Nieuws

Tweede Kamer: Politie mag verdachten gaan hacken

20 december 2016 15:46

De Tweede Kamer heeft ingestemd met de wet waarmee de politie verdachten mag gaan hacken. Een omstreden onderdeel van de wet houdt stand: bij het hacken mag er, via een omweg, toch gebruik worden gemaakt van onbekende gaten in software.

Wat gaat de nieuwe Wet Computercriminaliteit III - beter bekend als de hackwet - betekenen? We leggen het uit in zes vragen.

1. Waarom wil de politie hacken?

Op dit moment mag de politie alleen telefoons, tablets en computers hacken als ze in het bezit zijn van de politie, bijvoorbeeld na een huiszoeking. Ook mogen ze een internettap plaatsen om informatie te verzamelen.

Volgens het ministerie van Veiligheid en Justitie loopt de politie op dit moment achter op de technologische ontwikkelingen. Bij een inval is het voor de verdachte nog vrij gemakkelijk om bewijsmateriaal van zijn apparaten te wissen. Ook het aftappen van telefoons is steeds minder vaak succesvol, vooral omdat chatdiensten met krachtige encryptie aan populariteit winnen.

Door op afstand apparaten te hacken, kan de politie bewijsmateriaal verzamelen zonder dat de verdachte dit weet, en kan de communicatie worden ingezien voordat de versleuteling plaatsvindt.

2. Wanneer mag de politie hacken?

Volgens het ministerie is het de bedoeling dat de hackbevoegdheden alleen worden ingezet bij 'zware criminaliteit' als drugshandel, mensensmokkel en kinderporno.

Maar de wet is veel breder in te zetten. Bij een misdrijf waar vier jaar celstraf of meer voor staat, mag de politie al hacken. Dat is bijvoorbeeld openlijke geweldpleging of wietteelt. 

3. Wie controleert de politie?

Als de politie wil hacken moet het eerst goedkeuring krijgen van een officier van justitie (OvJ) en een toetsingscommissie van het Openbaar Ministerie. Dat is een beetje alsof de slager zijn eigen vlees keurt: de partijen werken nauw samen om verdachten op te pakken en veroordelen.

De rechter-commissaris is de derde partij die de hackverzoeken moet goedkeuren. Hij is onafhankelijk, maar heeft volgens de Raad voor de Rechtspraak gemiddeld maar vijftien minuten (pdf) de tijd om een verzoek te behandelen. Daarnaast is het maar de vraag of een rechter-commissaris de technische kennis heeft om deze privacyinbreukmakende middelen goed te beoordelen. 

Dan het twijfelachtige aspect van de controle: in veel gevallen krijgt de politie wel de goedkeuring om te hacken, maar blijkt de verdachte onschuldig te zijn. Er is dan een grove inbreuk op de privacy gepleegd, maar de verdachte komt dat - ondanks dat de politie dit verplicht is om te melden - lang niet altijd te weten, zo stelt oud-minister Opstelten (pdf).

4. Hoe wil de politie hacken?

De politie wil verdachten gaan hacken door kwetsbaarheden in software te misbruiken. Deze lekken komen in twee vormen: bekende en onbekende lekken.

Bekende gaten zijn al bij de fabrikant bekend en gebruikers moeten dan hun software updaten. Onbekendegaten zijn nog niet door de fabrikant gedicht en worden vaak geheim gehouden. Bedrijven betalen goudgeld aan hackers voor deze zogeheten zerodays, die ze vervolgens doorverkopen aan bijvoorbeeld opsporingsdiensten.

Daar is veel kritiek op: de PVV, D66, GroenLinks en SP willen dat de politie geen gebruikmaakt van onbekende kwetsbaarheden of ze inkoopt, en stemden daarom tegen het wetsvoorstel. De VVD en CDA zijn wel voor het gebruik van onbekende kwetsbaarheden.

De stem van de PvdA gaf de doorslag, die was nodig voor een Kamermeerderheid. De partij heeft voor een soort gulden middenweg gekozen: de politie mag alleen met een omweg onbekende kwetsbaarheden inkopen en misbruiken. Dit gebeurt door hacksoftware aan te schaffen waarmee je bijvoorbeeld een telefoon kunt hacken. De politie maakt dan wel gebruik van kwetsbaarheden, maar weet van tevoren niet precies welke er worden ingekocht. 

Als de politie zelf een onbekende kwetsbaarheid ontdekt, moet deze worden gemeld. De politie kan aan de rechter-commissaris nog wel vragen om het lek tijdelijk nog geheim te houden in verband met een lopend onderzoek.

5. Wat is de kritiek op de hackwet?

Bits of Freedom is één van de partijen die fel tegen het gebruik van onbekende kwetsbaarheden is. "Dat levert veel onveiligheid op", zegt jurist Ton Siedsma. "De regering sluit zelfs niet uit dat de politie aan antivirusbedrijven vraagt om computers onveilig te houden zodat ze enkele verdachten kunnen hacken."

Siedsma is ook kritisch op het aanschaffen van hacksoftware: "Daarmee houdt de politie een schimmige markt in stand die gebaat is bij jouw onveiligheid." In plaats van hacksoftware te gebruiken zou de politie kunnen hacken via bekende kwetsbaarheden of door het wachtwoord van de verdachte te onderscheppen.

"Vergeet niet dat de politie heel vaak niet eens hoeft te hacken. Ze kunnen bij Google of Microsoft aankloppen om belangrijke informatie op te vragen, zoals ip-adressen of de inhoud van e-mails."

6. ​En nu?

De Wet Computercriminaliteit III moet nog door de Eerste Kamer. Dat kan spannend worden: D66, die tegen het gebruik van onbekende kwetsbaarheden is, heeft daar veel zetels en speelt een grote rol. Ook de PVV, die tegen het wetsvoorstel stemde, speelt een belangrijk rol in de Eerste Kamer.

Het kan mogelijk aankomen op de kleinere partijen als de SGP, ChristenUnie, 50Plus en Partij voor de Dieren, die met hun zetels doorslaggevend kunnen zijn. De SGP heeft al gezegd het CDA en daarmee het gebruik van onbekende kwetsbaarheden te steunen, de Partij voor de Dieren is juist tegen het gebruik van onbekende kwetsbaarheden en steunt D66.