Al eerder schreef ik, zoals zovelen, over de slepende strijd tussen het OM en Stibbe over schending van het verschoningsrecht van advocaten. Deze soap kent weer een nieuwe aflevering, in de vorm van een tussenuitspraak in kort geding van het Hof Den Bosch Gerechtshof ’s-Hertogenbosch van 2 mei jl.
Kort samengevat: Het hof gooit het probleem door middel van een zogenoemde prejudiciële vraag over de schutting, in de tuin van de Hoge Raad. In de tussentijd wordt een voorlopige maatregel getroffen. Geheimhouder-officieren van het OM mogen zich niet meer bezighouden met de selectie en filtering van mogelijk verschoningsgerechtigde informatie. Deze taak wordt neergelegd bij de onafhankelijke partij waar deze mijns inziens thuishoort. Bij de rechter-commissaris.
Het is de vraag wat het OM en het kabinet rechter-commissaris hiermee gaan doen. In de praktijk zou dit kunnen betekenen dat onderzoeken extreme vertraging oplopen of volledig stil komen te liggen, mede omdat het OM simpelweg geen risico’s wil lopen. Er bestaat overigens ook geen zekerheid dat de Hoge Raad de vragen daadwerkelijk zal beantwoorden. Aan het beantwoorden van een prejudiciële vragen zijn voorwaarden verbonden. [1]
Over de tussenuitspraak van het hof is in de media en vakliteratuur al het nodige geschreven. Een andere belangrijke publicatie is – ten onrechte – onderbelicht gebleven. Op 21 april 2023 heeft het NFI zich in de discussie gemengd door een informatieblad te publiceren: “Vernietigen van digitale sporen met verschoningsgerechtigde informatie”. De veelbelovende intro luidt: “Er wordt tegenwoordig veel gesproken over het vernietigen van data uit forensische bewijsbestanden, onder meer data die onder het verschoningsrecht valt. Maar wat betekent datavernietiging? Is dit mogelijk? En wat zijn de gevolgen daarvan voor je bewijs? Deze vragen worden in dit informatieblad beantwoord.”
Uitgrijzen: ongewenst en onmogelijk?
In het informatieblad gaat het NFI in op de praktische mogelijkheden van het vernietigen van data uit forensische bewijsbestanden. In het eerste deel wordt beschreven hoe verschoningsgerechtigde informatie in data geïdentificeerd wordt. Vervolgens wordt uitgelegd wat technisch (on)mogelijk is en hoe het vernietigen van data beperkingen legt op forensisch onderzoek en contraexpertise. Ook wordt ingegaan op het alternatief van ontoegankelijk maken van verschoningsgerechtigde informatie, het zogenaamde ‘uitgrijzen’.
Het tweede deel van het informatieblad geeft de technische context. In heldere taal wordt beschreven wat data eigenlijk is en hoe data wordt vastgelegd in forensische bewijsbestanden (images). Op hoofdlijnen wordt uitgelegd hoe data gestructureerd is en hoe leesbare digitale sporen (e-mails, chatberichten, foto’s en documenten) in data worden gecodeerd. Verder wordt beschreven welke forensische uitgangspunten gelden bij het doen van digitaal onderzoek. Tot slot geeft het NFI een toelichting op de complexiteit van het vinden duplicaten van sporen.
NFI komt tot kern van het probleem
De soap rondom het verschoningsrecht heeft zich ontpopt tot een interessante juridische discussie over het karakter van verschoningsrecht als fundamenteel rechtsbeginsel en de verhouding tussen het civiele- en strafrecht. Door alle (baanbrekende) jurisprudentie wordt nog wel eens uit het oog verloren dat in de kern eigenlijk een praktisch en materieel probleem aan ten grondslag ligt. De kern van het materiële probleem, waar het NFI nu op ingaat, is simpel. Artikel 126aa Sv (dat het verschoningsrecht waarborgt) spreekt over het ‘vernietigen van processen-verbaal en andere voorwerpen’. Dit artikel stamt uit eind jaren ’90 en zag op fysieke (papieren) administratie. De tijden zijn sindsdien veranderd. De FIOD maakt op een zogenaamde ‘klapdag’ een digitaal image van gegevensdragers. Dit is een momentopname van de complete inhoud van bijvoorbeeld e-mail servers, al dan niet gevorderd bij datacenters, providers of derden. [2] Deze images bevatten vaak miljoenen e-mails, chatlogs, foto’s en gigantische afzonderlijke databases.
Vervolgens gaat (of ging?) de FIOD onder leiding van het OM met deze image aan de slag. Het OM krijgt miljoenen bestanden met mogelijk verschoningsgerechtigde informatie in handen, die het zelf selecteert en filtert. Het is principieel onwenselijk dat het OM deze taak op zich neemt, nu gebleken is dat bestanden intern overal binnen het OM gaan zwerven en er bij parketsecretarissen fundamentele kennis over het verschoningsrecht ontbreekt. [3] Daarnaast is het ‘uitgrijzen’ of ontoegankelijk maken van data bij zoekslagen nooit volledig. Geregeld treffen wij als verdediging in de dataroom op het image nog verschoningsgerechtigde informatie aan, die het OM heeft gemist.
Einstein zei het al, een probleem kan je niet oplossen met de denkwijze die het heeft veroorzaakt. Het filteren en vernietigen van verschoningsgerechtigde informatie was in de vorige eeuw geen issue. De (mogelijk) verschoningsgerechtigde informatie bestond uit een fysieke administratie. In een ideale situatie lag er een ordner in een kast met opschrift “correspondentie advocaat”. In het huidige digitale tijdperk is het ontsluiten en filteren van bestanden op een image een monsterklus geworden, waarbij geavanceerde software als Hansken of FTK Labs nodig is om door honderden miljoenen uiteenlopende bestanden te ploegen.
Bijkomend probleem is dat de originele image (met een bijbehorende hash-waarde) controleerbaar onaangetast moet blijven, zodat de authenticiteit, herkomst en betekenis van de digitale sporen transparant en herleidbaar blijft voor de verdediging (chain of evidence/custody). Het digitaal vernietigen of verwijderen van verschoningsgerechtigde bestanden uit het originele image is hierdoor niet mogelijk. Ook is het behoud van het originele image vanwege het eigen onderzoekbelang noodzakelijk, omdat in de toekomst wellicht versleutelde bestanden nog kunnen worden gekraakt dankzij voortschrijdende nieuwe technologie, die nu nog niet beschikbaar is. Verder signaleert het NFI dat het verwijderen van individuele sporen (e-mails, chats) uit complexe datastructuren zoals smartphones niet mogelijk is, enkel het verwijderen van het grotere geheel (de gehele database). Met een gedocumenteerd proces kan wel een deel van deze onnodig verwijderde sporen behouden blijven, maar is geen oplossing waarmee bewijsketens en datasporen behouden blijven. Contraexpertise op de authenticiteit en herkomst van sporen door de verdediging is dan niet meer mogelijk. Tot slot blijven er de bekende problemen ontstaan op het gebied van encryptie, fragmentatie, onbekende datastructuren en duplicaten.
Conclusie
Het NFI maakt duidelijk dat het verplaatsen van de verantwoordelijkheid voor de selectie naar de rechter-commissaris geen oplossing is voor achterliggende fundamentele technische problemen. Het signaleren van verschoningsgerechtigde informatie blijft extreem arbeidsintensief en onwerkbaar. Het daadwerkelijk verwijderen van informatie uit originele images is vanwege technische beperkingen praktisch onmogelijk en ook in forensische zin onwenselijk.
Mijns inziens is het niet de Hoge Raad of het NFI die hier een oplossing moeten bieden. Het inzetten van het NFI of een andere deskundige derde partij door de rechter-commissaris is een juridisch zuivere maar tijdrovende en kostbare route, waarbij alsnog een oplossing moet worden gevonden voor de gesignaleerde technische problemen. Dat bedrijven of providers verschoningsgerechtigde informatie in de toekomst op een aparte gegevensdragers afzonderen is een utopie en een illusie. Nieuwe praktische wetgeving en aanpassing van 126aa Sv aan het digitale tijdperk lijkt de enige oplossing, al heeft de digitalisering tot nu toe altijd de wetgever ingehaald. Een pessimist ziet een probleem in elke mogelijkheid. Een optimist een mogelijkheid in elk probleem. Wellicht kan de voortschrijdende technologie uiteindelijk ook de oplossing bieden. Denk aan blockchain registratie van de chain-of-evidence bij aanpassing van verschillende versies van images, of de inzet van kunstmatige intelligentie voor het filteren van data.
[1] Zie Art. 392 Rv. Voor prejudiciële vragen in het civiele, fiscale en strafrecht geldt dat er sprake moet zijn een zeer brede en relevante impact, waarbij het antwoord rechtstreeks van moet zijn voor de beslechting of beëindiging van talrijke andere uit soortgelijke feiten voorvloeiende geschillen, waarin dezelfde vragen zich voordoen. Zie voor de procedure van prejudiciële vragen in het Belastingrecht ook het artikel van Angelique Perdaems, “Vragen staat vrij: prejudiciële vragen aan de Hoge Raad.” TFB 2020/22. https://hertoghsadvocaten.nl/kennisbank/vragen-staat-vrij-prejudici%EF%BF%BDle-vragen-aan-de-hoge-raad-tfb-2020-5/
[2] Het ‘uitsplitsen’ van gegevens van een bepaalde verdachte klant bij gedeelde servers is voor een datacenter vaak praktisch onmogelijk.
[3] Om nog maar niet te spreken over de waarschijnlijkheid dat in preview-vensters van gebruikte software de inhoud van verschoningsgerechtigde informatie standaard werd getoond.