Op 31 augustus 2023 heeft de Inspectie Justitie en Veiligheid haar nieuwe verslag (.pdf) gepubliceerd over haar toezicht op de hackbevoegdheid over het jaar 2022. In dit blogbericht volgt een korte samenvatting van resultaten die ik interessant vond. In het lijvige rapport (79 pagina’s) staan voor de liefhebbers mogelijk meer relevante details.

Aantallen en ‘black box’

In 2022 is in 31 zaken de hackbevoegdheid ingezet. Het algemeen beeld van de Inspectie is dat de hackbevoegdheid in 2022 voornamelijk is ingezet voor onderzoeken gericht op mobiele telefoons. Bij het overgrote deel hiervan heeft het team binnen de reikwijdte van het bevel gewerkt. Daarvan is in 25 zaken met commerciële software gewerkt. De politie heeft geen inzicht in de werking hiervan. Voor zowel de politie als de Inspectie is deze software een ‘black box’. Het kenmerk van een black box is dat de resultaten zichtbaar zijn, maar voor de gebruiker niet bekend is hoe de software precies werkt en of deze software gebruik maakt van onbekende kwetsbaarheden. Wel heeft team DIGIT in 2022 twee onbekende kwetsbaarheden gemeld bij het meldpunt van het Nationaal Cyber Security Center.

De politie heeft in een addendum bij het contract procedurele afspraken gemaakt met de commerciële leverancier, waaronder het beperken van toegang door de leverancier tot de verzamelde gegevens. Deze afspraken zijn echter niet technisch afdwingbaar en controleerbaar. De politie kan niet uitsluiten dat de geïnfecteerde geautomatiseerde werken in verbinding staan met een server van de leverancier. De Inspectie kan daardoor niet uitsluiten dat de leverancier toegang heeft tot verzamelde gegevens, terwijl volgens wettelijke regels alleen speciaal aangewezen politiemedewerkers toegang mogen hebben.

Geen herkenning geheimhouderscommunicatie

Ook zijn bij het ‘Digital Intrusion Team’ (DIGIT) van de Landelijke Eenheid van de Nationale Politie geen processen, werkinstructies en ondersteunende systemen ingericht om geheimhouderinformatie te herkennen. Het gaat dan bijvoorbeeld om gesprekken tussen de verdachte en een advocaat. Volgens de wettelijke regels moet in elk geval het systeem van nummerherkenning worden ingericht als de hackbevoegdheid wordt ingezet om gesprekken af te luisteren.

Conclusie

De Inspectie waarschuwt dat “het nu tijd is dat er verandering komt in de opvolging door de politie“. De politie moet volgens hen “op korte termijn aantoonbaar en zonder voorbehoud invulling geven aan alle vigerende regels en deze naleven“.

Tegelijkertijd vindt de Inspectie het van belang dat de minister een standpunt inneemt over een mogelijke aanpassing van het wettelijk kader ‘zodat duidelijk wordt in welke mate mogelijke knelpunten bij de praktische uitvoerbaarheid van de hackbevoegdheid zoals die nu door de politie worden ervaren, in het wettelijk kader worden weggenomen’.

WODC-rapport over de hackbevoegdheid in het buitenland

Op dezelfde dag publiceerde het WODC een interessant rapport over de inzet van de hackbevoegdheid in vergelijking met het buitenland. Daarbij is met name in gegaan op de keuring, de verplichtingen omtrent documentatie en logging en het toezicht op de vergaande bevoegdheid. Het is nuttig de rapporten in samenhang met elkaar te lezen.

Keuring

De onderzoekers concluderen dat in verschillende landen in Europa de kwaliteit van de gegevens op een andere manier controleert dan Nederland dat doet. Geen enkel land kent een keuring door een onafhankelijke keuringsdienst waarbij deze keuringsdienst voorafgaand aan een inzet, aan de hand van een uitgebreid keuringsprotocol, de technische hulpmiddelen dient te onderzoeken.

Logging

Ten aanzien van het documenteren en loggen van uitvoeringshandelingen geldt dat in vrijwel alle landen een vorm van documentatie vereist is. Dit betekent dat op zijn minst een proces-verbaal moet zijn opgesteld waarin alle handelingen staan gedocumenteerd. Sommige landen gaan een stap verder, omdat daar alle handelingen moeten worden gelogd.

Toezicht

Naast een keuring is ook toezicht belangrijk in het kader van de kwaliteit van de gegevens. Het toezicht op de uitvoering van de bevoegdheid door een onafhankelijke instantie is in het buitenland beperkt (de zittingsrechter buiten beschouwing gelaten).

Voor Australië, Denemarken, Noorwegen, het Verenigd Koninkrijk en Zweden geldt dat een vorm van toezicht plaatsvindt op de uitvoering van de bevoegdheid door een onafhankelijke instantie. Daarnaast bestaat in Duitsland een instantie die, vanwege haar technische expertise, adviseert over de inzet en ontwikkeling van technische hulpmiddelen. Frankrijk kent een specifieke instantie die verantwoordelijk is voor het ontwerp, de aansturing en de implementatie van technische hulpmiddelen die gebruikt worden voor de hackbevoegdheid.

In België en Frankrijk vindt gedurende de inzet van de bevoegdheid rechterlijk toezicht plaats. De rechter die toestemming verleent voor de inzet van de bevoegdheid houdt daarbij ook toezicht op de uitvoering van de bevoegdheid.

Mogelijkheden voor Nederland

De onderzoekers hebben ook enkele landen meer diepgaand bestudeerd en komen tot drie scenario’s die mogelijk een aanvulling kunnen bieden op de wijze waarop in Nederland met technische hulpmiddelen bij de hackbevoegdheid wordt omgegaan.

Beleidsreactie minister

Op 7 december 2023 heeft demissionair minister Yeşilgöz een Kamerbrief over de hackbevoegdheid verstuurd. De brief volgde op de evaluatie van het WODC, de rapportage van de procureur-generaal bij de Hoge Raad, en de verslagen van de Inspectie Justitie en Veiligheid.

Naar aanleiding van deze stukken benoemd de minister enkele aanstaande wets- en beleidsaanpassingen. De meeste daarvan moeten nog worden uitgewerkt. Zo wordt het voorstel gedaan om het uitgangspunt dat alleen goedgekeurde hulpmiddelen worden ingezet, te wijzigen door aanpassing van het Besluit onderzoek in geautomatiseerd werk. Als een middel niet is goedgekeurd, kan de officier van justitie bepalen of aanvullende verificatiemaatregelen moeten worden genomen om bijvoorbeeld de bewijswaarde van het middel te waarborgen. De achtergrond hiervan is ten dele dat keuring in de praktijk niet altijd mogelijk is, omdat leveranciers van commerciële software hun broncode niet delen. Verder wordt ‘toegewerkt naar systeemtoezicht op de naleving van de wet- en regelgeving die geldt voor de binnendringbevoegdheid’. Het ministerie zal ook enkele wetsaanpassingen voorbereiden om ‘op locatie’ de hackbevoegdheid in te zetten (na bijvoorbeeld het binnetreden van een woning) en de lijst met misdrijven waarvoor de hackbevoegdheid mag worden ingezet uit te breiden.

De minister zal – via de Inspectie Justitie en Veiligheid – blijven rapporteren over de hoeveelheid opsporingsonderzoeken waarin de binnendringbevoegdheid en commerciële software is ingezet. Overigens worden de activiteiten van de Inspectie worden in de Kamerbrief getypeerd als ‘zwaar’, ‘intensief’ en ‘hoogwaardig’, maar wordt niet ingegaan op kritiek uit de wetenschap met betrekking tot de onafhankelijkheid, de effectiviteit en het gefragmenteerde karakter van het toezicht in het strafrecht. Eén keer wordt gerefereerd naar een opmerking in een rapport van het WODC over het idee van een aparte externe toezichthouder. Daarover stelt de minister dat het beleggen van toezicht bij een alternatieve instantie niet past in het Nederlands wettelijk kader