Sinds 27 januari 2017 zijn enkele wijzigingen van het Wetboek van strafvordering en het Strafwetboek in werking getreden met betrekking tot databeslag, het vrijwaren en ontoegankelijk maken van data, de zoeking in een informaticasysteem en de netwerkzoeking. Deze wijzigingen werden ingevoerd met de Wet van 25 december 2016 (houdende diverse wijzigingen van het Wetboek van strafvordering en het Strafwetboek, met het oog op de verbetering van de bijzondere opsporingsmethoden en bepaalde onderzoeksmethoden met betrekking tot internet en elektronische en telecommunicaties en tot oprichting van een gegevensbank stemafdrukken) die op 17 januari 2017 in het Belgisch Staatsblad verscheen.
Ondanks het feit dat deze wetswijzigingen een onmiddellijke impact hebben op de werking van politie en justitie bestaat er tot op heden nog geen eenduidige nationale richtlijn over de toepassing ervan. De implementatie van de gewijzigde of nieuwe artikelen in de praktijk blijkt niet altijd evident, mede door het feit dat de wettekst verschillende interpretaties mogelijk maakt en op sommige praktische vragen geen antwoord biedt.
Hieronder vindt u de belangrijkste wijzigingen inzake databeslag in het algemeen, de zoeking in een informaticasysteem en de netwerkzoeking.
Het artikel 39bis van het wetboek van strafvordering onderging een groot aantal wijzigingen. Op basis van §1 van dit artikel is de procureur des Konings bevoegd om gegevens die zijn opgeslagen in een informaticasysteem of een deel ervan, in beslag te nemen, te kopiëren, ontoegankelijk te maken en te verwijderen. Voor wat betreft het verwijderen van gegevens, dient te worden verduidelijkt dat dit in principe enkel is toegelaten voor gegevens die zich fysiek in België bevinden. In de praktijk wordt kinderpornografisch materiaal vaak gekopieerd en onmiddellijk verwijderd om verspreiding te voorkomen, ongeacht de locatie waar dit is opgeslagen. Dit heeft voornamelijk te maken met de overweging dat het belang van de bescherming van de geportretteerde minderjarige hier primeert (cfr. Europese Richtlijn 2011/93/EU van 13 december 2011).
Terminologie
Onder “informaticasysteem” dient te worden verstaan elk systeem dat digitale gegevens kan opslaan, verwerken of overdragen zoals een gsm-toestel, een smartphone, een laptop, een tablet, een SD-geheugenkaart, een externe harde schijf, een draagbaar navigatiesysteem, een router in een privéwoning, een camerabewakingssysteem, …
Een “zoeking in een informaticasysteem” heeft betrekking op alle gegevens die zich fysiek in het geheugen van het informaticasysteem bevinden. Om te vermijden dat je gegevens raadpleegt die zich fysiek op een andere locatie bevinden dan in het geheugen van het informaticasysteem, dient elke externe verbinding van het informaticasysteem (WiFi, mobiele data, bluetooth, …) te worden verhinderd voorafgaand aan de zoeking.
Een “netwerkzoeking” heeft betrekking op gegevens die zich geheel of gedeeltelijk op een ander informaticasysteem bevinden dan het informaticasysteem waarmee de zoeking wordt uitgevoerd. Dit is bijgevolg enkel mogelijk indien er een externe verbinding met het andere informaticasysteem is. Het doorzoeken van bestanden op een Microsoft Onedrive cloudopslag via een in beslag genomen smartphone die verbinding maakt met het internet, is een netwerkzoeking.
De zoeking in een informaticasysteem en netwerkzoeking worden voornamelijk beschreven in artikel 39bis §2 en §3. De wetgever spreekt in beide paragrafen over twee gevallen waarin een zoeking kan plaatsvinden. Enerzijds ingeval een informaticasysteem in beslag genomen is en anderzijds ingeval een informaticasysteem inbeslagneembaar is, doch om bepaalde redenen niet in beslag genomen is.
Met “inbeslagneembaar, doch niet in beslag genomen” wordt bedoeld dat het juridisch mogelijk is om het systeem in beslag te nemen, maar dat de inbeslagname om bepaalde economische of praktische redenen niet aangewezen of mogelijk is. Zo kan een server van een bankinstelling die zich in België bevindt juridisch gezien in beslag worden genomen. De inbeslagname, en eventueel het ontoegankelijk maken, van dergelijke server of een deel ervan zou echter praktische problemen kunnen opleveren gezien de omvang ervan en zou tot het gevolg kunnen hebben dat de bankinstelling zijn reguliere werking niet meer kan verder zetten. De betrokken bankinstelling of de klanten ervan zouden hierdoor mogelijk enige schade kunnen oplopen. In voorkomend geval kan het meer aangewezen zijn om een zoeking uit te voeren op de server van de bankinstelling zonder deze in beslag te nemen om enkel de relevante gegevens op de server veilig te stellen.
Een ander voorbeeld betreft het gebruik van “live forensics” om een selectie te kunnen maken van welke informaticasystemen al dan niet in beslag dienen te worden genomen in functie van het onderzoek.
Een zoeking in een informaticasysteem dat inbeslagneembaar, doch niet in beslag genomen is, kan enkel mits een beslissing van de procureur des Konings (of de onderzoeksrechter in een gerechtelijk onderzoek).
Een zoeking in een informaticasysteem dat in beslag genomen is, kan onmiddellijk worden uitgevoerd mits een beslissing van een Officier van Gerechtelijke Politie, zonder voorafgaande machtiging van de procureur des Konings (of de onderzoeksrechter in een gerechtelijk onderzoek). Dit op voorwaarde dat elke externe verbinding van het informaticasysteem wordt verbroken voorafgaand aan de zoeking. De zoeking op zich kan zowel door een Agent van Gerechtelijke politie als een Officier van Gerechtelijke Politie worden uitgevoerd.
De maatregelen beschreven in artikel 39bis van het wetboek van strafvordering dienen te worden beschouwd als “niet-heimelijke” maatregelen en onderscheiden zich van de heimelijke maatregelen die beschreven worden in het artikel 90ter van het wetboek van strafvordering. Het niet-heimelijke karakter impliceert dat men de eigenaar, gebruiker of gemachtigde zo spoedig mogelijk in kennis stelt van de zoekingen en inbeslagnames die werden uitgevoerd, tenzij deze niet onmiddellijk kan worden geïdentificeerd of niet geschikt kan worden bereikt (zie verder rubriek “Kennisgeving aan de verantwoordelijke van het informaticasysteem” - artikel 39bis §7).
Zoeking in een informaticasysteem waarover je beschikt
De tweede paragraaf van artikel 39bis van het wetboek van strafvordering beschrijft de zoeking in een informaticasysteem dat geen externe verbinding maakt. In de wet is nu opgenomen dat elke externe verbinding van het informaticasysteem moet worden verhinderd alvorens de zoeking wordt aangevat. Hoe deze verbinding dient te worden verhinderd, wordt niet beschreven.
In de praktijk komt dit bij smartphones vaak neer op het activeren van de “vliegtuigmodus”. Bepaalde besturingssystemen voor een computer, zoals Microsoft Windows 10, beschikken eveneens over een “vliegtuigmodus”. Het bewust uitstellen van het verbreken van elke externe verbinding voorafgaand aan een zoeking in een informaticasysteem is niet toegestaan.
Het verbreken van elke externe verbinding van een informaticasysteem, voorafgaand aan een zoeking in het systeem, heeft ook een tactisch belang. Deze maatregel voorkomt immers dat gegevens, opgeslagen in het informaticasysteem, van op afstand kunnen worden gemanipuleerd of kunnen worden verwijderd. Verschillende besturingssystemen van “smart devices” voorzien immers in een mogelijkheid om het toestel van op afstand te herstellen naar fabriekstoestand. Dit om eventueel misbruik of verlies van gegevens, opgeslagen in het geheugen van het toestel, te voorkomen.
Indien het om bepaalde redenen aangewezen of noodzakelijk is om een informaticasysteem, waarvan elke externe verbinding werd verhinderd, opnieuw een externe verbinding te laten maken, dan dient hiervoor een machtiging van de procureur des Konings (of de onderzoeksrechter in een gerechtelijk onderzoek) te worden bekomen. Wanneer je bijvoorbeeld de “vliegtuigmodus” van een in beslag genomen smartphone deactiveert om te zien of er na inbeslagname nog relevante berichten op het toestel zijn binnengekomen, dan is hiervoor een machtiging van een magistraat vereist.
Netwerkzoeking via een informaticasysteem waarover je beschikt
De derde paragraaf beschrijft de zoeking in een informaticasysteem dat wel externe verbinding maakt. Dergelijke zoeking kan in principe enkel gebeuren mits voorafgaande toestemming van de procureur des Konings (of de onderzoeksrechter in een gerechtelijk onderzoek). Het gaat in dit geval over een zoeking die via het informaticasysteem, dat in beslag genomen is of niet in beslag genomen is maar wel inbeslagneembaar is, wordt uitgebreid naar een ander informaticasysteem of een deel ervan dat zich op een andere locatie bevindt. Dergelijke zoeking wordt ook een netwerkzoeking genoemd.
Zo kan de applicatie van Facebook, die geïnstalleerd is op een smartphone, worden geraadpleegd terwijl de “vliegtuigmodus” van het toestel in werking is. In dit geval zullen niet alle gegevens van het facebookprofiel dat actief is in de applicatie kunnen worden geraadpleegd, enkel de gegevens die nog in het RAM-geheugen beschikbaar zijn. Het facebookprofiel kan echter volledig worden geraadpleegd op de server van Facebook indien de smartphone verbinding kan maken met internet. Om deze verbinding tot stand te mogen brengen, is een machtiging van een magistraat vereist.
Heel wat gebruikers van een smartphone installeren op dit toestel allerlei applicaties die verbinding maken met een externe server. Denk aan applicaties van sociale media zoals Facebook, Instagram, Twitter, Google+, e.a., of applicaties voor cloudopslag van gegevens zoals Microsoft Onedrive, Dropbox, Google Drive, e.a.. Een uitbreiding tot netwerkzoeking kan bijgevolg zeer nuttig zijn in functie van een onderzoek.
Netwerkzoeking in een informaticasysteem waarover je niet beschikt
Artikel 39bis §4 heeft betrekking op elke andere niet-heimelijke zoeking dan degene die worden beschreven in de §2 en §3. Het gaat hier voornamelijk over een zoeking in een informaticasysteem waarover je niet beschikt of dat juridisch gezien niet inbeslagneembaar is. Dergelijke zoeking kan enkel worden bevolen door de onderzoeksrechter. Het raadplegen van een facebookprofiel van een verdachte via een computer van een politiedienst, met andere woorden zonder dat je over een informaticasysteem van de verdachte zelf beschikt dat je toegang kan verschaffen tot dit facebookprofiel, is een zoeking in de zin van deze paragraaf.
Hierbij mag het niet-heimelijke karakter echter niet uit het oog worden verloren en dient de eigenaar, gebruiker of gemachtigde van informaticasysteem zo spoedig mogelijk te worden ingelicht van de zoeking en het resultaat ervan (zie verder rubriek “Kennisgeving aan de verantwoordelijke van het informaticasysteem” - artikel 39bis §7).
Opheffen van de beveiliging van een informaticasysteem
Om databeslag, de zoeking in een informaticasysteem (of een deel ervan) of een netwerkzoeking zoals beschreven in paragrafen 1 tot en met 4 mogelijk te maken, kunnen de procureur des Konings en de onderzoeksrechter de (tijdelijke) opheffing van elke beveiliging van de betrokken informaticasystemen machtigen, zoals vermeld in artikel 39bis §5. Dit zonder enige toestemming van de gebruiker van het informaticasysteem. Hierbij dient te worden verduidelijkt dat de tijdelijke opheffing van enige beveiliging van een informaticasysteem enkel kan worden gemachtigd door een onderzoeksrechter indien het informaticasysteem enige externe verbinding maakt.
Het tijdelijk opheffen van een beveiliging van een informaticasysteem kan gebeuren door gebruik te maken van technische middelen (hacktools), een valse sleutel, een valse hoedanigheid of valse signalen. Met “valse sleutel” en “valse signalen” wordt elk middel bedoeld dat kan worden gebruikt met als doel het omzeilen of kraken van de beveiliging van een informaticasysteem (of een deel ervan).
De wet laat tevens toe om technische middelen te gebruiken om gegevens opgeslagen in, verwerkt of doorgestuurd door een informaticasysteem te ontcijferen en te decoderen. In de praktijk is dit echter niet zo evident.
De procureur des Konings (of de onderzoeksrechter in een gerechtelijk onderzoek) kan dus de toestemming geven aan een politiedienst om enerzijds de toegangscode van een smartphone en anderzijds de beveiliging van elke applicatie op deze smartphone tijdelijk op te heffen ingeval elke externe verbinding van de smartphone wordt verhinderd. Indien een applicatie op de smartphone een externe verbinding en opheffing van een beveiliging vereist om deze te kunnen raadplegen, is enkel de onderzoeksrechter bevoegd.
Vroeger kon je een SIM-kaart, waarvan de pincode niet gekend was, met het oog op exploitatie ervan proberen ontgrendelen door de pincode te gissen of door de standaard pincodes 0000 of 1111 van bepaalde telefonieproviders te proberen. De invoering van artikel 39bis §5 impliceert echter dat je niet meer mag gokken wat de pincode van een SIM-kaart is met het oog op exploitatie ervan zonder machtiging van een magistraat.
Indien je een zoeking wil doen in een informaticasysteem, waarvan de beveiligingsgegevens door het systeem werden onthouden en je deze enkel dient te bevestigen zonder deze fysiek te moeten ingeven, dan wordt dit niet beschouwd als het tijdelijk opheffen van een beveiliging conform de wet. Er is in voorkomend geval geen voorafgaande machtiging van de procureur des Konings of de onderzoeksrechter, afhankelijk van de situatie, vereist voor wat betreft het opheffen van de beveiliging. Er kan in dit geval echter wel sprake zijn van een netwerkzoeking, waarvoor uiteraard een aparte machtiging vereist is.
Het Universal Forensics Extraction Device (UFED), dat door verscheidene politiezones in Vlaanderen wordt gebruikt, biedt de mogelijkheid om een extractie te doen van informaticasystemen zoals smartphones, draagbare navigatiesystemen, kleine gegevensdragers, e.d.. De beveiliging van de meeste informaticasystemen dient opgeheven te zijn om de extractie mogelijk te maken. Het UFED beschikt echter over een functie die de mogelijkheid biedt om de beveiliging van bepaalde toestellen en besturingssystemen (iOS, Android, …) tijdelijk op te heffen (brute force). Het gebruik van deze hackingtool dient gemachtigd te worden door een magistraat.
Er dient op te worden gewezen dat het niet altijd duidelijk is of het UFED automatische ontgrendeling of decryptie van gegevens in een informaticasysteem toepast bij een extractie of bij een reconstructie van geëxtraheerde gegevens. De nodige waakzaamheid is bijgevolg vereist en bij twijfel is het veiliger om een machtiging van een magistraat te vragen. De machtiging tot het tijdelijk opheffen van de beveiliging van een informaticasysteem kan immers mondeling worden gegeven en dient niet schriftelijk te worden bevestigd door de magistraat.
De gegevens op de harde schijf van een computer die softwarematig beveiligd is met een wachtwoord kunnen, na het maken van een forensische kopie van deze harde schijf, worden geraadpleegd zonder dat het softwarematige wachtwoord wordt gevraagd. Er is in dit geval geen sprake is van het tijdelijk opheffen van een beveiliging. Er is bijgevolg ook geen machtiging van een magistraat vereist. Indien de gegevens op de harde schijf geëncrypteerd zijn en na het maken van een forensische kopie niet raadpleegbaar zijn zonder decryptie, is wel een machtiging vereist voor decryptie van deze gegevens.
Ontoegankelijk maken van gegevens
Artikel 39bis §6 geeft de procureur des Konings (of de onderzoeksrechter in een gerechtelijk onderzoek) het recht om in uiterst dringende noodzakelijkheid en wanneer er sprake is van een terroristische dreiging, het aanzetten tot terroristische misdrijven of het publiceren en verspreiden van kinderpornografisch materiaal, gegevens die het voorwerp uitmaken van deze misdrijven of voortkomen uit deze misdrijven ontoegankelijk te maken. In praktijk is het nog niet duidelijk welke politionele dienst zal instaan voor het ontoegankelijk maken van dergelijke gegevens.
Kennisgeving aan de verantwoordelijke van het informaticasysteem
Artikel 39bis §7 stelt dat de verantwoordelijke van het informaticasysteem zo spoedig mogelijk door de procureur des Konings (of de onderzoeksrechter in een gerechtelijk onderzoek) in kennis dient te worden gesteld van de zoeking in het informaticasysteem, tenzij diens identiteit of woonplaats niet redelijkerwijs kan worden achterhaald. Deze verantwoordelijke moet een samenvatting krijgen van de gegevens die gekopieerd, ontoegankelijk gemaakt of verwijderd werden.
Toestemming
Los van de bepalingen in artikel 39bis van het wetboek van strafvordering, zoals hierboven beschreven, kan de eigenaar, de rechtmatig gebruiker of gemachtigde van een informaticasysteem nog steeds toestemming geven tot zoeking in het systeem (of een deel ervan), eventueel met uitbreiding naar een netwerkzoeking. Deze toestemming dient voorafgaandelijk, ondubbelzinnig en schriftelijk te zijn. Voor wat betreft de toestemming van een minderjarig persoon, is het aangewezen vooraf de voor het onderzoek verantwoordelijke magistraat te raadplegen.
Vermeldingen in het proces-verbaal
Om enige discussie ten gronde te vermijden, is het van belang om in het proces-verbaal enkele zaken duidelijk te vermelden. Vermeld, indien van toepassing, de datum en het uur van:
- elke contactname met een magistraat en zijn / haar beslissing (machtiging tot zoeking in een informaticasysteem dat niet in beslag genomen maar wel inbeslagneembaar is, machtiging tot netwerkzoeking of tot het maken van een externe verbinding, machtiging tot het tijdelijk opheffen van de beveiliging, …)
- inbeslagname
- het verhinderen van elke externe verbinding (“vliegtuigmodus”) en beschrijf de wijze waarop dit is gebeurd
- beslissing van de Officier van Gerechtelijke Politie of magistraat tot zoeking in een informaticasysteem dat in beslag genomen is
Indien je geconfronteerd wordt met een beveiliging van een informaticasysteem en je bent in het bezit gekomen van een wachtwoord of beveiligingssleutel waarmee de beveiliging (tijdelijk) kan worden opgeheven, dan kan het van belang zijn te beschrijven hoe je aan deze beveiligingsgegevens bent geraakt. Dit is vooral van belang indien je deze wenst te gebruiken om de beveiliging op te heffen.
In de module Cybercrime van BlueConnect wordt dieper ingegaan op deze materie. Voor meer info over deze module kunt u HIER terecht.