Tag 126nba

Publicatie HR rapport over de hackbevoegdheid

jjoerlemans Een reactie plaatsen

Op 9 november 2022 heeft de Hoge Raad een onderzoeksrapport over de hackbevoegdheid gepubliceerd (.pdf). Het onderzoek zag op de periode van 2019-2021. De Hoge Raad, met procureur-generaal Edwin Bleichrodt als rapporteur, is opvallend positief over de uitvoering van de hackbevoegdheid. In de conclusie is te lezen:

“De wijze waarop het OM toepassing geeft aan de bevoegdheid tot het uitvoeren van onderzoek in een geautomatiseerd werk voldoet ten aanzien van de onderzochte gevallen tijdens de onderzoeksperiode 2019-2021 grosso mode aan de wettelijke voorschriften. In alle onderzochte zaken is op zichzelf voldaan aan beginselen van proportionaliteit en subsidiariteit.”

De volgende aantallen over 2019-2021 worden genoemd, waarbij het – als ik het goed begrijp – ook kan gaan om andere bevoegdheden dan de hackbevoegdheid, zoals direct afluisteren (art. 126l Sv).

Zie p. 111 van het rapport. En Let op: zaken waar ‘onderzoek in een geautomatiseerd werk’ is uitgevoerd in een ander land en onder gezag van de justitiële autoriteiten van dat andere land worden niet meegeteld (JJO: zoals EncroChat en SkyECC die juist een grote(re) invloed op de strafrechtpraktijk hebben), evenals zaken waarin een ander land via een rechtshulpverzoek om ‘onderzoek in een geautomatiseerd werk’ heeft verzocht.

Dit blogbericht licht slechts het verbeterpunt met betrekking tot de verbalisering en het gebrek aan toezicht uit. Zie voor alle aanbevelingen p. 141 van het rapport.

(Geheim) Commercieel hulpmiddel

Het geheime commerciële technische hulpmiddel dat verreweg in de meeste zaken (33 van de 36) wordt gebruikt, kan volgens de speciaal toegewezen officier van justitie (DIGIT officier) (en andere rechercheofficieren) niet worden gekeurd. Het systeem – dat bestaat uit zowel hardware als software – wordt vaak geüpdatet, zonder dat vooraf bekend is wanneer die updates plaatsvinden. Het is opvallend dat volgens de onderzoekers (JJO: beschreven met wat vaag taalgebruik, zoals wel vaker in het rapport) ‘de afwegingen van de digit-officier omtrent de geschiktheid voor keuring’ “plausibel voorkomen” (p. 113).

In het rapport wordt helder uitgelegd wat de bezwaren waren tegen de inzet van commerciële software (en het mogelijke gebruik van onbekende kwetsbaarheden). Daarbij wordt opgemerkt dat ‘de eventuele aanwezigheid van dergelijke kwetsbaarheden voor politie en het OM veelal niet bekend zal zijn’ en over de toets dat het commerciële product niet aan dubieuze regimes mag worden geleverd ‘mogen geen hoge verwachtingen worden gekoesterd’. Toch constateren de onderzoekers dat ‘een afweging van de hierboven geschetste risico’s en bezwaren enerzijds en het belang van de bestrijding van ernstige criminaliteit anderzijds, waarbij aan het tweede prioriteit is gegeven, is binnen het OM centraal en op zichzelf zorgvuldig tot stand gekomen. Het OM heeft het geldende rechtskader daarbij niet miskend’. Zij concluderen (JJO: in wat typische bewoordingen) dat:

“niet worden geoordeeld dat dit gebruik als zodanig in strijd is met de beginselen van proportionaliteit, subsidiariteit en behoorlijkheid in individuele zaken. Het probleemveld is voor het overige politiek van aard, zodat hier met de signalering van het voorgaande wordt volstaan”

 (p. 118) (JJO: door mij dikgedrukt).

“Betrekkelijk minutieus” geregelde bevoegdheid

Tussen de regels door is wel te lezen dat de PG het een streng gereguleerde bevoegdheid vindt. Zie p. 80:

“De weergegeven schets van dit regelkader (JJO: de eerste 80 pagina’s van het rapport (!)) maakt duidelijk dat de bevoegdheid die in de artikelen 126nba lid 1, 126uba lid 1 en 126zpa lid 1 Sv aan de officier van justitie is toegekend (op sommige punten) betrekkelijk minutieus is geregeld. Dat bergt het risico van een zekere starheid in zich, die het OM beperkt in de ruimte om in te spelen op nieuwe ontwikkelingen of om rekening te houden met de omstandigheden van het geval.”

Het is wel een heel voorzichtig geformuleerde “conclusie”, waardoor het niet helemaal duidelijk is wat dan het gevolg van die conclusie moet zijn. Zie in vergelijkbare zin ook de afsluiting van Ybo Buruma’s blog over ‘wettelijke hackbevoegdheden’: “De rapportages over de wettelijke hackbevoegdheden lijken geruststellend vanuit het oogpunt van geldend recht. Maar dat betekent niet dat het geldend recht optimaal is.”

Verbeteringen

De belangrijkste constatering met betrekking tot de hackbevoegdheid vind ik het volgende:

“In de processen-verbaal die de politie opstelt over de toepassing van het hacken wordt met het oog op de afscherming van methodieken slechts zeer globaal en op zeer korte wijze verantwoording afgelegd over het toepassen van de hackbevoegdheid.” (uit het persbericht)

Op p. 102 is bijvoorbeeld te lezen dat over de onderzoeksdoelen van de hackbevoegdheid het ‘LP DIGIT’ het standpunt heeft ingenomen dat ‘onderzoekshandelingen niet méér concreet kunnen worden omschreven dan dat “gegevens worden overgenomen”. Indien ook wordt omschreven op welke wijze dat overnemen plaatsvindt, zal de toegepaste methode (mogelijk) worden prijsgegeven.’ De identiteit van het technische hulpmiddel, de broncode en/of de specificaties kunnen niet worden prijsgegeven. Overigens worden in de praktijk andere opsporingsmiddelen ook wel ingezet om de informatie dat wordt verkregen door toepassing van de hackbevoegdheid te verifiëren (p. 122).

Het bovenstaande staat mijns inziens wel in spanning met het recht op een eerlijk proces en het beginsel van equality of arms. Het vormt een belangrijk punt van discussie voor in de toekomst als belangrijk bewijs met de hackbevoegdheid en gebruik van software is verzameld.

De PG beveelt hierover het OM aan “op meer concrete wijze invulling te geven aan de plicht verantwoording af te leggen over de uitvoering van het hacken. Datzelfde geldt voor het opnemen van de vereiste informatie in het hackbevel zelf.”

Verder zien enkele van de suggesties op het beschermen van communicatie van professionele geheimhouders, zoals artsen en advocaten. De procureur-generaal bij de Hoge Raad adviseert het Openbaar Ministerie om de rechter-commissaris een regisserende rol toe te kennen bij de selectie van geheimhoudersgegevens, eventueel in afwachting van nieuwe regelgeving die door de procureur-generaal op dit punt wenselijk wordt geacht.

Al met al is de PG van de Hoge Raad mijns inziens tamelijk mild over de niet-naleving van de keuring, mogelijk gebruik van onbekende kwetsbaarheden en gebruik van commerciële software. Het rapport getuigt van een pragmatische insteek, met begrip van en voor de praktijk, waarbij duidelijk keuzes zijn gemaakt voor belangrijke verbeterpunten voor het OM.

Gebrek aan toezicht op de hedendaagse gedigitaliseerde strafrechtspraktijk

Een andere belangrijke conclusie uit het rapport waar ik nog aandacht aan wil geven gaan over gebreken in het toezicht op de gedigitaliseerde politiepraktijk.  

De PG van de Hoge Raad schetst in p. 1-3 het rapport de belangrijke ontwikkeling dat het OM steeds intensiever samenwerkt met publiekrechtelijke en privaatrechtelijke partijen.

“Samen met verschillende partners probeert het OM te kiezen voor interventies die een maximaal effect sorteren. Het strafrecht wordt hierbij ingezet als ‘optimum remedium’ en als instrument dat in verbinding staat met andere vormen van handhaving en toezicht.

Bij deze andere vormen van handhaving en toezicht is de strafrechter niet de eerst aangewezene om controle uit te oefenen. Een substantieel deel van het werk van het OM onttrekt zich daardoor aan het gezichtsveld van de strafrechter.

Vanuit rechtsstatelijk oogpunt is het wenselijk en noodzakelijk dat de controle en het toezicht op de uitoefening van bevoegdheden door of onder verantwoordelijkheid van het OM worden versterkt, vooral voor zover de uitoefening van die bevoegdheden slechts in beperkte mate aan rechterlijk toezicht is onderworpen.”

Daarnaast wijzen zij erop dat ‘een effectieve bestrijding van computercriminaliteit de toepassing van alternatieve interventies, zoals preventieve of verstorende maatregelen richting cybercriminelen, digitale infrastructuur of facilitators vergt’. (met uitgebreide verwijzing naar het interessante WODC-rapport over de ‘Verstoring van cybercriminaliteit’ (de .pdf is hier te vinden)).

En: “het toenemend gebruik van de telefoon- en internettap, de opslag van verkeersgegevens omtrent internet- en telefoongebruik, de registratie en opslag van kentekengegevens (ANPR), de toepassing van gezichts- en gedragsherkenningssoftware bij het cameratoezicht, en de overige toepassingen van digitale opsporingsmethoden tot de verwerking (registratie, opslag en afgifte) van een immense hoeveelheid (persoons)gegevens. Op al deze terreinen is controle door de strafrechter onvolledig of zelfs nagenoeg afwezig.”

Het is mooi dat de PG van de Hoge Raad het bovenstaande allemaal observeert. Maar als zijn toezichtsclub zo’n drie jaar doet over één toezichtsrapport op één bijzondere opsporingsbevoegdheid, geeft dit rapport niet direct vertrouwen in effectief toezicht op deze (bredere) praktijk. Gelukkig wordt dat ook in het rapport erkent. Op p. 6 en 7 is namelijk te lezen:

“Volgens de Afdeling advisering van de Raad van State is structureel systeemtoezicht nodig op de rechtmatige uitoefening van opsporingsbevoegdheden waarbij gebruik wordt gemaakt van ICT in zaken die niet aan de strafrechter zijn voorgelegd” (…) “Structureel systeemtoezicht op de rechtmatige uitoefening van taken van het OM op het terrein van opsporingsbevoegdheden zal de PG-HR niet kunnen bieden. De PG-HR is wel in staat (en bereid) tot het bieden van aanvullend toezicht in de vorm van thematische, probleemgerichte onderzoeken”. (JJO: woorden zijn door mij dikgedrukt).

Evaluatierapport: ‘De hackbevoegdheid in de praktijk’

jjoerlemans Een reactie plaatsen

Op 16 september 2022 is de WODC-evaluatie de ‘De hackbevoegdheid in de praktijk’ gepubliceerd (.pdf). Het omvangrijke rapport (215 blz.) staat vol met interessante informatie over de inzet van de hackbevoegdheid (art. 126nba Sv) door de Nederlandse politie. Het betreft vooral een beschrijvend evaluatierapport; de auteurs trekken wel conclusies n.a.v. bevindingen, maar waardeoordelen of oplossingen voor de geconstateerde problemen blijven grotendeels uit. En full disclosure natuurlijk: ik heb zitting gehad in de begeleidingscommissie van het rapport en eerdere versies van het rapport becommentarieerd.

De minister van Justitie geeft pas in het voorjaar van 2023 een inhoudelijke reactie op het rapport, omdat er ook nog een ander (langverwacht) onderzoek verschijnt van de Procureur-Generaal bij de Hoge Raad “in het kader van het hem toekomende toezicht op het Openbaar Ministerie”. Enkele opvallende conclusies uit het rapport zet ik hier onder op een rijtje.

Inzet

Uniek aan dit rapport zijn de cijfers over de inzet van de hackbevoegdheid, afgesplitst tegen het type geautomatiseerd werk (30 van de 38 geautomatiseerde werken waarop de bevoegdheid is ingezet betreft een telefoon (!)) en het type misdrijf waarvoor het wordt ingezet (zie p. 86 en p. 88).

De auteurs van het rapport zeggen over de inzet op het type delicten het volgende:

“De naam computercriminaliteit suggereert wellicht dat de hackbevoegdheid vooral wordt ingezet voor cybercriminaliteit in enge zin. Bovenstaand overzicht laat echter zien dat het overgrote deel van de inzetten betrekking had op opsporingsonderzoeken naar zware vormen van meer traditionele criminaliteit, zowel wat betreft de proportionaliteit (feiten waarvoor een substantiële gevangenisstraf kan worden opgelegd en die de rechtsorde schaden) als wat betreft de subsidiariteit (andere bijzondere opsporingsbevoegdheden hebben weinig opgeleverd).”

In het onderzoek naar cybercriminaliteit in enge zin ging het volgens het rapport om ‘het ontoegankelijk maken van een botnet’. Volgens mij is maar één zaak daarover afgelopen jaren in de publiciteit geweest en dat was de ontoegankelijkheidmaking van het Emotet-botnet dat volgens dit persbericht 1 miljoen slachtoffers wereldwijd maakte. Luister ook deze podcast van Europol over de zaak (vond ‘m zelf wat tegenvallen overigens).

Binnen een groot deel van de onderzoeken waarbinnen het speciale team ‘Digit’ een inzet heeft gedaan (8 van de 25) was sprake van een misdrijf binnen de Opiumwet, al dan niet in combinatie met andere delicten zoals witwassen, omkoping en misdrijven gerelateerd aan de Wet Wapens en Munitie. Ten slotte betrof moord of doodslag een aanzienlijk deel (8 van de 25) van de delicten waarnaar een tactisch team van de politie onderzoek deed.  

Ondanks dat de hackbevoegdheid in 26 opsporingsonderzoeken is ingezet tussen maart 2019 tot en met maart 2021, zijn er nog geen uitspraken gepubliceerd waar de inzet van de hackbevoegdheid ter sprake komt. Volgens de auteurs zal dat ‘bij een deel ook nooit gebeuren’. Overigens geeft team Digit aan behoefte te hebben aan een steunbevoegdheid, zodat ze bijvoorbeeld ook fysiek een woning mogen binnendringen om vervolgens de hackbevoegdheid in te zetten.

Commerciële middelen

Volgens team Digit is het noodzakelijk gebruik te maken van binnendringsoftware van commerciële leveranciers. De informatie over de leverancier is vertrouwelijk en is daarom niet gedeeld met de auteurs van het rapport. De ‘ontwikkeling van eigen hulpmiddelen (en ze vooraf goedgekeurd krijgen) is nauwelijks haalbaar gebleken in de praktijk in verband met de tijd die het kost om een volledig goedgekeurd middel te ontwikkelen’.

De auteurs identificeren drie redenen voor de inzet van commerciële middelen. Ten eerste is er volgens team Digit veel kennis en mankracht nodig om de beveiliging van computers die worden gehackt te doorbreken. In het Regeerakkoord is destijds 10 miljoen euro beschikbaar gesteld, onder andere om Digit zelf producten te laten ontwikkelen. Ook met dat extra bedrag is het volgens sommige geïnterviewden niet realistisch om de samenwerking met commerciële leveranciers volledig los te laten. Niet alleen omdat veel extra personeel moet worden aangenomen, maar ook omdat de kennisachterstand inmiddels zo groot zou zijn dat het kennisniveau van leveranciers niet geëvenaard kan worden.

Het tweede argument is dat leveranciers ook het onderhoud van hun product voor hun rekening nemen. Bij de aanschaf van een product sluit Digit een onderhoudscontract af, zodat de continue werking ervan zo veel mogelijk gewaarborgd kan blijven.

Het derde argument heeft te maken met de meldplicht. Hierover zeggen de auteurs: ‘mocht het mogelijk zijn voor Digit om een zelf gevonden onbekende kwetsbaarheid gebruiksklaar te maken, eerder is gebleken dat dit vooral vanwege de technische complexiteit een zo goed als hypothetische situatie is, dan vormt de meldplicht een belemmering. Het zelf vinden van een kwetsbaarheid betekent dat deze gemeld moet worden en dat de kwetsbaarheid, waarin veel energie gestoken is om die gebruiksklaar te maken, voor één of hooguit twee zaken kan worden gebruikt’.

Melding onbekende kwetsbaarheden

De melding van het gebruik van onbekende kwetsbaarheden verloopt niet bepaald soepel. De geïnterviewden wijzen er op dat artikel 126ffa Sv m.b.t. de meldplicht géén onderscheid maakt tussen de geautomatiseerde werken waarin de onbekende kwetsbaarheid gevonden wordt. Dat betekent “dat een kwetsbaarheid in een computersysteem dat geproduceerd is door en voor personen met criminele intenties hetzelfde behandeld moet worden als een kwetsbaarheid in een geautomatiseerd werk dat in gebruik is bij een groot deel van de Nederlandse burgers of in een geautomatiseerd werk binnen de ‘kritieke infrastructuur’.” Dat is een knelpunt voor de opsporingsprakrijk, omdat personen met criminele intenties uiteindelijk op de hoogte moeten worden gebracht dat in hun systeem zich een kwetsbaarheid bevindt. Het is volgens de respondenten ‘de vraag of dat werd bedoeld met het veiliger maken van computersystemen en het internet, een belangrijke reden waarom de meldplicht er is gekomen’.

Een tweede punt van kritiek is dat de meldplicht samenwerking met andere partijen bemoeilijkt, zowel internationaal als nationaal. Volgens enkele geïnterviewden bevindt Nederland zich in een uitzonderingspositie wat betreft de meldplicht.

Persoonlijk begrijp ik het goed dat de opsporingspraktijk geen melding wil doen aan een maker van hardware of software dat vooral door criminelen kan worden gebruikt. Maar de melding kan ook worden uitgesteld. In het rapport is te lezen dat (slechts) één keer een verzoek is gedaan een melding uit te stellen (en verder blijkbaar geen melding is gedaan). In het rapport wordt uitgelegd dat ze niet kunnen nagaan of de commerciële leverancier van onbekende kwetsbaarheden gebruik maakt en “omdat de onbekende kwetsbaarheden onbekend zijn bij Digit, geldt voor deze kwetsbaarheden niet de eerder besproken meldplicht”. Ik vond p. 95-107 over deze (controversiële) praktijk heel lezenswaardig.

Toezicht

Een groot deel van het rapport gaat over het toezicht (of eigenlijk met name over de problemen die praktijk ervaart met het toezicht) door de Inspectie Justitie & Veiligheid en de Keuringsdienst. Overigens lijkt de Inspectie zeer intensief toezicht te houden en de Keuringsdienst nogal ‘understaffed’ te zijn voor toezicht op de hackbevoegdheid en de technische middelen die daarvoor worden ingezet.

Hieronder volgen de (voor mij) belangrijkste conclusies over toezicht uit het rapport:

  • De reikwijdte van het toezicht van de Inspectie is op dit moment onderwerp van gesprek, vooral ten aanzien van het handelen van het Openbaar Ministerie. Uit het rapport blijkt ook dat er onenigheid bestaat over definitiekwesties.
  • Digit is met een deel van de door de Inspectie geconstateerde punten aan de slag gegaan, maar zegt ook met een deel ervan niets te zullen kunnen doen, omdat het Besluit op een aantal punten niet goed uitvoerbaar zou zijn.
  • De reactie van de minister op de Verslagen van de Inspectie werkt bij de Inspectie op sommige punten verbazing, omdat daaruit blijkt dat aan haar constateringen niet altijd gevolgtrekkingen worden verbonden.
  • Digit-OM heeft besloten dat de aard van een gebruikt commercieel middel zich verzet tegen een keuring. Het middel zal op basis van het Besluit en de geformuleerde keuringseisen (hoogstwaarschijnlijk) ook niet goedgekeurd kunnen worden. Wel neemt team Digit (en het tactisch team) maatregelen in het kader van aanvullende tactische en technische waarborgen bij middelen die niet (goed)gekeurd zijn.

In het rapport staat eufemistisch dat het toezicht ‘niet zonder discussie’ verloopt en ‘de verhouding lijkt enigszins stroever geworden te zijn’. Persoonlijk weet ik (nog) niet zo goed wat ik hier allemaal van moet denken. Blijkbaar is de discussie vastgelopen en komen de betrokken partijen niet voldoende tot elkaar. Uiteindelijk gaat het erom dat de waarborgen die wet stelt zo goed mogelijk worden nagekomen en de bevoegdheid daadwerkelijk kan worden uitgevoerd waar noodzakelijk, maar blijkbaar zijn sommige bepalingen voor de praktijk onuitvoerbaar.

De auteurs van het rapport merken – volgens mij terecht – op:

Daarom zou het goed zijn om met alle betrokken actoren gezamenlijk te kijken op welke manieren het beste een oordeel kan worden gegeven of gegevens op een betrouwbare, integere en herleidbare manier verzameld kunnen worden, ook wanneer gebruik wordt gemaakt van commerciële middelen. Het verzamelen van betrouwbare gegevens is per slot van rekening een belang dat alle actoren met elkaar delen.”

Maar suggesties voor concrete oplossingen ontbreken daarbij. Andere punten zoals het regelen van een steunbevoegdheid en eventueel m.b.t. de melding kan de wetgever oplossen. Kortom, er lijken genoeg belangrijke conclusies uit het rapport om op te pakken en waar de wetgever een rol in kan spelen. In dat opzicht vind ik het jammer dat zo laat een reactie van de minister volgt.