschrijft (art. 42, 1° juncto art. 505, lid 7 Strafwetboek). De rechter beschouwde het volledige bedrag van 10.300 euro als voorwerp van het witwasmisdrijf en verklaarde het verbeurd.


In een arrest van 29 maart 2022 gaat het Hof van Cassatie akkoord met die aanpak. Het voorwerp van het witwasmisdrijf is immers niet beperkt tot het bedrag van de besteding, maar omvat de volledige som die de geldezel ontving. Zoals Van Herpe terecht opmerkt, toont dit arrest aan dat een geldezel die slechts een passieve rol speelt in een phishing-operatie, toch grote financiële sancties riskeert door de ruime wettelijke bepalingen over verbeurdverklaringen in witwaszaken.


Encryptieverbod deels geschrapt in ontwerp dataretentiewet

6 mei 2022


De bewaarplicht voor metadata van communicatie (‘dataretentie’) blijft de gemoederen beroeren. Ongeveer een jaar geleden presenteerde de regering een voorontwerp voor een nieuwe Belgische dataretentiewet die de bewaarplicht, na de vernietiging door het Grondwettelijk Hof op aansturen van het Hof van Justitie, opnieuw moest vormgeven. De grote lijnen van dat voorontwerp waarover we hier eerder al berichtten, blijven behouden in de tekst van het wetsontwerp. Zo wordt het toepassingsgebied van de dataretentieplicht verruimd tot onder andere over-the-top-providers en krijgt een hele reeks nieuwe actoren - waaronder overheidsdiensten zoals de inspectiedienst consumptieproducten van de FOD Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu - toegang tot opgeslagen gegevens.


Wel valt op dat de regering het encryptieverbod, dat op veel kritiek stuitte, heeft teruggeschroefd. In het oorspronkelijke ontwerp mocht de inhoud van communicatie wel worden versleuteld, maar moesten operatoren hun systemen binnen 24 uur kunnen openstellen voor de kennisname van private communicatie door justitie of veiligheidsdiensten (art. 127/5 voorontwerp). Dat leek een poging om de rechtspraak op basis waarvan Skype al werd veroordeeld wegens weigering om mee te werken met een afluistermaatregel, een wettelijke basis te geven. Die bepaling is nu herleid tot de verplichting om de identificatie van de eindgebruiker, de opsporing en de lokalisatie van niet voor het publiek toegankelijke communicatie op vraag van een bevoegde autoriteit mogelijk te maken (art. 107/5 ontwerp). Metadata mogen met andere woorden niet end-to-end versleuteld zijn. Dat verbod strekt zich uit tot machine-to-machine communicatie. Ook mag versleuteling er niet toe leiden dat de identificatie en lokalisatie van noodoproepen onmogelijk wordt. Tot slot mogen aanbieders van SIM-kaarten in het buitenland de opvraging van metadata niet verhinderen (vreemd genoeg spreekt de memorie van toelichting hier ook over het onderscheppen van communicatie). Wie dit weigert of onmogelijk maakt, zou een geldboete van 50 tot 100.000 euro riskeren op grond van het aangepaste artikel 145 Wet Elektronische Communicatie.


Het uittekenen van een nieuwe bewaarplicht verloopt alleszins niet zonder slag of stoot. Recent lokte het ontwerp al voor een tweede keer controverse uit, nu de huidige tekst ertoe zou leiden dat privacyvriendelijke communicatieapps zoals Signal niet meer in de huidige bestaansvorm zouden mogen worden aangeboden in België. Bovendien moet de regering de Wet Elektronische Communicatie ook nog aanpassen naar aanleiding van een ander arrest van het Grondwettelijk Hof. Daarin sprak het Hof zijn zegen uit over het verbod op anonieme belkaarten, op voorwaarde dat niet bij Koninklijk Besluit, maar bij wet wordt vastgelegd welke identificatiegegevens moeten worden opgeslagen en verwerkt. Die nieuwe regels zitten nog niet vervat in het wetsontwerp. De saga wordt met andere woorden vervolgd ...


Cassatie houdt been stijf over dataretentiebewijs

6 mei 2022


We berichtten hieronder al over tevergeefse pogingen om opgevraagde communicatiegegevens in strafzaken te laten uitsluiten vanwege de later vernietigde wettelijke basis vanwege strijdigheid met het EU-recht. In twee nieuwe arresten van 29 maart 2022 sluit het Hof van Cassatie aan bij zijn eerdere rechtspraak. Opnieuw beslist het Hof van Cassatie dat niet voldaan is aan de voorwaarden om het onrechtmatig verkregen bewijs uit te sluiten.


De beoordeling van onrechtmatig verkregen dataretentiebewijs spitst zich vooral toe op een eventuele schending van het recht op een eerlijk proces. Het Hof van Cassatie herhaalt dat die beoordeling gebeurt in het licht van de gehele procedure en dat de rechter zijn beslissing kan motiveren aan de hand van enkele criteria die niet zijn vastgelegd in de wet, zoals de stand van de wetgeving op het moment van de onregelmatigheid, het feit dat de onregelmatigheid niet opzettelijk is begaan en het feit dat de beklaagde voor de rechter tegenspraak heeft kunnen voeren over het bewijsmateriaal.


Volgens het Hof van Cassatie heeft het feit dat een algemene bewaarplicht van communicatiegegevens in strijd is met het EU-recht niet tot gevolg dat die onregelmatigheid steeds de ernst van het door een beklaagde gepleegd misdrijf, in casu internationale cocaïnehandel, overstijgt. Dat is een van de criteria op basis waarvan de verwijzende instantie een schending van het recht op een eerlijk proces kan vaststellen. Bovendien houdt het Hof er rekening mee dat op het moment van de opvraging een ogenschijnlijke rechtsgrond bestond voor de bewaarplicht en de opvraging van communicatiegegevens. Dat volstaat volgens het Hof van Cassatie om te besluiten dat de bewaring en de opvraging geen opzettelijke of niet te verontschuldigen fout uitmaakt. Tot slot steunt de veroordeling niet alleen op de opgevraagde communicatiedata, maar ook op andere bewijselementen zoals afgeluisterde gesprekken en de verklaringen van derden.


In een van de zaken verzocht de verzoekende partij het Hof van Cassatie twee prejudiciële vragen te stellen aan het Hof van Justitie. De vraag rees of de wettelijke verplichting voor nationale rechters om de louter met het gegevensbeschermingsrecht strijdige bewijs altijd te gebruiken het beginsel van de doeltreffendheid van het EU-recht schendt. Is het met andere woorden strijdig met de loyaliteit- en doeltreffendheidverplichtingen wanneer een lidstaat niet alleen verbiedt dat bewijs verzameld in strijd met het Unierecht door de strafrechter zou worden uitgesloten, maar daarnaast de feitenrechter ook verbiedt om er wegens de onrechtmatigheid minder rekening mee te houden of minder gewicht aan te geven. De verzoekende partijen vroegen zich ook af of wanneer bewijsuitsluiting niet verplicht is, de nationale rechter in de concrete strafzaak minstens de keuze moet hebben om in het concrete geval vanwege het grote gewicht van de schending van het EU-recht het bewijs toch uit te sluiten of er minstens minder rekening mee te houden? Verder rees de vraag of wanneer bewijsuitsluiting niet mogelijk is, de nationale rechter minstens bij de straftoemeting rekening moet houden met de onrechtmatigheid.


Het Hof van Cassatie ziet geen reden om de prejudiciële vragen te stellen, nu het doeltreffendheidsbeginsel niet vereist dat een nationale bewijsuitsluitingsregel (in dit geval art. 32 V.T.Sv.) altijd een sanctie bepaalt voor onrechtmatig verkregen bewijsmateriaal. Een sanctie is niet vereist als het bewijs niet kan worden uitgesloten op grond van een van de criteria vermeld in artikel 32 V.T.Sv. Volgens het Hof van Cassatie houdt die beoordeling in dat het gebruik van het onregelmatig verkregen bewijsmateriaal geen ongerechtvaardigd nadeel toebrengt aan de beklaagde.


Cassatie bevestigt: geen bewijsuitsluiting van onrechtmatig bewaarde telecomdata

25 februari 2022


In navolging van de Europese rechtspraak ter zake vernietigde het Grondwettelijk Hof de Belgische dataretentiewetgeving al meermaals. Het gevolg is dat strafrechters zich met de regelmaat van de klok moeten uitspreken over de mogelijke onrechtmatigheid van gegevens die op basis van de vernietigde wetgeving werden verzameld en als bewijs in een strafzaak worden gebruikt. Het Hof van Justitie oordeelde dat bewijsuitsluiting in principe een zaak van nationaal recht is, maar stelde toch dat nationale rechters de beginselen van equivalentie en doeltreffendheid moeten respecteren.


In de lagere rechtspraak zijn er verschillende zaken waarin de verdediging pleitte voor de uitsluiting van telecomdata verzameld op grond van de later vernietigde wetgeving. Voor zover bekend werden de gegevens geen enkele keer uitgesloten, omdat er vaak een onderscheid wordt gemaakt tussen de opvraging van de gegevens, die bijvoorbeeld rechtmatig op grond van artikel 88bis Sv. gebeurde, en de bewaring die later onrechtmatig werd bevonden. In een eerder nummer berichtten we bijvoorbeeld over een beslissing van de rechtbank van eerste aanleg te Antwerpen die vond dat bewijsuitsluiting niet aan de orde is.


Ondertussen bereikte de kwestie het Hof van Cassatie, dat zich in januari 2022 tweemaal hierover uitsprak. In de ene zaak riepen de beklaagden in dat het gebruik van bewijsmateriaal verzameld op grond van de vernietigde dataretentiewetgeving het recht op een eerlijk proces schendt. Volgens het hof van beroep was het gebruik van de verzamelde gegevens echter verantwoord aangezien de dataretentiewetgeving werd vernietigd vanwege een schending van het recht op privéleven en bescherming van persoonsgegevens en niet vanwege een schending van het recht op een eerlijk proces. Verder werd het strafonderzoek op regelmatige wijze opgestart en gebeurde ook de opvraging van de metadata volgens de geldende regels. Tot slot konden de partijen in eerste aanleg en in graad van beroep de verzamelde telefoondata tegenspreken. Dat bewijsmateriaal werd verzameld met inbreuk op het privéleven van de beklaagden, stond de uitoefening van het recht van verdediging met andere woorden niet in de weg.


In zijn beslissing van 11 januari 2022 vindt het Hof van Cassatie dat bewijsmateriaal verzameld op grond van een later vernietigde wet, in principe onregelmatig verkregen is. De vonnisrechter aan wie dat bewijsmateriaal wordt voorgelegd, oordeelt echter soeverein op grond van de concrete gegevens van de zaak en in het licht van de gehele procedure of het recht op een eerlijk proces werd geschonden. Hij is daarbij niet gehouden aan vaste criteria. Het Hof verduidelijkt dat de rechter onder andere rekening kan houden met de stand van de wetgeving op het moment van de onregelmatigheid, het eventueel opzettelijk karakter van de onregelmatigheid en het feit dat de beklaagde voor de rechter tegenspraak heeft kunnen voeren over het bewijsmateriaal.


Ook in de andere zaak claimde de verdediging dat het bewijsmateriaal verzameld op grond van de later vernietigde wet moest worden uitgesloten. De beklaagde haalde onder meer aan dat de bewaring van telefoongegevens zo technisch is dat hij zich daartegen niet nuttig en effectief kan verdedigen en de vonnisrechters daarvan geen kennis hebben. Het Hof van Cassatie volgt die redenering niet. De algemene en ongedifferentieerde bewaring van communicatiegegevens en het gebruik ervan is niet zo technisch of gecompliceerd dat zij ontsnapt aan de kennis van de rechter, aldus het Hof. Verder herhaalt het in zijn beslissing dat de rechter die zich over zogenaamd onregelmatig bewijsmateriaal buigt, op grond van de concrete gegevens en in het licht van de gehele procedure onaantastbaar oordeelt of het gebruik strijdig is met het recht op een eerlijk proces. Het Hof van Cassatie voegt daaraan toe dat de rechter onregelmatig verkregen communicatiegegevens alleen moet uitsluiten als het een doorslaggevende invloed heeft op de beslissing over de schuldigverklaring. Hij is met andere woorden niet verplicht om het bewijsmateriaal te weren als het werd gebruikt om een beklaagde te vervolgen.


Verbod op anonieme belkaarten blijft overeind

December 2021


In 2016 voerde de Belgische wetgever in de nasleep van de terroristische aanslagen in Frankrijk (2015) en België (2016), een verbod in op anonieme vooraf betaalde belkaarten in artikel 127 van de wet op de elektronische communicatie (WEC). De afschaffing werd verder uitgewerkt in een KB van 27 november 2016, dat onder andere opsomt welke gegevens operatoren precies mogen bewaren (naam, voornaam, geslacht, nationaliteit, geboorteplaats en -datum, e-mailadres, woonplaats…). In een arrest van 18 november 2021 bevestigde het Grondwettelijk Hof dat die wet – op één punt na – grondwetsconform is.


De algemene en ongedifferentieerde identificatieplicht voor alle eindgebruikers is volgens het Hof een pertinente en proportionele maatregel om drie doelstellingen te bereiken: (1) de goede werking van de nooddiensten, (2) het strafrechtelijk onderzoek, en (3) de werking van inlichtingen- en veiligheidsdiensten. In overeenstemming met eerdere rechtspraak van de Europese hoven in Luxemburg en Straatsburg maakt ook het Grondwettelijk Hof een onderscheid tussen verkeers- en locatiegegevens enerzijds (bijvoorbeeld wie belde met wie?) en identificatiegegevens anderzijds (bijvoorbeeld aan wie behoort een gsmnummer toe?). De algemene bewaring van de laatste categorie wordt gewoonlijk als minder privacy-indringend beschouwd, aangezien deze op zich geen gevoelige informatie prijsgeven over iemands privéleven. Dat kan wel het geval zijn als de identificatiegegevens aan andere gegevens worden gekoppeld, maar dat gebruik is dan weer strikt geregeld.


Het Grondwettelijk Hof stelt dat de hoger vermelde doelstellingen wettelijk verankerd zijn en dat de maatregel omgeven is door effectieve waarborgen. Zo is limitatief bepaald welke autoriteiten toegang kunnen krijgen tot de identificatiegegevens, alsook de materiële en procedurele voorwaarden waaraan moet voldaan zijn. Autoriteiten die toegang vragen, moeten steeds de grondrechten van gebruikers respecteren. Verder bevat zij ook waarborgen tegen “misbruik in het kader van de verzameling, verwerking en bewaring van identificatiegegevens”.


Het Grondwettelijk vernietigt de bestreden wet wel op één punt, namelijk in zoverre de wet niet zelf bepaalt welke identificatiegegevens worden verzameld en verwerkt. De te ruime delegatie aan de uitvoerende macht om de modaliteiten van de verwerking van en de toegang tot de identificatiegegevens van de eindgebruikers te regelen, houdt een schending in van het recht op de bescherming van het privéleven en van het gegevensbeschermingsrecht. Volgens het Hof werd de delegatie namelijk niet voldoende nauwkeurig omschreven, in zoverre zij niet bepaalt welke identificatiegegevens worden verzameld en verwerkt en welke identificatiedocument in aanmerking komen. Om rechtsonzekerheid te vermijden, handhaaft het Grondwettelijk Hof de gevolgen van de vernietigde bepaling en wil het de wetgever de kans geven om de nieuwe regeling af te stemmen op de nieuwe Dataretentiewet die volop in voorbereiding is. Het Hof geeft de wetgever daarom tot 31 december 2022 de tijd om de wettelijke basis voor de veralgemeende identificatieplicht van gebruikers van belkaarten te verstevigen.


Veroordeling ‘money mule’ wegens informaticabedrog

27 oktober 2021


Op 8 september 2021 deed het Antwerpse hof van beroep uitspraak in een ‘phishing’-dossier. In die zaak had het slachtoffer op een link in een e-mail geklikt om zogezegd internetbankieren aan te vragen en vervolgens de gevraagde handelingen uitgevoerd. Nadien bleek 6.427 euro van zijn Belgische bankrekening te zijn overgeschreven naar een Nederlandse bankrekening. Dat geld was grotendeels in Amsterdam afgehaald. De beklaagde die als zogenaamde ‘money mule’ of geldezel haar Nederlandse bankrekening ter beschikking stelde, werd in België vervolgd.


De correctionele rechtbank veroordeelde de beklaagde in eerste aanleg wegens witwassen (art. 505, lid 1, 2° Sw.). Het hof van beroep herkwalificeerde de feiten echter naar informaticasabotage. Dit misdrijf stelt het bedrieglijk verwerven van een onrechtmatig economisch voordeel via datamanipulatie strafbaar (art. 504quater Sw.). Door haar bankkaart en -code wetens en willens ter beschikking te stellen, bood de beklaagde noodzakelijke hulp aan het misdrijf informaticabedrog. Dat de beklaagde haar bankkaart zou zijn verloren, vond het hof ongeloofwaardig. De beklaagde deed immers nooit aangifte van het verlies of de diefstal én deed na de datum van het beweerde verlies nog bankverrichtingen. De beklaagde riep in dat zij daarvoor de app gebruikte, maar dan had ze ook via de app de verdachte verrichtingen op haar rekeningnummer moeten opmerken en actie ondernemen, bijvoorbeeld door aangifte te doen bij de politie. Het hof verklaarde de beklaagde dus schuldig aan het misdrijf informaticabedrog als mededader.


Bijzonder aan de uitspraak is dat het hof van beroep het misdrijf in België lokaliseert. Dit is opvallend aangezien de e-mail met de bewuste link vanuit het buitenland werd verstuurd, het geld naar een Nederlandse rekening werd overgeschreven en het geld vervolgens in het buitenland werd afgehaald. Alleen het slachtoffer bevond zich met andere woorden in België. Volgens vaste rechtspraak zijn de Belgische rechtbanken bevoegd wanneer minstens één van de constitutieve bestanddelen van een misdrijf zich in België afspeelt. Volgens het hof vond de datamanipulatie, namelijk het klikken op de bewuste link en het laten uitvoeren van de gevraagde bewerkingen, in België plaats en waren de Belgische rechtbanken dus bevoegd om over het misdrijf te oordelen. De Belgische rechters lijken zichzelf dus een quasi-universele cybercrimebevoegdheid toe te meten. Ook in het verleden interpreteerde de correctionele rechtbank van Dendermonde haar bevoegdheid al ruim door een hacking te lokaliseren in België, waar het slachtoffer zijn computer aanzette en werd geconfronteerd met de gevolgen van de hacking.


Antwerpen 8 september 2021, AR C/1198/2021, niet-gepubliceerd; Corr. Dendermonde 29 september 2008, T.Strafr. 2009, 1111.


Nieuw seksueel strafrecht in de maak

1 september 2021


De aanpak van seksuele misdrijven is een prioriteit van de huidige regering. Om niet te moeten wachten op de invoering van een volledig nieuw Strafwetboek, lanceerde de regering een afzonderlijk wetsontwerp dat voortgaat op de werkzaamheden van de Commissie voor de hervorming van het strafrecht. Het uitgangspunt om gedragingen strafbaar te stellen is niet langer de mate van inbreuk op de gezinsvrede, maar dat iedereen de vrije wil heeft om in te stemmen met seksuele handelingen. Het begrip toestemming is dus belangrijk en wordt uitdrukkelijk gedefinieerd.


Voorts verduidelijken de auteurs dat zogenaamde creepshots strafbaar zijn als voyeurisme. Een nieuwe rechtvaardigingsgrond moet primaire sexting tussen jongeren ouder dan 16 jaar uit de strafbaarheid halen, omdat dit een onderdeel is van hun seksuele ontplooiing. Tot slot benadrukken de auteurs van het ontwerp dat ze geen onnodige of overbodige misdrijven willen invoeren. Zo komt er geen aparte strafbaarstelling voor sextortion, omdat dit een vorm van afpersing is (art. 470 Sw.). Ook is er geen afzonderlijke strafbaarstelling voor het ongevraagd versturen van dickpicks, dat al strafbaar kan zijn als belaging (art. 442bis Sw.).


Eén geheel nieuw misdrijf spring in het oog. Volgens de auteurs van het ontwerp is het problematisch dat de rechtspraak het begrip goede zeden alleen toetst aan de seksuele norm en dat extreem gewelddadige beelden, zoals folteringen en onthoofdingen, niet hieronder vallen. Ze willen daarom een misdrijf invoeren dat “het vervaardigen of verspreiden van boodschappen van extreem pornografische of gewelddadige aard” strafbaar stelt. Dit omvat “het tentoonstellen, aanbieden, verkopen, verhuren, uitzenden, leveren, verspreiden, ter beschikking stellen, overhandigen, vervaardigen of invoeren, ongeacht het middel dat hiervoor wordt gebruikt”. Het begrip ‘extreem’ verwijst naar “elke boodschap die dermate pornografisch of gewelddadig is dat zij van aard is om bij een normaal en redelijk persoon traumatiserende of andere psychisch schadelijke gevolgen te weeg te brengen”. Wie zich schuldig maakt aan dit misdrijf, zou een gevangenisstraf van een maand tot twee jaar en een geldboete van 200 euro tot 2.000 euro (te vermeerderen met opdeciemen) riskeren. Er is voorzien in een verzwarende omstandigheid wanneer het misdrijf wordt gepleegd ten aanzien van een minderjarige of een kwetsbare persoon. De auteurs van het ontwerp stellen verder dat de bepalingen over kinderpornografie een lex specialis zijn ten aanzien van dit artikel.


Wie weigert mee te werken aan de verwijdering van niet-consensueel verspreide seksueel getinte beelden op bevel van de procureur des Konings is vandaag al strafbaar op grond van artikel 371/3 Sw. De auteurs van het wetsontwerp willen die strafbaarstelling uitbreiden tot wie weigert medewerking te verlenen aan de verwijdering van extreem pornografische en gewelddadige beelden. De auteurs van het ontwerp voegen het nieuwe misdrijf echter niet toe aan de lijst van de misdrijven in artikel 39bis, § 6 Sv. waarvoor de procureur des Konings een mondeling verwijderingsbevel kan geven. In tegenstelling tot wat het geval is voor niet-consensueel verspreide seksueel getinte beelden zou een bevel tot verwijdering van extreem gewelddadige en pornografische beelden dus alleen schriftelijk worden gegeven.


Voorontwerp dataretentiewet: gerichte bewaarplicht en beperking encryptie

1 juli 2021


Na de arresten van het Hof van Justitie vernietigde het Grondwettelijk Hof zoals verwacht de Belgische dataretentieplicht zoals ingevoerd door de wet van 29 mei 2016. De bevoegde ministers kondigden aan meteen werk te maken van een nieuwe wet. De regering keurde dat ontwerp al een eerste keer goed. De auteurs van het voorontwerp maken eerst en vooral van de gelegenheid gebruik om het toepassingsgebied van de bewaarplichten uit te breiden. Zij passen de terminologie alvast proactief aan conform het voorontwerp voor een Wetboek Elektronische Communicatie, dat een nieuwe ruimere definitie van ‘“elektronische communicatiediensten’” zou invoeren. Daardoor zouden ook over-the-top-providers, zoals WhatsApp, binnen het toepassingsgebied vallen.


Ook krijgen een hele resem nieuwe actoren toegang tot opgeslagen gegevens. Zo zouden de autoriteiten die bevoegd zijn voor de vervolging van inbreuken waarvoor een administratieve sanctie met strafkarakter kan worden opgelegd, toegang kunnen krijgen tot dezelfde bewaarde gegevens als de gerechtelijke autoriteiten in strafzaken. Daarnaast zou de inspectiedienst consumptieproducten van de FOD Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu bewaarde identificatiegegevens kunnen ontvangen. Ook het Belgisch Centrum voor Cyberveiligheid kan toegang krijgen tot bewaarde identificatie-, verkeers- en locatiegegevens. Die bevoegdheid kadert in een toenemende belangstelling voor de veiligheid van communicatienetwerken, onder andere met de uitrol van een 5G-netwerk in het achterhoofd, en de noodzaak om aanvallen op zulke netwerken te kunnen voorkomen en analyseren.


Het voorontwerp voorziet verder in een algemene bewaarplicht voor identificatiegegevens. Ook verkeers- en locatiegegevens kunnen algemeen worden bewaard als het dreigingsniveau voor de nationale veiligheid, bepaald door OCAD, voor het hele grondgebied ten minste drie is. Voor het overige voert het ontwerp een gerichte bewaringplicht in die enerzijds op lijstjes is gebaseerd van plaatsen die volgens de auteur van het ontwerp risicogevoelig zijn. Voorbeelden zijn havens, spoorweg- en metrostations, gemeentehuizen, snelwegen en ziekenhuizen. Anderzijds hangt de gerichte bewaarplicht af van de misdaadcijfers in geografisch afgebakende gebieden. Bewaring binnen een gerechtelijk arrondissement of politiezone zou mogelijk zijn wanneer er minstens drie (ernstige) strafbare feiten per 1.000 inwoners per jaar over een gemiddelde van de drie voorbije jaren werden vastgesteld. Hoe meer zware criminaliteit, hoe dieper de criminele activiteiten in het district geworteld zijn. Dan is de noodzaak volgens de auteurs des te groter om verder terug te gaan in de tijd om verbanden te leggen tussen dadergroepen en die te ontmantelen.


Opvallend is dat het voorontwerp ook versleutelingspraktijken aan banden legt. De auteurs lijken principieel voorstander te zijn van het gebruik van encryptiesystemen omdat ze een hoog niveau van vertrouwelijkheid van de communicatie en van de veiligheid van de betalingen garanderen. Versleutelingssystemen moeten noodcommunicatie altijd mogelijk maken. Metadata (identificatie-, verkeers- of locatiegegevens) mogen wel mogen worden versleuteld, maar moeten toch worden bewaard en kunnen worden opgevraagd door justitie en inlichtingendiensten. De inhoud van communicatie mag tot slot wel worden versleuteld, maar operatoren moeten binnen 24 uur hun systemen kunnen openstellen voor de kennisname van private communicatie door justitie of veiligheidsdiensten. Dit lijkt een poging om de rechtspraak op basis waarvan Skype al werd veroordeeld wegens gebrek aan medewerking met justitie, een wettelijke basis te geven.


Ondertussen publiceerde de Gegevensbeschermingsautoriteit haar advies op 28 juni 2021 over het voorontwerp. Op dezelfde dag werd het vernietigingsarrest in het Belgisch Staatsblad gepubliceerd. De bewaarplicht van telecomgegevens bestaat dus in België niet meer tot de eventuele inwerkingtreding van een nieuwe wet.


Bedreigingen op social media naar het hof van assisen

15 april 2021 (update: 27 oktober 2021)


Voor de eerste keer in België werd een man naar het hof van assisen verwezen wegens bedreigingen die hij op Twitter had geuit tegenover vrouwen en feministen (art. 327, lid 2 Sw.). In België geldt een bijzonder regime voor de berechting van drukpersmisdrijven: het hof van assisen is hiervoor bevoegd, tenzij de persmisdrijven zijn ingegeven door racisme of xenofobie (art. 150 Gw.). Sinds 2012 kunnen ook strafbare meningsuitingen op het internet als drukpersmisdrijven worden beschouwd. Dit leidde al meermaals tot straffeloosheid omdat de procedure voor assisen nogal omslachtig is. Nu werd echter voor de eerste keer een volksjury worden samengesteld om te oordelen over de strafbaarheid van meningsuitingen op sociale media.


Na twee pleitdagen veroordeelde het hof van assisen de beschuldigde op 13 oktober 2021 tot een gevangenisstraf van 12 maanden met uitstel. Ondanks het uitzonderlijke karakter van de veroordeling is de motivatie van het arrest bijzonder kort. De advocaat-generaal had ook een verbod op social media gevorderd, maar die probatievoorwaarde werd niet weerhouden. De vraag rijst welke impact die veroordeling zal hebben op de voorstellen die in het parlement op tafel liggen om de assisenprocedure voor drukpersmisdrijven te hervormen.


KI Luik 1 april 2021, niet-gepubliceerd; Hof van assisen Luik 13 oktober 2021, niet-gepubliceerd.