In het vorige deel gingen we in op de vraag in welke mate de politie en het parket gegevens op sociale media kunnen verkrijgen en gebruiken als bewijs in een strafrechtelijk onderzoek. Het werd duidelijk dat sociale media platformen gezien moeten worden als ‘publieke plaatsen’ en deze dus vrij te gebruiken zijn, ook voor politie en justitie.
De vraag is echter of alle plaatsen op sociale media wel ‘publieke plaatsen’ zijn en dus voor iedereen toegankelijk? Denk aan gesprekken via Messenger, Instagram of Whatsapp of e-mailverkeer. Deze zijn toch privé?
In deel 2 gaan we na of politie en justitie zomaar private sociale media kan onderscheppen en gebruiken als bewijsmateriaal in het kader van het strafrechtelijk onderzoek.
Tevens onderzoeken we in welke mate providers van sociale media, zoals Facebook, verplicht kunnen worden om mee te werken aan het onderzoek.
De private sociale media
De private communicatiemogelijkheden, zoals Messenger, die socialemediaplatformen voorzien en de versleutelde gedeelten van het internet zijn een ander verhaal, in vergelijking tot openbare gegevens die worden gedeeld.
De opkomst van deze nieuwe communicatiemiddelen zetten klassieke onderzoeksmethodes, zoals telefoongesprekken afluisteren, buitenspel.
Dergelijke communicatie/private plaatsen zijn niet zomaar toegankelijk voor politie en justitie. In het kader van een strafrechtelijk onderzoek zal de tussenkomst van de onderzoeksrechter vereist zijn. Dit kan je het best vergelijken met een huiszoekingsbevel. Een woning van iemand is een private eigendom en de politie mag die niet zomaar betreden. In de digitale wereld spreken we dan ook over het onderzoek van de private sociale media.
Het is aan de onderzoeksrechter om groen licht te geven om bijvoorbeeld in te loggen op versleutelde/afgeschermde chatrooms via hackertools [1] in het kader van een strafrechtelijk onderzoek.
De medewerkingsplicht van sociale media providers
In het kader van het onderzoek van de private sociale media is het vooral interessant stil te staan bij de reeds vermelde private communicatiemiddelen, zoals WhatsApp, Messenger, Skype,…
Deze private gesprekken zijn logischerwijs niet zomaar voor iedereen toegankelijk.
De berichten die via voormelde tools worden verstuurd zijn bovendien vaak versleuteld met een end-to-end encryptie. Dit zorgt ervoor dat enkel de personen die met elkaar communiceren de berichten kunnen lezen. WhatsApp is hier het bekendste voorbeeld van. Meer en meer providers voorzien deze bescherming voor hun klanten.
De opkomst van voormelde tools maakte het voor criminelen gemakkelijker om te communiceren in het geheim. Aan de kant van justitie en politie wordt het daardoor moeilijker om dergelijke gesprekken te onderscheppen. Daarnaast kan een gesprek (video of audio) niet op dezelfde manier afgeluisterd worden, als een klassiek telefoongesprek.
In België bestaat er wel een wettelijke verplichting voor providers, zoals facebook, om mee te werken aan het strafonderzoek op vraag van de procureur des Konings of de onderzoeksrechter. Met andere woorden, socialemediabedrijven die private communicatiemiddelen aanbieden, kunnen verplicht worden toegang te verlenen tot private gesprekken van verdachten.
De wettelijke basis volgt uit de artikelen 46bis, 88bis en 90quater Sv. en de wet van 13 juni 2005 betreffende elektronische communicatie.
Toch zijn providers niet vaak geneigd vrijwillig mee te werken. Hun argument is dat ze niet onder het toepassingsgebied van voormelde medewerkingsplicht vallen. Bovendien willen ze naar hun klanten toe bewijzen dat ze privacy hoog in het vaandel dragen.
Twee beslissingen (Yahoo en Skype) geven ons inzicht omtrent de medewerkingsplicht van de providers:
De Yahoo- zaak
De Yahoo-zaak is een saga die van 2009 tot het definitieve arrest van het Hof van Cassatie in 2015 (Cass. (2e k.) AR P.13.2082.N, 1 december 2015 (YAHOO! Inc.), heeft geduurd. In deze blog worden de details van de zaak niet besproken.
Het Hof licht de gevolgen voor het personeel toepassingsgebied inzake de medewerkingsplicht toe. Voor de wet van 25 december 2016 was er in de artikelen omtrent de medewerkingsplicht (artikelen 46bis, 88bis en 90quater Sv) sprake van de ‘operator’ en ‘verstrekker van elektronische communicatiedienst’ (art.2, 5° van de wet van 13 juni 2015 betreffende de elektronische communicatie).
In deze zaak wou Yahoo zijn medewerking tot identificatie van internetoplichters niet verlenen. Het bedrijf weigerde gegevens mede te delen over de gebruikers (oplichters), omdat zij van mening was dat zij als webmailprovider geen verstrekker was van een elektronische communicatiedienst (personeel toepassingsgebied). Deze stelling werd afgewezen door het Hof van Cassatie in 2015 (Cass. (2e k.) AR P.13.2082.N, 1 december 2015 (YAHOO! Inc.).
De Yahoo-zaak zorgde uiteindelijk voor een uitbreiding van het personeel toepassingsgebied, bij wet van 25 december 2016, om gelijkaardige discussies te vermijden. Als operator wordt aanzien:
“Iedereen die binnen het Belgisch grondgebied op welke wijze ook, een dienst beschikbaar stelt of aanbiedt, die bestaat in het overbrengen van signalen via elektronische communicatienetwerken , of er in bestaat gebruikers toe te laten via een elektronisch communicatienetwerk informatie te verkrijgen of te ontvangen en te verspreiden. Hieronder worden ook de verstrekker van een elektronische communicatiedienst begrepen.”[2].
Belangrijk is ook de memorie van toelichting. De wetgever stelt duidelijk dat het personeel toepassingsgebied op zeer ruime wijze moet worden geïnterpreteerd. Niet alleen webdiensten, zoals Yahoo Mail, Gmail, Hotmail,… vallen onder de medewerkingsplicht, ook diensten zoals, Facebook, Twitter, WhatsApp,… kunnen verplicht worden zaken mede te delen omtrent de telecommunicatie of elektronische communicatiegegevens van gebruikers in het kader van de medewerkingsplicht[3].
De Skype-zaak
In het Skype-arrest van 19 februari 2019 van het Hof van Cassatie (Cass. 19 februari 2019, P.17.1229.N/1) moest het Hof zich buigen over de vraag, of het verplichten van dienstverleners om telecommunicatie of elektronische communicatiegegevens van hun gebruikers over te maken in zover er een territoriale link bestaat tussen de communicatie en het Belgische grondgebied, ook geldt voor het afluisteren van die communicatie (artikel 90quater Sv.).
Skype weigerde haar medewerking te verlenen aan het Belgische gerecht om een gebruiker af te luisteren, aangezien zij als bedrijf gevestigd is in Luxemburg en de technische ondersteuning voor de afluistering vanuit Luxemburg moest gebeuren. Op die manier was skype van mening dat er geen link bestond tussen de communicatie en het Belgische grondgebied.
Het Hof van Cassatie volgde deze stelling niet en stelde dat er een territoriale link is met België, aangezien Skype economisch actief is in België, door het aanbieden van haar communicatiediensten. Het is dus niet noodzakelijk dat de dienstverlener in België een maatschappelijke zetel, infrastructuur of fysieke aanwezigheid heeft[4].
Zowel personeel, als territoriaal is er een ruime interpretatie wat betreft de medewerkingsplicht van providers/dienstverleners van sociale media. Wettelijk gezien zijn bedrijven, zoals Facebook, verplicht inzage te geven in private communicatiemiddelen in het kader van het strafonderzoek.
In de praktijk: brengt CLOUD-Act soelaas?
De theorie is duidelijk en logisch. Er is een ruime wettelijke plicht, dus elke socialemediagigant kan worden verplicht private berichten en gegevens mede te delen of te laten afluisteren. Op die manier is er geen belemmering van het strafonderzoek. En daarmee is de kous af.
In de praktijk is het echter niet zo simpel. Ondanks de verruiming en verduidelijking van de medewerkingsplicht, blijven vooral Amerikaanse technologiereuzen, zoals Google, Facebook, Apple en Microsoft, hun medewerking weigeren (vaak op basis van de strengere Amerikaanse Privacy Laws). Het is inderdaad mogelijk om deze bedrijven te veroordelen voor het schenden van de medewerkingsplicht, maar zo gaat er kostbare tijd verloren en krijgen politie en justitie niet onmiddellijk de nodige informatie.
In Amerika leidde een gelijkaardige discussie tot een wetsvoorstel, de CLOUD-ACT, die misschien ook hier soelaas kan brengen. Deze wet ontstond naar aanleiding van een gerechtelijk geschil, en de vraag of Microsoft al dan niet verplicht kon worden om gegevens van EU Microsoft-gebruikers die zijn opgeslagen op servers in Ierland (EU), ter beschikking te stellen van de Amerikaanse autoriteiten.
In essentie stelt de CLOUD-Act (Clarifying Overseas Use of Data Act) dat technologiebedrijven verplicht kunnen worden om gegevens en data mede te delen van gebruikers aan Amerikaanse autoriteiten, ook al staat voormelde data op servers buiten Amerika.
De wet voorziet tevens in de mogelijkheid om als buitenlandse overheid (mits deze voldoet aan voorwaarden inzake privacy, vrije meningsuiting,…) een bilaterale overeenkomst te sluiten met de Verenigde Staten. Amerikaanse Technologiereuzen weigeren hun medewerking vaak op basis van eigen wetgeving. Omgekeerd kunnen EU bedrijven de CLOUD-Act weigeren, indien deze strijdig zou zijn met nationale wetgeving. Om die reden voorziet de CLOUD-Act in de bilaterale overeenkomsten, zodat dergelijke conflicten worden opgelost en de providers alsnog rechtstreeks aanspreekbaar zijn.
Op basis van deze overeenkomst zou het dus in principe mogelijk zijn, vanwege de wederkerigheid, om Amerikaanse sociale media providers te verplichten gegevens mede te delen van Belgische gebruikers, zonder dat er nog een blokkering/protest kan worden ingeroepen.
Of deze wetgeving er überhaupt voor zal zorgen, dat de Belgische politie en justitie sneller gegevens van buitenlandse sociale media providers zullen verkrijgen is nog niet duidelijk. Tevens kunnen we ons ook de vraag stellen of de CLOUD-Act wel in overeenstemming is met de GDPR-wetgeving…
Dat is dan weer een discussie voor een andere keer.
Slot
In principe zijn private gesprekken, videocalls, mails,… dus opvraagbaar, mist tussenkomst van de onderzoeksrechter, op vraag van justitie of politie in het kader van een strafrechtelijk onderzoek. Immers strookt de theorie niet altijd met de praktijk en hangt veel af van de goodwill van de providers zelf.
Of wetgevende initiatieven en grensoverschrijdende samenwerkingen tussen verschillende landen de huidige problemen zullen verhelpen, zal de tijd moeten uitwijzen.
[1] Op basis van artikel 39bis, § 4 en artikel 88ter Sv.
[2] Art. 5,12 en 18 van de wet van 25 december 2016 houdende diverse wijzingen van het Wetboek van Strafvordering en het Strafwetboek, met het oog op de verbetering van de bijzondere opsporingsmethoden en bepaalde onderzoeksmethoden met betrekking tot het internet en elektronische en telecommunicaties en tot oprichting van een gegevensbank stemafdrukken, BS 17 januari 2017, inwerkingtreding 27 januari 2017.
[3] MvT, Parl. St. Kamer 2016-17, nr.54K1966/001, 32-33.
[4] C. VAN DE HEYNING, Medewerkingsplicht om communicatie af te luisteren – In het buitenland gevestigde elektronische communicatiediensten, T.Strafr. 2019, afl. 6, 354.
0 reacties