Donderdag 30 november 2017

Wet computercriminaliteit III: invoering van de ‘terughackwet’

Computercriminaliteit is een groeiende vorm van misdaad die voor een steeds grotere wereldwijde impact zorgt. 1https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2016. De pakkans bij computercriminaliteit is relatief klein.2 Cybersecuritybeeld 2016, Hfd. 2 Dreigingen: Actoren, p. 26. Om tegenwicht aan deze ontwikkelingen te bieden heeft het kabinet een aantal stappen genomen. Een van deze stappen is het uitbreiden van bevoegdheden voor politie en justitie. Om dit te bereiken is de Wet computercriminaliteit III ontworpen, welke op dit moment bij de Eerste Kamer ter bespreking ligt. Deze wet biedt politie meer bevoegdheden om de bestrijding van ernstige vormen van computercriminaliteit en terrorisme tegen te gaan. De noodzaak voor deze toename in bevoegdheden komt, blijkens de Memorie van Toelichting (MvT), voort uit technologische ontwikkelingen zoals de versleuteling van gegevens (encryptie), het toenemende gebruik van draadloze netwerken en het gebruik van cloudcomputingdiensten.3 MvT Wet Computercriminaliteit III, Hfd. 2, p. 8. De meest omstreden nieuwe bevoegdheid waar de politie potentieel over kan beschikken middels deze wet, is de zogenaamde ‘terughackbevoegdheid’. In dit stuk zal ik uiteen zetten wat precies deze bevoegdheid inhoudt en de kritiek bespreken die hierop is geuit.

‘Terughacken’

Onder de nieuwe wet is de politie in staat om op afstand computers, mobiele telefoons, tablets of servers van criminelen te hacken, zonder dat zij hiervan op de hoogte zijn. De nieuwe bevoegdheid is te vinden in lid 1 van art. 126nba in het Wetboek van Strafvordering en luidt als volgt:

“In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert, kan de officier van justitie, indien het onderzoek dit dringend vordert, bevelen dat een daartoe aangewezen opsporingsambtenaar binnendringt in een geautomatiseerd werk dat bij de verdachte in gebruik is en, al dan niet met een technisch hulpmiddel, onderzoek doen’’

Dit onderzoek kan onder meer bestaan uit het vastleggen van gps-gegevens, om zo de locatie van het binnengedrongen automatisch werk of van de gebruiker, vast te stellen.4Art. 126nba lid 1 sub a Sv. Deze bevoegdheid wordt in de MvT omschreven als een virtuele plaatsopneming of inkijkoperatie, waarbij bepaalde kenmerken van het geautomatiseerde werk worden vastgesteld.5MvT Wet Computercriminaliteit III, Hfd. 2.3, p. 21 Dit kan bijvoorbeeld een IP-, IMEI- of IMSI-nummer zijn. Dit zijn unieke gegevens waarmee apparaten kunnen worden geïdentificeerd en aan de hand waarvan zij onderling communiceren. Deze gegevens kunnen vervolgens gebruikt worden bij een bevel tot het aftappen en opnemen van communicatie of voor het vorderen van gegevens van een aanbieder van een telecommunicatiedienst of het vorderen van gegevens van andere derden.6Art. 126nba lid 1 sub b en c Sv.

De misdrijven beschreven in art. 67 Sv, waar naar wordt verwezen in het eerste lid van art. 126nba Sv, zijn misdrijven waar een gevangenisstraf van 4 jaar of meer op staat. In art. 126nba Sv is verder te lezen dat zodra er sprake is van een misdrijf waar 8 jaar of meer op is gesteld, dat de bevoegdheden voor politie verder toenemen. Deze bevoegdheden worden genoemd in sub d en e van art. 126nba Sv.

Zo kan het onderzoek dan ook bestaan uit het vastleggen van gegevens die in het geautomatiseerde werk zijn of worden opgeslagen.7Art. 126nba lid 1 sub d. Volgens de MvT moet hierbij gedacht worden aan gegevens die van belang zijn voor de waarheidsvinding inzake ernstige strafbare feiten. Bijvoorbeeld e-mailberichten die inzage geven in de communicatie met andere personen over het beramen of plegen van ernstige strafbare feiten.8MvT Wet Computercriminaliteit III Hfd 2.3.2, p. 22.

Wanneer tijdens het onderzoek in een geautoriseerd werk gegevens worden aangetroffen met betrekking tot of met behulp waarvan een strafbaar feit is gepleegd, kan een officier van justitie tevens bepalen dat deze gegevens ontoegankelijk worden gemaakt.9Art. 126nba lid 1 sub e. Dit is mogelijk voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten. Onder ontoegankelijkmaking wordt, blijkens de MvT, ook verstaan het verwijderen van gegevens uit het geautomatiseerde werk.10MvT Wet Computercriminaliteit III Hfd. 2.3.3, p. 23. Als voorbeeld van een maatregel op basis van deze bevoegdheid wordt genoemd, het wissen (met behoud van een kopie voor justitie) of versleutelen van gegevens met behulp van software.

AIVD & MIVD

De Algemene Inlichtingen-en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) beschikken al sinds 2002 over een soortgelijke hackbevoegdheid. Uit art. 24 van de Wet op de Inlichtingen en veiligheidsdiensten volgt namelijk dat deze diensten beveiligingen kunnen doorbreken, technische voorzieningen kunnen aanbrengen om versleuteling van gegevens ongedaan te maken en opgeslagen of verwerkte gegevens kunnen overnemen.11Art. 24 Wet op de inlichtingen- en veiligheidsdiensten 2002. Hoewel hier niet uitdrukkelijk een hackbevoegdheid in is opgenomen kan de bevoegdheid wel in dit wetsartikel worden ingelezen.

Kritiek

Tegenstanders van de nieuwe wet zijn onder andere De Nederlandse Orde van Advocaten (NOvA), De Autoriteit Persoonsgegevens (AP) en privacy-voorvechter Bits of Freedom (BoF). De NOvA geeft onder meer aan dat uit de MvT onvoldoende noodzaak blijkt voor de introductie van een vergaande hackbevoegdheid. Zo worden er geen concrete of cijfermatige voorbeelden i van zaken die door een gebrek aan bevoegdheden zijn ‘misgegaan’.12Kamerstukken II 2015/16, 34372, nr. 3, bijlage Advies NOvA.

Ook de AP heeft in hun advies over de wet aangegeven dat de nieuwe ‘hackbevoegdheid’ een vergaand karakter heeft.13Kamerstukken II 2015/16, 34372, nr. 3, bijlage Advies CBP. Zij geeft aan dat de politie volledige toegang zal hebben tot alle historische en ook toekomstige gegevens, opgeslagen op randapparatuur en uitgewisseld met alle hiermee verbonden communicatiekanalen. Daarbij gaat het volgens het AP niet alleen om gegevens die de verdachte zelf betreffen, maar ook om gegevens van alle personen die worden genoemd in documenten of met wie hij/zij digitaal contact heeft gehad. Hiermee wordt een grote groep mensen geraakt tot wie de verdenking zich niet richt. De correspondentie van deze mensen kan indirect dan ook worden bekeken. Gelet hierop vindt het AP dat de wet een betere onderbouwing vereist.

Bits of Freedom is onder meer van mening dat de hackbevoegdheid voor politie als onbegrensd moet worden gezien en dat deze in strijd is met fundamentele grondrechten.14Kamerstukken II 2015/16, 34372, nr. 3, bijlage Advies BoF. Hfd. 1.4, pg. 15. Tevens zijn zij van mening dat onaanvaardbare beveiligingsrisico’s voor internetgebruikers worden verwezenlijkt vanwege het gebruik van zogenaamde ‘zero-day-exploits’ door de politie.15Zero Day Attack: Aanval door misbruik te maken van zwakke delen in software die onbekend zijn voor de softwareontwikkelaar. Hierdoor zou de politie een belang hebben om informatie over kwetsbaarheden (de ‘exploits’) voor zichzelf te houden, in plaats van te delen met internetgebruikers en softwareontwikkelaars. Dit leidt volgens BoF tot minder veiligheid op individueel en nationaal niveau.

Conclusie

De controverse rond de wet komt in wezen neer op de vraag: hoeveel privacy is men bereid in te leveren voor een effectievere misdaadbestrijding? Het is duidelijk dat politie, gezien de relatief kleine pakkans bij computercriminaliteit, over nieuwe middelen moet beschikken om dit effectief te bestrijden.16Cybersecuritybeeld 2016, Hfd. 2 Dreigingen: Actoren, pg. 26. Alleen waar ligt de grens? Wanneer gaan de bevoegdheden te ver en wordt onnodig inbreuk gemaakt op de privacy van onschuldige burgers. Aangezien de politie van dergelijke bevoegdheden nog niet eerder gebruik heeft kunnen maken is het moeilijk te zeggen hoe het zal uitpakken. Wat wel zeker is, is dat de juiste balans tussen privacy en veiligheid in het digitale tijdperk niet makkelijk is te vinden.

   [ + ]

1. https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2016.
2. Cybersecuritybeeld 2016, Hfd. 2 Dreigingen: Actoren, p. 26.
3. MvT Wet Computercriminaliteit III, Hfd. 2, p. 8.
4. Art. 126nba lid 1 sub a Sv.
5. MvT Wet Computercriminaliteit III, Hfd. 2.3, p. 21
6. Art. 126nba lid 1 sub b en c Sv.
7. Art. 126nba lid 1 sub d.
8. MvT Wet Computercriminaliteit III Hfd 2.3.2, p. 22.
9. Art. 126nba lid 1 sub e.
10. MvT Wet Computercriminaliteit III Hfd. 2.3.3, p. 23.
11. Art. 24 Wet op de inlichtingen- en veiligheidsdiensten 2002.
12. Kamerstukken II 2015/16, 34372, nr. 3, bijlage Advies NOvA.
13. Kamerstukken II 2015/16, 34372, nr. 3, bijlage Advies CBP.
14. Kamerstukken II 2015/16, 34372, nr. 3, bijlage Advies BoF. Hfd. 1.4, pg. 15.
15. Zero Day Attack: Aanval door misbruik te maken van zwakke delen in software die onbekend zijn voor de softwareontwikkelaar.
16. Cybersecuritybeeld 2016, Hfd. 2 Dreigingen: Actoren, pg. 26.