#652: Het grijze gebied van uitgrijzen – voorkomen is beter dan genezen

In een recente beschikking van de rechtbank Amsterdam stond het verschoningsrecht ter discussie. Het ging specifiek om de filtering en het uitgrijzen van verschoningsgerechtigd materiaal in (i) in beslag genomen gegevensdragers en (ii) stukken die waren verkregen op grond van artikel 126ng Sv. Uit de zaak blijkt dat de nodige fouten op de loer liggen met het huidige filteringsproces, waardoor waakzaamheid is geboden.

In het onderzoek naar ‘dividendstrippen’ zijn op 6 juni 2023 gegevensdragers in beslag genomen en op vordering e-mailboxen en homedirectories uitgeleverd. Deze data zijn, met inzet van een geheimhoudermedewerker, onder leiding van de rechter-commissaris gefilterd aan de hand van door de verdediging aangereikte zoektermen en algemene termen als advocaat en notaris waarna de hits zijn afgezonderd en uitgegrijsd. Bestanden zonder hit zijn, na een beslissing van de rechter-commissaris, verstrekt aan het onderzoeksteam. Bij een bezoek aan de dataroom op 7 mei 2025 constateerden de raadslieden echter dat tussen de geschoonde data tientallen geheimhoudersstukken aanwezig waren, waaronder stukken met expliciete namen en termen die door de filtering hadden moeten worden geraakt – iets wat wij in de praktijk helaas vaker zien gebeuren.

De zaak kreeg een internationaal karakter door gegevensuitwisseling binnen het Joint Investigation Team (JIT) dat was opgezet met Duitsland en Finland. Eind mei 2025 werd duidelijk dat Duitsland een usb-stick met een kopie van ongeschoonde data had ontvangen en Finland een harde schijf met een kopie van de in beslag genomen data. De vraag rees hoe het kan dat uitgegrijsde informatie in onbewerkte vorm bij derden terecht is gekomen.

Onze kritiek op het fenomeen van uitgrijzen is eerder aan bod gekomen in Vaklunch #620. Ook toen was de boodschap: het uitgrijzen van gegevens is niet hetzelfde als het vernietigen van gegevens. Deze zaak betreft een goed voorbeeld van het feit dat uitgrijzen niet betekent dat de gegevens niet meer bestaan of niet meer toegankelijk zijn; het uitgrijzen kan gemakkelijk ongedaan worden gemaakt en fouten liggen op de loer.

De Hoge Raad heeft in eerdere rechtspraak geoordeeld dat van vernietiging van gegevens sprake kan zijn, als de methode van uitgrijzen wordt gevolgd. In het arrest van 15 april 2025 zijn hierover nadere kaders geschetst door de Hoge Raad. Ook hierover schreven wij in Vaklunch #620. De Hoge Raad bepaalt in het arrest dat de vernietiging zo moet plaatsvinden dat gegevens niet meer kenbaar zijn, geen onderdeel vormen van het strafdossier en in het verdere strafproces geen rol kunnen spelen. Het OM draagt de verantwoordelijkheid hiervoor en moet dat vastleggen in een nauwkeurig proces-verbaal, waarin ook staat hoe is geborgd dat het onderzoeksteam geen toegang heeft (gehad). Worden technische middelen gebruikt, zoals bij uitgrijzen, dan moeten die voorzieningen bovendien controleerbaar zijn, bijvoorbeeld via logging van systeemhandelingen.

Overeenkomstig dit arrest oordeelt de rechtbank dat de FIOD onvoldoende heeft gerelateerd over de werkwijze van het uitgrijzen en de (on)toegankelijkheid van de data voor het opsporingsteam. Het proces-verbaal van 5 februari 2024 dat door de geheimhoudersmedewerker van de FIOD was opgesteld, alsook het proces-verbaal van de rechter-commissaris van 17 oktober 2025 waarin de algemene techniek van het uitgrijzen was beschreven, gaven volgens de rechtbank onvoldoende inzicht in de gehanteerde werkwijze.

Over de eerdere filtering onder leiding van de rechter-commissaris stelt de rechtbank dat er sterke aanwijzingen zijn dat deze onvolledig is geweest. Ondanks een algemene verklaring van het OM en de rechter-commissaris dat een waterdichte filtering onmogelijk is bij een dergelijk grote hoeveelheid data, is het de rechtbank onduidelijk gebleven hoe het mogelijk is geweest dat het invoeren van eenvoudige zoektermen door de verdediging meerdere hits opleverde. De rechtbank komt daarmee tot het oordeel dat een aanvullende filtering dient plaats te vinden.

Dan de verstrekking van de ongeschoonde gegevens aan de Duitse en Finse opsporingsdiensten. Het OM zou maatregelen hebben genomen tegen verdere verspreiding, en door de JIT-partners is aangegeven dat de stukken zijn vernietigd. De rechtbank gaat uit van de betrouwbaarheid van de garantie van de Duitse en Finse autoriteiten en oordeelt dat niet wordt ingezien welke andere waarborgen zouden kunnen worden gegeven. In dat kader oordeelt de rechtbank overeenkomstig het arrest van 12 maart 2024 dat de logbestanden van het uitgrijzen moeten worden verstrekt aan de verdediging. Hiermee zou kunnen worden beoordeeld of leden van het onderzoeksteam verschoningsgerechtigde informatie hebben gezien en/of bewerkt.

Onze boodschap? Voorkomen is beter dan genezen. De uitspraak bevestigt dat het ‘uitgrijzen’ van data feilbaar is. Het ongedaan maken van de uitgrijzing is eenvoudig en een filtering op basis van zoektermen is complex. De omvang van de data mag daarbij geen excuus zijn voor een onvolledige filtering. Het is de beslissing van het OM om dergelijke grote hoeveelheden data in beslag te nemen. Er zou ook voor kunnen worden gekozen om geen sleepnet uit te gooien en gerichter data te verzamelen. Deze uitspraak onderstreept voor de verdediging dat een extra controle op de filtering van data geen overbodige luxe is, maar noodzaak.

Heb je hier vragen over of wil je hierover van gedachten wisselen met ons? Neem dan contact op met ons op via [email protected].