Waarom de nieuwe 'hackwet' zo omstreden is

Waarom de nieuwe 'hackwet' zo omstreden is

22-12-2015 17:44 Laatste update: 27-04-2018 10:12

De politie mag verdachten gaan hacken, staat in een wetsvoorstel dat vandaag is ingediend bij de Tweede Kamer.

Het voorstel voor de 'Wet Computercriminaliteit 3' werd in 2013 voor het eerst gepresenteerd en geeft de politie de technologische bevoegdheden om ook online mensen op te sporen en te volgen. In de nieuwe versie van het wetsvoorstel is het 'decryptiebevel' afgeschaft. Dit hield in dat de politie mensen kan dwingen om versleutelde informatie, zoals e-mails, chatgesprekken en bestanden, te ontsleutelen. Een verdachte zou bijvoorbeeld zijn of haar wachtwoord af moeten staan.

Het decryptiebeval leidde volgens geruchten tot veel gesteggel in de politiek, omdat een verdachte volgens het Nederlandse rechtssysteem niet hoeft mee te helpen aan zijn eigen veroordeling.

Van tappen tot hacken

Het meest in het oog springende detail uit de Wet Computercriminaliteit 3 blijft de bevoegdheid voor de politie om verdachten te hacken. Het is niet de eerste keer dat een Nederlandse overheidsinstelling mag hacken. De AIVD heeft al jaren de mogelijkheid om op afstand in te breken op de apparaten van verdachten. De AIVD richt zich vooral op terreurverdachten en mag niemand arresteren. De politie mag wel mensen arresteren, maar wil de bevoegdheid om te hacken voor allerlei andere misdrijven gaan inzetten.

De politie mag momenteel een tap te plaatsen om informatie te verkrijgen. Dat kan bij een telefoon of een computer. Hierdoor krijgt de politie toegang tot telefoongesprekken en het internetverkeer van een verdachte. Inmiddels zijn veel internetdiensten hun communicatie gaan beveiligen met encryptie, waardoor taps minder effectief zijn. Door verdachten te hacken kan de politie binnendringen nog voordat de encryptie van communicatie plaatsvindt.

Op afstand de webcam of microfoon inschakelen

Hacken is een breed begrip, zo blijkt uit het wetsvoorstel. Hacken betekent inbreken bij een met internet verbonden apparaat, maar het doel van de hack kan verschillen.

Allereerst kan de politie hacken om achter de identiteit of locatie van een verdachte te komen. Dit kan bijvoorbeeld door een laptop binnen te dringen en de surfgeschiedenis te analyseren, of de gps-locatie van de smartphone van een verdachte te volgen.

Het is ook mogelijk dat de politie de router, tv of auto van de verdachte hackt, als het niet lukt om bij een telefoon of laptop in te breken. Het is dan mogelijk dat er gegevens van anderen worden buitgemaakt, omdat bijvoorbeeld een router internettoegang verleent aan veel computers. Daarnaast worden computers ook vaak door meerdere mensen gebruikt.

De politie wil met hacken tevens toegang tot belastende informatie krijgen. De politie kan spyware installeren om via een webcam of microfoon de verdachte in de gaten te houden. Door een zogeheten keylogger op het apparaat te plaatsen, krijgt de politie toegang tot alles wat een verdachte typt. Hier vallen ook wachtwoorden onder waarmee communicatie of bestanden zijn versleuteld. Er zijn veel verschillende manieren om middels een hack achter belastende informatie te komen.

"De Nederlandse overheid lanceert deze wet om ons land veiliger te maken, maar eigenlijk maken ze het land onveiliger", zegt Rejo Zenger van burgerrechtenorganisatie Bits of Freedom. "Om in te breken op een computer heb je kwetsbaarheden in software nodig. Dergelijke lekken worden meestal gedicht, maar als de politie wil hacken moet het deze kwetsbaarheden misbruiken. Daar kunnen ook kwaadwillenden misbruik van maken."

Hacken op eigen initiatief

Met het wetsvoorstel krijgt de politie ook de bevoegdheid om op eigen initiatief te hacken wanneer de politie online criminele activiteiten vermoedt. Dit wordt ook wel 'terughacken' genoemd. Volgens Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit, is dit een misleidende term: "Terughacken suggereert dat de politie met zijn rug tegen de muur staat door alle online dreigingen. Maar dit geeft de politie gewoon de bevoegdheid om op eigen initiatief te hacken."

Het 'terughacken' mag in sommige gevallen ook bij computers in het buitenland. Dat lijkt Zenger geen goed plan: "Als de Nederlandse politie in een Russische server inbreekt, kunnen wij een dergelijke actie terug verwachten. We vinden het toch ook niet oké als de politie van een ander land inbreekt in Nederlandse servers?"

Wanneer mag de politie hacken?

De politie mag een verdachte hacken bij verdenking van een ernstig misdrijf waar minimaal vier jaar celstraf voor staat. Als bij die hack ook gegevens worden gewist of gekopieerd, moet de verdachte een celstraf van minimaal acht jaar boven het hoofd hangen. Voor een ernstige mishandeling kun je al vier jaar celstraf krijgen. Bij acht jaar celstraf kun je denken aan mensenhandel, het bezit van kinderporno of deelname aan een terroristische organisatie.

De politie moet voor het hacken altijd toestemming aan de rechter-commissaris vragen, die bij elke zaak oordeelt of het noodzakelijk is dat de politie hackt. Dit gebeurt al bij het tappen van telefoongesprekken en computers. De hackverzoeken bij de rechter-commissaris worden tevens gecontroleerd door de Centrale Toetsingscommissie, die is samengesteld uit leden van het openbaar ministerie en politie.

Nederlands hoogleraar informatierecht Nico van Eijk van de Universiteit van Amsterdam wil dat er een onafhankelijke instelling komt die toezicht houdt op het hacken door de politie: "Dat gebeurt al bij de AIVD, maar nog niet op vergelijkbare wijze bij de politie. Als je wordt gecontroleerd denk je beter na over de beslissingen die je maakt. Dat helpt de politie bij het maken van de juiste afwegingen bij het inzetten van dit privacy-inbreukmakende middel."

Jacobs deelt die zorgen: "Tappen zou aanvankelijk maar heel zelden worden ingezet, maar inmiddels zijn we 'tapkoploper' van de wereld. Ik zie hetzelfde gebeuren bij deze hackwet."

Drie andere punten

De Wet Computercriminaliteit 3 introduceert ook regels voor de politie om informatie van het internet te verwijderen. De politie mag al informatie van het internet verwijderen, maar de nieuwe regels zorgen ervoor dat de politie aan meer eisen moet voldoen om gegevens van het internet te halen. Dit biedt bijvoorbeeld de mogelijkheid dat een hostingpartij één bestand offline haalt, in plaats van direct de hele server.

Een ander onderdeel van het wetsvoorstel is het verbod op het kopen van gestolen digitale informatie. Hiermee wordt heling van digitale informatie gelijkgetrokken aan normale heling, zoals het aanschaffen van een gestolen smartphone of fiets. Eveneens een belangrijk onderdeel is de mogelijkheid om legaal een 'lokpuber' in te zetten om pedofielen te arresteren. Een lokpuber is een politieagent die zich voordoet als een minderjarige onder de zestien jaar.

Waarom de nieuwe wet?

De Wet Computercriminaliteit 3 is de afgelopen jaren voor verschillende doelen geïntroduceerd. Eerst was de wet nodig om DDoS-aanvallen tegen te gaan, daarna wilden de ministers de wet introduceren om het anonieme netwerk Tor te bestrijden. Zenger vindt het opvallend dat het wetsvoorstel enkele weken na de aanslagen in Parijs ook werd geïntroduceerd als anti-terrorismemaatregel: "Daar krijg ik een onsmakelijk gevoel van. Het lijkt dat de regering zich genoodzaakt voelt steeds weer nieuwe dingen te moeten aanvoeren om de noodzaak van deze wet aan te tonen."

Van Eijk maakt zich zorgen of de politie wel de juiste partij is om deze hacks uit te voeren: "Een voorbeeld dat ik kreeg aangereikt uit de internetwereld: een ip-adres wordt gehackt, maar het blijkt te gaan om een tijdelijk ip-adres dat inmiddels door een ander wordt gebruikt. Dan ben je de verkeerde persoon aan het hacken en dat is een enorme inbreuk op de privacy van Nederlandse burgers."

Veel internetproviders zetten volgens Van Eijk ook hun vragen bij de bekwaamheid van de politie om zorgvuldig te kunnen hacken. Jacobs krijgt diezelfde signalen door: "Ik hoor verhalen van politie-agenten die de hackbevoegdheid willen gebruiken om 'die Marokkaantjes op de hoek van de straat' in de gaten te houden. Dat lijkt mij een hele slechte houding als het gaat om de privacy van Nederlandse burgers."

En nu?

De Tweede Kamer gaat de komende tijd over het wetsvoorstel debatteren. Er kunnen hierdoor nog wijzigingen plaatsvinden. Daarna wordt er in de Tweede Kamer over de wet gestemd. Dit kan gemakkelijk nog een halfjaar tot een jaar duren.