Voorwaarden en inhoud Lid 1

Deze bevoegdheid mag slechts worden uitgeoefend voor zover het belang van het onderzoek dit bepaaldelijk vordert. Het bevel kan dus niet worden gegeven met betrekking tot ieder willekeurig computersysteem dat wordt aangetroffen ter plaatse van de huiszoeking. Er zal, zo meen ik deze voorwaarde te kunnen vertalen, tenminste een gegrond vermoeden moeten bestaan dat zich in het litigieuze systeem voor het onderzoek relevante gegevens bevinden. Een zekere waarborg voor de geadresseerde van dit bevel, is er in gelegen dat de rechter (achteraf) zal kunnen toetsen of aan genoemde voorwaarde was voldaan.342

Anders: Van Dijk & Keltjens, a.w., p. 249. Deze auteurs menen dat een redelijke uitleg van deze

343

bepaling met zich mee brengt dat de bevoegdheid ruim moet worden geïnterpreteerd en dat derhalve het bevel ook nadien nog gegeven mag worden. Nog afgezien van het feit dat waar het om strafvorderlijke bevoegdheden gaat een restrictieve interpretatie meer geïndiceerd lijkt, gegeven de in het volgende hoofdstuk nog te bespreken wijziging die in het wetsvoorstel Computercrimi-naliteit II op dit punt wordt voorgesteld is de wetgever vooralsnog de andere mening toegedaan.

Het bevel kan worden gegeven ‘bij een doorzoeking of bij de toepassing van art. 125j’. Dit betekent dat het bevel alleen tijdens de doorzoeking (en dus niet achteraf nog) kan worden gegeven. Dat betekent ook dat als op basis van een andere343

bevoegdheid (bijvoorbeeld art. 96) een computer (een laptop) in beslag wordt genomen die beveiligd blijkt te zijn, de bevelsbevoegdheid ontbreekt.

Het bevel richt zich ‘tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van beveiliging van een geautomatiseerd werk’. Blijkens de memorie van toelichting is daarbij in de eerste plaats gedacht aan een systeembeheerder. Op grond van art. 125m lid 1 Sv mag ook dit bevel niet tot de verdachte worden gericht en op basis van art. 125m lid 2 jo art. 96a lid 3 kunnen de daar genoemde personen zich van het bevel verschonen. Dat heeft tot gevolg dat indien de verdachte zelf de beveiliging heeft aangebracht art. 125k geen soelaas zal bieden, hetgeen evenzeer het geval is indien bijvoorbeeld verdachte’s vader, die thuis de rol van systeembeheerder vervult, van zijn verschoningsrecht gebruik wil maken.

Inhoudelijk gaat het om (1) ‘toegang verschaffen tot het aanwezige geautomati-seerde werk of een deel daarvan’ terwijl de geadresgeautomati-seerde ‘desgevraagd’ hieraan gevolg dient te geven door (2) ‘kennis omtrent de beveiliging ter beschikking te stellen’. Dit deel van de bepaling zal er op neer komen dat ingeval (1) de geadresseerde de toegang verschaft (zonder iets over de beveiliging te hoeven onthullen) terwijl in situatie (2) justitie zich in feite zelf toegang verschaft nadat is uitgelegd hoe dat gegeven een bepaalde beveiliging moet. In veel gevallen zal dat betekenen dat een gebruikersnaam en wachtwoord ter beschikking wordt gesteld. Onder omstandighe-den kan het mijns inziens echter ook meer inhouomstandighe-den, bijvoorbeeld het aangeven welke programma’s moeten worden gestart om daadwerkelijk toegang tot gegevens te krijgen. Dit laatste natuurlijk alleen voor zover de betreffende programma’s deel uitmaken van een beveiliging of de facto (mede) die functie vervullen.

Lid 2

De tekst van dit tweede lid is niet bijzonder helder geformuleerd door het eerste lid ‘van overeenkomstige toepassing’ te verklaren. Het gaat hier immers niet om de (fysieke) toegang tot de gegevens zelf, maar om het ontsluiten van (de toegang

Heel mooi wordt dit punt verwoord door Koops die spreekt over de hermeneutische toegang tot

344

gegevens. E.J. Koops, Verdachte en ontsleutelplicht: hoe ver reikt nemo tenetur?, Deventer: Kluwer 2000, p. 18.

Aldus ook de toelichting op de tweede Nota van Wijziging, Kamerstukken II 1991/92, 21 551,

345

nr. 12, p. 6. Kaspersen meent echter dat naast de sleutel ook het algoritme ter beschikking moet worden gesteld en vindt dat dit onvoldoende gedekt wordt door het zinsdeel ‘ter beschikking stellen van kennis omtrent de beveiliging’. Daartegenover stelt Koops dat het in de meeste gevallen wel zo zal zijn dat het algoritme op de harde schijf van het onderzochte systeem staat zodat justitie dit gewoon kan kopiëren. Zie H.W.K. Kaspersen, ‘De wet Computercriminaliteit is er - nu de boeven nog’, a.w., p. 142 en E.J. Koops, Verdachte en ontsleutelplicht, a.w., p. 18. Overigens lijkt mij dit een typisch geval waarbij een welwillende interpretatie wel op zijn plaats is nu daardoor niet meer, of ruimere bevoegdheden ontstaan dan de wetgever expliciet heeft willen creëren. Bijvoorbeeld op basis van art. 95 (inbeslagneming bij aanhouding) of art. 96 (binnentreden ter

346

i.b.) en op basis van bijzondere wetten als de Opiumwet (art. 9).

In beginsel. Een uitzondering kan mijns inziens gemaakt worden met betrekking tot versleutelde

347

gegevens die tijdens de doorzoeking in het onderzochte systeem binnenkomen.

tot) de inhoud daarvan. Duidelijk is evenwel dat dit tweede lid een bevel tot344

decryptie mogelijk moet maken. De geadresseerde zal daaraan dan kunnen voldoen door de encryptiesleutel ter beschikking te stellen. Die geadresseerde is dan, vertaald345

naar het 1 lid, ‘degeen van wie redelijkerwijs kan worden vermoed dat hij kennise

draagt van de wijze van versleuteling’. In combinatie met het gegeven dat het bevel niet tot de verdachte mag worden gericht, ligt hier meteen een van de belangrijkste beperkingen van het decryptiebevel. Anders dan bij toegangsbeveiligingen waar systeembeheerders in de regel wel weg mee weten, is het bij de toepassing van encryptie meestal slechts de gebruiker zelf die de sleutel kent. Ingeval het dus de verdachte is die zijn gegevens heeft versleuteld staat justitie met lege handen.

Een andere beperking van deze bepaling die in het geval van het tweede lid extra doorwerkt is gelegen in het feit dat het bevel alleen tijdens de doorzoeking mag worden gegeven. Dat is in de praktijk problematisch aangezien bij dit soort onderzoeken vaak wordt volstaan met het kopiëren van gegevens (bijvoorbeeld de inhoud van een harde schijf) die pas nadien op het bureau inhoudelijk worden onderzocht. Als dan blijkt dat de gegevens versleuteld zijn kan het bevel niet meer gegeven worden.

Door de koppeling aan de doorzoeking (en de toepassing van art. 125j, eveneens tijdens een doorzoeking) wordt de mogelijkheid om in geval van de toepassing van andere bevoegdheden of dwangmiddelen een decryptiebevel te geven uitgesloten. Dat is met name een beperking voor de toch niet onbelangrijke categorie gevallen waarbij een systeem in beslag genomen wordt en er vervolgens onderzoek aan het in beslag genomen voorwerp wordt gedaan.346

Op grond van de aan deze bevoegdheid gestelde voorwaarden kan ten slotte nog worden opgemerkt dat een decryptiebevel in beginsel alleen gegeven kan worden met betrekking tot opgeslagen gegevens. Op versleutelde gegevens die bijvoorbeeld347

Hij achtte verder (inter)nationaal overleg noodzakelijk. Handelingen II, 24 juni 1992, 93-5868.

348

E.J. Koops, The Crypto Controversy. A key Conflict in the Information Society, (Diss. Tilburg), Den

349

Haag: Kluwer Law International 1999. Zoals direct afluisteren en infiltratie.

350

Zie voor een overzicht van deze discussie: E.J. Koops, Verdachte en ontsleutelplicht: hoe ver reikt nemo

351

tenetur?, a.w., p. 20-23.

in het kader van een telecommunicatietap worden verkregen is zij derhalve niet van toepassing.

Al met al zijn de mogelijkheden om een ontsleutelbevel te geven dus nogal beperkt. Daardoor is de waarde van dit tweede lid van art. 125k voor de praktijk nogal twijfelachtig. Dat werd ook ten tijde van de totstandkoming van de Wet Computercriminaliteit wel onderkend. Naar aanleiding van kamervragen hierover gaf de minister echter te kennen de tijd nog niet rijp te achten voor verdergaande maatregelen. 348

Dat was in 1992. Sedertdien is de verhouding tussen de justitiële en particuliere belangen die met het gebruik van crytografie gemoeid zijn voorwerp van discussie gebleven zonder dat dit overigens tot nieuwe regelgeving heeft geleid (stand van zaken zomer 2002). Dat het in de praktijk ook moeilijk, zo niet onmogelijk is een wettelijke regeling te treffen die beide belangen voldoende recht doet blijkt uit de dissertatie van Koops waarin hij verschillende oplossingsmogelijkheden en het te verwachten effect daarvan onderzoekt.349 Koops constateert dat er aan maatregelen als het alleen toestaan van bepaalde (voor justitie kraakbare) vormen van encryptie, verplichte sleuteldeponering bij Trusted Third Parties (TTP’s) en de doorbreking van het nemo tenetur beginsel door verdachten een medewerkingsplicht op te leggen aanzienlijke nadelen kleven terwijl het te verwachten positieve effect voor de opsporing gering lijkt. Dit, gecombineerd met het feit dat het gebruik van encryptie door criminelen ten tijde van het afronden van zijn proefschrift (1998) nog geen echt grote vlucht had genomen en justitie bovendien op basis van de destijds aanhangige Wet Bijzondere Opsporingsbevoegdheden enkele bevoegdheden kreeg aangereikt die ook in de strijd tegen de cryptocrimineel zouden kunnen worden ingezet, bracht hem tot de conclusie dat de ‘nul optie’ (d.w.z. geen wettelijke350

maatregelen) op dat moment het meest voor de hand lag.

In 1998 was de discussie overigens nog even heftig opgelaaid door het bekend worden van een voorontwerp van de Wet Computercriminaliteit II waarin voorzien werd in een wijziging van art. 125m die er op neer kwam dat het in art. 125k lid 2 bedoelde decryptiebevel onder bepaalde omstandigheden ook tot de verdachte zou mogen worden gericht. Dit voorstel bleek echter dermate controversieel dat het nog voordat het Wetsvoorstel Computercriminaliteit II aan de Tweede Kamer werd aangeboden weer werd ingetrokken. Zou de wetgever de herinvoering351

Zie vorige noot, p. 101 (citaat afkomstig uit de conclusies).

352

Kamerstukken II 1989/90, 21 551, nr. 3, p. 28. De volledige toelichting luidt: ‘In deze bepaling

353

zijn de waarborgen van artikel 98 overgenomen en aangepast aan de situatie van gegevensopslag in een geautomatiseerd werk. Deze bepaling is blijkens artikel 113, tweede lid, eveneens van toepassing op het onderzoek door de rechter-commissaris’. Deze laatste zin zal wel bedoeld zijn om aan te geven dat art. 125l in dit opzicht geen verdergaande beperkingen stelt dan art. 98 lid 2. Het tweede lid van het inmiddels bij de Wet Herziening GVO vervallen art. 113 maakte

aan de hand van een tweede studie van Koops, waarin hij met krachtige en aansprekende argumenten betoogt dat de invoering van een ontsleutelplicht voor de verdachte (vooralsnog) géén voorkeur verdient: ‘Er zijn zwaarwegende argumenten tegen een ontsleutelplicht voor verdachten: een dergelijke plicht raakt de kern van het nemo tenetur beginsel, er zijn geen precedenten in de huidige wetgeving die een dergelijke inbreuk rechtvaardigen, terwijl de plicht weinig effectief zal zijn vanwege handhavingsproblemen. Voor de ontsleutelplicht pleiten alleen de specifieke aard van het probleem en de overweging dat andere manieren om dit aan te pakken nóg erger zijn, terwijl ook de aard en ernst van de problemen voor justitie gewicht in de schaal kunnen leggen. In dit laatste bestaat echter onvoldoende inzicht. Maar zelfs al zou blijken dat de cryptoproblemen een groot en ernstig probleem voor de opsporing opleveren, dan blijft het gebrek aan effectiviteit van een ontsleutelplicht een belangrijke overweging tegen een gesanctioneerde bevoegdheid’.352

4.3.5 Art. 125l 1. Mutaties

Tekst oorspronkelijk ontwerp

Naar gegevens die zijn ingevoerd door of vanwege personen met bevoegdheid tot verschoning als bedoeld in artikel 218, vindt, tenzij met hun toestemming, geen onderzoek plaats voor zover daartoe hun plicht tot geheimhouding zich uitstrekt. Een onderzoek in een geautomatiseerd werk waarin zodanige gegevens zijn opgeslagen, vindt, tenzij met hun toestemming, slechts plaats, voor zover dit zonder schending van het stands-, beroeps- of ambtsgeheim kan geschieden.

De tekst van deze bepaling is niet meer gewijzigd.