Als je recent de krant las heb je zeker operatie Sky voorbij zien komen, de grootschalige actie waarbij de Nederlandse en Belgische politie de onkraakbaar gewaande versleutelde chatdienst Sky ECC gekraakt hebben. De chatdienst was enkel beschikbaar via speciaal daarvoor ingestelde smartphones. Sky ECC adverteerde zichzelf als de ultieme dienst voor mensen die maximale privacy vereisen.
Aan die maximale privacy hing een heel stevig prijskaartje en het was dan ook al sinds 2016-2017 duidelijk dat de dienst heel populair was bij criminelen in het drugsmilieu om hun onderlinge communicatie voor de politie te verbergen. Het onderzoek naar Sky ECC start midden 2018 nadat de Antwerpse politie een zoveelste partij cryptofoons in beslag neemt.
Ofschoon het onderzoek hier en daar vooruitgang boekt duurt het tot eind 2020 voor de politie onderschepte berichten ook effectief kan ontsleutelen en dus kan meelezen met de criminelen. Omdat de stroom van berichten zo groot is moet artificiële intelligentie worden ingezet om de berichten te filteren en te beheren, waarbij zich het probleem stelt dat criminelen alternatieve woorden gebruiken om bepaalde dingen aan te duiden. Opdat de artificiële intelligentie de relevante vermeldingen in de berichten zou vinden moet dus eerst het jargon ontdekt worden. Pas eens dat gelukt is kan de politie de fysieke actie op poten zetten. Op die manier duurt het tot 9 maart 2021 tot de politie op basis van het verkregen bewijs op meer dan tweehonderd adressen in ons land binnenvalt.
Na de actie staat de politie voor een moeilijk keuze: wat te doen met alle berichten die nog niet ontcijferd werden of nog niet gebruikt als bewijs omdat de artificiële intelligentie ze niet als relevant had aangemerkt op basis van de zoektermen gebruikt door de speurders? De omvang van de berichten is enorm en het verdere verwerken zou enorm veel tijd kosten.
Een andere bezorgdheid is ook het feit dat Sky ECC ook wel legitieme gebruikers zal gehad hebben, wiens privacy mogelijk geschonden werd en bijkomend geschonden kan worden door verder onderzoek, al is het mogelijk voor legitieme gebruikers om zich bij de Belgische politie te melden zodat hun data in de mate van het mogelijke uit het verdere onderzoek kan worden geweerd.
Hoewel deze politieactie duidelijk een groot succes was, roept de actie bij vele mensen ook vragen op rond de bescherming van hun privacy bij het gebruik van hun smartphone, die bijna per definitie minder beschermd is dan de cryptofoons van Sky ECC. Daarbij dringt zich ook het feit op dat de gemiddelde smartphone bijzonder veel gevoelige informatie bevat over de gebruiker van het toestel en anderen waarmee deze persoon communiceert (familie, vrienden, kennissen, collega’s). Sky ECC was een schoolvoorbeeld van een dienst die op zich verdacht was en een heel beperkt aantal gebruikers had die de dienst vermoedelijk nagenoeg uitsluitend gebruikten voor criminele doeleinden. Bij een gewone smartphone is dat echter anders.
Niettemin worden ook gewone smartphones dagdagelijks gebruikt voor het faciliteren van criminaliteit en worden dus door de politie geviseerd als bewijs. Bovendien is niet elke crimineel georganiseerd en dus gebruiken velen dezelfde gewone smartphone en dezelfde accounts voor zowel hun criminele als hun legitieme gedrag. En zoals gezegd bevat de gemiddelde smartphone niet alleen informatie omtrent die criminele communicatie maar ook heel wat onschuldige gegevens, inclusief gegevens van/over andere personen dan de verdachte, zoals bv. berichten en foto’s van familie en vrienden.
Niet enkel de privacy van de verdachte is dus in gevaar, maar ook de privacy van iedereen met wie de verdachte in contact is geweest. De politie moet daarom steeds een afweging maken tussen haar legitieme belang op strafbare gedragingen te vervolgen en de privacy en andere grondrechten van de betrokkenen. Enige inmenging op de privacy van de verdachte is natuurlijk onvermijdbaar maar er is geen reden om puur persoonlijke en irrelevante informatie op de smartphone te verwerken in het onderzoek. De balans daarbij is niet steeds eenvoudig, aangezien de politie ook de taak heeft om voldoende breed onderzoek te voeren zodat het zowel elementen ‘à charge’ als ‘à décharge’ kan verzamelen.
Bovendien worden ook smartphones van getuigen en slachtoffers steeds meer als bewijs aangewend in strafrechtelijk onderzoek. Dat is logisch omdat die smartphones vaak heel wat belangrijke informatie bevatten om bepaalde handelingen aan de verdachte te kunnen linken. Maatregelen kunnen ook worden genomen in verband met een smartphone waarvoor de politie aanwijzingen heeft dat de smartphone in het bezit is van een relevant persoon maar ook daar kunnen zich fouten voordoen (bv. de smartphone werd door de verdachte eerder gebruikt maar is nu in bezit van een onschuldige persoon in zijn/haar huishouden) en dus moet de politie steeds bedachtzaam optreden. Als je je daarbij voorstelt hoeveel informatie de gemiddelde smartphone bevat en wat daaruit allemaal af te leiden valt, niet enkel over de eigenaar of gebruiker van het toestel, maar potentieel ook over familie, vrienden, kennissen, professionele contacten enz. dan is het vrij duidelijk dat het onnodige verwerken van die gegevens een stevige inbreuk vormt op de privacy van betrokkenen.
In al de voorgaande gevallen moet de politie er dus voor zorgen dat er geen buitensporige inmenging ontstaat in de privacy van alle betrokkenen. De afweging is daarbij wel verschillend afhankelijk van de ‘status’ van de betrokkene en het betrokken misdrijf. In het bijzonder de verdachte zal logischerwijs meer inmenging moeten dulden. Bovendien komt bij een buitensporige inmenging niet enkel de privacy van de betrokkenen mogelijks in het gedrang. Het overmatige verwerken van gegevens op de smartphone zou ook kunnen leiden tot zogenaamde ‘fishing expeditions’, waarbij de politie lukraak op zoek gaat naar informatie op de smartphone die een indicatie zou kunnen zijn van crimineel gedrag zonder enig spoor of enige aanwijzing en buiten de context van het lopende onderzoek.
Gelukkig voorziet de wet bepaalde waarborgen om de vertrouwelijkheid van elke smartphone te beschermen en die zijn net dezelfde voor een bijzonder goed beschermde dienst zoals Sky ECC als voor een gewone smartphone. Onderscheppen van berichten en communicatie en andere geheime maatregelen is sowieso aan strenge voorwaarden onderworpen en moet in België worden toegestaan door de onderzoeksrechter. Ook het uitlezen of kraken van een smartphone door de politie is onderworpen aan voorwaarden, die verschillen naar gelang de smartphone reeds in beslag is genomen (bv. na een huiszoeking) of niet (bv. tijdens een verhoor of op de plaats van het misdrijf). Wanneer het uitlezen van een smartphone mogelijk is moet overigens een afzonderlijk mandaat bestaan om toegang te krijgen tot informatie die niet op het geheugen van het toestel zelf staat, maar wel via het toestel toegankelijk is, een zogenaamde netwerkzoeking. Dit moet toegestaan worden door de onderzoeksrechter. Bovendien gelden er nog algemene principes inzake privacy en proportionaliteit zelfs wanneer er een rechtsgrond is die de inmenging in principe rechtvaardigt, zodat deze niet buitensporig wordt.
De politie kan daarbij tools gebruiken die het technisch mogelijk maken om een smartphone te kraken, uit te lezen en de gegevens die er op te vinden zijn de ontsleutelen en te analyseren. Wanneer de smartphone fysiek in het bezit is spreken we van mobiele forensische tools. Wat mogelijk is hangt af van het type smartphone en de beschikbare technologie. Kan de politie jouw smartphone dus kraken? Ja, mogelijks wel, maar niet zonder gegronde reden.
In kader van het FORMOBILE project heeft Timelex onderzoek gedaan naar de wetgeving in alle landen van de EU inzake het kraken en uitlezen van smartphones en andere mobiele toestellen. Daarbij gaat het uiteraard ook om het ontsleutelen en analyseren van gegevens die op die toestellen te vinden zijn (inclusief middels artificiële intelligentie) om als bewijs te dienen in strafrechtelijk onderzoek. Het onderzoek ging vooral over mobiele forensische tools, waarbij verondersteld wordt dat de smartphone in het bezit is van de politie (al dan niet in beslag genomen). Niettemin kwamen ook andere relevante onderwerpen besproken in deze blogpost aan bod, zoals de voorwaarden voor het nemen van geheime maatregelen, bv. voor het onderscheppen van berichten.
Het onderzoek had als doel in kaart te brengen wat de wettelijke voorwaarden zijn voor het gebruik van dergelijke tools door de politie en welke beperkingen en waarborgen de wet voorziet, in het bijzonder ter bescherming van de gebruiker/eigenaar van het toestel en andere betrokkenen. Daarbij werd ook aandacht geschonken aan de ‘status’ van de betrokkene, in het bijzonder het verschil in behandeling tussen de verdachte(n) en getuigen of slachtoffers. Ook relevant was het heimelijk of open karakter van de handelingen van de politie en bij open handelingen werd ook mee in rekening gebracht of een smartphone reeds in beslag genomen was of niet.
Als je meer wil weten over de wettelijke situatie in België, in de EU of in een ander specifiek EU-land, bekijk dan het FORMOBILE project. Als je op die pagina naar beneden scrolt vind je alle nationale rapporten in het Engels, alsook het overkoepelende Europees rapport.
Heb je een specifieke vraag of wens je ondersteuning in deze materie? Contacteer dan een advocaat van Timelex.