In het Computer Law & Security Review is het artikel Prosecuting communication services providers as crime facilitators: A cautionary tale van Jan-Jaap Oerlemans (Universiteit Utrecht) en Sofie Royer (KU Leuven) verschenen. Het artikel analyseert een opvallende trend in de bestrijding van georganiseerde (cyber)criminaliteit: het strafrechtelijk vervolgen van communicatiedienstverleners, en in het bijzonder hun bestuurders, voor medeplichtigheid aan strafbare feiten gepleegd door hun klanten. Aanleiding voor de publicatie is mede de aanhouding van Telegram-CEO Pavel Durov in Frankrijk in augustus 2024, maar de auteurs leggen vooral de Nederlandse jurisprudentie tegen bulletproof hosting providers en aanbieders van cryptocommunicatiediensten onder een vergrootglas. Centraal staat de vraag in hoeverre fundamentele rechten beperkingen opleggen aan deze handhavingsstrategie. De auteurs concluderen, mede op basis van rechtspraak van het EHRM, dat het enkele aanbieden van een (versleutelde) communicatiedienst geen strafrechtelijke aansprakelijkheid oplevert, en dat zowel de materiële als de mentale bestanddelen van het strafbare feit moeten worden bewezen. Voor de bijzonder-strafrechtpraktijk biedt het artikel een gestructureerde analyse die zowel het Openbaar Ministerie als de strafrechtadvocatuur nuttige aanknopingspunten biedt. Het volledige artikel is open access beschikbaar.

Van reactieve opsporing naar een proactieve, datagedreven aanpak

Oerlemans en Royer plaatsen de vervolgingsstrategie in een bredere ontwikkeling die zich tussen 2015 en 2025 heeft voltrokken. Het Nederlandse Team High Tech Crime ontwikkelde een aanpak waarin grote hoeveelheden data niet langer reactief worden verzameld, maar proactief worden vergaard, opgeslagen en geanalyseerd om vervolgens op verschillende manieren te worden ingezet. Het zogenoemde CSAE-model, voor Collect, Store, Analyse, Engage, gaat verder dan klassieke bewijsvergaring: opsporingsdiensten gebruiken de data ook voor het waarschuwen van slachtoffers, het versturen van cease-and-desist-berichten en het naming and shaming van topverkopers op online marktplaatsen. Diverse internationale operaties zoals Operation Onymous (2014), Operation PowerOFF en Operation Endgame (2024 en 2025) illustreren hoe deze strategie inmiddels Europa-breed wordt toegepast.

Bij deze operaties worden bepaalde aanbieders, met name bulletproof hosters, VPN-diensten en aanbieders van cryptotelefoons, in persberichten van Europol en het Openbaar Ministerie consequent aangeduid als 'crime facilitators'. Kenmerkend voor deze partijen is dat zij geen Know-Your-Customer-procedures hanteren, anonieme registratie en betaling toestaan en niet of nauwelijks meewerken aan rechtmatige verzoeken van opsporingsautoriteiten. De auteurs beschrijven hoe het Nederlandse opsporingsapparaat deze strategie tussen 2015 en 2025 heeft uitgebreid van zuivere cybercrime naar zware georganiseerde criminaliteit, met negen cryptotelefoonoperaties als gevolg. Per november 2025 zijn er meer dan 1700 in Nederland gepubliceerde uitspraken die verwijzen naar bewijs verkregen uit cryptocommunicatiediensten.

Vier Nederlandse zaken als toetssteen

De juridische kern van het artikel ligt in de analyse van vier Nederlandse uitspraken die in de afgelopen tien jaar zijn gewezen tegen personen met een sleutelpositie binnen een communicatiedienstverlener.

In de Maxided-zaak veroordeelde de rechtbank Rotterdam in 2019 een 29-jarige werknemer wegens witwassen van zijn salaris van €537.494, dat afkomstig was uit een onderneming die zich met onder meer auteursrechtinbreuk en cybercrime bezighield. De verdachte werd echter vrijgesproken van medeplegen en medeplichtigheid aan de verspreiding van kinderpornografisch materiaal, omdat het dossier geen direct bewijs bevatte dat hij wist dat dergelijk materiaal via de servers werd uitgewisseld. Voorwaardelijk opzet werd niet aangenomen.

In de zaak tegen een niet bij naam genoemde hostingprovider veroordeelde dezelfde rechtbank op 21 februari 2025 de bestuurder en aandeelhouder voor medeplichtigheid aan computermisdrijven, waaronder het hosten van het Mirai-botnet. De rechtbank baseerde haar oordeel dat de verdachten wisten dat hun servers werden misbruikt onder meer op het gegeven dat zij in de periode tussen 18 maart 2019 en 1 oktober 2019 in totaal 8.012 abuse-meldingen ontvingen, waaronder 138 die expliciet naar Mirai verwezen, terwijl zij volstonden met standaardantwoorden of meldingen onbeantwoord lieten. Daarnaast werd geconstateerd dat klanten konden registreren met fictieve gegevens, anoniem konden betalen in Bitcoin en dat de verdachten in interne communicatie aangaven 'niet om abuse te geven' en zelfs instructies gaven om malware-binaries te verhullen. Gezien deze omstandigheden oordeelde de rechtbank dat sprake was van voorwaardelijk opzet. De straf bestond uit 174 uur taakstraf en vier maanden voorwaardelijke gevangenisstraf, met een proeftijd van twee jaar.

In de Ennetcom-zaak veroordeelde de rechtbank Rotterdam op 21 september 2021 de oprichter van het bedrijf dat versleutelde BlackBerry-toestellen verkocht tot 54 maanden gevangenisstraf wegens leiding geven aan een criminele organisatie, witwassen, valsheid in geschrifte en illegaal wapenbezit. De rechtbank oordeelde dat het ontwikkelen, aanbieden en verkopen van zulke telefoons op zich niet onrechtmatig is, maar dat aansprakelijkheid ontstaat wanneer de toestellen uitsluitend of overwegend worden gebruikt door personen die opsporing van hun strafbare feiten willen frustreren, mits dat doel binnen de organisatie bekend is. Het op afstand wissen van data op verzoek, het accepteren van contante betalingen en het hanteren van pseudoniemen droegen bij aan het oordeel.

De IronChat-zaak leverde op 12 september 2024 een veroordeling op door de rechtbank Gelderland van een 52-jarige man tot 4,5 jaar gevangenisstraf wegens leiding geven aan een criminele organisatie. De applicatie maakte gebruik van het Off-The-Record-protocol en bevatte functionaliteiten als een 'panic mode' en een 'CRASHME!'-commando. De rechtbank constateerde onder meer dat ongeveer 90 procent van de tegoedstortingen in contanten werden gedaan en dat de bank al had gewaarschuwd dat dergelijke transacties onaanvaardbaar waren. De wetenschap dat een aanzienlijk deel van het klantenbestand bestond uit personen die zich met criminele activiteiten bezighielden, kon worden afgeleid uit afgeluisterde gesprekken, observaties en IronChat-berichten zelf.

Het EHRM-kader: encryptie als beschermd recht

In het hoofdstuk over fundamentele rechten putten de auteurs uit de jurisprudentie van het Europees Hof voor de Rechten van de Mens. Het EHRM erkent in Podchasov v. Russia dat versleuteling een belangrijke rol speelt bij de bescherming van het recht op privéleven en de vrijheid van meningsuiting, en dat end-to-end encryption mensen en bedrijven helpt zich te beschermen tegen misbruik van informatietechnologie. Het Hof stelt zich kritisch op tegenover overheidsmaatregelen die deze beschermingsmechanismen uithollen.

In de Turkse ByLock-zaken, waaronder Akgün v. Türkiye en Yüksel Yalçinkaya v. Türkiye, heeft het EHRM herhaaldelijk geoordeeld dat het enkele gebruik van een versleutelde communicatieapplicatie geen redelijke verdenking of bewijs van strafbaar handelen oplevert, ook niet wanneer de overheid stelt dat de applicatie uitsluitend voor criminele doeleinden zou worden gebruikt. In Yüksel Yalçinkaya oordeelde de Grote Kamer dat een veroordeling die in feite objectieve strafrechtelijke aansprakelijkheid koppelt aan het gebruik van een dergelijke applicatie strijdig is met artikel 7 EVRM. Voor lidmaatschap van een terroristische of criminele organisatie moeten zowel het materiële element als het mentale element, kennis en opzet, individueel worden bewezen.

Voor de aansprakelijkheid van tussenpersonen zelf zijn vooral Eurofinacom v. France en Sanchez v. France van belang. In Eurofinacom aanvaardde het Hof dat een communicatiedienstverlener die contractueel verplicht was om uitingen te monitoren en die wist dat de dienst werd gebruikt voor het verboden bemiddelen tussen sekswerkers en klanten, strafrechtelijk aansprakelijk kon worden gehouden. In Sanchez aanvaardde de Grote Kamer dat onder bepaalde omstandigheden ook gedeelde aansprakelijkheid van tussenpersonen mogelijk is zonder schending van artikel 10 EVRM. Oerlemans en Royer leiden hieruit af dat het EHRM contractuele en wettelijke zorgvuldigheidsverplichtingen meeweegt bij de beoordeling van strafrechtelijke aansprakelijkheid, en dat de groeiende stroom verplichtingen onder onder meer de Digital Services Act hier in de toekomst een rol kan gaan spelen.

KYC en het tekortschieten van compliance als bewijs van opzet

Een belangrijke rode draad in het artikel is de wijze waarop opzet kan worden afgeleid uit het structureel tekortschieten van due diligence. In de Nederlandse zaken speelden steeds dezelfde elementen een rol: het ontbreken van behoorlijke identificatie van klanten, het accepteren van contante of pseudonieme cryptobetalingen, het structureel negeren van abuse-meldingen en het uitblijven van anti-witwasmaatregelen. De auteurs trekken hieruit de conclusie dat het niet naleven van compliance-verplichtingen, ook waar die niet uitdrukkelijk strafrechtelijk zijn gesanctioneerd, in toenemende mate bijdraagt aan het bewijs van voorwaardelijk opzet. Daarmee ontstaat een bijzondere wisselwerking tussen het bestuursrechtelijke kader van onder meer de Wet ter voorkoming van witwassen en financieren van terrorisme, de DSA en het commune strafrecht.

In de Duitse Cyberbunker-zaak lieten zowel het Landgericht Trier als het Bundesgerichtshof zien dat een veroordeling voor Beihilfe aan concrete delicten van klanten lastig rond te krijgen is, omdat de hoster doorgaans geen specifieke kennis heeft van afzonderlijke transacties. Wel kon worden veroordeeld voor deelneming aan een criminele organisatie op grond van §129 StGB, omdat daarvoor algemene kennis van het criminele oogmerk volstaat. Een vergelijkbaar onderscheid is in de Nederlandse jurisprudentie zichtbaar.

Wat het artikel zegt over de Durov-zaak

Hoewel de aanhouding van Telegram-CEO Pavel Durov op 24 augustus 2024 de aanleiding voor het artikel vormde, benadrukken Oerlemans en Royer expliciet dat Telegram zich onderscheidt van de veel kleinere bulletproof hosters en cryptocommunicatieaanbieders die in de Nederlandse jurisprudentie centraal staan. Het aandeel criminele activiteit op Telegram ten opzichte van het totale gebruikersbestand zal naar verwachting aanzienlijk lager liggen dan bij aanbieders die zich vrijwel exclusief op een crimineel publiek richten. Dat heeft, aldus de auteurs, gevolgen voor de bewijslast van het mentale element. De Franse vervolging zal aanzienlijke evidentiële hordes moeten nemen om medeplegen of medeplichtigheid aan concrete delicten van Telegram-gebruikers rond te krijgen.

Sinds de publicatie van het artikel zijn de reisbeperkingen voor Durov in november 2025 volledig opgeheven, terwijl de strafrechtelijke procedure in Frankrijk doorloopt. Volgens berichtgeving in onder meer Le Monde en Reuters gaat het inmiddels om een twaalftal tenlasteleggingen, waaronder medeplichtigheid aan de verspreiding van kindermisbruikmateriaal, drugshandel, witwassen, computermisdrijven en fraude. Deze cijfers staan los van het artikel zelf, dat zich toespitst op de bredere juridische strategie en de vroege fase van de Franse procedure. De zaak biedt naar verwachting de komende jaren een belangrijk Europees ijkpunt voor de strafrechtelijke aansprakelijkheid van bestuurders van grote communicatieplatformen.

Afsluiting

Het artikel van Oerlemans en Royer biedt zowel praktijk als wetenschap een systematische analyse van een handhavingsstrategie die in Nederland is ontwikkeld en zich Europa-breed verspreidt. De geanalyseerde rechtspraak laat zien dat het enkele aanbieden van een communicatiedienst, ook wanneer deze in de praktijk vaak voor criminele doeleinden wordt gebruikt, op zichzelf geen strafrechtelijke aansprakelijkheid oplevert. De bewijslast strekt zich uit tot zowel het materiële handelen als het opzet, en in de praktijk wordt dat opzet steeds vaker afgeleid uit het tekortschieten van zorgvuldigheidsverplichtingen rond klantidentificatie, betalingsstromen en abuse-afhandeling. Voor het Openbaar Ministerie ligt hier de uitdaging om voldoende substantieel bewijs te leveren; voor de strafrechtadvocatuur biedt de jurisprudentie aanknopingspunten om de bewijsconstructie kritisch te toetsen. De lopende Franse procedure tegen Pavel Durov zal mede bepalen hoe deze juridische lijn zich verder ontwikkelt.