Steeds meer telefoons maken gebruik van biometrische beveiliging, zoals vingerafdrukken of gezichtsscans. Dat is een stuk veiliger dan een standaard toegangscode à la ‘0000’ of ‘1234’. Volgens Apple is de kans slechts één op 50.000 dat Touch ID het laat afweten. Het nieuwere Face ID is nog een stuk veiliger zegt Apple, met een inbraakkans van ongeveer één op 1.000.000. Maar hoe moet met dergelijke toegangsbeveiliging worden omgegaan in een strafproces? Is een verdachte verplicht om zijn of haar vingerafdruk af te staan, of om bijvoorbeeld een scan te laten maken van zijn of haar gezicht als de politie daar om vraagt? Dankzij een arrest van de Hoge Raad van vorige week hebben we hier inmiddels meer duidelijkheid over. Het lijkt erop dat opsporingsautoriteiten een verdachte inderdaad kunnen vragen om een telefoon te ontgrendelen met zijn of haar vingerafdruk. Wil een verdachte niet meewerken, dan mag er (lichte) dwang worden uitgeoefend om toch toegang te krijgen tot het apparaat.
Aanleiding voor het arrest was een politieonderzoek naar phising uit 2015. Op basis van het onderzoek werd in 2016 een verdachte aangehouden; ook zijn iPhone werd door de politie in beslag genomen. De telefoon bleek beveiligd met een vingerafdruk. De politie heeft de verdachte eerst gevraagd om zelf zijn telefoon te ontgrendelen. Toen de verdachte dat weigerde, is hij geboeid en heeft de politie (onder dwang) zijn duim op de vingerafdrukscanner gelegd. Op de telefoon werd belastend bewijsmateriaal gevonden, maar volgens zijn advocaat had hij nooit gedwongen mogen worden om zijn telefoon te ontgrendelen. De Rechtbank Noord-Holland was het niet met de advocaat eens. Uiteindelijk besloot de procureur-generaal van de Hoge Raad cassatie in belang der wet in te stellen om definitief uitsluitsel te krijgen.
Volgens artikel 6 van het Europees Verdrag voor de Rechten van de Mens (EVRM) heeft iedere verdachte recht op een eerlijk proces. Dit brengt onder meer met zich mee dat rechtszaken binnen een redelijke termijn behandeld moeten worden en dat een rechtszaak beslist moet worden door een onpartijdige en onafhankelijke rechter. Uit artikel 6 EVRM vloeit óók het zogeheten ‘nemo tenetur-beginsel’ voort. Dit beginsel houdt (kort gezegd) in dat een verdachte niet verplicht is om bewijs tegen zichzelf te leveren. Het is aan de opsporingsautoriteiten om dit bewijs te verzamelen. De verdachte bepaalt zelf hoe hij of zij zich verdedigt in de procedure en of hij of zij wel of niet medewerking wil verlenen.
Uitgaande van het nemo tenetur-beginsel, kan een verdachte niet worden gehouden om belastende informatie vrij te geven, of om bijvoorbeeld de wachtwoorden van zijn of haar telefoon of computer aan de opsporingsautoriteiten te overhandigen. De politie heeft overigens wel bevoegdheden om zelf te proberen zo’n computer of telefoon te kraken, al is dat in de praktijk niet altijd eenvoudig. Ook in de onderhavige zaak heeft de politie dit overwogen, maar volgens de Officier van Justitie was er (in ieder geval in 2016) nog geen techniek om de iPhone van de verdachte te kraken.
Dat de politie de telefoon niet kon kraken, was volgens de advocaat van de verdachte géén reden om hem te dwingen zelf de telefoon te ontgrendelen. Volgens de advocaat werd daarmee onder meer het recht op een eerlijk proces (artikel 6 EVRM) aangetast. De rechtbank was het daar eerder echter mee oneens. De Hoge Raad bevestigt nu dat de politie inderdaad een vingerafdruk van de verdachte mocht afnemen om de telefoon te ontgrendelen, ook als de verdachte zelf niet bereid was om deze af te staan.
De belangrijkste overweging van de rechtbank (en nu ook van de Hoge Raad) is dat het nemo tenetur-beginsel niet onbegrensd is. Het Europese Hof voor de Rechten van de Mens (EHRM) heeft in het verleden al verschillende arresten gewezen over het toepassingsbereik daarvan. Uit die arresten volgt dat het nemo tenetur-beginsel vooral bescherming biedt tegen het actief afleggen van verklaringen. Je hoeft dus als verdachte niet uit eigen wil informatie te verstrekken die gedurende het strafproces tegen jou gebruikt kan worden (zie onder meer deze zaak voor de liefhebbers).
Waar het nemo tenetur-beginsel géén bescherming tegen biedt, is het passief ondergaan van bepaalde onderzoeksmaatregelen. Als er onderzoeksmateriaal is dat onafhankelijk van de wil van de verdachte bestaat, dan mogen opsporingsautoriteiten dat desnoods onder (gepaste) dwang van de verdachte verkrijgen. Opsporingsautoriteiten kunnen een verdachte dus bijvoorbeeld dwingen om bloed- en urinemonsters af te geven (zie ook dit arrest van het EHRM).
Volgens de Hoge Raad moet het afnemen van een vingerafdruk min of meer gelijkgesteld worden aan het afnemen van bijvoorbeeld een bloedmonster. Die unieke print op de vinger van de verdachte bestaat namelijk onafhankelijk van zijn of haar wil. En daar biedt het nemo tenetur-beginsel dus géén bescherming tegen. Daarmee is er volgens de Hoge Raad grondrechtelijk geen bezwaar om die vingerafdruk onder (lichte) dwang van de verdachte af te nemen.
In het licht van de eerdere rechtspraak van het EHRM is de beoordeling van de Hoge Raad goed te begrijpen, al is de uitwerking daarvan in de praktijk wel enigszins merkwaardig. Een vingerafdruk of gezichtsscan dient natuurlijk hetzelfde doel als een ‘traditioneel’ wachtwoord of een cijfercode, namelijk voorkomen dat derden toegang kunnen krijgen tot bepaalde informatie. Toch wordt het wachtwoord ‘beschermd’ door artikel 6 EVRM en een vingerafdruk of gezichtsscan niet. Je kunt je afvragen hoe logisch dat is.
Opmerking verdient dat de opsporingsautoriteiten een verdachte niet zómaar kunnen dwingen om zijn of haar vingerafdruk af te staan. De bevoegdheid waar de politie zich in dit geval op baseerde was artikel 61a van het Wetboek van Strafvordering. Die bevoegdheid geldt alleen bij (verdenking van) misdrijven waarbij voorlopige hechtenis open staat, en dat zijn serieuze vergrijpen. Je moet dan bijvoorbeeld denken aan misdrijven waar een (maximum) gevangenisstraf van vier jaar voor staat, computervredebreuk, et cetera.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.