Op 31 mei 2022 heeft de inspectie Veiligheid & Justitie haar jaarlijkse rapportage uitgebracht over het naleven van de regels omtrent de inzet van de hackbevoegdheid door de politie. De belangrijkste resultaten van het verslag worden hier weergegeven.

In totaal is de hackoperatie in 28 zaken ingezet. In 24 van de 28 is een niet vooraf goedgekeurd technisch hulpmiddel ingezet. De SkyECC-operatie valt overigens buiten het onderzoek, omdat zowel de politie als het Openbaar Ministerie hebben aangegeven dat in dit onderzoek geen sprake is geweest van de inzet van de hackbevoegdheid door Nederlandse opsporingsambtenaren (cursivering red.). De Inspectie voert geen rechtmatigheidstoezicht uit ten aanzien van de proportionaliteit van de inzet. Wel is te lezen dat in één zaak een technisch hulpmiddel is ingezet dat mogelijk standaard locatiegegevens vastlegt bij bepaalde handelingen door de gebruiker van het onderzochte geautomatiseerd werk. De Inspectie signaleert dat deze vastlegging van locatiegegevens mogelijk kenmerken heeft van stelselmatige observatie. In de zaak waarin dit hulpmiddel is ingezet, is echter geen bevel afgegeven voor het middels de hackbevoegdheid stelselmatig observeren van de betreffende verdachte.

De logging was dit jaar accurater en completer door verbeteringen in de techniek. Door diverse soorten logging te combineren met het journaal, heeft de Inspectie de uitgevoerde handelingen in voldoende mate kunnen reconstrueren om een goed beeld te krijgen van de manier waarop de politie de hackbevoegdheid heeft toegepast. In de verdiepende bijlage wordt het loggingsproces overigens nog veel uitgebreider beschreven. De politie heeft op onderdelen de kwaliteit verbeterd door eigen controles in te richten. Wat nog ontbreekt, is een overkoepelende analyse waarbij de politie per activiteit van de inzet van de bevoegdheid nagaat welke kwaliteitsborging nodig is om risico’s in het gehele proces van uitvoering voldoende te beperken. Niet is bepaald wie precies welke taken en verantwoordelijkheden heeft en aan wie verantwoordelijk wordt afgelegd. De Inspectie zegt in het voorwoord dat dit beter moet worden ingeregeld. Zolang dit niet goed is geregeld wordt het toezicht in 2022 met dezelfde diepgang uitgevoerd als de afgelopen twee keer.

In 23 van de 28 zaken is commerciële binnendringingssoftware ingezet. De inspectie rapporteert dat voor zowel de politie als de Inspectie deze software een ‘black box’ is. Het kenmerk van een ‘black-box’ is dat de resultaten zichtbaar zijn maar voor de gebruiker niet bekend is hoe de software precies werkt. Hoewel in een addendum bij het contract procedurele afspraken zijn gemaakt met de leverancier, is technisch niet afdwingbaar en controleerbaar wat de leverancier van deze software precies op welk moment doet. De leverancier kan daarbij mogelijk ook toegang verkrijgen tot de tijdens een inzet met deze software verkregen gegevens. De Inspectie heeft er begrip voor dat deze software in het belang van de opsporing wordt ingezet, maar signaleert hierdoor een ‘spanning met het rechtskader’, omdat eigenlijk alleen door de korpschef aangewezen ambtenaren toegang mogen hebben tot de verkregen gegevens.

Als procedureregel noemt de inspectie ook een toezegging uit het regeerakkoord 2017-2021 dat een screening van de leverancier plaatsvindt door de AIVD. In parlementaire stukken is niet uitgewerkt op welke aspecten de leverancier door de AIVD wordt gescreend. Deze screening is anders van inhoud dan de veiligheidsonderzoeken die de AIVD uitvoert voor personen die een vertrouwensfunctie (gaan) vervullen. In antwoord op Kamervragen over het gebruik van hacksoftware Pegasus is te lezen dat de screening door de AIVD uitgevoerd als een ‘naslagverzoek’ conform de F-taak van de Wiv 2017 in artikel 8 lid 2 sub f. Daarnaast mag de leverancier niet leveren aan de ‘dubieuze regimes’. Dit zijn landen die zich schuldig maken aan ernstige schendingen van mensenrechten of internationaal humanitair recht. In deze toets wordt de leverancier gevraagd niet te hebben geleverd aan landen waartegen vanuit de EU of de VN restrictieve sancties bestaan en wordt gecontroleerd of in het land waar de leverancier is gevestigd een exportcontroleregime bestaat waar mensenrechten een onderdeel is in de beoordeling voor het verstrekken van een exportvergunning. Over het niet leveren bij dubieuze regimes heeft de politie in 2019 een verklaring opgevraagd bij de leverancier.

Over onbekende kwetsbaarheden is ten slotte nog het volgende te lezen: ‘in 2021 heeft DIGIT in twee opsporingsonderzoeken kwetsbaarheden aangetroffen die kunnen worden gebruikt om een geautomatiseerd werk binnen te dringen. De Inspectie heeft vastgesteld dat DIGIT deze kwetsbaarheden ter beoordeling, conform de werkproces afspraken, voorgelegd heeft aan de DIGIT officier van justitie. In één van deze gevallen heeft de DIGIT officier van justitie besloten dat het daadwerkelijk een of meerdere onbekende kwetsbaarheden betreft. In dit geval heeft de officier van justitie bevolen dat het bekend maken hiervan aan de producent wordt uitgesteld. Overigens heeft DIGIT deze kwetsbaarheden in 2021 niet daadwerkelijk gebruikt om een geautomatiseerd werk binnen te dringen’.

Antwoorden Kamervragen over het gebruik van hacksoftware zoals Pegasus

Op 23 juni 2022 hebben minister Bruis Slot van Binnenlandse Zaken en Koninkrijksrelaties en Yeşilgöz-Zegerius van Justitie & Veiligheid antwoord gegeven op Kamervragen over hacksoftware. Voor de beantwoording van de vragen verscheen nog het artikel ‘AIVD gebruikt omstreden Israëlische hacksoftware‘ in de Volkskrant en in april 2022 nog het artikel: ‘Politie wil niets loslaten over haar selectie van hacksoftware‘.

De minister van Veiligheid & Justitie geeft aan dat geen informatie over leveranciers wordt gegeven, omdat het voor de afscherming van middelen en methodieken niet mogelijk is om openbaar inzicht te geven in welke software de politie gebruikt bij de uitvoering van deze bevoegdheid.

Opsporingsdiensten mogen ten behoeve van het uitvoeren van de bijzondere opsporingsbevoegdheid de hackbevoegdheid inzetten, zoals vastgelegd in artikelen 126nba, 126uba en 126zpa Sv. De uitvoering van deze bevoegdheid is centraal belegd bij een technisch team dat is ondergebracht bij de Landelijke Eenheid van de politie.

De BOB-bevoegdheid is ingezet in opsporingsonderzoeken naar een combinatie van de volgende artikelen: art. 96 lid 2 (handelingen met het oogmerk tot voorbereiding/bevorderen van misdrijven tegen de veiligheid van de staat), 140 (deelneming aan een criminele organisatie), 140a (deelneming aan een terroristische organisatie), 157 (brandstichting/teweegbrengen ontploffing), 170 (vernieling van gebouwen), 177 (omkoping van ambtenaren), 225 (valsheid in geschriften), 227a (niet naar waarheid gegevens verstrekken), 287 (doodslag), 289 (moord), 310/311 (gekwalificeerde diefstal), 317 (afpersing), 326 (oplichting), 328ter (omkoping van anderen dan ambtenaren), 416/417 (gewoonte heling) en 420bis/420ter Sr (gewoonte witwassen). Daarnaast voor overtreding van (een combinatie van) bepaalde artikelen uit de Opiumwet, Wet Wapens en munitie, de wet op het financieel toezicht en de Wet op de economische delicten.

De minister van BZK geeft aan dat art. 45 Wiv 2017 de bijzondere bevoegdheid bevat van het binnendringen van een geautomatiseerd werk. Over de wijze waarop de inlichtingen- en veiligheidsdiensten gebruikmaken van hun wettelijke bevoegdheden kan in het openbaar geen mededeling worden gedaan. Er wordt ook geen antwoord gegeven op de vraag of de AIVD en de MIVD commerciële software hebben ingezet voor de uitvoering van de hackbevoegdheid.

Evaluatie Wet computercriminaliteit III

De Wet computercriminaliteit III wordt door het WODC geëvalueerd. Bij de eerste evaluatie wordt gekeken naar één onderdeel van de wet, namelijk de bevoegdheid tot het heimelijk en op afstand binnendringen en onderzoek doen in een geautomatiseerd werk. Het tweede deel van de evaluatie zal zich richten op de gehele wet, inclusief de bevoegdheid tot binnendringen. Naar verwachting zal het eerste deel van de evaluatie in de zomer 2022 worden afgerond en vlak na de zomer 2022 gepubliceerd.