De afgelopen jaren heeft de informatietechnologie zich razendsnel ontwikkeld. Een grote keerzijde hiervan is de komst van internetcriminaliteit. Door technologische ontwikkelingen zoals de versleuteling van gegevens (encryptie), het toenemende gebruik van draadloze netwerken en het gebruik van cloudcomputingdiensten, wordt opsporing van internetcriminelen steeds moeilijker.1 De bestaande opsporingsmethoden zijn niet toereikend genoeg, waardoor deze vorm van misdaad verder toeneemt.2 Procureur-generaal Gerrit van der Burg verwacht over vijf jaar dat de helft van onze criminaliteit te maken heeft met computers. ‘Het binnendringen van computers zou wel eens het fietsendiefstal van de toekomst kunnen worden’, aldus Gerrit van der Burg.3

Wet Computercriminaliteit III: De terughackwet
Om de opsporing en vervolging van internetcriminelen te versterken is op 22 december 2015 de Wet Computercriminaliteit III ingediend bij de Tweede Kamer. Op 20 december 2016 is het wetsvoorstel aangenomen door de Tweede Kamer en op dit moment ligt het ter schriftelijke voorbereiding bij de Eerste Kamer.4 Het wetsvoorstel is een vervolg op twee voorgaande wetten, namelijk de Wet Computercriminaliteit en de Wet Computercriminaliteit II. Een belangrijk onderdeel van het wetsvoorstel is de zogenaamde ‘terughackwet’, welke is terug te vinden in artikel 126nba Wetboek van Strafvordering.5 Het wetsartikel geeft opsporingsambtenaren de bevoegdheid om op afstand computers te ‘hacken’. Wat precies onder het begrip computer wordt verstaan is nogal vaag. In het wetsvoorstel gaat het om geautomatiseerde werken, wat wordt gedefinieerd als ‘een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken’. In de praktijk zou het dus ook kunnen gaan om bijvoorbeeld smartphones, tablets en navigatiesystemen. Gert Wibbelink, hoofd van de Dienst Infrastructuur, suggereerde in oktober dat ook rijdende auto’s gehackt kunnen worden om vervolgens de motor stop te zetten.6 Volgens minister Grapperhaus van Veiligheid en Justitie valt dit echter niet onder de bevoegdheden die de politie met de nieuwe wet krijgt.

Van tappen tot hacken
De terughackwet geeft opsporingsambtenaren de bevoegdheid om in te breken in apparaten om gegevens vast te stellen over de identiteit of locatie van het apparaat en de gebruiker. Denk bijvoorbeeld aan het volgen van de gps-locatie van de smartphone van de verdachte. Naast het vaststellen van gegevens van de verdachte, biedt het de mogelijkheid om belastende informatie te verkrijgen. Door het installeren van spionagesoftware, zoals bijvoorbeeld een keylogger, kan persoonlijke informatie worden verkregen, zoals wachtwoorden en gebruikersnamen.7 Om gebruik te kunnen maken van deze bevoegdheid zijn er een aantal voorwaarden waar aan moet worden voldaan. Zo moet er sprake zijn van de verdenking van cybercrime of de verdenking van een ander misdrijf waar minstens vier jaar gevangenisstraf voor staat. Voor het kopiëren en ontoegankelijk maken van gegevens, moet sprake zijn van een misdrijf waarop een gevangenisstraf van minstens acht jaar staat. Denk hierbij bijvoorbeeld aan het bezit van kinderporno of de deelname aan een terroristische organisatie. Een andere belangrijke voorwaarde is dat opsporingsambtenaren toestemming nodig hebben van de rechter-commissaris om gebruik te kunnen maken van de bevoegdheid.

Kritiek
Tegenstanders van het wetsvoorstel, waaronder Leah Postma van Google, wijzen erop dat het internet juist onveiliger wordt als opsporingsambtenaren de bevoegdheid krijgen om te hacken.8 Om binnen te dringen in systemen wordt namelijk gebruik gemaakt van kwetsbaarheden in de software. Opsporingsambtenaren kunnen gebruik maken van bekende, maar ook onbekende kwetsbaarheden, de zogenaamde ‘zero-days’.9 Dit zijn softwarelekken die niet bekend zijn bij de fabrikant en waar dus ook nog geen ‘patch’ voor is ontwikkeld. Een patch is een aanpassing in de software om beveiligingslekken mee te dichten. Zolang de fabrikant van de software niet op de hoogte wordt gebracht, worden beveiligingslekken niet gedicht. Naast opsporingsambtenaren, kunnen ook internetcriminelen misbruik maken van dergelijke kwetsbaarheden.10 Andere tegenstanders, waaronder de Autoriteit Persoonsgegevens en Bits of Freedom, zijn van mening dat de wet een te grote inbreuk maakt op onze privacy.11 Zo noemt Jacob Kohnstamm van de Autoriteit Persoonsgegevens het wetsvoorstel een ‘ongekende inbreuk op de persoonlijke levenssfeer’. Met de hackbevoegdheid verkrijgen opsporingsambtenaren toegang tot zeer grote hoeveelheden gegevens, waarbij in veel gevallen ook de gegevens worden verkregen van burgers tot wie de verdenking zich niet richt. Bits of Freedom stelt daarnaast dat de terughackwet buitenproportioneel is. Zeker in vergelijking met andere landen is de hackbevoegdheid erg ingrijpend. In Duitsland en Frankrijk kennen ze bijvoorbeeld al een soortgelijke hackbevoegdheid, maar mogen opsporingsambtenaren hier alleen in zeer uitzonderlijke gevallen gebruik van maken. Denk bijvoorbeeld aan het inzetten van de hackbevoegdheid voor het opsporen van internationaal terrorisme. Daarnaast hebben opsporingsambtenaren niet de bevoegdheid om gegevens te verwijderen. In Frankrijk mogen alleen de gegevens die in ‘realtime’ op het scherm van de computer te zien zijn worden onderzocht. Het doorzoeken van andere gegevens, zoals gegevens op de harde schijf, is verboden.12

Veiligheid of privacy?
Gezien de toenemende groei van internetcriminaliteit en het feit dat bestaande opsporingsmethoden niet toereikend genoeg zijn, is er de noodzaak om de bevoegdheden voor opsporing en vervolging uit te breiden. De hackbevoegdheid biedt hiervoor perspectief, zeker als het gaat om het bestrijden van zeer ernstige misdaad vormen zoals online kinderporno en terrorisme. De reikwijdte van het wetsvoorstel is echter niet geheel duidelijk. Ook over de waarborgen van onze privacy valt te twisten. Door de hackbevoegdheid hebben opsporingsambtenaren toegang tot zeer grote hoeveelheden gegevens, waaronder de gegevens van onschuldige burgers. De vraag is in hoeverre we bereid zijn om een deel van onze privacy in te leveren voor onze veiligheid.

Namens de redactiecommissie,

Sanne Eding

  1. https://zoek.officielebekendmakingen.nl/dossier/34372/kst-34372-2
  2. https://www.rechtspraak.nl/Organisatie-en-contact/Organisatie/Raad-voor-de-rechtspraak/Nieuws/Paginas/Cybercrime-groeit-investering-in-geld-en-kennis-vereist.aspx
  3. https://nos.nl/nieuwsuur/artikel/2111280-over-vijf-jaar-helft-misdaad-door-cybercriminelen.html
  4. https://www.eerstekamer.nl/wetsvoorstel/34372_computercriminaliteit_iii
  5. https://zoek.officielebekendmakingen.nl/dossier/34372/kst-34372-2
  6. https://www.nu.nl/gadgets/5010311/politie-mag-geen-autos-hacken-ze-stil-zetten.html
  7. https://www.rtlnieuws.nl/economie/home/politie-wordt-inbreker-hoe-oom-agent-je-mag-gaan-hacken
  8. https://www.infosecuritymagazine.nl/2016/02/12/stevige-kritiek-op-wetsvoorstel-computercriminaliteit-iii/
  9. https://www.nu.nl/internet/4364663/meerderheid-tweede-kamer-wil-strengere-variant-terughackwet.html
  10. https://www.infosecuritymagazine.nl/2016/02/12/stevige-kritiek-op-wetsvoorstel-computercriminaliteit-iii/
  11. https://www.nu.nl/dvn/4213169/staat-er-eigenlijk-in-controversiele-terughackwet.html
  12. https://www.bof.nl/2013/06/17/volgens-buurlanden-is-hackvoorstel-gevaarlijk/