OM-cassatie en cassatie verdachte.

HOGE RAAD DER NEDERLANDEN STRAFKAMER Nummer 22/03889 Datum 18 maart 2025 ARREST op het beroep in cassatie tegen een arrest van het gerechtshof Den Haag van 13 oktober 2022, nummer 22-005666-19, in de strafzaak tegen [verdachte] , geboren in [geboorteplaats] op [geboortedatum] 1996, hierna: de verdachte. 1 Procesverloop in cassatie De beroepen zijn ingesteld door de verdachte en het openbaar ministerie. Namens de verdachte heeft N. van Schaik, advocaat in Utrecht, bij schriftuur een cassatiemiddel voorgesteld. Ook het openbaar ministerie heeft bij schriftuur een cassatiemiddel voorgesteld. De raadsman van de verdachte heeft het beroep van het openbaar ministerie tegengesproken. De advocaat-generaal A.E. Harteveld heeft geconcludeerd tot vernietiging van de uitspraak van het hof, maar uitsluitend wat betreft de duur van de opgelegde gevangenisstraf, tot vermindering daarvan naar de gebruikelijke maatstaf en tot verwerping van het beroep voor het overige. 2 Waar het in deze zaak om gaat In dit arrest gaat de Hoge Raad in op de betekenis van recente rechtspraak van het Hof van Justitie van de Europese Unie (hierna: Hof van Justitie) – in het bijzonder de uitspraak in de zaak CG/Bezirkshauptmannschaft Landeck (hierna: CG/Landeck) – voor de eisen die moeten worden gesteld aan onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones. Deze recente rechtspraak brengt mee dat dit onderzoek op een enigszins andere manier moet worden genormeerd dan uit een eerdere uitspraak van de Hoge Raad voortvloeit. Het is aan de wetgever om een wettelijke regeling op te stellen die in haar algemeenheid voldoet aan alle in de rechtspraak van het Hof van Justitie gestelde vereisten. In afwachting van zo’n regeling ziet de Hoge Raad aanleiding om zijn eerdere rechtspraak bij te stellen. In dit arrest wordt in rechtsoverweging 5 uiteengezet wat deze bijstelling inhoudt. Vervolgens worden de cassatiemiddelen van het openbaar ministerie en van de verdachte beoordeeld (rechtsoverweging 6 en 7). In rechtsoverweging 9 geeft de Hoge Raad een samenvatting van zijn oordeel in deze zaak. 3 De overwegingen van het hof Het hof heeft in zijn arrest onder meer overwogen: “Tenlastelegging Aan de verdachte is – na wijziging van de tenlastelegging ter terechtzitting in eerste aanleg en voor zover in hoger beroep nog van belang – tenlastegelegd dat: 1. hij op één of meer tijdstip(pen) in of omstreeks de periode van 1 april 2018 tot en met 2 mei 2018 te [plaats] en/of [plaats] en/of [plaats] en/of [plaats] , althans in Nederland, tezamen en in vereniging met een ander of anderen, althans alleen, (telkens) opzettelijk en wederrechtelijk in (een) (gedeelte van) één of meer geautomatiseerd(e) werk(en), te weten een server en/of netwerk van de ING Bank en/of ABN AMRO Bank, althans een bank, is/zijn binnengedrongen, althans een deel daarvan, doordat verdachte en/of zijn mededader(s) (telkens) één of meerdere Tikkie link(s), althans (een) applicatie(s), heeft/hebben verzonden naar [slachtoffer 1] (zaak Mediamarkt) en/of [slachtoffer 2] (zaak Mediamarkt) en/of [slachtoffer 3] (zaak Mediamarkt) en/of [slachtoffer 4] (zaak Ipad) en/of [slachtoffer 5] en/of [slachtoffer 6] en/of [slachtoffer 7] en/of [slachtoffer 8] , althans één of meer andere perso(o)n(en), waarbij die [slachtoffer 1] en/of [slachtoffer 2] (zaak Mediamarkt) en/of [slachtoffer 3] (zaak Mediamarkt) en/of [slachtoffer 5] en/of [slachtoffer 6] en/of [slachtoffer 7] en/of [slachtoffer 8] en/of één of meer andere perso(o)n(en), naar phishings website(s) werd(en) geleid, waardoor één of meer (inlog)gegevens van de bankrekening(en) van voornoemde perso(o)n(en) zijn opgevangen/afgevangen en/of achterhaald, waarna verdachte en/of zijn mededader(s) vervolgens (telkens) inlogden met die al dus verkregen gegevens (al dan niet met behulp van mobiel bankieren betaal-apps van de ING Bank) op/van voornoemd(e) geautomatiseerd(e) werk(en), waarin hij verdachte en/of zijn mededader(s) zich wederrechtelijk bevond(en) en gegevens voor zichzelf en/of een ander heeft/hebben opgenomen, afgetapt of overgenomen, althans betalingen mee heeft/hebben verricht; 2. hij op één of meer tijdstip(pen) in of omstreeks de periode van 1 april 2018 tot en met 2 mei 2018 te [plaats] en/of [plaats] en/of [plaats] en/of [plaats] , althans in Nederland, tezamen en in vereniging met een ander of anderen, althans alleen, (telkens) één of meerdere toegangscode(s) en/of daarmee vergelijkbaar gegeven(s), waardoor toegang kon worden gekregen tot een (deel van een) geautomatiseerd(e) werk(en) heeft vervaardigd, verkocht, verworven, ingevoerd, verspreid en/of anderszins ter beschikking heeft gesteld en/of voorhanden heeft gehad, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c Wetboek van Strafrecht werd gepleegd, door één of meerdere TAN codes en/of (inlog)gegevens (ondere andere van [slachtoffer 1] (zaak Mediamarkt) en/of [slachtoffer 2] (zaak Mediamarkt) en/of [slachtoffer 3] (zaak Mediamarkt) en/of [slachtoffer 4] (zaak Ipad) en/of [slachtoffer 5] en/of [slachtoffer 6] en/of [slachtoffer 7] en/of [slachtoffer 8] ), althans één of meerdere toegangscode(s) (waarmee kon worden ingelogd op een server en/of website van de ING Bank, althans een bank en/of bankrekening(en) van [slachtoffer 1] en/of [slachtoffer 2] en/of [slachtoffer 3] (zaak Mediamarkt) en/of [slachtoffer 5] en/of [slachtoffer 6] en/of [slachtoffer 7] en/of [slachtoffer 8] , althans één of meer andere perso(o)n(en)) heeft doorgegeven aan en/of verspreid onder, althans ter beschikking gesteld, aan vrienden en/of mededader(s), althans één of meer andere personen en/of voorhanden heeft gehad; 3. hij op één of meer tijdstippen in of omstreeks de periode van 1 april 2018 tot en met 28 mei 2018 te [plaats] en/of [plaats] en/of [plaats] , althans in Nederland, tezamen en in vereniging met een ander of anderen, althans alleen, met het oogmerk om zich en/of (een) ander(en) wederechtelijk te bevoordelen (telkens) door het aannemen van een valse naam en/of een valse hoedanigheid en/of door één of meer listige kunstgrepen en/of door een samenweefsel van verdichtsels de ING Bank (telkens) heeft/hebben bewogen tot de afgifte van één of meer geldbedrag(en), althans tot afgifte van enig goed, hebbende verdachte en/of zijn mededader(s) toen aldaar (telkens) met vorenomschreven oogmerk -zakelijk weergegeven- valselijk en/of listiglijk en/of bedrieglijk en/of in strijd met de waarheid meermalen, althans éénmaal, inlog- en/of accountgegevens en/of gebruikersgegevens van (ING) bankrekening(en) van [slachtoffer 1] (zaak Mediamarkt) en/of [slachtoffer 2] (zaak Mediamarkt) en/of [slachtoffer 3] (zaak Mediamarkt) en/of [slachtoffer 5] en/of [slachtoffer 6] en/of [slachtoffer 7] en/of [slachtoffer 8] , althans één of meer andere perso(o)n(en), waarbij die [slachtoffer 1] en/of [slachtoffer 2] (zaak Mediamarkt) en/of [slachtoffer 3] (zaak Mediamarkt) en/of [slachtoffer 5] en/of [slachtoffer 6] en/of [slachtoffer 7] en/of [slachtoffer 8] heimelijk en zonder toestemming verworven en/of (vervolgens) met die gegevens (van de ING bankrekening(en) van die in de voorgaande alinea genoemde personen) ingelogd op de server en/of website en/of een netwerk, althans een deel daarvan, van voornoemde ING Bank, als zijnde hij, verdachte, en/of zijn mededader(s) die in de voorgaande alinea genoemde personen en/of (vervolgens) (al dan niet met behulp van een mobiel bankieren app van de ING Bank op naam van de in de vierde alinea genoemde personen) (digitaal) één of meerdere goederen aangekocht/betaald, waardoor de ING Bank werd bewogen tot bovenomschreven afgifte; 4. hij op of omstreeks 16 april 2018 te [plaats] , althans in Nederland, tezamen en in vereniging met een ander of anderen, althans alleen, meermalen, althans éénmaal, met het oogmerk van wederrechtelijk toe-eigening heeft/hebben weggenomen één of meerdere geldbedrag(en) (ongeveer 2.488,22,=), in elk geval enig goed, geheel of ten dele toebehorende aan [slachtoffer 2] , in elk geval aan een ander of anderen dan aan verdachte en/of zijn mededader(s), waarbij verdachte en/of zijn mededader(s) zich de toegang tot de plaats des misdrijfs heeft/hebben verschaft en/of de/het weg te nemen goed(eren) onder zijn/hun bereik heeft/hebben gebracht door middel van een valse sleutel, te weten door met een ING mobiel bankieren app (op naam van voornoemde [slachtoffer 2] en welke mobiel bankieren app was geïnstalleerd op een/de telefoon(s) van verdachte en/of die van zijn, verdachtes, mededader(s)) waartoe hij verdachte en/of zijn mededader(s) niet gerechtigd was/waren één of meerdere mobiele telefoon(s), althans één of meer goederen aangekocht bij de Mediamarkt aan [a-straat] te [plaats] , te betalen; 5. hij in of omstreeks de periode van 1 januari 2018 tot en met 1 juli 2018 te [plaats] en/of [plaats] , althans in Nederland, heeft deelgenomen aan een organisatie die werd gevormd door hem, verdachte, en/of [medeverdachte 1] en/of [medeverdachte 2] en/of [medeverdachte 3] en/of [medeverdachte 4] en/of één of meer anderen, welke organisatie tot oogmerk had het plegen van misdrijven, te weten (onder meer) het plegen van computervredebreuk (artikel 138ab Wetboek van Strafrecht) en/of het verspreiden, ter beschikking stellen en/of voorhanden hebben van een technisch hulpmiddel waarmee een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk kan worden afgeluisterd, afgetapt of opgenomen kan worden of een technisch hulpmiddel op een bepaalde plaats aanwezig doet zijn met het oogmerk dat daarmee computervredebreuk te plegen (artikel 139d Wetboek van Strafrecht) en/of het plegen van oplichting (artikel 326 Wetboek van Strafrecht) en/of het plegen van diefstal door middel van een valse sleutel (artikel 311 Wetboek van Strafrecht). (...) Rechtmatigheid onderzoek gegevensdragers In het navolgende zal het hof uit praktische overwegingen de term ‘digitale-gegevensdrager’ gebruiken ter aanduiding van alle apparaten met de functionaliteit om digitale gegevens op te slaan, ook als deze daarnaast aangemerkt kunnen worden als geautomatiseerd werk in de zin van artikel 80sexies van het Wetboek van Strafrecht (hierna: ‘Sr’). Het hof overweegt dat ten aanzien van het onderzoek dat in onderhavige zaak heeft plaatsgevonden aan digitale-gegevensdragers toebehorende aan de verdachte en/of een of meer medeverdachten, dient te worden beoordeeld of, indien eenmaal sprake is van rechtmatig door de rechter-commissaris in beslag genomen voorwerpen, uit (de uitoefening van) die bevoegdheid zonder meer voortvloeit dat de gegevens op die gegevensdragers ongeclausuleerd mochten worden onderzocht. Zoals het hof eerder heeft overwogen (Hof Den Haag, 26 augustus 2021, ECLI:NL:GHDHA:2021:1873) vloeit, indien het onderzoek van de gegevens op een digitale gegevensdrager zo verstrekkend is dat op voorhand is te voorzien dat een min of meer compleet beeld kan worden verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van die gegevensdrager, uit de enkele beslissing tot inbeslagneming niet zonder meer voort dat gegevens op die digitale-gegevensdragers zonder meer mogen worden onderzocht. Indien een dergelijke voorzienbaarheid zich voordoet, zal door de rechter-commissaris die de inbeslaggenomen gegevensdragers voor onderzoek overdraagt aan een opsporingsdienst, moeten worden overwogen of wel of niet beperkingen aan dat onderzoek dienen te worden verbonden. Bij die beslissing en bij het bepalen van aard en omvang van die eventuele beperkingen zullen factoren als de ingrijpendheid van de inbreuk op de persoonlijke levenssfeer van de gebruiker van de betreffende gegevensdragers door het onderzoek en de proportionaliteit en subsidiariteit van de te verrichten onderzoekshandelingen in relatie tot de aard en omvang van de verdenking waarop het onderzoek betrekking heeft een rol kunnen spelen. Daarbij kan onder meer worden gedacht aan beperkingen betreffende het aantal te onderzoeken gegevensdragers, beperkingen betreffende de te onderzoeken gegevens (zoals afbeeldingen, communicatie, internetgedrag et cetera) en beperkingen betreffende de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd of op de betreffende digitale-gegevensdrager terecht zijn gekomen. Ook kan worden gekozen voor fasering van toegestane onderzoekshandelingen doordat de rechter-commissaris eventueel tussentijds beslist tot uitbreiding of (verdere) beperking van het toegestane onderzoek. In het onderhavige geval heeft een dergelijke toetsing niet kenbaar plaatsgevonden. Uit het strafdossier blijkt dat na de doorzoekingen in de woningen van de verdachte en de medeverdachten [medeverdachte 3] en [medeverdachte 4] de in beslag genomen voorwerpen door de rechter-commissaris voor nader onderzoek zijn overgedragen aan het onderzoeksteam. Het proces-verbaal van doorzoeking van de woning van de medeverdachte [medeverdachte 1] bevat een dergelijke vermelding niet, maar uit het strafdossier blijkt onmiskenbaar dat aldaar digitale-gegevensdragers in beslag zijn genomen en vervolgens zijn onderzocht door het onderzoeksteam. Nu deze voorwerpen kennelijk feitelijk bij het onderzoeksteam terecht zijn gekomen, neemt het hof aan dat de rechter-commissaris die deze voorwerpen in beslag heeft genomen deze eveneens voor nader onderzoek aan het onderzoeksteam heeft overgedragen. Voorts blijkt dat bij de aanhouding van de verdachte twee digitale-gegevensdragers bij hem zijn aangetroffen, welke met toestemming van de officier van justitie zijn doorzocht. Nu het hier ging om zogenaamde ‘smartphones’ welke door de verdachte bij zich werden gedragen, moest – nu niet blijkt van aanwijzingen dat hij hier anders dan als een doorsnee-gebruiker mee omging – er rekening mee worden gehouden dat hierop zodanige informatie omtrent zijn persoonlijk leven te vinden zou zijn dat op voorhand te voorzien was dat uit het onderzoek daarvan een min of meer compleet beeld kon worden verkregen van bepaalde aspecten van het persoonlijk leven van de verdachte. Dit leidt ertoe dat het louter met toestemming van de officier van justitie onderzoeken van de betreffende twee digitale-gegevensdragers onrechtmatig was. Tegen deze achtergrond is thans slechts een beoordeling achteraf mogelijk van de vraag of de rechter-commissaris toestemming zou hebben gegeven voor het onderzoek van de gegevens op de digitale-gegevensdragers van verdachte en de medeverdachten, op de wijze zoals dat heeft plaatsgevonden, namelijk zonder enige kenbare beperking. Daartoe overweegt het hof het volgende. Het proces-verbaal Aanvraag doorzoeking ter inbeslagneming met betrekking tot de medeverdachte [medeverdachte 1] is gebaseerd op de verdenking dat deze zich schuldig heeft gemaakt aan een zogenaamde Tikkie-fraude op 13 en 14 april 2018 ten aanzien van één aangever ( [aangever 1] ). Het proces-verbaal Aanvraag doorzoeking ter inbeslagneming met betrekking tot de medeverdachte [medeverdachte 3] is gebaseerd op de verdenking dat deze zich schuldig heeft gemaakt aan het medeplegen van een of meer Tikkie-fraudes met de verdachte. Het proces-verbaal Aanvraag doorzoeking ter inbeslagneming met betrekking tot de medeverdachte [medeverdachte 4] is gebaseerd op de verdenking dat deze zich schuldig heeft gemaakt aan een of meer Tikkie-fraudes op 8/9 en 30 juni 2018. Het proces-verbaal Aanvraag doorzoeking ter inbeslagneming met betrekking tot de verdachte is gebaseerd op de verdenking dat deze zich schuldig heeft gemaakt aan een of meer Tikkie-fraudes op 21 en 23 april 2018. Gegeven hetgeen omtrent deze verdenkingen uit de verschillende aanvragen blijkt, had de rechter-commissaris niet ongeclausuleerd toestemming mogen geven voor doorzoeking van de diverse digitale-gegevensdragers, zodat dit onrechtmatig jegens de verdachte was. Het hof heeft hiervoor reeds aangegeven waaraan bij bedoelde clausulering eventueel zou kunnen worden gedacht. Zo had in dit geval bijvoorbeeld in eerste instantie de toestemming beperkt kunnen worden tot gegevens afkomstig uit 2018. Het ligt voor de hand dat in voorkomende gevallen de visie van de aanvragend officier van justitie op de concrete vormgeving van dergelijke beperkingen wordt betrokken. Het voorgaande betekent dat het hof op de voet van artikel 359a Sv dient te beoordelen of aan het ontbreken van een wettelijke legitimatie aan de respectievelijke onderzoeken enig rechtsgevolg dient te worden verbonden en, zo ja, welk rechtsgevolg dan in aanmerking komt. Vastgesteld dient te worden dat noch de verdachte, noch één van de medeverdachten, heeft aangevoerd, laat staan onderbouwd, dat de facto sprake is geweest van enige inbreuk op de persoonlijke levenssfeer. Het hof zal derhalve, rekening houdend met het belang dat de geschonden norm dient (de bescherming van de persoonlijke levenssfeer van de verdachte), de ernst van het verzuim en het nadeel dat daardoor wordt veroorzaakt (: geen), volstaan met de constatering dat een vormverzuim is begaan.” 4 Juridisch kader Wetboek van Strafvordering 4.1 In deze zaak zijn in het bijzonder de volgende bepalingen uit het Wetboek van Strafvordering (hierna: Sv) van belang. - Artikel 94 lid 1 Sv: “Vatbaar voor inbeslagneming zijn alle voorwerpen die kunnen dienen om de waarheid aan de dag te brengen (...).” - Artikel 95 lid 1 Sv: “De opsporingsambtenaar die de verdachte staande houdt of aanhoudt, kan de voor inbeslagneming vatbare voorwerpen die de verdachte met zich voert, in beslag nemen.” - Artikel 96 lid 1 Sv: “In geval van ontdekking op heterdaad van een strafbaar feit of in geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, is de opsporingsambtenaar bevoegd de daarvoor vatbare voorwerpen in beslag te nemen en daartoe elke plaats te betreden.” - Artikel 104 lid 1 Sv: “De rechter-commissaris is tot inbeslagneming van alle daarvoor vatbare voorwerpen bevoegd. Buiten het geval hij uit hoofde van de artikelen 181 tot en met 183 onderzoekshandelingen verricht, vindt inbeslagneming door de rechter-commissaris slechts plaats op vordering van de officier van justitie.” - Artikel 141 Sv: “Met de opsporing van strafbare feiten zijn belast: a. de officieren van justitie; b. de ambtenaren van politie, bedoeld in artikel 2, onder a, van de Politiewet 2012, en de ambtenaren van politie, bedoeld in artikel 2, onder c en d, van die wet, voor zover zij zijn aangesteld voor de uitvoering van de politietaak; c. de door Onze Minister van Veiligheid en Justitie in overeenstemming met Onze Minister van Defensie aangewezen militairen van de Koninklijke marechaussee; d. de opsporingsambtenaren van de bijzondere opsporingsdiensten, bedoeld in artikel 2 van de Wet op de bijzondere opsporingsdiensten.” - Artikel 148 leden 1 en 2 Sv: “1. De officier van justitie is belast met de opsporing van de strafbare feiten waarvan de rechtbank in het arrondissement waarin hij is aangesteld, kennisneemt, alsmede met de opsporing binnen het rechtsgebied van die rechtbank van de strafbare feiten waarvan andere rechtbanken kennisnemen. 2. Hij geeft daartoe bevelen aan de overige personen met de opsporing belast.” - Artikel 177 lid 1 Sv: “De rechter-commissaris kan, zoveel mogelijk door tussenkomst van de officier van justitie, in het belang van het onderzoek, het doen van nasporingen opdragen en bevelen geven aan de ambtenaren genoemd in artikel 141 onder b, c en d en aan de personen genoemd in artikel 142, eerste lid.” Rechtspraak van de Hoge Raad 4.2 In zijn arrest van 4 april 2017, ECLI:NL:HR:2017:584 heeft de Hoge Raad onder meer overwogen: “2.5. Voor de waarheidsvinding mag onderzoek worden gedaan aan inbeslaggenomen voorwerpen teneinde gegevens voor het strafrechtelijk onderzoek ter beschikking te krijgen. In computers opgeslagen of beschikbare gegevens zijn daarvan niet uitgezonderd (vgl. HR 29 maart 1994, ECLI:NL:HR:1994:AD2076, NJ 1994/577). Dat geldt ook voor in andere inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones, opgeslagen of beschikbare gegevens. De wettelijke basis voor dat onderzoek door opsporingsambtenaren is gelegen in het samenstel van de bepalingen waarop de bevoegdheid tot inbeslagneming is gebaseerd. 2.6. Voor het doen van onderzoek door een opsporingsambtenaar aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken teneinde de beschikking te krijgen over daarin opgeslagen of beschikbare gegevens vereist de wet geen voorafgaande rechterlijke toetsing of tussenkomst van de officier van justitie. Indien de met het onderzoek samenhangende inbreuk op de persoonlijke levenssfeer als beperkt kan worden beschouwd, biedt de algemene bevoegdheid van opsporingsambtenaren, neergelegd in art. 94, in verbinding met art. 95 en 96 Sv, daarvoor voldoende legitimatie. Dit zal het geval kunnen zijn indien het onderzoek slechts bestaat uit het raadplegen van een gering aantal bepaalde op de elektronische gegevensdrager of in het geautomatiseerde werk opgeslagen of beschikbare gegevens. Indien dat onderzoek zo verstrekkend is dat een min of meer compleet beeld is verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van de gegevensdrager of het geautomatiseerde werk, kan dat onderzoek jegens hem onrechtmatig zijn. Daarvan zal in het bijzonder sprake kunnen zijn wanneer het gaat om onderzoek van alle in de elektronische gegevensdrager of het geautomatiseerde werk opgeslagen of beschikbare gegevens met gebruikmaking van technische hulpmiddelen. (...) 2.8. Mede gelet op het vooralsnog ontbreken van een daarop toegesneden wettelijke regeling verdient het volgende opmerking. De bevoegdheid tot inbeslagneming van voorwerpen en de daarin besloten liggende bevoegdheid tot het verrichten van onderzoek aan die voorwerpen kunnen op grond van art. 95 en 96 Sv ook worden uitgeoefend door de op grond van art. 148 Sv met het gezag over de opsporing belaste officier van justitie, nu deze blijkens art. 141, aanhef en onder a, Sv met opsporing is belast. Voorts kunnen die bevoegdheden op grond van art. 104, eerste lid, Sv worden uitgeoefend door de rechter-commissaris. De hier genoemde wettelijke bepalingen bieden tevens de grondslag voor het verrichten van onderzoek aan inbeslaggenomen voorwerpen door de officier van justitie respectievelijk de rechter-commissaris, indien de inbeslagneming is geschied door een opsporingsambtenaar. In zo een geval vormen de genoemde wettelijke bepalingen een toereikende grondslag voor onderzoek aan inbeslaggenomen voorwerpen – waaronder elektronische gegevensdragers en geautomatiseerde werken – dat een meer dan beperkte inbreuk op de persoonlijke levenssfeer meebrengt. Daarbij valt – in het licht van art. 8 EVRM – aan onderzoek door de rechter-commissaris in het bijzonder te denken in gevallen waarin op voorhand is te voorzien dat de inbreuk op de persoonlijke levenssfeer zeer ingrijpend zal zijn.” 4.3.1 Het Wetboek van Strafvordering kent niet expliciet een specifieke bevoegdheid toe aan opsporingsambtenaren – onder wie de officier van justitie – of de rechter-commissaris tot het verrichten van onderzoek aan (inbeslaggenomen) elektronische gegevensdragers en geautomatiseerde werken. Voor de toepassing van zo’n bevoegdheid kunnen artikel 94 lid 1, 95 lid 1, 96 lid 1, 104 lid 1, 141 en 148 lid 1 Sv wel een wettelijke grondslag bieden. 4.3.2 In de onder 4.2 weergegeven uitspraak wordt de vraag aan welke functionaris in eerste instantie de bevoegdheid toekomt tot het verrichten van een onderzoek aan (inbeslaggenomen) elektronische gegevensdragers en geautomatiseerde werken, beantwoord aan de hand van de mate waarin door de toepassing van de bevoegdheid een inbreuk wordt gemaakt op de persoonlijke levenssfeer van de gebruiker van de elektronische gegevensdrager of het geautomatiseerde werk. Als de met het onderzoek samenhangende inbreuk op de persoonlijke levenssfeer als beperkt kan worden beschouwd, kan die bevoegdheid zelfstandig door opsporingsambtenaren worden uitgeoefend. Als op voorhand is te voorzien dat het onderzoek zo verstrekkend is dat een min of meer compleet beeld kan worden verkregen van bepaalde aspecten van het persoonlijk leven van die gebruiker, kan die bevoegdheid niet in eerste instantie door opsporingsambtenaren worden uitgeoefend, maar kan de officier van justitie dat onderzoek verrichten. Op grond van artikel 148 lid 2 Sv kan de officier van justitie aan opsporingsambtenaren het bevel geven om dat onderzoek uit te voeren. Als op voorhand is te voorzien dat de inbreuk op de persoonlijke levenssfeer zeer ingrijpend zal zijn, zal het onderzoek door de rechter-commissaris moeten worden verricht. Op grond van artikel 177 lid 1 Sv kan de rechter-commissaris, zoveel mogelijk door tussenkomst van de officier van justitie, in het belang van het onderzoek, aan opsporingsambtenaren het bevel geven om het onderzoek te verrichten. 4.3.3 Naar aanleiding van de hierna onder 4.4.4 weer te geven uitspraak van het Hof van Justitie is de vraag gerezen of deze rechtspraak over het onderzoek aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken moet worden bijgesteld. Deze vraag wordt onder 5 nader besproken. Unierecht en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: EVRM) 4.4.1 Het Unierecht stelt regels voor het verwerken van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen. Deze regels zijn neergelegd in Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (hierna: Richtlijn 2016/680). De volgende bepalingen uit deze richtlijn zijn in het bijzonder van belang. - Artikel 1: “Onderwerp en doelstellingen 1. Bij deze richtlijn worden de regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. 2. Overeenkomstig deze richtlijn hebben de lidstaten de verplichting: a) de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens te beschermen; en b) erop toe te zien dat de uitwisseling van persoonsgegevens door bevoegde autoriteiten binnen de Unie, wanneer die uitwisseling bij het Unierecht of het recht van de lidstaten is vereist, niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. 3. Deze richtlijn belet de lidstaten niet uitgebreidere waarborgen te bieden dan die waarin deze richtlijn voorziet voor de bescherming van de rechten en vrijheden van de betrokkene in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten.” - Artikel 2 leden 1 en 2: “Toepassingsgebied 1. Deze richtlijn is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de doeleinden van artikel 1, lid 1. 2. Deze richtlijn is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.” - Artikel 3: “Definities Voor de toepassing van deze richtlijn wordt verstaan onder: 1) „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon; 2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaking door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens; (...) 4) „profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling aspecten betreffende zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen; (...) 6) „bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid; 7) „bevoegde autoriteit”: a) iedere overheidsinstantie die bevoegd is voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; of b) ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; (...) 11) „inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens; 12) „genetische gegevens”: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon; 13) „biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens; 14) „gezondheidsgegevens”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten, waarmee informatie over zijn gezondheidstoestand wordt gegeven; (...).” - Artikel 4 lid 1: “Beginselen inzake verwerking van persoonsgegevens 1. De lidstaten schrijven voor dat persoonsgegevens: a) rechtmatig en eerlijk worden verwerkt; b) voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt; c) toereikend, ter zake dienend en niet bovenmatig in verhouding tot de doeleinden waarvoor zij worden verwerkt, zijn; d) juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren; e) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt; f) met gebruikmaking van passende technische of organisatorische middelen op een dusdanige manier worden verwerkt dat de beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.” - Artikel 8: “Rechtmatigheid van de verwerking 1. De lidstaten zorgen ervoor dat verwerking alleen rechtmatig is indien en voor zover die verwerking noodzakelijk is voor de uitvoering door een bevoegde autoriteit van een taak voor de in artikel 1, lid 1, bedoelde doeleinden, en dat die verwerking gebaseerd is op het Unierecht of het lidstatelijke recht. 2. In het lidstatelijke recht dat verwerking binnen het toepassingsgebied van deze richtlijn regelt, worden ten minste de verwerkingsdoeleinden, de te verwerken persoonsgegevens en de doeleinden van de verwerking gespecificeerd.” - Artikel 10: “Verwerking van bijzondere categorieën van persoonsgegevens Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijkt, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over gezondheid of gegevens over seksueel gedrag of seksuele gerichtheid van een natuurlijke persoon zijn slechts toegelaten wanneer de verwerking strikt noodzakelijk is, geschiedt met inachtneming van passende waarborgen voor de rechten en vrijheden van de betrokkene, en: a) bij het Unierecht of het lidstatelijke recht is toegestaan; b) noodzakelijk is om vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen; of c) die verwerking betrekking heeft op gegevens die kennelijk door de betrokkene zelf openbaar zijn gemaakt.” 4.4.2 Verder zijn de volgende bepalingen uit het Handvest van de grondrechten van de Europese Unie (hierna: Handvest) van belang. - Artikel 7: “Eerbiediging van het privé-leven en het familie- en gezinsleven Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie.” - Artikel 8: “Bescherming van persoonsgegevens 1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan. 3. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.” - Artikel 52 leden 1 en 3: “Reikwijdte en uitlegging van de gewaarborgde rechten en beginselen 1. Beperkingen op de uitoefening van de in dit Handvest erkende rechten en vrijheden moeten bij wet worden gesteld en de wezenlijke inhoud van die rechten en vrijheden eerbiedigen. Met inachtneming van het evenredigheidsbeginsel kunnen slechts beperkingen worden gesteld, indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen. 3. Voor zover dit Handvest rechten bevat die corresponderen met rechten welke zijn gegarandeerd door het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, zijn de inhoud en reikwijdte ervan dezelfde als die welke er door genoemd verdrag aan worden toegekend. Deze bepaling verhindert niet dat het recht van de Unie een ruimere bescherming biedt.” 4.4.3 Artikel 8 EVRM luidt in de Nederlandse vertaling: “1. Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. 2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.” 4.4.4 Het Hof van Justitie is in de zaak CG/Landeck ingegaan op, kort gezegd, de voorwaarden die door het Unierecht worden gesteld aan het verkrijgen van toegang door politiediensten tot de gegevens die zijn opgeslagen op een inbeslaggenomen mobiele telefoon (HvJ EU 4 oktober 2024, zaak C-548/21, ECLI:EU:C:2024:830). Het arrest van het Hof van Justitie houdt onder meer in: “Hoofdgeding en prejudiciële vragen 20 Op 23 februari 2021 hebben ambtenaren van het douanekantoor Innsbruck (Oostenrijk) bij een drugscontrole een aan CG geadresseerd pakket met daarin 85 gram cannabis in beslag genomen. Dit pakket is voor onderzoek overgedragen aan het politiebureau van St. Anton am Arlberg (Oostenrijk). 21 Op 6 maart 2021 hebben twee politieagenten van dit bureau een huiszoeking gedaan bij CG, waarbij zij hem hebben ondervraagd over de afzender van dit pakket en zijn woning hebben doorzocht. Tijdens deze huiszoeking hebben de politieagenten CG verzocht om toegang tot de verkeersgegevens van zijn mobiele telefoon. Nadat deze laatste dit had geweigerd, hebben die politieagenten deze mobiele telefoon (met inbegrip van een simkaart en een SD-kaart) in beslag genomen en CG het proces-verbaal van de inbeslagneming overhandigd. 22 Vervolgens is deze telefoon, met het oog op de ontgrendeling ervan, overgedragen aan een expert van het Bezirkspolizeikommando Landeck (regionale politie Landeck, Oostenrijk). Aangezien deze er niet in slaagde om de betrokken mobiele telefoon te ontgrendelen, is die telefoon aan het Bundeskriminalamt (federale recherche, Oostenrijk) in Wenen gezonden, waar een nieuwe poging is gedaan om die telefoon te ontgrendelen. 23 De inbeslagneming van de mobiele telefoon van CG alsmede de latere pogingen om die telefoon uit te lezen, hebben plaatsgevonden op eigen initiatief van de betrokken politieagenten, zonder dat zij daarvoor toestemming hadden gekregen van het openbaar ministerie of een rechter. (...) 30 In deze omstandigheden heeft het Landesverwaltungsgericht Tirol de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vragen gesteld: „1) Moet artikel 15, lid 1, [van richtlijn 2002/58, eventueel gelezen in samenhang met artikel 5], in het licht van de artikelen 7 en 8 van het [Handvest], aldus worden uitgelegd dat de toegang van overheidsinstanties tot de op mobiele telefoons opgeslagen gegevens op dermate ernstige wijze inbreuk maakt op de door die artikelen van het Handvest gewaarborgde grondrechten dat die toegang op het gebied van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten moet worden beperkt tot de bestrijding van zware criminaliteit? 2) Moet artikel 15, lid 1, van [richtlijn 2002/58], in het licht van de artikelen 7, 8 en 11 alsook artikel 52, lid 1, van het [Handvest], aldus worden uitgelegd dat het zich verzet tegen een nationale regeling als § 18 juncto § 99, lid 1, [StPO], op grond waarvan veiligheidsdiensten zichzelf in het kader van een strafrechtelijk onderzoek zonder toestemming van een rechterlijke instantie of onafhankelijk bestuursorgaan volledige en ongecontroleerde toegang kunnen verschaffen tot alle op een mobiele telefoon opgeslagen digitale gegevens? 3) (...)” (...) Ten gronde (...) 57 In dit verband dient in herinnering te worden gebracht dat het Hof met name op basis van artikel 1, leden 1 en 3, en artikel 3 van richtlijn 2002/58 heeft geoordeeld dat wanneer de lidstaten rechtstreeks maatregelen toepassen die inbreuk maken op het beginsel van de vertrouwelijkheid van elektronische communicatie, zonder dat zij verwerkingsverplichtingen opleggen aan aanbieders van elektronische-communicatiediensten, de bescherming van de gegevens van de betrokken personen niet wordt beheerst door richtlijn 2002/58, maar uitsluitend door nationaal recht, behoudens de toepassing van richtlijn 2016/680 (arresten van 6 oktober 2020, Privacy International, C-623/17, EU:C:2020:790, punt 48, en 6 oktober 2020, La Quadrature du Net e.a., C-511/18, C-512/18 en C-520/18, EU:C:2020:791, punt 103). 58 Vast staat dat in het hoofdgeding de politiediensten rechtstreeks hebben geprobeerd om toegang te krijgen tot op een mobiele telefoon opgeslagen persoonsgegevens, zonder dat om de tussenkomst van een aanbieder van elektronische-communicatiediensten is verzocht. 59 Bijgevolg is het duidelijk dat dit geding niet valt binnen de werkingssfeer van richtlijn 2002/58, waarop de eerste en de tweede prejudiciële vraag betrekking hebben. (...) Toepassing van richtlijn 2016/680 op een poging tot het verkrijgen van toegang tot de op een mobiele telefoon opgeslagen gegevens 69 Artikel 2, lid 1, van richtlijn 2016/680 definieert de materiële werkingssfeer. Volgens deze bepaling is deze richtlijn „van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de doeleinden van artikel 1, lid 1”, te weten met name „de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten”. 70 Artikel 3, punt 2, van die richtlijn definieert het begrip „verwerking” als „een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het [...] opvragen, raadplegen” of het „verspreiden of op andere wijze ter beschikking stellen”. 71 Zo blijkt uit de bewoordingen zelf van artikel 3, punt 2, van richtlijn 2016/680 en met name uit het gebruik van de uitdrukkingen „een bewerking”, „een geheel van bewerkingen” en „op andere wijze ter beschikking stellen” dat de Uniewetgever een ruime strekking heeft willen geven aan het begrip „verwerking” en dus aan de materiële werkingssfeer van die richtlijn. Deze uitlegging vindt steun in het feit dat de in die bepaling genoemde handelingen niet exhaustief zijn, wat tot uitdrukking komt in het woord „zoals” [zie naar analogie arrest van 24 februari 2022, Valsts ieņēmumu dienests (Verwerking van persoonsgegevens voor fiscale doeleinden), C-175/20, EU:C:2022:124, punt 35]. 72 Deze tekstuele elementen pleiten dan ook voor een uitlegging volgens welke de politiediensten, wanneer zij een telefoon in beslag nemen en die manipuleren om de op die telefoon opgeslagen persoonsgegevens op te vragen en te raadplegen, een verwerking initiëren in de zin van artikel 3, punt 2, van richtlijn 2016/680, ook als die diensten er om technische redenen niet in slagen om toegang te krijgen tot die gegevens. 73 Deze uitlegging wordt bevestigd door de context van artikel 3, punt 2, van richtlijn 2016/680. Op grond van artikel 4, lid 1, onder b), van die richtlijn schrijven de lidstaten immers voor dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt. In deze laatste bepaling is het beginsel van doelbinding neergelegd [zie in die zin arrest van 26 januari 2023, Ministerstvo na vatreshnite raboti (Registratie van biometrische en genetische gegevens door de politie), C-205/21, EU:C:2023:49, punt 122]. De doeltreffendheid van dit beginsel vereist noodzakelijkerwijs dat het doel van de gegevensverzameling wordt bepaald vanaf het moment waarop de bevoegde autoriteiten proberen om toegang te krijgen tot persoonsgegevens, aangezien een dergelijke poging, wanneer die succesvol is, die autoriteiten met name in staat stelt om de betrokken gegevens onmiddellijk te verzamelen, op te vragen of te raadplegen. 74 Wat de doelstellingen van richtlijn 2016/680 betreft, beoogt deze richtlijn met name een hoge mate van bescherming van de persoonsgegevens van natuurlijke personen te waarborgen, zoals blijkt uit de overwegingen 4, 7 en 15. 75 Aan deze doelstelling zou echter afbreuk worden gedaan indien een poging om toegang te verkrijgen tot op een mobiele telefoon opgeslagen persoonsgegevens niet kan worden aangemerkt als „verwerking” van die gegevens. Een dergelijke uitlegging van richtlijn 2016/680 zou voor de personen op wie die poging tot toegang betrekking heeft immers het grote risico met zich meebrengen dat een schending van de in deze richtlijn neergelegde beginselen niet meer kan worden vermeden. 76 Opgemerkt dient nog te worden dat die uitlegging in overeenstemming is met het rechtszekerheidsbeginsel, dat volgens vaste rechtspraak van het Hof vereist dat de toepassing van rechtsregels voorzienbaar is voor de justitiabelen, in het bijzonder wanneer die regels nadelige gevolgen kunnen hebben (arrest van 27 juni 2024, Gestore dei Servizi Energetici, C148/23, EU:C:2024:555, punt 42 en aldaar aangehaalde rechtspraak). Een uitlegging volgens welke de toepasselijkheid van richtlijn 2016/680 afhangt van het succes van de poging tot het verkrijgen van toegang tot op een mobiele telefoon opgeslagen persoonsgegevens, zou immers voor zowel de bevoegde nationale autoriteiten als de justitiabelen een onzekerheid met zich meebrengen die onverenigbaar is met dit beginsel. 77 Uit het voorgaande volgt dat een poging om toegang te verkrijgen tot de op een mobiele telefoon opgeslagen gegevens door politiediensten ten behoeve van een strafrechtelijk onderzoek, zoals die in het hoofdgeding, binnen de werkingssfeer van richtlijn 2016/680 valt, zoals ook de advocaat-generaal heeft overwogen in punt 53 van zijn conclusie. Eerste en tweede prejudiciële vraag 78 De verwijzende rechter heeft in zijn eerste en tweede vraag uitdrukkelijk verwezen naar, enerzijds, artikel, 15, lid 1, van richtlijn 2002/58, dat met name vereist dat de wettelijke maatregelen die de lidstaten kunnen treffen ter beperking van de reikwijdte van de in meerdere artikelen van deze richtlijn bedoelde rechten en plichten noodzakelijk, redelijk en proportioneel zijn in een democratische samenleving ter waarborging van de nationale veiligheid, dat wil zeggen de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem, en, anderzijds, artikel 52, lid 1, van het Handvest, waarin het evenredigheidsbeginsel is neergelegd in verband met de beperking van de uitoefening van de door het Handvest erkende rechten en vrijheden. 79 Op grond van artikel 4, lid 1, onder c), van richtlijn 2016/680 moeten de lidstaten ervoor zorgen dat de persoonsgegevens toereikend en ter zake dienend zijn en niet bovenmatig zijn in verhouding tot de doeleinden waarvoor zij worden verwerkt. Deze bepaling vereist dus dat de lidstaten het beginsel van de „minimale gegevensverwerking” in acht nemen, dat uitdrukking geeft aan dit evenredigheidsbeginsel (arrest van 30 januari 2024, Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia, C-118/22, EU:C:2024:97, punt 41 en aldaar aangehaalde rechtspraak). 80 Hieruit volgt dat met name bij het verzamelen van persoonsgegevens in het kader van een strafprocedure en bij de opslag daarvan door de politiediensten voor in artikel 1, lid 1, van richtlijn 2016/680 genoemde doeleinden, aan dit laatste beginsel moet worden voldaan, net zoals bij elke verwerking die binnen de werkingssfeer van deze richtlijn valt (arrest van 30 januari 2024, Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia, C-118/22, EU:C:2024:97, punt 42 en aldaar aangehaalde rechtspraak). 81 Derhalve moet worden aangenomen dat de verwijzende rechter met zijn eerste en tweede vraag, die gezamenlijk moeten worden onderzocht, in wezen wenst te vernemen of artikel 4, lid 1, onder c), van richtlijn 2016/680, gelezen in het licht van de artikelen 7 en 8 alsmede artikel 52, lid 1, van het Handvest, zich verzet tegen een nationale regeling die de bevoegde autoriteiten de mogelijkheid biedt om zich toegang te verschaffen tot de op een mobiele telefoon opgeslagen gegevens met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten in het algemeen, en die het gebruik van die mogelijkheid niet afhankelijk stelt van een voorafgaande toetsing door een rechter of een onafhankelijk bestuursorgaan. 82 Om te beginnen blijkt uit de overwegingen 2 en 4 van richtlijn 2016/680 dat deze richtlijn bedoeld is om bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht binnen de Unie, waarbij een solide en coherent kader voor de bescherming van persoonsgegevens wordt ontwikkeld om de eerbiediging te waarborgen van het grondrecht van de bescherming van natuurlijke personen met betrekking tot de verwerking van de hen betreffende persoonsgegevens, dat is erkend in artikel 8, lid 1, van het Handvest en artikel 16, lid 1, VWEU [zie in die zin arrest van 25 februari 2021, Commissie/Spanje (Persoonsgegevensrichtlijn – Strafrechtelijk gebied), C-658/19, EU:C:2021:138, punt 75]. 83 Hiertoe beoogt richtlijn 2016/680 met name, zoals is opgemerkt in punt 74 van dit arrest, een hoge mate van bescherming van de persoonsgegevens van natuurlijke personen te waarborgen. 84 In dit verband dient in herinnering te worden gebracht dat, zoals in overweging 104 van richtlijn 2016/680 wordt onderstreept, de beperkingen die op grond van deze richtlijn kunnen worden gesteld aan het in artikel 8 van het Handvest neergelegde recht op bescherming van persoonsgegevens, alsmede aan het recht op eerbiediging van het privéleven en het familie- en gezinsleve