Op voorstel van Tweede Kamerlid Verhoeven (D66) is een wetsvoorstel naar de Tweede Kamer gestuurd over een ‘regeling voor een afwegingsproces voor het gebruik van kwetsbaarheden in geautomatiseerde werken door de overheid’ (Wet Zerodays Afwegingsproces). Hier volgt een korte samenvatting van het wetsvoorstel en kritiek van de Raad van State daarop.

Zerodays

Zerodays, oftewel onbekende kwetsbaarheden, zijn fouten in software die nog onbekend zijn bij de maker van de software (de maker heeft nul dagen gehad om het gat te dichten). Deze zerodays kunnen gebruikt worden om de werking van de betreffende software te manipuleren, oftewel te hacken. Een breed scala aan actoren zoekt actief naar en/of gebruikt zerodays, zoals statelijke actoren, criminelen, bedrijven en ethisch hackers. Het in stand houden van zero days zou de software onnodig onveilig houden, zo is het idee.

Inhoudsindicatie wetsvoorstel

Het wetsvoorstel ‘Zerodays Afwegingsproces’ beoogt een wettelijk geborgd afwegingskader te bieden voor alle zerodays die de overheid ontdekt, aankoopt of anderszins in bezit krijgt. Het doel daarvan is dat er een goede, objectieve afweging plaats kan vinden tussen de verschillende belangen die gemoeid zijn bij het geheimhouden of laten dichten van zerodays. Hiertoe zou een nieuw orgaan moeten worden opgericht onder het Nationaal Cyber Security Centrum. Daarin zouden de verschillende belangen op het gebied van opsporing en inlichtingen, privacy, economie, vitale infrastructuur en cybersecurity vertegenwoordigd zijn. Ook krijgen vertegenwoordigers van partijen uit de vitale infrastructuur een adviserende rol om ervoor te zorgen dat beslissingen over zerodays met voldoende informatie over de vitale infrastructuur genomen worden.

De betrokken ministers zouden als besluitvormend orgaan fungeren en het idee is dat de CTIVD met als nieuwe taak achteraf op deze wet toezicht houdt. Zie ook de memorie van toelichting van het wetsvoorstel voor het uitgebreide verhaal.

Raad van State adviseert tegen wetsvoorstel

De afdeling advisering van de Raad van State is zeer kritisch over het wetsvoorstel en adviseert Verhoeven het voorstel in te trekken. Op dit moment bestaat al een regeling voor het gebruik van zero days door opsporingsdiensten (zie parlementaire discussie hierover) en inlichtingen- en veiligheidsdiensten (zie de discussie hier). Ook wordt het kader in deze uitgebreide Kamerbrief over het gebruik van onbekende kwetsbaarheden door overheidsinstanties nog eens uiteengezet.

In de kern is de regeling vergelijkbaar, namelijk dat in beginsel onbekende kwetsbaarheden gemeld moeten worden, tenzij een zwaarwegend belang (het opsporingsbelang, inlichtingenbelang of nationale veiligheid) daar tegen op weegt. Het adviesorgaan van de regering merkt fijntjes op dat “anders dan de initiatiefnemer in zijn toelichting lijkt te veronderstellen, is voor de opsporingsdiensten de hoofdregel dat opsporingsdiensten onbekende kwetsbaarheden aan de fabrikant melden, wettelijk vastgelegd”.

De afdeling advisering van de Raad van State acht het wetsvoorstel kortgezegd niet noodzakelijk vanwege de al bestaande regeling en bestaand toezicht daarop. Voor inzet van de hackbevoegdheid door de opsporingsdiensten is bijvoorbeeld al een machtiging van de rechter-commissaris nodig. Het adviesorgaan wijst er ook op op dat bij de totstandkoming van de Wiv 2017 is aangegeven dat de Toetsingscommissie Inzet Bevoegdheden (TIB) bij de rechtmatigheidstoetsing van hackoperaties van de AIVD en de MIVD ook het eventuele gebruik van onbekende kwetsbaarheden moet toetsen. Verschillende instanties houden bovendien achteraf toezicht op de naleving van de regeling (de Inspectie Justitie en Veiligheid en de CTIVD).

Verschillende wettelijke regimes voor opsporing en nationale veiligheid

De Raad van State merkt op dat ‘hoewel de bevoegdheden en de activiteiten op elkaar lijken en inlichtingen- en veiligheidsdiensten en opsporingsdiensten elkaar geregeld tegenkomen, in Nederland is bewust gekozen voor een gescheiden institutionele inrichting en aparte wettelijke regimes. De Wiv 2017 en het Wetboek van Strafvordering vertonen op hoofdlijnen overeenstemming, ingegeven door onder meer grondrechtelijke en Europeesrechtelijke normen, maar verschillen in hun uitwerking. Het belang van de nationale veiligheid vereist immers een andere afweging dan het belang van de opsporing. Dat deze belangen elkaar kunnen raken is daarbij een gegeven. De diensten kunnen waar noodzakelijk voor afstemming zorgen’.

Conclusie

De Raad van State heeft naar mijn idee een prima kritisch advies geschreven over het wetsvoorstel. Zelf heb ik er nog aan toe te voegen dat de initiatiefnemer van de wet blijkbaar veronderstelt dat de huidige regeling met toestemming en extern toezicht niet werkt. Het wetsvoorstel voegt vooral de input toe van bedrijven toe die de vitale infrastructuur beheren en belegt de beslissing tot melden bij de minister. Misschien moeten eerst wat resultaten van de huidige regeling worden afgewacht, voordat een nieuwe regeling en een nieuwe adviesclub in het leven worden geroepen.

Je kan natuurlijk ook betogen dat het belang van cybersecurity in software, dat vaak ook buiten Nederland wordt gebruikt, opweegt tegen het opsporingsbelang of de nationale veiligheid. Privacyvoorvechter Bits of Freedom is al jaren faliekant tegen het niet-melden van onbekende kwetsbaarheden en vindt het wetsvoorstel niet ver genoeg gaan.

De afweging tussen het algemene belang van cybersecurity en het opsporingsbelang en nationale (veiligheids)belang is lastig te maken en is afhankelijk van de context van het geval. Eerder heeft onze wetgever deze afweging al gemaakt en zij gaat dat in deze wet dat mogelijk opnieuw doen. Ik benieuwd wat de Tweede Kamer ter zijner tijd gaat stemmen en ik houd het (ook) in de gaten!