Een van de aanwijzingen die leiden tot het succesvolste opsporingsonderzoek van de Nederlandse politie, vind je in het Amsterdamse Westelijk Havengebied. In een modern, nondescript bedrijvenpand bij snackbar FEBO zit een telecombedrijf met een dubieuze klantenkring, zo ontdekt de Amsterdamse recherche tijdens het afluisteren van twee drugscriminelen in 2017.
„Je moet gewoon naar boven lopen en schreeuwen: ‘Ik kom Sky halen’”, instrueert de ene crimineel de andere. Het bedrijf verkoopt een voor criminelen interessant product: Sky ECC, een encryptiedienst van het Canadese bedrijf Sky Global. Berichten afkomstig van Blackberry’s en iPhones met Sky-software zijn niet te onderscheppen of te kraken. In korte tijd zijn telefoons met zulke encryptiesoftware gaan behoren tot de standaarduitrusting in de onderwereld. Steeds vaker ziet de Amsterdamse recherche dat verdachten in ernstige strafzaken een Sky-telefoon bezitten . De man die in 2018 de broer van kroongetuige Nabil B. op zijn werk doodschoot, gebruikte Sky. En dat gold ook voor de vermoedelijke opdrachtgever van die moord volgens het OM: Ridouan Taghi.
Bitcoin-transacties
In 2018 en 2019 krijgt de Amsterdamse recherche bericht vanuit Amerika. De FBI klopt aan. Onder de neus van de Amsterdamse recherche is volgens de Amerikaanse veiligheidsdienst „één van de grootste distributeurs van Europa” actief. De Amerikanen zijn bij een internationaal onderzoek naar Sky gestuit op deze Nederlander. Hij heet David en zou bijna 10.000 Sky-klanten onder zijn hoede hebben. Middels een „afgeschermde bedrijfsstructuur” en via bitcoin-transacties en bankoverschrijvingen zou hij volgens de Amerikanen zijn royale verdiensten witwassen. Daarvan hebben de Amerikanen ongeveer een half miljoen dollar weten te traceren, tekenen de Amsterdamse rechercheurs op naar aanleiding van de FBI-bevindingen.
Berichten afkomstig van Blackberry’s en iPhones met Sky-software zijn niet te onderscheppen of te kraken
Over Davids klantenkring laat de Amerikaanse veiligheidsdienst geen misverstand bestaan: dat zijn criminelen. „[Hij] heeft toegang weten te krijgen tot meerdere Europese outlaw motorcycle gangs, waaronder Satudarah, om zo het gebruik van Sky ECC uit te breiden.”
Meer aanwijzingen heeft de Amsterdamse recherche niet nodig: ze beginnen een strafrechtelijk onderzoek naar Sky ECC als criminele organisatie, schrijft de Amsterdamse recherche in het proces-verbaal van november 2019 dat als startsein voor het onderzoek dient.
Anderhalf jaar later wordt duidelijk waar dat toe leidt. Nederland heeft samen met buitenlandse opsporingsdiensten Sky ECC weten te hacken. Daardoor zijn zo’n miljard versleutelde berichten wereldwijd gekraakt. Het toenmalige hoofd van de landelijke recherche Andy Kraag spreekt in maart 2021 fier van „een enorme goudmijn” aan criminele informatie. „En die goudmijn gaan we de komende weken, maanden en jaren delven.”
Nederlandse hoofdrol
Sinds 2021 zijn honderden Sky-gebruikers in Nederland vervolgd én veroordeeld voor ernstige strafbare feiten, zoals moord, drugssmokkel en witwassen. Maar tegelijkertijd blijven het omstreden bedrijf Sky en grote Nederlandse distributeurs zoals David – die deze software aan de man brachten – buiten schot. Dit terwijl het in 2019 gestarte onderzoek juist om hén te doen was.
NRC kreeg samen met internationale mediaorganisaties uit zeven landen toegang tot duizenden vertrouwelijke justitiedocumenten. Op basis van die documenten en gerechtelijke uitspraken reconstrueerde NRC de mega-hack en de rol die Nederland daarbij speelde.
Sinds 2021 zijn honderden Sky-gebruikers in Nederland vervolgd én veroordeeld voor ernstige strafbare feiten zoals moord, drugssmokkel en witwassen
Uit de stukken wordt duidelijk dat bij het succes van het Canadese Sky Global twee Nederlanders een belangrijke rol speelden. Naast eerdergenoemde David gaat het om de Nederlandse dertiger Jeroen . Vanwege hun vrees voor represailles uit de onderwereld publiceert NRC alleen hun voornamen. Jeroen zou voor Sky tientallen miljoenen euro’s aan omzet binnen hebben gehaald, had een directe lijn met de topman in Canada en onderhield contacten met mensen in de georganiseerde misdaad.
Gebruikers
Daarnaast blijkt dat het het Nederlandse OM van meet af aan te doen lijkt te zijn geweest om de gebruikers van Sky, en niet het bedrijf zelf. Juridisch is dat onderscheid belangrijk. Het hacken van de communicatie van tienduizenden onbekende Sky-gebruikers staat immers op gespannen voet met mensenrechtenverdragen en werd door de Nederlandse rechter enkel toegestaan om het criminele karakter van Sky en haar distributeurs aan te tonen.
Het opsporingsonderzoek naar Sky vond formeel plaats onder Franse vlag. Daardoor hoeft het Openbaar Ministerie voor de Nederlandse rechter geen verantwoording af te leggen over de hack en kunnen de honderden vervolgde verdachten de rechtmatigheid niet in Nederland aanvechten. Uit de justitiedocumenten blijkt echter dat Nederland een hoofdrol bij de operatie tegen Sky speelde en dat het OM die rol veel kleiner deed voorkomen.
Ook meldde het OM cruciale details over de opsporingsoperatie nooit in de rechtszaal. Zo blijkt uit de stukken niet alleen dat Nederland de cruciale hacktingtool ontwikkelde én installeerde, maar ook dat justitie een undercoveroperatie van de Amerikaanse drugsbestrijder DEA tegen een verdachte in Nederland niet meldde, zoals NRC deze week onthulde.
Uit justitiedocumenten blijkt dat Nederland een hoofdrol bij de operatie tegen Sky speelde en dat het OM die rol veel kleiner deed voorkomen
Waarom gingen de grote distributeurs van Sky in Nederland vrijuit? En hoe is dat te rijmen met het doel van het Nederlandse onderzoek?
Multimiljonair
„Ik vind dat wij als samenleving steeds meer gemonitord worden en dat iedere burger recht op privacy heeft. Vanuit die ideologie ben ik met het verkopen van Sky begonnen.”
Op een zonnig terras in Breda nipt de 36-jarige David van zijn appel-citroen-selderij-gembersap. Hij draagt een casual beige overhemd met strepen, wordt grijs bij de slapen en spreekt doordacht. Dit is de man voor wie de FBI Nederland in 2018 en 2019 waarschuwde, de Sky-distributeur die duizenden klanten zou hebben.
Hij gaat deze zomer in op de uitnodiging van NRC om toe te lichten hoe hij sinds 2016 jarenlang Sky-telefoons aan de man bracht. En om te vertellen „dat wij nooit signalen hebben gehad dat Sky werd gebruikt voor criminele doeleinden”.
David vertelt hoe hij na zijn studie bedrijfswetenschappen en marketing besluit om te gaan ondernemen. In encryptiesoftware waardoor telefoon- en computergebruikers anoniem kunnen blijven, ziet hij commerciële kansen vanwege de digitaliserende samenleving met afluisterende overheden. „Ik heb allerlei encryptieproducten getest en ben uiteindelijk bij Sky terecht gekomen.” In 2016 mailt hij de directeur en oprichter van het Canadese Sky Global, Jean-François E., die inmiddels verdachte is in strafzaken in Frankrijk en de VS. „Het leek heel erg op WhatsApp en was erg gebruiksvriendelijk”, constateert David nadat hij een testversie krijgt opgestuurd.
Als hij hoort dat oprichter E. kort daarop in Amsterdam is, spreken ze af in het Holland Casino, waar de Canadees zit te pokeren. „Hij kwam betrouwbaar op me over”, zegt David. „Iemand die weet wat hij doet.” David vertelt E. over zijn marketingachtergrond en biedt aan mee te helpen om de Sky-website online beter vindbaar te maken. Zo begint een samenwerking waarbij David en zijn bedrijf al snel de taak krijgen om als distributeur voor Europa verkooppunten (‘resellers’) voor Sky te vinden. Die werft hij onder meer via Google-advertenties.
Abonnementsprijzen
Goedkoop is de Sky-app niet. Uit justitiestukken blijkt dat de abonnementsprijzen rond de 600 euro voor drie maanden, of zo’n 2.100 euro voor een jaar kunnen bedragen. Als distributeur ontvangt David daarvan een „marktconforme marge” van doorgaans enkele honderden euro’s.
Dat alleen criminelen dergelijke bedragen ophoesten, wil er bij David niet in. Hij zegt alleen contact met resellers te hebben gehad, niet met eindgebruikers. En die resellers waren „hele normale mensen. Mensen met bijvoorbeeld een telefoonwinkel of een kantoorpand.” Dat de betalingen aan resellers vaak cash gingen, zoals uit justitiestukken blijkt, vindt hij ook niet vreemd. „Je verkoopt een privacyproduct aan iemand die anoniem wil blijven”. De resellers moesten hem wél via de bank betalen, net zoals hij dat ook aan Sky deed.
Goedkoop is de Sky-app niet. Uit justitiestukken blijkt dat de abonnementsprijzen rond de 600 euro voor drie maanden, of zo’n 2.100 euro voor een jaar kunnen bedragen
David werkt onder meer samen met zijn jeugdvriend Jeroen. Ze kennen elkaar sinds ze een jaar of 15 waren van het uitgaan in Arnhem. „Door mij heeft hij ook interesse in encryptiesoftware gekregen.” Eind 2018 hebben ze via hun resellers zo’n 4.000 klanten die Sky-software afnemen, vertelt David. Samen reizen ze ook meermaals naar het Sky-hoofdkantoor in Vancouver.
In 2019 stopt David met werkzaamheden voor het Canadese bedrijf. Sky is uitgegroeid tot een populaire app en tot ergernis van David zijn er steeds meer andere distributeurs en resellers bijgekomen. Die bieden de app veel te goedkoop aan. Ook komen de Canadezen hun belofte niet na om een Sky voor bedrijven te ontwikkelen. En dan is er het juridische advies dat ze inwinnen. David, zo vertelt hij, hield zich altijd aan alle financiële toezichtregels en liet bijvoorbeeld zijn resellers zich identificeren bij intakegesprekken. „Maar wat zij vervolgens deden, daar heb je minder controle over”, vertelt de voormalig Sky-distributeur. „Toen was de afweging: wil ik hiermee doorgaan en lekker door blijven verdienen of wil ik wat anders gaan doen met die centjes.”
Sky is uitgegroeid tot een populaire app en tot ergernis van David zijn er steeds meer andere distributeurs en resellers bijgekomen
De relatief korte tijd dat hij Sky verkoopt maakt hem multimiljonair, wijzen bij de Kamer van Koophandel gedeponeerde jaarrekeningen uit. Het eigen vermogen van zijn halverwege 2017 opgerichte onderneming bedraagt in 2019 meer dan 5 miljoen euro. „Het grootste gedeelte van het eigen vermogen bestaat uit een vergoeding die ik van Sky bij mijn vertrek heb gekregen voor aangebrachte klanten”, vertelt David – die verder niet over zijn verdiensten wil uitweiden.
Servische maffia
Jeroen – die niet met NRC wil praten – gaat wel door. En de rol van de rossige Nederlander binnen Sky wordt na 2019 steeds groter, zo blijkt uit justitiedocumenten. Jeroen gaat volgens justitiestukken schuil achter de bijnaam SKY111 en opsporingsdiensten rekenen hem tot de top van het bedrijf. Hij zit in chatgroepen met CEO Jean-François E. en heeft direct contact met hem.
Volgens een overzicht dat de Franse politie later aan de hand van het Sky-verkoopportaal maakt, heeft Jeroen 22 resellers van encryptiesoftware onder zich werken. Op die manier heeft hij ruim 30 miljoen euro aan Sky-omzet binnengehaald.
Jeroen gaat volgens justitiestukken schuil achter de bijnaam SKY111 en opsporingsdiensten rekenen hem tot de top van het bedrijf
En waar David beweert geen weet van de criminele Sky-klandizie te hebben gehad, lijkt Jeroen dat niet te kunnen ontkennen. Uit ontsleutelde berichten blijkt dat hij in contact stond met verschillende mensen uit de criminele wereld. Zo werkt een Serviër die met de Servische maffia in verband wordt gebracht, onder hem. Op het Sky-account van deze Sasa V. zijn tientallen foto’s van vuurwapens en drugs gevonden. Sky-topman Jean-François E. zegt in een chatgesprek dat Jeroen Sasa V. tot de orde moet roepen, omdat deze over drugs heeft gesproken via Sky ECC, zo blijkt uit een Frans proces-verbaal, dat het gesprek heeft samengevat.
Sasa zelf is tegenover Jeroen duidelijk over de kringen waarin hij verkeert. Zo heeft hij het over moorden in zijn omgeving en stuurt hij een foto van een geliquideerde vriend. Na arrestaties van Sky-resellers in zijn omgeving vraagt hij zich bezorgd af of Sky nog wel veilig is. „We hebben ratten en spionnen in Sky zitten”, tonen screenshots van zijn chats gemaakt door de Franse politie.
De hack
De zorgen van de Serviër zijn niet onterecht, al vindt de politie-infiltratie op andere wijze plaats dan hij vermoedt. Want op het moment dat Sasa en Jeroen begin 2021 berichten aan elkaar sturen, lezen de Nederlandse, Belgische en Franse politie live mee. Dankzij het Team High Tech Crime van de Nederlandse politie is het gelukt om de versleutelde communicatie van Sky te kraken.
Die kraak neemt zo’n twee jaar in beslag, en begint nadat Nederlandse en Belgische politieagenten de Sky-app steeds vaker tegenkomen op mobieltjes van verdachten en als de Nederlandse politie in 2018 en 2019 door de FBI wordt gewezen op de rol van de Nederlander David. Nederlandse rechercheurs ontdekken dat de wereldwijde Sky-communicatie loopt via twee servers in een datacentrum van hostingbedrijf OVH in het Noord-Franse Roubaix.
Daarop ontstaat het plan om te proberen Sky via de servers te hacken en de berichten te ontcijferen die gebruikers elkaar sturen. Met twee veel kleinere cryptocommunicatiediensten, Ennetcom en PGP-Safe, is dat het Team High Tech Crime een jaar eerder óók gelukt. En die hacks, zo constateert de Amsterdamse recherche in een conceptplan dat met de Franse justitie werd gedeeld, bleken zeer waardevol voor de politie.
Hoe ging Sky te werk?
Eind november 2018 vraagt het OM toestemming bij de rechtbank Amsterdam om een kopie van alle servers van Sky op te mogen eisen bij het datacenter van OVH in Roubaix. Het doel is het oprollen van „alle criminele samenwerkingsverbanden” die Sky gebruiken en die zich bijvoorbeeld schuldig maken aan liquidaties, drugshandel en witwassen.
De rechter-commissaris, zo blijkt uit de niet-openbare beschikking, stemt daar niet mee in. Hij gelooft wel dat criminelen die zich aan zulke misdrijven schuldig maken Sky gebruiken, maar vindt het te ver gaan „om nu ongeclausuleerd toestemming te geven” om alle Sky-berichten te doorzoeken op strafbare feiten. Bij een verzoek als dit „moet de proportionaliteit in het oog gehouden worden”.
De wet schrijft bovendien voor dat de rechter alleen toestemming voor een dergelijke hackoperatie mag geven wanneer het gaat om gegevens van personen tegen wie „een redelijk vermoeden bestaat” van betrokkenheid bij georganiseerde criminaliteit. „Het enkele gebruik van versleutelde communicatiediensten”, stelt de rechter-commissaris, „kan dat redelijke vermoeden niet leveren.”
Het OM krijgt daarom maar deels zijn zin. Het mag in Roubaix een kopie van de server opeisen, maar alleen om technisch onderzoek te doen naar de mogelijkheden om versleutelde berichten te kraken. De hackingtool die zo ontwikkeld kan worden, mag dan mogelijk „later” en „beperkt tot een meer specifieke groep gebruikers” worden ingezet.
Achteraf blijkt die toestemming voldoende. Bij de jacht op Sky wordt namelijk een andere afslag genomen. Ook de Fransen beginnen drie maanden later een strafrechtelijk onderzoek naar het Canadese bedrijf, nadat zij zich door Nederland en België hebben laten vertellen dat een aantal Fransen van de app gebruik maakt. Vanaf december 2019 vormen de drie landen met ondersteuning van Europol een joint investigation team, een officieel samenwerkingsverband.
Wat het OM via de Nederlandse rechter niet voor elkaar krijgt, lukt nu wél via Frankrijk. Een Franse rechter blijkt bereid om toestemming te geven Sky te laten hacken. In dat formeel Franse onderzoek speelt Nederland echter nog steeds een sleutelrol. Technici van het Nederlandse Team High Tech Crime bedenken een methode om het werkgeheugen van de Sky-servers te kopiëren zonder dat die offline gaan. Het is een cruciale stap, omdat daarmee de versleutelde verbinding tussen de tienduizenden telefoontoestellen en de Sky-servers ontcijferd kan worden. De kopieermethode wordt tweemaal ingezet, voor het eerst op 14 mei 2020. Een Frans proces-verbaal illustreert de verhoudingen: drie Nederlandse politiemensen worden bij de operatie in Roubaix geflankeerd door twee Fransen.
Lees ook
OM meldde Amerikaanse undercoveroperatie in Nederland niet
Nederlandse rechercheurs en technici ontwikkelen bovendien een essentiële ‘man-in-the-middle’-techniek die het daadwerkelijk ontsleutelen van de honderden miljoenen Sky-berichten mogelijk maakt. Nadat een Franse onderzoeksrechter hier halverwege december 2020 toestemming voor geeft, wordt die techniek in de weken daarna geïnstalleerd.
In februari 2021 begint de ‘live fase’: de drie samenwerkende landen kunnen enkele weken lang, tot de bekendmaking van de hack in maart, meelezen bij alle berichten die de tienduizenden Sky-gebruikers naar elkaar sturen.
Ook tijdens deze live fase zit Nederland aan de knoppen, blijkt uit een Frans proces-verbaal. Nederlandse technici slaan alarm als zij „een daling van 300.000 onderschepte ontcijferde berichten per uur naar 40.000 per uur” ontdekken. Na drie dagen technisch onderzoek blijkt dat door een wijziging aan de server te komen. Daardoor is de installatie van een tweede aftapsysteem in Roubaix noodzakelijk, schrijft de Franse politie de rechter-commissaris in Parijs, die vervolgens toestemming verleent.
De Nederlandse politie heeft voor de live fase het programma ‘Chat X’ ontwikkeld, blijkt uit een conceptversie van een vertrouwelijk, strategisch rechercheplan van de Eenheid Amsterdam. Dit programma moet de duizenden berichten scannen en bevat onder meer een ‘Threat to Life‘-module. Die slaat aan op berichten als ‘ik wil dat jij hem dood maakt’, maar ook op ‘we moeten die kk gast laten slapen’.
Uit het rechercheplan blijkt de gedachte achter het oprollen van Sky. Eerdere hacks zoals Ennetcom en PGP-safe bleken „goudmijnen” te zijn, memoreert de recherche. „Er werden foto’s van drugs, wapens, doelwitten en coördinaten van cocaïne-droppings op zee gedeeld.” Het strafrechtelijk onderzoek naar het bedrijf Sky „biedt de kans om opnieuw een actuele dataset binnen te halen voor en door de Nationale Politie”.
Fishing expeditions
Die zin, opgeschreven door de Eenheid Amsterdam, laat zien dat het politie en justitie niet zozeer te doen is om het bedrijf Sky Global – zoals men eerder bij de Nederlandse rechter heeft aangegeven – maar om zijn klanten. Vanuit opsporingsperspectief is dat begrijpelijk, maar juridisch ligt dat gecompliceerd. Het Europese Hof voor de Rechten van de Mens verbiedt namelijk zogeheten ‘fishing expeditions’. Zonder verdenking een zware opsporingsmethode (zoals hacken) inzetten in de hoop strafbare feiten op het spoor te komen, is niet toegestaan.
Het strafrechtelijk onderzoek naar het bedrijf Sky „biedt de kans om opnieuw een actuele dataset binnen te halen voor en door de Nationale Politie”
dit ogenschijnlijk juridische probleem wordt door justitie omzeild. Zo vindt er in eerste instantie niet een onderzoek plaats naar de Sky-gebruikers, maar naar het bedrijf zelf. Dat gebeurt met de verdenking dat Sky, samen met zijn distributeurs en resellers, deelneemt aan een criminele organisatie en schuldig is aan witwassen door een communicatiedienst aan te bieden die door criminelen wordt gebruikt. Nadat duidelijk wordt dat Sky gehackt kan worden, start Nederland een apart opsporingsonderzoek naar de gebruikers. Via deze omweg kunnen de honderden miljoenen berichten alsnog worden gebruikt in nieuwe strafrechtelijke onderzoeken.
Strategische operatie
„Dit was heel duidelijk een strategische operatie waarbij men zich niet alleen op de organisatie en distributeurs ging richten, maar ook op de gebruikers van de Sky-telefoons”, zegt Jan-Jaap Oerlemans, bijzonder hoogleraar Inlichtingen en Recht bij de Universiteit Utrecht en universitair docent strafrecht aan de Universiteit Leiden. Oerlemans wijst er op dat er nog nooit een opsporingsoperatie heeft plaatsgevonden waarbij zoveel communicatiegegevens – zo’n 500 miljoen ontsleutelde berichten – zijn verzameld als bij Sky. „Het verzamelen en analyseren van al die berichten van tienduizenden nog onbekende gebruikers van Sky maakt een enorme privacy-inbreuk.”
Dat maakt de operatie tot een schoolvoorbeeld van ‘datagedreven opsporing’: een term die Oerlemans bedacht voor de strategie van het Team High Tech Crime. Gegevens die in het ene onderzoek zijn verzameld, worden daarbij geanalyseerd en opnieuw gebruikt in nieuwe opsporingsonderzoeken. Kenmerkend voor datagedreven opsporing is dat er slechts beperkt ruimte is voor toetsing door de rechter.
Bij Sky ligt de juridische verantwoordelijkheid voor de hack in het buitenland. Met Frankrijk en België is weliswaar het joint investigation team opgericht dat alle onderzoeksresultaten deelt, maar formeel is sprake van een Frans onderzoek. Vanwege het ‘interstatelijk vertrouwensbeginsel’ hoeft het OM zich daarom niet te verantwoorden over de rechtmatigheid en proportionaliteit van de hackoperatie. De Nederlandse rechter moet er namelijk op vertrouwen dat een opsporingsonderzoek in een ander EU-land zoals Frankrijk volgens alle regels heeft plaatsgevonden.
Kenmerkend voor datagedreven opsporing is dat er slechts beperkt ruimte is voor toetsing door de rechter
Het OM en de politie houden de belangrijke rol die Nederland bij de hackoperatie speelt lang stil. Nadat de hack van Sky in 2021 openbaar wordt en de eerste verdachten op basis van gekraakte berichten voor de Nederlandse strafrechter staan, doen het OM en de politie in processtukken voorkomen of sprake is van een Franse cyberoperatie, met een door Frankrijk ontwikkelde techniek.
Pas vijftien maanden later, nadat Nederlandse advocaten buitenlandse processtukken in handen krijgen waaruit iets anders blijkt, erkent het OM dat Nederland de cruciale taptechniek ontwikkelde. Maar ook dat gaat mondjesmaat, blijkt uit een proces-verbaal van de politie dat de technische gang van zaken bij het onderzoek uiteenzet. Terwijl de Franse politie en rechters in documenten Nederlandse rechercheurs en technici alle credits geven voor het ontwikkelen van de cruciale taptechniek, heeft de Nederlandse politie het over het ontwikkelen van „een eerste concepttechniek” die vervolgens met Frankrijk en België „doorontwikkeld en verfijnd” is.
Bij Sky ligt de juridische verantwoordelijkheid voor de hack in het buitenland
Eind 2022 hekelt de rechtbank Gelderland de langdurige „onjuiste” en „zeer moeizame” informatievoorziening door het OM. „De rol van Nederland bij de hack blijkt achteraf veel groter te zijn geweest” en het OM heeft „ten onrechte gesteld dat sprake zou zijn van een Franse interceptietool”, constateren de rechters. Vanwege het vertrouwensbeginsel verbinden ze daar echter geen consequenties aan.
Hoogleraar Oerlemans wijst erop dat de Hoge Raad de gang van zaken rond het Sky-onderzoek heeft getoetst en goedgekeurd, maar ziet tegelijkertijd dat de wijze waarop in Nederland geopereerd wordt op gespannen voet staat met Europese privacywetgeving. „De spanning zit vooral in het feit dat het lang geheim bleef op welke wijze deze gegevens verzameld werden en het niet altijd duidelijk is hoe uiteindelijk het bewijs tot stand komt. Strafrechters toetsen doorgaans niet of gegevensverwerking rechtmatig is, bijvoorbeeld op hoe lang de berichten die met een hack bemachtigd bewaard en gebruikt mogen worden. Ook is geen enkele toezichtsactiviteit van de Autoriteit Persoonsgegevens zichtbaar.”
Niet vervolgd
De justitiële hack van de Sky-servers in Roubaix heeft grote gevolgen. In Nederland worden honderden mensen veroordeeld naar aanleiding van de hack, in België ruim duizend. Het gaat vooral om Sky-gebruikers, zij kunnen worden vervolgd omdat politie en justitie na de hack konden lezen hoe zij openlijk over drugshandel of liquidaties spraken.
Hoewel het een Frans onderzoek is, wordt in Frankrijk het kleinste aantal mensen vervolgd. Uit een justitiedocument blijkt dat het gaat om enkele tientallen verdachten van drugs- en geweldsmisdrijven.
Frankrijk gaat bovendien, zoals de bedoeling was, achter het bedrijf Sky aan. In Frankrijk moeten dertig verdachten, onder wie ook kleine verkopers van de app, zich naar alle waarschijnlijkheid komend jaar voor de rechter verantwoorden voor het verspreiden van de encryptiesoftware. Onder hen ook reseller Thomas H. die langere tijd in Nederland verbleef en die via een Amerikaanse undercoveroperatie werd opgepakt. Frankrijk wil bovendien de nog niet uitgeleverde topman Jean-François E. vervolgen. Ook in de Verenigde Staten worden H. en E. vervolgd.
In Nederland lijken de belangrijke Sky-distributeurs Jeroen en David de dans te ontspringen. Zij laten via hun aanvankelijk gezamenlijke advocaat aan NRC weten dat zij niet vervolgd worden of als verdachte zijn aangemerkt in enige zaak. Dat staat haaks op de wijze waarop politie en justitie hun strafrechtelijke onderzoek naar Sky instaken en de doelstellingen die zij in een rechercheplan optekenen „Sky als organisatie vervolgen” en het „identificeren en financieel vervolgen van resellers”.
Vragen in Frankrijk
Het uitblijven van vervolging zorgt voor vragen in Frankrijk. In september 2023 stuurden twee Franse onderzoeksrechters een brief naar het Landelijk Parket van het OM in Nederland. Met het doel van het joint investigation team in het achterhoofd willen de twee graag de strafzaken tegen Sky ECC rondmaken. „Is het mogelijk om te bevestigen dat de Nederlandse autoriteiten deze distributeurs onderzoeken?”, verwijzen de rechters naar Jeroen en nog twee Nederlanders die ze in hun brief noemen. Het OM antwoordt enkele weken later dat het „op dit moment helaas onmogelijk is enige informatie te verschaffen.”
In Nederland lijken de belangrijke Sky-distributeurs Jeroen en David de dans te ontspringen
De in Frankrijk vervolgde reseller Thomas H., die in afwachting van zijn proces al sinds 2021 in de Franse cel zit, en zijn advocaten vinden dat er met twee maten wordt gemeten. Zij vinden het zelfs zo onwaarschijnlijk dat de in hun ogen veel ‘grotere vis’ Jeroen vrijuit gaat, dat zij het vermoeden uitspreken dat de Nederlander als informant voor de autoriteiten zou hebben gewerkt. Jeroen laat via zijn advocaat weten dat hij absoluut geen informant is geweest. Ook was hij volgens zijn advocaat geen Sky-distributeur, maar een externe consultant. Verder wil de Nederlander nergens op reageren.
Gebruind, in een casual colbert, met baard en achterovergekamd haar prijkte Jeroen tot voor kort als ‘owner’ en ‘real estate advisor’ op de website van een makelaarskantoor dat woningen aan de Midellandse Zee verkoopt. Sinds NRC en andere internationale media hem benaderden met vragen over zijn rol in Sky, is die website offline wegens onderhoud.
Het Nederlandse OM laat desgevraagd weten dat het vanwege onderzoeks- en privacybelangen niet kan ingaan op vragen over het uitblijven van strafrechtelijk optreden tegen David en Jeroen. Een woordvoerder van het Landelijk Parket benadrukt dat het in 2019 gestarte onderzoek met codenaam Werl tegen de Sky-organisatie „een nog altijd lopend strafrechtelijk onderzoek is”. Daarnaast stelt hij dat in Nederland zo’n honderd resellers – kleinere handelaren – van Sky zijn vervolgd. Rechterlijke uitspraken waaruit die vervolgingen blijken, verstrekte het OM desgevraagd niet.
Op het Bredase terras benadrukt David dat hij niks verkeerd heeft gedaan en hem valt, zegt hij, strafrechtelijk niets te verwijten. Hij benadrukt dat hij nooit is aangeklaagd of veroordeeld voor witwassen. Van al die criminele gebruikers had hij geen weet. Als hij al iets hoorde over de klantenkring van zijn resellers, dan was het dat Sky „verkocht werd aan juweliers, advocaten en zakenlui”.
David had, zegt hij, nooit verwacht dat het bedrijf dat hij in 2016 benaderde jaren later mondiaal in de aandacht van politie en justitie zou komen te staan. In privacy en het belang van producten die daarvoor zorgen, gelooft hij nog steeds. Al is hij over het onkraakbare karakter sceptischer geworden. „Ik denk dat elke encryptiedienst uiteindelijk tegen hetzelfde probleem als Sky kan aanlopen en gehackt kan worden.”