Wat is digitale opsporing?
Digitale opsporing is het hart van modern strafrechtelijk onderzoek. De politie leest telefoons uit, analyseert computers, onderschept versleutelde communicatie zoals EncroChat en Sky ECC, en doorzoekt logbestanden en netwerkdata. Maar waar digitale mogelijkheden groeien, groeien ook de risico's op fouten.
Digitale opsporing omvat alle opsporingsactiviteiten waarbij de politie digitale gegevens verzamelt, analyseert en als bewijs presenteert:
- Device forensics – Telefoons, tablets, laptops, USB-sticks (Cellebrite UFED, GrayKey, EnCase)
- Netwerkforensics – Internetverkeer, serverdata, logbestanden (Wireshark, Splunk)
- Communicatie-interceptie – Telefoontaps, EncroChat, Sky ECC
- Cloud forensics – iCloud, Google Drive, WhatsApp backup
- OSINT – Social media, publieke bronnen
Team Digitale Opsporing Politie
Binnen de Nederlandse politie zijn verschillende teams verantwoordelijk voor digitale opsporing:
Organisatiestructuur
| Team | Functie |
|---|---|
| Team Digitale Opsporing (TDO) | Per eenheid aanwezig, voert forensische extracties uit |
| Digitale Recherche | Opsporingsonderzoeken naar cybercrime en digitale delicten |
| Team High Tech Crime (THTC) | Landelijke eenheid voor complexe cybercrime-onderzoeken |
| Team Forensische Opsporing (TFO) | Breder sporenonderzoek inclusief digitale component |
Werkwijze Team Digitale Opsporing
Het Team Digitale Opsporing volgt (in theorie) een gestandaardiseerd proces:
- Inbeslagname – Apparaat veiligstellen met chain of custody
- Triage – Snelle scan op relevante data
- Forensische extractie – Volledige kopie van alle data
- Analyse – Doorzoeken op relevante informatie
- Rapportage – Proces-verbaal met bevindingen
In de praktijk zien we regelmatig dat stappen worden overgeslagen, logging onvolledig is, of de chain of custody niet waterdicht is.
Telefoon uitlezen door de politie
Het uitlezen van telefoons is de meest voorkomende vorm van digitale opsporing. De politie gebruikt hiervoor gespecialiseerde forensische tools zoals Cellebrite.
Extractieniveaus
| Niveau | Beschrijving | Vereisten |
|---|---|---|
| Logical extraction | Actieve data: contacten, berichten, foto's | Vaak geen pincode nodig |
| File system extraction | Volledige bestandsstructuur | Meestal pincode of exploit vereist |
| Physical extraction | Alles inclusief verwijderde data | Pincode, exploit of chip-off |
Veelvoorkomende problemen bij telefoon-extracties
- Versleuteling – Moderne telefoons zijn standaard versleuteld
- Selectieve extractie – Niet alle data wordt geëxtraheerd
- Interpretatieproblemen – App-data wordt verkeerd gelezen
- Tijdzone-issues – Timestamps kloppen niet
- Chain of custody – Onduidelijk wie wanneer toegang had
➤ Lees meer: Telefoon inbeslaggenomen – Uw rechten
EncroChat, Sky ECC en versleutelde communicatie
Een bijzondere categorie binnen digitale opsporing is de interceptie van versleutelde communicatieplatformen zoals EncroChat en Sky ECC.
Wat is EncroChat?
EncroChat was een versleuteld communicatieplatform op aangepaste Android-telefoons. In 2020 wisten Franse en Nederlandse autoriteiten de servers te infiltreren en miljoenen berichten te onderscheppen.
Juridische en technische vragen
- Was de hackbevoegdheid correct toegepast?
- Hoe is de data geëxtraheerd en overgedragen?
- Is de chain of custody intact?
- Kan de verdediging de brondata verifiëren?
- Zijn er manipulaties of hiaten in de data?
➤ Lees meer: EncroChat technische analyse – Vormverzuim
Netwerkdata en logbestanden
Naast device forensics verzamelt de politie ook netwerkdata en logbestanden:
Soorten netwerkdata
- Verkeersgegevens – Wie communiceerde met wie, wanneer
- IP-adressen – Welk apparaat verbond waarmee
- Serverlogbestanden – Activiteit op servers
- DNS-logs – Welke domeinen werden bezocht
- Firewall/IDS logs – Beveiligingsgebeurtenissen
Technische uitdagingen bij netwerkdata
- NAT/CGNAT – Meerdere gebruikers delen één IP-adres
- VPN/Tor – Anonimisering maakt attributie lastig
- Onvolledige logs – Bewijshiaten, geen volledig beeld
- Timestamp-problemen – NTP-sync issues, timezone-verwarring
- Log manipulation – Logs kunnen worden aangepast
Waar gaat digitale opsporing mis?
In onze praktijk zien we regelmatig fouten bij digitale opsporing die kunnen leiden tot bewijsuitsluiting of twijfel aan de betrouwbaarheid:
1. Chain of custody problemen
- Onduidelijk wie wanneer toegang had tot het apparaat
- Geen of onvolledige logging van forensische handelingen
- Apparaat niet direct in Faraday-bag geplaatst
- Hashwaarden niet (direct) berekend
2. Extractie- en analysefouten
- Verkeerde forensische tool voor het apparaat
- Incomplete extractie (niet alle apps/data)
- Verwijderde data niet of onjuist hersteld
- App-specifieke data verkeerd geïnterpreteerd
3. Interpretatieproblemen
- Timestamps verkeerd omgerekend (tijdzones)
- Context van berichten mist
- Automatisch gegenereerde data als gebruikersactie gepresenteerd
- Selectieve presentatie van bewijs
4. Juridische gebreken
- Extractie zonder (tijdige) machtiging
- Bevoegdheid overschreden
- Geen of gebrekkig proces-verbaal
- Verdachte niet geïnformeerd over rechten (Salduz)
Hoe CyberSecurity AD kan helpen
CyberSecurity AD is gespecialiseerd in de technische analyse van digitale opsporing. Wij ondersteunen strafrechtadvocaten met:
Onze diensten
- Analyse extractierapporten – Cellebrite, UFED, EnCase rapporten technisch beoordelen
- Chain of custody audit – Is het digitale bewijs integer gebleven?
- EncroChat/Sky ECC analyse – Technische beoordeling van onderschepte data
- Netwerkdata analyse – Logbestanden, IP-attributie, timestamp-verificatie
- Contra-expertise – Second opinion op politierapportages
- Technische rapportage – Rapporten geschikt voor rechtbank
Belangrijk: CyberSecurity AD verleent geen juridisch advies. Wij leveren uitsluitend technische analyses die door uw strafrechtadvocaat kunnen worden gebruikt bij de juridische strategie.