Computercriminaliteit III: De hackende politie

Column door Rade Obradovic van de Clinic, rechtswinkel voor juridische vragen over internet.


wet computercriminaliteit Op 2 mei 2013 is het conceptwetsvoorstel Computercriminaliteit III gepubliceerd, waarin onder andere aan de politie de zogenaamde 'hackbevoegdheid' wordt verleend. Onmiddellijk na de publicatie kwam er een stroom van kritiek door verschillende burgerrechten organisaties. Deze kritiek werd aan de Minister gestuurd tijdens de internetconsultatie, die op 1 juli 2013 is gesloten.

Waarom een hackbevoegdheid?

De minister wil met dit voorstel "de opsporingsbevoegdheden in evenwicht brengen met de stand van de technologie". Hij stelt namelijk dat het huidige arsenaal aan bijzondere opsporingsmethoden onvoldoende zou zijn om cybercriminaliteit effectief te bestrijden. De eerder genoemde 'hackbevoegdheid' voor de politie is een van de middelen die dit probleem moeten verhelpen. Drie technische ontwikkelingen zouden deze bevoegdheid noodzakelijk maken:

  1. Elektronische gegevens zijn vaak versleuteld.
  2. Het toenemend gebruik van draadloze netwerken.
  3. Het toenemend gebruik van cloud-diensten, zoals Google of Hotmail. Hierbij bewaren burgers hun gegevens niet op hun computers, maar op servers die ook in het buitenland kunnen staan.

Wat houdt de hackbevoegdheid in?

In artikel 123a van het Wetboek van Strafvordering (Sv) krijgt de politie een nieuwe opsporingsbevoegdheid. Met deze hackbevoegdheid kan ze 'geautomatiseerde werken' (laptops, smartphones en eigenlijk alle computerachtige apparaten) heimelijk binnendringen, daar rondkijken en bijvoorbeeld spyware plaatsen. Daarmee is het ook mogelijk om elektronische communicatie van de verdachte te onderscheppen. De spyware kan toetsaanslagen registreren waardoor wachtwoorden worden opgevangen. Daarnaast wordt niet uitgesloten dat op afstand webcams en microfoons aan en uit worden gezet, om personen te identificeren en gesprekken af te luisteren. Ook kunnen servers van cloud-diensten heimelijk worden binnengedrongen wanneer een verdachte daar een account heeft.

De hackbevoegdheid zou alleen mogen worden ingezet bij bepaalde misdrijven. Echter, naast ernstige vormen van computercriminaliteit vallen ook minder ernstige misdrijven onder dit artikel, zoals drugsdelicten, lichte vormen van mishandeling, majesteitsschennis en woningkraak. Daarbij wordt wel vereist dat deze misdrijven een ernstige inbreuk op de rechtsorde opleveren en het gebruik van de hackbevoegdheid dringend nodig is voor het onderzoek..

Kritiek

Op het conceptwetsvoorstel is veel kritiek gekomen, onder andere de volgende punten:

  • Juist niet-verdachten zullen gehackt worden
    Meestal worden computers van onschuldige burgers door criminelen gebruikt voor hun criminele activiteiten, waardoor het gevaar bestaat dat juist niet-verdachten slachtoffer zullen worden van een hackende overheid. Door verschillende technische middelen (proxies, anonimiseringsdiensten, Virtuele Private Netwerken) kunnen criminelen hun ware identiteit verbergen, waardoor burgers of bedrijven het doelwit worden. Hierdoor lijkt de regeling niet heel effectief.
  • Beperking op de bevoegdheid een papieren tijger
    De beperking dat sprake moet zijn van 'een ernstige inbreuk op de rechtsorde' is een breed begrip en biedt weinig houvast. Bovendien blijkt uit rechtspraak dat aan deze vereiste al snel is voldaan (stelen van telefoon uit brandweerwagen of de diefstal van enkele computers).
  • Inbreuk op privacy
    De hackbevoegdheid maakt inbreuk op privacy van burgers. Dit wordt als grondrecht beschermd in de Grondwet en in internationale mensenrechtenverdragen. Een beperking is daarom slechts toegestaan, indien deze noodzakelijk is in een democratische samenleving en proportioneel en effectief is.
    Aan de noodzakelijkheid en proportionaliteit wordt getwijfeld, omdat het aantal misdrijven waarop het van toepassing is te groot is en de mogelijkheden na het binnendringen te ruim zijn. Wanneer een Gmail-account (heimelijk) wordt gehackt, verkrijgt de politie toegang tot de Google servers waardoor ook accounts van niet-verdachten toegankelijk worden. Ook is een 'geautomatiseerd werk' veel te breed gedefininieerd, zodat te veel apparaten eronder zouden vallen.
    Naast het eerder genoemde gebrek aan effectiviteit worden de huidige bevoegdheden niet optimaal benut door gebrek aan kennis en capaciteit.
  • Inbreuk op soevereiniteit van staten
    Daarnaast maakt de hackbevoegdheid inbreuk op de soevereiniteit van staten, door het mogelijk te maken dat Nederlandse politieagenten servers die zich in het buitenland bevinden hacken, zonder dat dat land hiervan op de hoogte wordt gesteld, en laat staan om toestemming wordt gevraagd.

De Clinic hoopt dat minister Opstelten luistert naar deze en andere kritiek en dat de wet aanzienlijk wordt gewijzigd in de komende tijd. Voor een meer diepgaande analyse van het wetsvoorstel zie het rapport van Bits of Freedom.

Menu Zoeken