Den Haag, 25 november 2016
Geachte Kamerleden,
Komende week behandelt u het wetsvoorstel computercriminaliteit III. In onze visie zou de hackbevoegdheid niet ingevoerd moeten worden.
De impact van het voorstel op de privacy is zeer vergaand omdat na het hacken van bijvoorbeeld smartphone of PC vrijwel het gehele privéleven van een burger digitaal af te lezen is. Zowel uit de Memorie van Toelichting (MvT) als de antwoorden van de staatssecretaris blijkt dat het niet mogelijk is de bevoegdheden goed af te bakenen, zowel qua reikwijdte van de doorzochte gegevens als de te hacken apparatuur. De staatssecretaris heeft geen cijfers om de noodzaak aan te tonen en ook blijkt het toezicht niet waterdicht.
De staatssecretaris wil met de bevoegdheid een alternatief hebben voor het aftappen van telefoon- of internetverbindingen. De criteria voor de inzet ervan zijn vergelijkbaar. Nederland is al jaren wereldkampioen aftappen. Het is niet wenselijk dat de Nederlandse politie ook wereldkampioen inbreken in computersystemen wordt.
De politie gaat gebruik maken van geheime kwetsbaarheden in de software om apparaten te hacken. De politie mag van de staatssecretaris de kennis hierover inkopen bij mensen die geld willen verdienen aan onveilige software. In plaats van dat te stoppen, gaat de politie het nu financieren. De politie dreigt onderdeel van het probleem te worden in plaats van bij te dragen aan een veiligere wereld.
Hieronder treft u onze aanbevelingen voor dit wetsvoorstel aan.
Inhoudsopgave
1 Noodzaak hackbevoegdheid is niet aangetoond
De impact op de privacy van de bevoegdheid om elk digitaal apparaat te mogen hacken, is volgens de Autoriteit Persoonsgegevens "ongekend omvangrijk". De toezichthouder schrijft dat het bereik van de bevoegdheid zich uitstrekt tot een zeer grote hoeveelheid gegevens, waaronder historische gegevens, die op het apparaat zijn opgeslagen en die worden uitgewisseld via alle communicatiekanalen waarmee het apparat is verbonden. De bevoegdheid kan ook betrekking hebben op toekomstige gegevens of gegevens die in de 'cloud' zijn opgeslagen. De privacyinbreuk treft daarmee in veel gevallen ook een grote groep onverdachte burgers.
De Raad van State wijst erop dat het heimelijk binnendringen in een geautomatiseerd werk een grote inbreuk op de persoonlijke levenssfeer vormt, die vergelijkbaar is met het betreden van een woning om af te luisteren wat er gebeurt. Feitelijk gaat deze bevoegdheid nog verder, omdat de politie ook toegang tot camera's in de privé-omgeving van mensen krijgt. Op dit moment is heimelijk filmen in een woning expliciet verboden.
Volgens artikel 8 van het Europees Verdrag van de Rechten van de Mens (EVRM) moet de noodzaak en de proportionaliteit van een dergelijke bevoegdheid goed worden onderbouwd. Dat doet staatssecretaris Dijkhoff (VVD) niet. De staatssecretaris geeft geen concrete cijfers of voorbeelden waaruit de noodzaak blijkt. In antwoord op vragen van Kamerleden schrijft hij meermaals dat de opsporingsdiensten geen relevante cijfers bijhouden en dat hij daarop dus "helaas" geen antwoord kan geven.
Als het in bepaalde gevallen al noodzakelijk zou zijn, wordt niet duidelijk waarom de bevoegdheid zo ruim en verstrekkend is ingericht. Er is geen enkele beperking op het hacken van apparatuur of op de te onderzoeken gegevens. De Autoriteit Persoonsgegevens concludeert dat na het hacken van een apparaat direct toegang tot alle gegevens ontstaat. Daarmee krijgt de politie bovenmatig veel gegevens in handen waarvan een groot deel niets met het doel van de hack te maken heeft. Dit is volgens de toezichthouder in strijd met artikel 3 van de Wet politiegegevens. Maar ook volgens artikel 8 EVRM mag de inbreuk op de privacy niet ruimer zijn dan strikt noodzakelijk. Die analyse of onderbouwing van de proportionaliteit van de bevoegdheid ontbreekt volledig.
Het wordt uit de toelichting van de staatssecretaris onvoldoende duidelijk dat de huidige middelen tekort schieten. Zo zou er bijvoorbeeld meer ingezet kunnen worden op internationale verzoek om rechtshulp in plaats van buitenlandse systemen vanuit Nederland te hacken. Het is te makkelijk om dat maar terzijde te schuiven omdat dat veel tijd kost of regels in andere landen afwijken van de onze. Het is in strijd met artikel 8 EVRM om de privacy te schenden alleen maar omdat dat makkelijker is voor de politie.
2. Alleen inzetten tegen specifieke misdrijven
De doelen waarvoor de hackbevoegdheid mag worden ingezet zijn ruimer geformuleerd dan noodzakelijk is. Zo staat in het wetsvoorstel dat de bevoegdheid ook ingezet kan worden tegen terrorismedreiging of een internationale cyberdreiging. De staatssecretaris schrijft hierover: "Ook kan worden gedacht aan een situatie waarin sprake is van een terroristische dreiging, waarbij in een geautomatiseerd werk wordt binnengedrongen om telecommunicatie af te tappen of gegevens over te nemen om de daders zo snel mogelijk te kunnen achterhalen en een aanslag te voorkomen."
Maar het verzamelen van inlichtingen in de strijd tegen terrorisme is een taak van de AIVD/MIVD. Zij hebben daarom al de bevoegdheid om een geautomatiseerd werk te hacken. De gegevens die de AIVD bemachtigt, mogen bovendien al gebruikt worden in een strafproces. Het is onwenselijk dat de politie op eigen houtje ook gaat hacken tegen terrorisme. Dat is een onnodige bevoegdheid en versnippert slechts de terreurbestrijding. Die doelstellingen moeten daarom uit het wetsvoorstel worden gehaald.
Nederland is al jaren wereldkampioen telefoon- en internetaansluitingen afluisteren. In 2015 werden er 24.063 aansluitingen afgeluisterd. De criteria voor de inzet van deze nieuwe hackbevoegdheid zijn dezelfde als voor de inzet van een telefoon- of internettap. Het is daarom te verwachten dat (op termijn) jaarlijks tienduizenden apparaten of netwerken door de politie gehackt gaan worden. Het zal niet voor het eerst zijn dat als een bevoegdheid eenmaal geïntroduceerd is, deze steeds makkelijker wordt ingezet.
Om die reden dient er een lijst te komen met een limitatieve opsomming van specifieke misdrijven die op hun beurt vallen binnen de het genoemde van het voorgestelde artikel 126nba. Ook de Nederlandse Orde van Advocaten pleit hiervoor in haar advies. De lijst zou om te beginnen kunnen bestaan uit bestrijden van kinderporno, botnets en bepaalde vormen van ransomware. De lijst kan na inspraak door het parlement in een in Algemene Maatregel van Bestuur worden opgenomen.
3. Afbakenen van te hacken apparatuur
De hackbevoegdheid geldt voor een geautomatiseerd werk. Volgens de definitie uit het Europese cybercrimeverdrag omvat dit vrijwel alle elektronische apparaten. Dit is een veel te ruime definitie voor een dergelijke indringende bevoegdheid. Alleen het hoogst noodzakelijke zou gehackt mogen worden. De staatssecretaris vindt dat het OM dit per situatie moet beoordelen, maar het is onwenselijk dat de beperking van de bevoegdheid per individueel geval bekeken wordt, omdat dan een glijdende schaal veel waarschijnlijker is.
Er dienen twee limitatieve lijsten te komen met welke apparatuur voor identificerende doelen mag worden gehackt en welke apparatuur mag worden gehackt om de gegevens te doorzoeken. Deze lijsten zouden in een Algemene Maatregel van Bestuur moeten worden opgenomen na goedkeuring door het parlement.
Het is ongewenst dat een smartphone of laptop wordt gehackt alleen voor het identificeren van een persoon. Daarmee komen immers tegelijk veel meer gegevens beschikbaar waarvoor de zwaardere toestemmingsprocedure zou moeten gelden. Ook als blijkt dat de identiteit alleen vastgesteld kan worden door het hacken van een smartphone of PC zou direct de zwaardere toestemmingsprocedure doorlopen moeten worden.
Voor het doorzoeken van apparaten of het ontoegankelijk maken van informatie moet een lijst komen welke functies in dat apparaat wel of niet gebruikt mogen worden. Als de politie een laptop of smartphone hackt, krijgt ze bijvoorbeeld ook toegang tot de camera waarmee de politie de mogelijkheid krijgt te filmen in de privé-omgeving van de verdachte. Filmen in een woning is op dit moment expliciet verboden. Er is geen enkele noodzaak gegeven om dat aan te passen. Het is onwenselijk dat dat nu sluipenderwijs met deze bevoegdheid wordt toegestaan. Camera's of de camera in apparaten als een smartphone of laptop mogen dus sowieso nooit gebruikt worden.
4. Verbeter het toezicht
Controle op proportionele inzet van de hackbevoegdheid is vrijwel onmogelijk. Na toestemming van de rechter-commissaris krijgt de politie groen licht om een systeem te hacken, maar het apparaat of netwerk dat gehackt wordt biedt vrijwel altijd toegang tot veel meer gegevens dan persé noodzakelijk is voor de vaststelling van de identiteit of het vinden van gegevens over een misdrijf. Een laptop, smartphone of cloudserver bevat allerlei gegevens die niet ter zake doen of zelfs van andere, niet-verdachte mensen zijn. Het is onmogelijk te controleren dat de politie zich aan de vereisten van noodzakelijkheid en proportionaliteit houdt.
Daarbij is het onderscheid tussen een identificerend onderzoek of het doorzoeken van een apparaat kunstmatig. Voor het eerste geldt een veel lichter toestemmingsproces dan voor het tweede, maar het onderscheid geeft in de werkelijkheid geen duidelijke afbakening. Ook in het identificerend onderzoek mogen zaken als de locatiegegevens, identiteitsgegevens, adressenlijsten en aanwezige software al worden bekeken. Sowieso komen na het hacken alle gegevens beschikbaar ongeacht wat het doel van de hack is. De Autoriteit Persoonsgegevens constateert dit ook en oordeelt dat het hacken voor identificerend doel vrijwel direct leidt tot het bovenmatig verwerken van gegevens, wat in strijd is met artikel 3 Wet politiegegevens.
Alleen in aanwezigheid rechter-commissaris
Het toezicht op het proportioneel gebruik van de hackbevoegdheid is nauwelijks waterdicht te krijgen. Als belangrijkste waarborg worden de activiteiten 'gelogd'. Zo kan de proportionaliteit en rechtmatigheid van de hack achteraf beoordeeld worden. De staatssecretaris schrijft hierover: "De onderzoekshandelingen in het geautomatiseerde werk worden elektronisch vastgelegd (logging) en tevens vastgelegd in een proces-verbaal, ten behoeve van de controle en de verantwoording." Maar het blijft onbekend tot in welk detail die logging plaatsvindt. Ook de Autoriteit Persoonsgegevens constateert dit en stelt: "Logging kan vooralsnog niet leiden tot het weergeven van alle relevante handelingen. Daarbij geldt dat voor zinvolle logging de exacte werking van de gebruikte software bekend moet zijn, waaronder begrepen kennis van de broncode." De staatssecretaris erkent dit en zegt dat het van de gebruikte hacksoftware zal afhangen hoe gedetailleerd er gelogd kan worden. Loggen alleen biedt dus duidelijk te weinig garanties dat de proportionaliteit van de inzet goed gecontroleerd kan worden.
Als extra waarborg zal om die reden bij het doorzoeken van een apparaat altijd een rechter-commissaris aanwezig dienen te zijn. Dit is in overeenstemming met de Wet versterking positie rechter-commissaris waarin de rechter-commissaris een meer toezichthoudende rol krijgt. De officier van justitie is sowieso aanwezig, maar volgens de Europese rechters kan het openbaar ministerie niet als een onafhankelijke organisatie worden aangemerkt (onder punt 62).
Als de rechter commissaris aanwezig is, zal dit ook een gezonde dempende werking hebben, zodat deze indringende bevoegdheden alleen in echt noodzakelijke situaties wordt ingezet.
Onafhankelijk toezicht
De Inspectie Veiligheid en Justitie houdt toezicht op de inzet van de bijzondere opsporingsbevoegdheden. Uitgaande van de uitspraak dat het openbaar ministerie niet als onafhankelijke organisatie kan worden gezien, kan logischerwijs ook de inspectie V&J niet als onafhankelijke organisatie worden gezien. Zij maakt immers deel uit van het ministerie. Gezien het heimelijke karakter van het inbreken door de politie, is echt onafhankelijk toezicht noodzakelijk. Ook de Autoriteit Persoonsgegevens pleit hiervoor.
De inzet van de heimelijke bevoegdheden en wat er met de gevonden gegevens gebeurt, zou door een onafhankelijke autoriteit in tot in detail moeten kunnen worden gevolgd. Hiervoor zou een aparte afdeling bij de Autoriteit Persoonsgegevens of bij de toezichthouder op de inlichtingendiensten CTIVD kunnen worden aangewezen. Zij hebben beiden sterke affiniteit en deskundigheid op dit terrein.
5. Geen 'zero-day' kwetsbaarheden gebruiken
De politie heeft als taak voor veiligheid in de samenleving te zorgen. Zodra de politie zich inlaat met het inbreken in computers en andere apparatuur van mensen, begeeft zij zich op een hellend vlak. De politie heeft er dan belang bij dat apparaten kwetsbaar zijn. Als de politie daarbij gebruik maakt van nog niet-bekende kwetsbaarheden in plaats van deze te melden, gaat de politie over de principiële grens en staat ze ineens aan de verkeerde kant.
Dat geldt nog sterker als de politie deze niet-publieke kwetsbaarheden inkoopt bij organisaties die hier geld aan verdienen. De politie houdt dan onveiligheid in stand en financiert de mensen die hiervan profiteren. Dit is ongewenst. De politie zou deze zogenaamde zero-day kwetsbaarheden niet moeten gebruiken en altijd dienen te melden.
6 Verstoor de banenmotor van dit moment niet
Internet is een belangrijke sector voor de werkgelegenheid in Nederland. Het Centraal Bureau voor de Statistiek (CBS) berekende eerder dat internetbedrijven goed zijn voor zo’n 345.000 banen. De sector groeide de afgelopen jaren met minimaal 7 procent per jaar. Onderzoekers van Deloitte zeggen hierover: "Die groei wordt niet alleen gerealiseerd door de Nederlandse bedrijven, maar ook door de komst van veel buitenlandse bedrijven die in Nederland een aantrekkelijk vestigingsland zien".
Deze wetgeving heeft in samenhang met de ongerichte afluisterwet voor de AIVD een afschrikkend effect op investeerders. Het kabinet zet de ontwikkeling van een enorme belangrijke economische sector op het spel. Hiervoor waarschuwt ook de vertegenwoordiger van de ICT sector, Nederland ICT. Een vergelijkbaar effect was zichtbaar in het Verenigd Koninkrijk nadat toenmalig Premier Cameron een voorstel indiende om encryptie te verbieden, bedrijven die belang hebben bij veilige communicatie zullen andere onderkomens zoeken (PDF).
7. Beperk de bevoegdheid tot de politie
Volgens het wetsvoorstel krijgen ook de bijzondere opsporingsdiensten de hackbevoegdheid. Daarvoor is geen enkele noodzaak aangetoond of aannemelijk gemaakt. Wat heeft bijvoorbeeld de opsporingsdienst voor Infrastructuur en Milieu of de Algemene Inspectiedienst voor landbouw te maken met een botnet of kinderporno? De bevoegdheden moeten hooguit beschikbaar komen voor specialistische eenheden bij de politie.
8. Zorg dat de politie zich eerst aan de bestaande privacywetten gaat houden
De politie houdt zich op dit moment niet aan de wettelijke regels over de omgang met persoonsgegevens. Met deze hackbevoegdheid krijgt de politie nog veel meer en waarschijnlijk zeer gevoelige gegevens van mensen in handen. Het kabinet is vlot in het toekennen van nieuwe bevoegdheden maar laks in het handhaven van de wettelijke regels binnen de eigen organisatie. De minister zegt dat de politie zich eind 2019 "grotendeels maar nog niet volledig" aan de wet gaat houden. De Tweede Kamer zou er op moeten aandringen dat de bevoegdheden pas worden toegekend als de politie zich aan de wettelijke privacy regels weet te houden.
9. Geef meer transparantie over de inzet
Een vorm van controle op de inzet van de hackbevoegdheid is mogelijk als er transparantie is over de inzet. De staatssecretaris zegt daarover toe: "Conform de werkwijze bij het aftappen van communicatie zal jaarlijks aan de Kamer worden gerapporteerd over de inzet van de bevoegdheid."
Dit is echter een zeer minimale rapportage. De staatssecretaris dient cijfers te geven waardoor controle mogelijk wordt. Zo zou er meer in detail gerapporteerd dienen te worden. Gedacht kan worden aan inzetcijfers per individuele bijzondere bevoegdheid en voor welk wettelijk doel de bevoegdheid is ingezet. Daarbij moet gerapporteerd worden hoe vaak de inzet is aangevraagd, hoe vaak de interne toestemmingscommissie en de rechter-commissaris toestemming gaven en hoe vaak de bevoegdheid daadwerkelijk is ingezet. Daarnaast dient gerapporteerd te worden in hoeveel strafzaken de inzet een rol speelde en wat de uitkomst van die zaken is geweest.
Ook over het notificeren van mensen tegen wie de bevoegdheden zijn ingezet dient te worden gerapporteerd. Hoe vaak is na de inzet van een bevoegdheid binnen de gestelde termijn genotificeerd. Hoe vaak werd daarna nog genotificeerd en hoe vaak is niet genotificeerd omwille van het onderzoek. Hoevaak werd een klacht ingediend en wat waren daarvan de uitkomsten.
10. Verbeter het notificeren
Op dit moment geldt al een notificatieplicht voor bijzondere bevoegdheden (artikel 126bb Sv). Dit is een belangrijk onderdeel van de rechtsbescherming van burgers, omdat zij na notificatie mogelijk hun beklag kunnen doen over bijvoorbeeld een mogelijke schending van de privacy. De staatssecretaris verwijst naar de evaluatie van de inzet van telefoontaps, een andere bijzondere opsporingsbevoegdheid, uit 2012. Daaruit concludeert de staatssecretaris dat "de onderzoekers concludeerden dat de onderzochte parketten zich anno 2011 doorgaans houden aan de notificatieplicht". Maar dat is maar het halve verhaal. Uit de evaluatie blijkt ook het volgende. "Nadere informatie naar aanleiding van de door het OM verstuurde brief wordt niet verstrekt. Wanneer iemand zich wil beklagen over de notificatiebrief, kan hij zich dus niet tot het OM wenden. In de notificatiebrieven van de onderzochte regio’s wordt geen melding gemaakt van een klachtenregeling of van organisaties waartoe men zich kan wenden met vragen. De klachtenprocedure rondom de notificatiebrief is voor verbetering vatbaar. Naast de getapte persoon zelf, die achteraf dus wordt genotificeerd, zijn er meer mensen die gecommuniceerd hebben met de getapte persoon en daardoor ook in hun privacy worden geschonden. Deze personen worden echter niet genotificeerd." Het doel van het notificeren, namelijk een onderdeel vormen voor de rechtsbescherming van burgers tegen bevoegdheden van de staat, zoals neergelegd in artikel 13 EVRM, komt nog steeds onvoldoende tot zijn recht.
Klachtenprocedures zouden moeten worden verbeterd. Er moet verwezen worden naar een werkende klachtenprocedure. Ook moet worden vermeld wat er met de verzamelde gegevens gebeurt. Alle getroffen personen moeten worden geïnformeerd en niet alleen de persoon tegen wie de opsporing gericht was. Het moet mogelijk zijn zowel voor verdachte als onverdachte mensen een klacht in te dienen tegen het binnendringen en kopiëren van gegevens.
11. Voeg een horizonbepaling toe
Omdat dit een nieuwe bevoegdheid betreft die enorme consequenties voor de privacy van burgers heeft, is niet te overzien hoe de inzet hiervan zich zal ontwikkelen. De effectiviteit is onduidelijk, over nut, noodzaak en proportionaliteit kan de staatssecretaris geen cijfermatige onderbouwing geven en een glijdende schaal dreigt.
Met zoveel onzekerheid is het zeer onwenselijk als deze bevoegdheden permanent worden ingevoerd. De bevoegdheden zouden automatisch na een of twee jaar moeten vervallen. Ook de Autoriteit Persoonsgegevens pleit hier in haar advies voor. Er is vervolgens opnieuw parlementaire goedkeuring nodig als uit een evaluatie zou blijken dat bepaalde inzet noodzakelijk en proportioneel is.
Vriendelijke groet,
Privacy Barometer.