ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 / Vestiging Groningen: 050 209 3499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01

Juridisch advies / Bewijs en forensisch onderzoek

In gevallen van cybercrime en inbreuken op ICT security zijn civiele en strafrechtelijke sancties mogelijk.

In gevallen van cybercrime en inbreuken op ICT security zijn civiele en strafrechtelijke sancties mogelijk. Daarbij is wel bewijs nodig. Dit kan via forensisch onderzoek worden verkregen, maar daar zitten de nodige haken en ogen aan. En ook de procedure bij de rechter zelf is niet eenvoudig.

Bewijsvoering bij de civiele rechter

We hebben in Nederland bij civiele rechtszaken geen regels die bepalen wanneer bewijs toelaatbaar of bruikbaar is. De rechter mag alles gebruiken wat hem onder ogen komt om te bepalen wat de waarheid is en welke partij zou moeten winnen. Er zijn geen wettelijke regels die bijvoorbeeld voorschrijven hoe een logbestand eruit moet zien, dat een foto onderzocht moet worden op manipulatie of dat camerabeelden een watermerk moeten dragen voordat ze getoond mogen worden in de rechtszaal.

Het is een misverstand dat bewijs “niet rechtsgeldig” zou zijn vanwege het medium waarin ze zijn opgenomen. Bewijs mag in elke vorm worden geleverd, zolang de rechter maar overtuigd raakt dat het aangeleverde materiaal duidelijk onderbouwt wat de partijen daarover zeggen. De enige uitzondering is de ondertekende akte: een stuk papier met handtekening, al of niet bij de notaris. Daarvan geldt in beginsel dat dit voor partijen bindend bewijs is van wat er afgesproken is. De rechter zal dus nooit vooraf gaan onderzoeken of de e-mail wel echt is, of mails afwijzen enkel omdat het mails zijn. Hoofdregel is, zolang de partijen zelf niet onderbouwd bezwaar maken, mag alles worden overlegd en kan de rechter dat gewoon meenemen in de beoordeling van de zaak.

Wanneer de rechter niet goed kan inschatten wat een bewijsstuk nu precies bewijst, of er gerede twijfel is over de echtheid, kan een deskundige worden ingeschakeld die daar een verklaring over afgeeft. De rechter kan ook kijken naar andere omstandigheden. Wie bijvoorbeeld stelt dat een mail over een lening vervalst is, maar wel vanaf zijn bankrekening geld heeft overgemaakt onder vermelding van “aflossing lening”, staat niet sterk.

Natuurlijk kunnen digitale documenten triviaal vervalst worden. Maar zolang er geen reden is om te vermoeden dat in dit specifieke geval de documenten zijn vervalst, is dat geen argument. Wel is en blijft het de vraag wat het bestand nu precies bewijst. Er moeten concrete aanwijzingen zijn waarom nu net in deze zaak deze mail gemanipuleerd zou zijn. Je komt er dus niet met “dit is e-mail, dat kan triviaal worden gemanipuleerd”. Net zo min als “getuigen kunnen worden omgekocht dus u mag niet naar deze getuige luisteren” genoeg is. Nee, je moet aannemelijk maken dat nu net deze getuige is omgekocht.

Mogelijk zijn er nog andere bronnen waar je uit kunt putten. Heeft wellicht iemand anders een kopie ontvangen van het mailbericht? Wordt er verwezen naar gesprekken of documenten die nog ergens voorhanden zijn? Kan met een agenda of bankafschriften nog iets gereconstrueerd worden? Zit er in de overlegde e-mailconversatie misschien een inconsistentie, waaruit blijkt dat er gemanipuleerd is? Mensen die mails aanpassen vergeten nog wel eens om ook de kopieën die onderaan latere mails bungelen aan te passen.

Bewijsvoering bij de strafrechter

Het strafrecht heeft strengere regels over het gebruik van bewijs dan het hierboven besproken civiele recht. De hoofdregel is dat het OM wettig en overtuigend bewijs moet leveren dat de verdachte het strafbare feit gepleegd moet hebben. ‘Wettig’ wil zeggen dat het bewijs niet met bijvoorbeeld een illegale tap of door verboden dwang is verkregen. En het bewijs moet ‘overtuigend’ zijn, zodat de rechtbank geen gerede twijfel meer heeft over wat het bewijs nu eigenlijk bewijst.

Bewijs is alleen te leveren met één of meer van de in de wet genoemde ‘bewijsmiddelen’:

  • verklaringen van de verdachte, van getuigen of deskundigen,
  • schriftelijke stukken zoals een proces-verbaal of een rapport van een deskundige, en
  • wat de rechter zelf zoal is opgevallen tijdens het proces.

De rechter mag zelf vragen stellen aan de verdachte, aan getuigen of aan deskundigen. En feiten die algemeen bekend zijn, hoeven niet bewezen te worden. Een verklaring van een verdachte of van een getuige is niet genoeg voor een veroordeling; er is altijd aanvullend bewijs nodig.

Het is een fabeltje dat in strafzaken de verdachte meteen vrijuit kan bij de geringste taal- of spelfout door Justitie. Zogeheten ‘vormfouten’ leiden in de praktijk zelden tot vrijspraak. De rechter toetst of de verdachte door de fout in zijn verdediging geschaad is, en als dat niet zo is, dan gaat de zaak gewoon door. Pas bij serieuze schendingen van het recht kan vrijspraak of een lagere straf volgen.

Verklaringen van deskundigen

Bij ICT-zaken zal het bewijs vrijwel altijd neerkomen op verklaringen of rapporten van deskundigen over wat er in opslagmedia, logbestanden en andere bestanden te vinden is. Die deskundige kan bijvoorbeeld een computer onderzoeken en op basis daarvan zijn conclusies trekken, waarmee de rechter zich kan laten overtuigen.

De rechter mag zelf afgaan op wat hij in de logbestanden en andere bewijsstukken leest, maar logbestanden en andere ICT-aanwijzingen zijn op zichzelf meestal niet duidelijk genoeg om meteen als bewijs te dienen. Als bijvoorbeeld een verdachte stelt dat hij het niet heeft gedaan maar dat een derde zijn computer heeft misbruikt, dan kan een getuige-deskundige worden opgeroepen die moet uitleggen wat voor elektronische aanwijzingen hij heeft gevonden op de computersystemen van de verdachte, en of daaruit redelijkerwijs blijkt dat er sprake was van een indringer van buitenaf.

De rechter hoeft dus niet zelf verstand van ICT te hebben. De rechter moet wel kunnen inschatten welke deskundige de meest logische verklaring aflegt, en bij tegenstrijdige verklaringen afwegen aan welke hij het meest geloof hecht.

Een cyberstalker werd veroordeeld ondanks zijn protest dat zijn computer gehackt zou zijn. De rechtbank had in hoger beroep van twee deskundigen verklaringen gehoord. Een deskundige had verklaard dat theoretisch gezien hacken nooit uit te sluiten is. Maar, zo had een eerdere deskundige verklaard, daar waren geen sporen voor te vinden. De wél aangetroffen sporen waren intern consistent en vertoonden geen aanwijzingen van manipulatie. Daarmee was het nauwelijks denkbaar dat er daadwerkelijk een hacker bezig was geweest.

De theoretische mogelijkheid dat een ander actief was op iemands netwerk, is niet genoeg als het overige bewijs naar de verdachte wijst. Hij zal met tegenbewijs moeten komen, zoals sporen van een rootkit of remote desktop software waarmee die ander vanaf zijn PC de handelingen had kunnen verrichten.

Zo vond de Hoge Raad het in 2007 hoogst onwaarschijnlijk dat een derde de computer van een verdachte zou hebben gehackt en bedreigingen naar diens werkgever zou hebben gestuurd. Waarom zou die dat willen doen? En hoe zou die hacker hebben moeten weten van de toch al onder druk staande arbeidsrelatie?

Forensisch bewijs

In de praktijk zal, zeker bij strafzaken, het bewijs worden veiliggesteld en geanalyseerd door een forensisch deskundige. De bekendste partij in Nederland op dit gebied is het Nederlands Forensisch Instituut (NFI), dat diensten levert aan het OM en Justitie bij strafzaken. Ook diverse private partijen kunnen voor dit doel worden ingeschakeld.

Het NFI heeft ten behoeve van bewijslevering de zogeheten Forensisch-Technische normen (‘FT-normen’) opgesteld. Deze normen beschrijven eisen, voorwaarden en aanbevelingen met betrekking tot het opsporen en veiligstellen van sporen die zijn achtergebleven na een misdrijf. De meeste FT-normen zijn juridisch niet bindend (maar wel sterk aanbevolen). Enkele normen zijn direct afgeleid van wetgeving en daarmee indirect wel bindend.

Voor digitaal forensisch onderzoek zijn er nog geen FT-normen, hoewel er wel een conceptnorm is voor onderzoek aan mobiele telefoons. Ook zijn er normen voor onderzoek aan gespreksopnamen.

In de rechtspraak wordt niet heel hard gehamerd op de kwaliteit van forensisch onderzoek. De resultaten zoals gepresenteerd door NFI of recherchebureau worden meestal voor waar aangenomen, en tenzij de wederpartij daar eigen onderzoek tegenover kan stellen, zal de rechter zelden vraagtekens zetten bij de kwaliteit van het bewijs.

De normen rond zekerstellen van originele informatiedragers en het beheren van de ‘chain of custody’ (wie wanneer het bewijs in handen had en wat daarmee is gebeurd) zijn dus geen wettelijke plichten. Dat wil niet zeggen dat ze waardeloos zijn: wie op die manier werkt, hoeft niet bang te zijn voor bijdehante advocaten die creatieve tegenscenario’s gaan verzinnen om het bewijs te ontkrachten.

Vervalst bewijs

Natuurlijk kan deze aanpak ertoe leiden dat vervalst bewijs toch voor echt wordt aangezien. Maar bewijs wordt niet in isolatie behandeld. Mensen worden niet veroordeeld vanwege één logbestand of één e-mail. Minstens zo belangrijk is de vraag wat deze in context betekenen. Rechters kijken dan ook altijd naar zaken zoals: wat voor soort acties zijn er vanaf de PC of het netwerk in kwestie gepleegd, had de verdachte daar iets bij te winnen en past het bij wat we nog meer van de verdachte weten?

Een paar voorbeelden:

  • Iemand die terechtstond wegens oplichting stelde dat zijn computer gehackt was en een ander vanaf daar de advertenties had geplaatst. Dat verhaal werd niet geaccepteerd: het bankrekeningnummer in de advertentie was van hem, en hij had nooit de moeite genomen te onderzoeken waarom mensen hem toch zomaar geld overmaakten onder vermelding van “koop op marktplaats”.
  • In een strafzaak werden op een PC versleutelde kinderpornobestanden aangetroffen. Het leek de rechtbank duidelijk dat hier geen derde bezig was geweest. Waarom zou die a) kinderporno uploaden naar juist die PC, b) dat encrypten met een wachtwoord dat bestond uit het favoriete sigarettenmerk en het geboortejaar van de verdachte, en dan c) het icoon van het encryptieprogramma op de desktop zetten waar de verdachte het meteen zou zien? Dit alles nog los van het feit dat geen sporen van computerinbraak waren aangetroffen. Het verweer dat het dan misschien de dertienjarige zoon(!) van de verdachte zou zijn geweest, werd eveneens niet aanvaard.
  • In 2011 werd een ICT-medewerker veroordeeld voor het aanbrengen van een achterdeur in een webapplicatie. Hij had tijdens zijn dienstverband een routine ontwikkeld die willekeurige records weggooide, en na zijn ontslag werden die vanaf zijn IP-adres aangeroepen middels een speciaal geconstrueerde URL (een normale URL met debug=1 erachter). De man zelf stelde dat de aanroepen door een derde waren gedaan die zijn IP-adres had gespoofd, maar de rechter hechtte daar geen geloof aan. Het leek te onwaarschijnlijk dat iemand anders zo de ex-werknemer te grazen zou willen nemen.

Securitygoeroe Bruce Schneier houdt zijn draadloze netwerk zo onbeveiligd mogelijk. Want wie zou hem nu geloven als hij zei dat zijn beveiliging gekraakt was en een derde misbruik had gemaakt van zijn systemen? Maar zo zwart-wit is het dus niet per se. Waarom zou Schneier ineens reclame voor Viagra gaan maken of kinderporno gaan versturen vanaf zijn eigen PC? Die vraag is uiteindelijk waar het om draait in het strafrecht. Het gaat er niet om of een computer het gedaan heeft, maar of de verdachte het gedaan heeft.

Illegaal verkregen bewijs

In Nederland geldt in civiele rechtszaken dat illegaal verkregen bewijs gewoon gebruikt mag worden. De rechter zoekt naar de waarheid. Dingen op voorhand uitsluiten past daar niet bij. Wel kan de rechter zulk bewijs minder zwaar laten wegen, bijvoorbeeld omdat niet meer kan worden uitgesloten dat het bewijs is gemanipuleerd.

Zo mocht in een ontslagzaak wegens verduistering van geld uit de kassa een illegaal gemaakte cameraopname gewoon gebruikt worden. Weliswaar was de opname een inbreuk op de privacy van de verdachte, maar deze was gerechtvaardigd vanwege het vermoeden van diefstal. Bovendien vond de Hoge Raad dat “ook indien de werkgever aldus een inbreuk op het privéleven van de medewerkster zou hebben gemaakt, dit nog niet betekent dat dit bewijsmateriaal in een procedure als de onderhavige niet mag worden gebruikt.”

Ook in strafzaken geldt dat illegaal door burgers aangedragen bewijs gewoon gebruikt mag worden, zo heeft de Hoge Raad bij herhaling uitgesproken. Bewijs wordt niet onbruikbaar voor het OM enkel omdat een burger de wet schond bij het verzamelen. Dit zou pas anders worden als politie of andere opsporingsambtenaren betrokken waren bij of op de hoogte zouden zijn van het illegale filmen. De politie – de overheid – heeft veel macht, en met regels als deze wordt de burger tegen misbruik van die macht beschermd.

Bij een strafzaak is het OM zelf wel gebonden aan bepaalde procedurele regels. Als zij die schenden, kan dat leiden tot bewijsuitsluiting of zelfs vrijspraak voor de verdachte. Zo mag het OM niet zomaar mensen aftappen; dit vereist toestemming van de rechter-commissaris. Deze regels werken ook door naar private recherchebureaus: deze mogen ook niet langs illegale weg bewijs vergaren. Recherchebureaus zijn daarmee aan strengere regels gebonden dan gewone burgers. De gedachte hierachter is dat zij stelselmatig onderzoek doen en daarmee aan dezelfde regels gebonden horen te zijn als Justitie.

De persoon die illegale handelingen verricht om bewijs te verzamelen, kan daarvoor natuurlijk wel zelf vervolgd worden. Ook als het bewijs overtuigend genoeg was om de dader achter de tralies te krijgen. De vraag is natuurlijk wel of de politie daar prioriteit aan geeft. Maar wie als burgerwacht (‘vigilante’) zelf actief gaat zoeken naar bewijs voor strafbare feiten neemt wel degelijk een serieus risico veroordeeld te worden. Eigenrichting wordt bij de Nederlandse rechter niet gewaardeerd.

> Meer adviezen over security & cybercrime

Dienst aanvraag

Meer weten? Laat een van onze juridische experts contact met u opnemen via het onderstaande formulier.

Soortgelijke onderwerpen

  • onderhandelen handenschudden

    Domeinnaam mediation

    Een domeinnaam conflict? Mediation lost het op! Wie zakelijk actief is, komt conflicten tegen. U kunt zelf een claim uitbrengen of u kunt claims tegen uw bedrijf gericht krijgen die zien op uw domeinnaam. De verhoudingen lopen in conflicten vaak zo scheef dat het conflict uw bedrijf handenvol geld kost. Maar het kan ook anders.

  • contracticoon

    Juridische generatoren

    ICTRecht heeft tools ontwikkeld op basis van haar meer dan tien jaar ervaring op het gebied van ICT en Recht, waarmee u als ondernemer prima in staat bent om zelf juridische documenten te maken. Van algemene voorwaarden, arbeidscontracten, bewerkersovereenkomsten, BYOD-reglementen tot NDA’s, EULA’s, Service level agreements. U maakt ze met onze generatoren.