Vorige week in HUMO: VRT-journalist Bart Aerts over de huiszoeking waarbij zijn iPhone in beslag werd genomen: “Ze hebben mij in Brugge gevraagd om mijn toegangscode en pincode op een papiertje te schrijven. Uiteindelijk heb ik mijn toegangscode gegeven. Ik was murw, ik had al die tijd niets gegeten. Ik dacht: ‘anders blijft het hier maar duren’. (…) Het gebeurde onder lichte dwang. Ze zeiden dat een team van specialisten er hoe dan ook in zou slagen mijn iPhone uit te lezen.”

Hoe zit het nu eigenlijk met het uitlezen van smartphones en andere digitale apparaten in strafzaken en vooral: kan een verdachte verplicht worden om het toestel te ontgrendelen of de code te geven?

Een massale bron van informatie

De hoeveelheid gegevens die vandaag de dag op een smartphone worden opgeslagen, is enorm. Het gaat daarbij uiteraard al lang niet meer enkel over de traditionele telefoniegegevens (zoals het tijdstip en de duur van een gesprek of de inhoud van tekstberichten). Bij zowat iedereen biedt de smartphone ook toegang tot e-mails, surfgedrag, foto’s en zelfs bezochte locaties. Ook het opslaan van medische gegevens (hartslag, calorieverbruik, …) vindt meer en meer toepassing. En dan zijn er uiteraard nog talloze apps waarin allerhande gegevens kunnen worden bewaard.

Het spreekt dus voor zich dat de inhoud van een smartphone of andere toestellen (bijvoorbeeld een smartwatch of een tablet, maar evenzeer een laptop of desktop) voor opsporingsinstanties een bijzonder belangrijke bron van informatie kan opleveren. Daar staat ook tegenover dat de inbreuk op de privacy die met het doorzoeken van een smartphone gepaard gaat, immens kan zijn.

Face ID, Touch ID, passcode

Uiteraard kunnen deze toestellen wel in beslag worden genomen in het kader van een strafonderzoek, maar dat betekent nog niet noodzakelijk dat de onderzoekers daarmee ook kennis kunnen nemen van de inhoud ervan. De meeste toestellen zijn immers vergrendeld en kunnen maar worden ontgrendeld door het ingeven van een wachtwoord of door gebruik te maken van biometrie. Het gebruik van vingerafdrukken is intussen al ingeburgerd sedert de invoering van Touch ID. Recent werd ook Face ID aangekondigd, waarbij het zal volstaan dat de gebruiker een iPhone aankijkt om die te ontgrendelen.

Alhoewel de inhoud van een smartphone erg regelmatig wordt gebruikt in strafzaken, is het opvallend dat daarbij zelden de vraag aan bod komt of een verdachte eigenlijk wel kan gedwongen worden om de onderzoekers toegang te verschaffen tot zijn smartphone (of eender welk ander toestel). Het antwoord op die vraag is echter niet zo voor de hand liggend.

Hacking door de politie

Alvorens die vraag te beantwoorden, moet erop gewezen worden dat onderzoekers in elk geval de inhoud van een of ander in beslag genomen toestel mogen raadplegen wanneer zij dat kunnen doen. Is het toestel niet beveiligd met een wachtwoord of toegangssysteem, dan belet niets de onderzoekers het toestel te onderzoeken of de inhoud ervan te kopiëren. Is er wel sprake van beveiliging, dan kunnen de onderzoekers sedert de wet digitaal speurwerk van 25 december 2016 trachten de beveiliging op te heffen, bijv. door het gebruik van decryptiesoftware of zelfs malware (art. 39bis, §5 Wetboek van Strafvordering).

Meer nog, men kan zelfs trachten vanop afstand heimelijk toegang te verkrijgen tot een computersysteem (bijv. een smartphone) door middel van hacking. Op die manier kan niet alleen de inhoud van dat systeem worden geraadpleegd, maar kan men ook in real time volgen wat er op het toestel gebeurt (art. 90ter en volgende Wetboek van Strafvordering). De ultieme observatie dus: niet enkel afluisteren, maar meteen ook locatiegegevens bekomen en allerhande andere gegevens.

Verplichte medewerking van de verdachte?

Terug naar de hoger gestelde vraag. Is er geen sprake van een heimelijke hacking, maar van een eenvoudige inbeslagname van een toestel dat vergrendeld is, dan zijn er voor de onderzoekers twee opties. Ofwel slagen zij er zelf in om toegang te verkrijgen tot het toestel, ofwel vragen zij de verdachte het toestel te ontgrendelen of het wachtwoord of de code op te geven.

De eerste optie is niet zo voor de hand liggend. Een degelijk aangemaakte code is heden ten dage immers niet eenvoudig te kraken. De tweede optie levert geen probleem op als de verdachte vrijwillig instemt, maar wat als hij weigert?

Een pasklaar antwoord op die vraag biedt de wet niet.

Art. 88quater, §2 van het Wetboek van Strafvordering voorziet wel in de mogelijkheid om bepaalde personen te verplichten om mee te werken aan een zoeking in een informaticasysteem door zelf het systeem te bedienen. De weigering dat te doen, is strafbaar. Een dergelijk bevel kan echter niet worden gegeven aan de verdachte of zijn familieleden (namelijk de bloedverwanten in de opgaande of de nederdalende lijn, de broers en zussen of aanverwanten in dezelfde graad, en de vrouw of man, zelfs na echtscheiding).

Daarnaast voorziet art. 88quater, §1 van het Wetboek van Strafvordering in een medewerkingsverplichting voor eenieder die een bijzondere kennis heeft van het te onderzoeken systeem (bijv. softwarespecialisten of beveiligingsexperten). Met betrekking tot die verplichting is niet uitdrukkelijk vermeld dat het bevel niet aan de verdachte of zijn familie kan worden gegeven. Het hof van beroep te Gent besliste alvast dat deze bepaling niet zo kan worden gelezen dat de verdachte kan worden gestraft als hij weigert zijn logingegevens op te geven (Gent 23 juni 2015, NJW 2016, 134 en T.Strafr. 2016, 239).

Nemo tenetur en zwijgrecht

Dat het moeilijk ligt een verdachte te verplichten om zijn logingegevens prijs te geven, heeft te maken met het beginsel nemo tenetur. Dat houdt in dat de overheid niemand kan dwingen zichzelf te incrimineren. Het beginsel is ruimer dan het loutere recht om te zwijgen, maar houdt daarmee wel verband. Deze principes behoren tot de internationaal erkende standaarden die de kern uitmaken van het recht op een eerlijk proces. Ze dragen ertoe bij dat een verdachte beschermd wordt tegen fysieke of psychische druk om mee te werken aan de bewijsvoering en zetten er de overheid toe aan om de schuld van de verdachte te bewijzen zonder zich te beroepen op middelen die ingaan tegen de vrije wil van de verdachte. Verder is er ook een verband met het vermoeden van onschuld en het feit dat de bewijslast op de schouders van de overheid rust. De overheid mag die bewijslast niet omdraaien door de verdachte te verplichten tot medewerking.

Of de verplichting tot medewerking de vrije wil aantast, blijkt voor het EHRM (Europees Hof voor de Rechten van de Mens) belangrijk te zijn. Daarom is verboden om een verdachte te dwingen een verklaring af te leggen (zie bijv. EHRM 21 december 2000, Heany & McGuiness t. Ierland). Wat wel kan, is het toepassen van dwang om bewijs te verzamelen dat bestaat onafhankelijk van de vrije wil van de verdachte. Hij kan dus gedwongen worden iets te doen voor zover dat niet leidt tot een onmenselijke of vernederende behandeling of tot een aantasting van de fysieke of psychische integriteit en voor zover het geen dwang betreft om te spreken. Men kan een verdachte dus dwingen om bloed of speeksel af te staan of een urinetest of een stemtest te ondergaan, maar men mag hem bijv. geen braakmiddel toedienen om zijn maaginhoud te kunnen controleren (EHRM 11 juli 2006, Jalloh t. Duitsland). Bij die beoordeling komt wel wat casuïstiek te pas. Het EHRM zal namelijk nagaan of het gebruik van dwang niet heeft geleid tot een al te grote aantasting (of zelfs uitholling) van het zwijgrecht en van het recht om niet te worden gedwongen mee te werken aan de eigen veroordeling. Daarbij worden verschillende factoren in rekening gebracht: de aard en de intensiteit van de gebruikte dwang, het bestaan van procedurele waarborgen die gepaard gaan met de dwanguitoefening en het gebruik van het aldus bekomen bewijs in de strafzaak (bijv. EHRM 29 juni 2007, O’Halloran & Francis t. het Verenigd Koninkrijk).

Toepassing op computersystemen?

Alhoewel er nog geen rechtspraak is van het EHRM waarbij deze principes worden toegepast op de verplichting tot ontgrendeling van computersystemen, lijken de volgende uitgangspunten waarschijnlijk wanneer voortgebouwd wordt op de bestaande rechtspraak:

• De verplichting om een wachtwoord op te geven, komt feitelijk neer op de verplichting om een verklaring af te leggen. Dat is dus verboden want in strijd met het zwijgrecht.
• De verplichting om zelf het wachtwoord in te geven in het computersysteem, komt neer op dwang tot het stellen van een handeling die afhankelijk is van de vrije wil. Het wachtwoord is namelijk enkel gekend in de geest van de verdachte en bestaat niet los van zijn vrije wil. Deze verplichting is dus wellicht verboden want in strijd met het beginsel nemo tenetur.
• De dwang gebruikt om een computersysteem te ontgrendelen via biometrie (bijv. door de vinger van de verdachte onder dwang op het toestel te plaatsen) lijkt mogelijk omdat de biometrische gegevens los staan van de vrije wil van de verdachte. Deze categorie kan wel de meeste problemen opleveren. Wat bijv. met Face ID? Kan de verdachte gedwongen worden de ogen open te houden of is ook dat afhankelijk van de vrije wil?

Een en ander toont wel aan dat een benadering van het zwijgrecht en het beginsel nemo tenetur waarbij vooral het criterium van de vrije wil centraal staat, niet eenvoudig toe te passen is in een digitale leefwereld.

Wellicht vereist een logische oplossing dat teruggegrepen wordt naar wat met het beginsel nemo tenetur en het zwijgrecht in wezen beoogd wordt, namelijk het verhinderen dat de verdachte moet prijsgeven wat hij weet om op die manier het onderzoek vooruit te helpen. Niet zozeer het verhinderen dat de verdachte gedwongen wordt om iets te doen. Maar ook wat dat betreft is de grens soms dun. Men kan een verdachte bijv. niet verplichten om uit een grote stapel documenten die documenten te filteren die voor hem belastend zijn. De onderzoekers kunnen de stapel wel zelf onderzoeken, maar kunnen de verdachte dus niet dwingen een selectie te maken (voor zover dat al slim zou zijn). Net zomin kan men een verdachte dwingen om bijv. de zwarte boekhouding waarvan men weet dat die ergens in een pc verborgen zit, bloot te leggen. Het verbod tot gedwongen zelfincriminatie gaat dus wel degelijk verder dan het verbod op afgedwongen verklaringen.

Maar wat als wat de verdachte weet eigenlijk niets meer is dan een sleutel tot allerhande informatie die er is (in de vorm van bestanden zoals gescande documenten, foto’s, notities, een digitaal dagboek, …)? In de werkelijke wereld kan dergelijke informatie perfect in beslag genomen worden. Bestaat diezelfde informatie slechts virtueel of digitaal, dan is het heel wat makkelijker voor een verdachte om die informatie voor de onderzoekers verborgen te houden. Men zou zich dus kunnen afvragen of dat nog wel strookt met de doelstellingen van het beginsel nemo tenetur en het zwijgrecht.

Toch lijkt ons die vaststelling niet van aard om af te wijken van het uitgangspunt dat een verdachte niet kan gedwongen worden iets te zeggen (of te schrijven), zoals een passcode of een wachtwoord. Er zijn namelijk ook heel wat praktische bezwaren tegen een dergelijke verplichting. Zo zal een verdachte die gedwongen wordt een wachtwoord op te geven, heel dikwijls verklaren dat niet meer te kennen. Of hij zal een verkeerd wachtwoord opgeven, of verbaasd zijn wanneer het nochtans juiste wachtwoord ‘niet meer werkt’. Of hij zal gewoonweg ontkennen dat het een toestel is dat door hem wordt gebruikt. Er ontstaan dan heel wat discussies over de vraag of de verdachte al dan niet geloofwaardig is in zijn stelling. Een andere kwestie is hoe de weigering om mee te werken dan wel bestraft moet worden. De neiging om niet mee te werken, zal immers afhangen van de straf die men riskeert als men dat wel doet. En die is uiteraard niet altijd dezelfde. En ten slotte: het dwingen van een verdachte om iets te zeggen, ook al is het maar een ‘sleutel’ tot hard bewijs, komt hoe men het ook draait of keert, neer op het verplicht moeten prijsgeven van iets wat enkel bestaat in gedachten. Dat is een grens die niet kan overschreden worden. Stel dat de wetenschap ooit in staat zou zijn om gedachten te lezen of een waarheidsserum te ontwikkelen dat 100% betrouwbaar is, dan nog zouden die technieken niet kunnen worden gebruikt in strafzaken. Omdat ze de kern van het zwijgrecht aantasten en in strijd zijn met de menselijke waardigheid.

Wat dus wel kan, zoals hoger al beschreven, is het gebruik van dwang om een toestel te ontgrendelen via biometrie. Al kan dat op zich wel tot twistpunten aanleiding geven, zoals bij Face ID. Of stel dat er zoiets komt als Voice ID: kan de verdachte dan gedwongen worden iets te zeggen, bijv. “Hey Siri, hier ben ik”?

Maar ook het onderscheid tussen dwang tot zeggen of doen, leidt echter tot enigszins onlogische gevolgen. Zo is een verdachte die geen gebruik maakt van biometrie maar enkel van een klassiek wachtwoord of van een klassieke passcode, beter beschermd dan de verdachte die dat wel doet …

Loyauteit van de bewijsgaring

Op basis van het voorgaande, zou men kunnen oordelen dat de verdachte die gebruik maakt van encryptie of een passcode best wel goed beschermd is. In de praktijk is dat misschien fictie en dat niet enkel omdat biometrische toegangscodes soms manipuleerbaar zijn. Kunnen onderzoekers namelijk niet op een heimelijke manier proberen een wachtwoord of een passcode te achterhalen? Bijv. door het installeren van keyloggers of simpelweg door het observeren van een verdachte, desnoods met technische hulpmiddelen? Of door het installeren van camera’s in een woning via een inkijkoperatie? Niets lijkt dat inderdaad in de weg te staan, voor zover uiteraard wel aan de voorwaarden voldaan is om deze onderzoekstechnieken aan te wenden.

Ook de verplichting om te waken over de loyauteit van de bewijsgaring (art. 28bis, §3 en art. 56, §1 van het Wetboek van Strafvordering) verzet zich er niet tegen dat men heimelijk een wachtwoord of passcode achterhaalt. Er is namelijk niets deloyaals aan het op een wettelijke manier aanwenden van een onderzoekshandeling om een sleutel te vinden of te achterhalen. In de werkelijke wereld kan men een sleutel van een kluis vinden bij een huiszoeking, in de digitale wereld door observatie of hacking. Van deloyale bewijsgaring zou maar sprake kunnen zijn als men door list bekomt dat de verdachte het wachtwoord zegt terwijl hij eerder heeft verklaard dat niet te willen doen (zie naar analogie EHRM 5 november 2002, Allan t. het Verenigd Koninkrijk).

Dat leidt wel tot een paradox: aangezien de verdachte niet kan gedwongen worden een wachtwoord op te geven ter bescherming van zijn zwijgrecht, zullen onderzoekers technieken aanwenden die een verregaande inbreuk op het privé-leven van de verdachte (en mogelijks van derden, bijv. degene die samenwonen met de verdachte) met zich brengen om hetzelfde resultaat te bereiken (namelijk het achterhalen van het wachtwoord).

Wat doet men in het buitenland?

Uiteraard is België niet het enige land waar de vraag naar gedwongen ontgrendeling zich stelt. Het is dan ook interessant even over de grenzen heen te kijken.

In de Verenigde Staten is er nog geen uniforme oplossing. Zo werd er al geoordeeld dat het privilege against self-incrimination zich ertegen verzet om een verdachte te verplichten de passcode van zijn iPhone op te geven, maar ook het tegenovergestelde standpunt werd al ingenomen. Wat wel al duidelijk is gebleken, is dat dwang om een iPhone te ontgrendelen via Touch ID wel kan.

In Nederland lijkt nog geen rechtspraak te bestaan over de vraag of de politie dwang kan gebruiken bij Touch ID. Er is wel eensgezindheid over het feit dat een verdachte niet kan gedwongen worden een wachtwoord of passcode op te geven. Een wetsvoorstel om dat wel mogelijk te maken, werd na felle kritiek geschrapt.

In Noorwegen werd door het Hooggerechtshof op 30 augustus 2016 geoordeeld dat een verdachte niet kan worden gedwongen om een passcode of wachtwoord op te geven, maar ook niet om mee te werken aan het ontgrendelen van een toestel via biometrie zoals Touch ID. Recent werd echter een wet aangenomen die dat laatste nu wel mogelijk maakt.

Er zijn echter ook enkele landen waar een verdachte onder bepaalde voorwaarden wel kan worden verplicht om een wachtwoord of een passcode op te geven. De weigering daaraan mee te werken, wordt dan strafbaar gesteld. Dat is bijvoorbeeld zo in het Verenigd Koninkrijk op grond van sectie 49 e.v. van de Regulation of Investigatory Powers Act 2000. Daarvan werd echter tot heden nog maar sporadisch gebruik gemaakt, wat ook verklaart dat er nog geen beslissing is van het EHRM over deze problematiek.

Auteur: Joachim Meese

Mr. Meese is vennoot bij Van Steenbrugge Advocaten en tevens professor strafrecht aan de Universiteit Antwerpen.

Voor meer artikels van Van Steenbrugge Advocaten, klik hier.