PlusAchtergrond

Zoekmachine Hansken snuffelt al tien jaar criminele tijdlijnen bijeen uit terabytes bewijsmateriaal

null Beeld Rosa Snijders
Beeld Rosa Snijders

Data worden in strafzaken steeds belangrijker. Leesbaar gemaakte berichten uit ontmantelde computerservers vormen bergen bewijs in grote processen over onderwereldgeweld en drugs. Zoekmachine Hansken van het Nederlands Forensisch Instituut speelt al tien jaar een cruciale rol.

Paul Vugts

Een jaar of twaalf terug was de nare grote Amsterdamse zedenzaak rond Robert M. de katalysator voor het ontstaan van Hansken. Met deze geavanceerde zoekmachine kunnen het Nederlands Forensisch Instituut (NFI) en de opsporingsdiensten uit onafzienbare bergen data het onderlinge berichtenverkeer filteren over liquidaties, ander onderwereldgeweld of drugshandel. In de overtuiging dat hun versleutelde berichtenverkeer via peperdure Blackberry’s en afgeschermde computerservers nooit in handen van de opsporing zou vallen, communiceerden criminelen jarenlang héél concreet.

Maar de servers kwamen wel bij de opsporingsdiensten terecht en de beveiliging bleek te kraken. Wie de straattaal op zich laat inwerken, volgt moeiteloos hoe de verdachten liquidaties bespreken, de wapens regelen en delibereren over de details van de uitvoering zoals het ‘spotten’ (observeren) en ‘hitten’ (schieten).

Gebundeld gereedschap

Uit de brij van (vele) miljoenen berichten uit in beslag genomen computerservers, moeten de rechercheurs dan wél de relevante conversaties weten te filteren – én, vervolgens, weten te achterhalen wie de berichten verstuurden en ontvingen. In dat proces speelt zoekmachine Hansken nu tien jaar een hoofdrol. Terug naar het begin met Harm van Beek, digitaal forensisch specialist van het NFI.

“In 2005 zochten we via allerlei tooltjes al specifieke informatie in bijvoorbeeld e-mails, chats, foto’s of Word-documenten. In een foto zitten data over de camera waarmee die is gemaakt, de hoogte, de breedte en de datum waarop die gemaakt is; een Word-document vertelt je wanneer het voor het laatst is geprint,” zegt Van Beek. “Een stagiair bouwde vervolgens de eerste zoekmachine waarin zulke tooltjes werden gebundeld, zodat je automatisch goed overzicht krijgt over alle digitale sporen waarover je beschikt. Dit was het begin van Xiraf, de voorloper van Hansken.”

Het Team ter bestrijding van Kinderpornografie en Kindersekstoerisme in Rotterdam, dat héél veel filmpjes moet kijken, oordeelde vervolgens dat het nieuwe Xiraf-systeem van meerwaarde was. Vervolgens kwam de Amsterdamse zedenzaak rond Robert M., over het misbruiken van tientallen heel jonge kinderen.

De onderzoekers moesten 8 terabyte aan digitaal bewijs doorspitten. Van Beek: “Dat was voor toen een gigantische hoeveelheid data. Op de zaak waren best wat rechercheurs gezet, maar ouders wilden natuurlijk zo snel mogelijk antwoord op die ene prangende vraag. ‘Is mijn kind betrokken?’ De Amsterdamse politie zocht een middel om die enorme berg data makkelijk doorzoekbaar te maken.”

Vereeuwigde olifant

Voor het eerst werd Xiraf ingezet in een operationele zaak, met succes. Daarna volgden honderden zaken. “In 2012 besloten we een moderne variant te ontwerpen voor gebruik door de recherche, en hebben we Xiraf doorontwikkeld tot Hansken.”

De verbeterde zoekmachine is vernoemd naar de beroemde olifant die in de zeventiende eeuw de wereld over ging en door schilders en tekenaars werd vereeuwigd, onder wie Rembrandt.

De rest is geschiedenis. De computerservers die criminelen voor hun versleutelde communicatie gebruikten, vielen in handen van de opsporingsdiensten. Via Hansken filterden de rechercheteams keihard bewijs uit de miljoenen ontsleutelde berichten en in tal van grote zaken kregen verdachten langdurige celstraffen, tot levenslang voor liquidaties aan toe.

In die grote strafzaken uitten advocaten volop kritiek op Hansken – ook omdat de berichten doorgaans zo’n kraakhelder beeld schetsen dat de meeste andere mogelijke verweren domweg afvallen. Ze probeerden bovendien aan te tonen dat hun cliënten níet de verzenders of ontvangers waren en ze probeerden de inbeslagname en het doorzoeken onrechtmatig te laten verklaren. Toch, de ene na de andere rechtbank accordeerde het bewijs en gaf de verdachten de volle laag.

Honderden zaken tegelijkertijd

In zijn kantoor in het NFI geeft Van Beek een demonstratie. Opeenvolgende schermen met overzichtelijke zoektermen en gevonden resultaten passeren de revue. “Met Hansken analyseer je één brok data met zoveel mogelijk machines tegelijkertijd. Dat kunnen er honderden zijn, of duizenden. Dat levert vooral tijdwinst op, maar ook een grote schaal, want je kunt niet tien maar honderden zaken tegelijkertijd draaien.”

Xiraf was een specialisme binnen het NFI, maar Hansken draait op de eigen datacenters van politie, justitie en bijvoorbeeld de Fiod. “Voorheen waren de tools gericht op digitale experts die het onderzoek deden, maar nu zijn die gewoon geschikt voor tactische rechercheurs die op zoek zijn naar bewijs tegen of voor Pietje.”

Hij voert in het dashboard basale zoektermen in zoals huizenzoekers dat doen in Funda, of klanten van een webshop. “De data zijn zo geïndexeerd dat de webpagina je helpt bij het stellen van zoekvragen. Het is nog steeds wel aan de onderzoekers de juiste filters toe te passen om relevante resultaten te vinden, natuurlijk. Wij zorgen dat de data beschikbaar zijn en inzichtelijk worden gepresenteerd.”

Zoeken kan ook op het soort data (e-mail, chats, foto’s, Word-documenten). In strafprocessen is het cruciaal te kunnen herleiden waar die data vandaan komen. Hansken levert de tijdlijn en bijvoorbeeld de geografische plaats waar die zich bevonden.

Anders dan commerciële zoekmachines, legt Hansken exact vast welke tools wat precies hebben gedaan met het ruwe materiaal. “We brengen de bewijsketen in beeld, zodat ook advocaten en rechters weten welke technieken zijn toegepast en wie wat, waar en wanneer met de data heeft gedaan. Dat weten wij van al die miljoenen berichtjes in die enorme datasets.”

Van wie is die bijnaam?

De rechercheur zal nog steeds voldoende tactische achtergrondinformatie moeten hebben om gericht te kunnen zoeken en resultaten te kunnen duiden. “Als je van iemand een bijnaam weet, kun je daar op zoeken, maar Hansken kan je niet vertellen wie achter welk alias schuilt.”

Communicatie tussen verdachten en advocaten filtert Hansken automatisch uit de gevonden gegevens. Dat is van groot belang om ‘geheimhoudersinformatie’ te kunnen afschermen. Een lange reeks rechtbanken en gerechtshoven heeft het gebruik van Hansken rechtmatig bevonden.

Advocaten kunnen er zelf ook in zoeken. Dat gebeurt in principe bij het NFI, ook omdat veel advocaten er niet op een politiebureau mee willen werken. Het is niet de bedoeling dat de politie weet welke zoektermen hun interesse hebben. Van Beek: “Advocaten krijgen hier alles wat rechercheteams krijgen, beginnend met een korte introductie en een minimale knoppencursus. Wie bol.com weet te gebruiken, kan ook al snel uit de voeten met Hansken.”

Internationaal delen

Het NFI heeft plaats voor maar enkele advocaten tegelijkertijd. Het is de bedoeling dat raadslieden in de toekomst vanuit hun eigen kantoor op Hansken kunnen inloggen, op een door de onderzoeksrechter per zaak goedgekeurd pakket aan data. Daarvan worden de mogelijkheden en grenzen nog onderzocht.

Inmiddels bestaat er een internationale ‘Hansken-community’. In vijf buitenlanden wordt het systeem gebruikt, met vijf andere landen zijn gesprekken. Wetenschappers delen de bevindingen over de methoden. “Overkoepelend over alle onderzoeken heen, doen we wetenschappelijke kennis op die we internationaal delen met collega’s.”

Studenten van Hogeschool Leiden doen ook volop onderzoek naar de mogelijkheden van het systeem. Met de inzet van kunstmatige intelligentie proberen wetenschappers steeds sneller relevante data te vinden. In een groot programma wordt Hansken momenteel ‘verbreed’ met opleidingen, bijvoorbeeld omtrent privacy en beveiliging. Zo blijft Hansken uitdijen tot een instituut waarvan de uiteindelijke grenzen – letterlijke en figuurlijke – nog moeilijk zijn vast te stellen.

Meer over