Evaluatierapport: ‘De hackbevoegdheid in de praktijk’

Op 16 september 2022 is de WODC-evaluatie de ‘De hackbevoegdheid in de praktijk’ gepubliceerd (.pdf). Het omvangrijke rapport (215 blz.) staat vol met interessante informatie over de inzet van de hackbevoegdheid (art. 126nba Sv) door de Nederlandse politie. Het betreft vooral een beschrijvend evaluatierapport; de auteurs trekken wel conclusies n.a.v. bevindingen, maar waardeoordelen of oplossingen voor de geconstateerde problemen blijven grotendeels uit. En full disclosure natuurlijk: ik heb zitting gehad in de begeleidingscommissie van het rapport en eerdere versies van het rapport becommentarieerd.

De minister van Justitie geeft pas in het voorjaar van 2023 een inhoudelijke reactie op het rapport, omdat er ook nog een ander (langverwacht) onderzoek verschijnt van de Procureur-Generaal bij de Hoge Raad “in het kader van het hem toekomende toezicht op het Openbaar Ministerie”. Enkele opvallende conclusies uit het rapport zet ik hier onder op een rijtje.

Inzet

Uniek aan dit rapport zijn de cijfers over de inzet van de hackbevoegdheid, afgesplitst tegen het type geautomatiseerd werk (30 van de 38 geautomatiseerde werken waarop de bevoegdheid is ingezet betreft een telefoon (!)) en het type misdrijf waarvoor het wordt ingezet (zie p. 86 en p. 88).

De auteurs van het rapport zeggen over de inzet op het type delicten het volgende:

“De naam computercriminaliteit suggereert wellicht dat de hackbevoegdheid vooral wordt ingezet voor cybercriminaliteit in enge zin. Bovenstaand overzicht laat echter zien dat het overgrote deel van de inzetten betrekking had op opsporingsonderzoeken naar zware vormen van meer traditionele criminaliteit, zowel wat betreft de proportionaliteit (feiten waarvoor een substantiële gevangenisstraf kan worden opgelegd en die de rechtsorde schaden) als wat betreft de subsidiariteit (andere bijzondere opsporingsbevoegdheden hebben weinig opgeleverd).”

In het onderzoek naar cybercriminaliteit in enge zin ging het volgens het rapport om ‘het ontoegankelijk maken van een botnet’. Volgens mij is maar één zaak daarover afgelopen jaren in de publiciteit geweest en dat was de ontoegankelijkheidmaking van het Emotet-botnet dat volgens dit persbericht 1 miljoen slachtoffers wereldwijd maakte. Luister ook deze podcast van Europol over de zaak (vond ‘m zelf wat tegenvallen overigens).

Binnen een groot deel van de onderzoeken waarbinnen het speciale team ‘Digit’ een inzet heeft gedaan (8 van de 25) was sprake van een misdrijf binnen de Opiumwet, al dan niet in combinatie met andere delicten zoals witwassen, omkoping en misdrijven gerelateerd aan de Wet Wapens en Munitie. Ten slotte betrof moord of doodslag een aanzienlijk deel (8 van de 25) van de delicten waarnaar een tactisch team van de politie onderzoek deed.  

Ondanks dat de hackbevoegdheid in 26 opsporingsonderzoeken is ingezet tussen maart 2019 tot en met maart 2021, zijn er nog geen uitspraken gepubliceerd waar de inzet van de hackbevoegdheid ter sprake komt. Volgens de auteurs zal dat ‘bij een deel ook nooit gebeuren’. Overigens geeft team Digit aan behoefte te hebben aan een steunbevoegdheid, zodat ze bijvoorbeeld ook fysiek een woning mogen binnendringen om vervolgens de hackbevoegdheid in te zetten.

Commerciële middelen

Volgens team Digit is het noodzakelijk gebruik te maken van binnendringsoftware van commerciële leveranciers. De informatie over de leverancier is vertrouwelijk en is daarom niet gedeeld met de auteurs van het rapport. De ‘ontwikkeling van eigen hulpmiddelen (en ze vooraf goedgekeurd krijgen) is nauwelijks haalbaar gebleken in de praktijk in verband met de tijd die het kost om een volledig goedgekeurd middel te ontwikkelen’.

De auteurs identificeren drie redenen voor de inzet van commerciële middelen. Ten eerste is er volgens team Digit veel kennis en mankracht nodig om de beveiliging van computers die worden gehackt te doorbreken. In het Regeerakkoord is destijds 10 miljoen euro beschikbaar gesteld, onder andere om Digit zelf producten te laten ontwikkelen. Ook met dat extra bedrag is het volgens sommige geïnterviewden niet realistisch om de samenwerking met commerciële leveranciers volledig los te laten. Niet alleen omdat veel extra personeel moet worden aangenomen, maar ook omdat de kennisachterstand inmiddels zo groot zou zijn dat het kennisniveau van leveranciers niet geëvenaard kan worden.

Het tweede argument is dat leveranciers ook het onderhoud van hun product voor hun rekening nemen. Bij de aanschaf van een product sluit Digit een onderhoudscontract af, zodat de continue werking ervan zo veel mogelijk gewaarborgd kan blijven.

Het derde argument heeft te maken met de meldplicht. Hierover zeggen de auteurs: ‘mocht het mogelijk zijn voor Digit om een zelf gevonden onbekende kwetsbaarheid gebruiksklaar te maken, eerder is gebleken dat dit vooral vanwege de technische complexiteit een zo goed als hypothetische situatie is, dan vormt de meldplicht een belemmering. Het zelf vinden van een kwetsbaarheid betekent dat deze gemeld moet worden en dat de kwetsbaarheid, waarin veel energie gestoken is om die gebruiksklaar te maken, voor één of hooguit twee zaken kan worden gebruikt’.

Melding onbekende kwetsbaarheden

De melding van het gebruik van onbekende kwetsbaarheden verloopt niet bepaald soepel. De geïnterviewden wijzen er op dat artikel 126ffa Sv m.b.t. de meldplicht géén onderscheid maakt tussen de geautomatiseerde werken waarin de onbekende kwetsbaarheid gevonden wordt. Dat betekent “dat een kwetsbaarheid in een computersysteem dat geproduceerd is door en voor personen met criminele intenties hetzelfde behandeld moet worden als een kwetsbaarheid in een geautomatiseerd werk dat in gebruik is bij een groot deel van de Nederlandse burgers of in een geautomatiseerd werk binnen de ‘kritieke infrastructuur’.” Dat is een knelpunt voor de opsporingsprakrijk, omdat personen met criminele intenties uiteindelijk op de hoogte moeten worden gebracht dat in hun systeem zich een kwetsbaarheid bevindt. Het is volgens de respondenten ‘de vraag of dat werd bedoeld met het veiliger maken van computersystemen en het internet, een belangrijke reden waarom de meldplicht er is gekomen’.

Een tweede punt van kritiek is dat de meldplicht samenwerking met andere partijen bemoeilijkt, zowel internationaal als nationaal. Volgens enkele geïnterviewden bevindt Nederland zich in een uitzonderingspositie wat betreft de meldplicht.

Persoonlijk begrijp ik het goed dat de opsporingspraktijk geen melding wil doen aan een maker van hardware of software dat vooral door criminelen kan worden gebruikt. Maar de melding kan ook worden uitgesteld. In het rapport is te lezen dat (slechts) één keer een verzoek is gedaan een melding uit te stellen (en verder blijkbaar geen melding is gedaan). In het rapport wordt uitgelegd dat ze niet kunnen nagaan of de commerciële leverancier van onbekende kwetsbaarheden gebruik maakt en “omdat de onbekende kwetsbaarheden onbekend zijn bij Digit, geldt voor deze kwetsbaarheden niet de eerder besproken meldplicht”. Ik vond p. 95-107 over deze (controversiële) praktijk heel lezenswaardig.

Toezicht

Een groot deel van het rapport gaat over het toezicht (of eigenlijk met name over de problemen die praktijk ervaart met het toezicht) door de Inspectie Justitie & Veiligheid en de Keuringsdienst. Overigens lijkt de Inspectie zeer intensief toezicht te houden en de Keuringsdienst nogal ‘understaffed’ te zijn voor toezicht op de hackbevoegdheid en de technische middelen die daarvoor worden ingezet.

Hieronder volgen de (voor mij) belangrijkste conclusies over toezicht uit het rapport:

  • De reikwijdte van het toezicht van de Inspectie is op dit moment onderwerp van gesprek, vooral ten aanzien van het handelen van het Openbaar Ministerie. Uit het rapport blijkt ook dat er onenigheid bestaat over definitiekwesties.
  • Digit is met een deel van de door de Inspectie geconstateerde punten aan de slag gegaan, maar zegt ook met een deel ervan niets te zullen kunnen doen, omdat het Besluit op een aantal punten niet goed uitvoerbaar zou zijn.
  • De reactie van de minister op de Verslagen van de Inspectie werkt bij de Inspectie op sommige punten verbazing, omdat daaruit blijkt dat aan haar constateringen niet altijd gevolgtrekkingen worden verbonden.
  • Digit-OM heeft besloten dat de aard van een gebruikt commercieel middel zich verzet tegen een keuring. Het middel zal op basis van het Besluit en de geformuleerde keuringseisen (hoogstwaarschijnlijk) ook niet goedgekeurd kunnen worden. Wel neemt team Digit (en het tactisch team) maatregelen in het kader van aanvullende tactische en technische waarborgen bij middelen die niet (goed)gekeurd zijn.

In het rapport staat eufemistisch dat het toezicht ‘niet zonder discussie’ verloopt en ‘de verhouding lijkt enigszins stroever geworden te zijn’. Persoonlijk weet ik (nog) niet zo goed wat ik hier allemaal van moet denken. Blijkbaar is de discussie vastgelopen en komen de betrokken partijen niet voldoende tot elkaar. Uiteindelijk gaat het erom dat de waarborgen die wet stelt zo goed mogelijk worden nagekomen en de bevoegdheid daadwerkelijk kan worden uitgevoerd waar noodzakelijk, maar blijkbaar zijn sommige bepalingen voor de praktijk onuitvoerbaar.

De auteurs van het rapport merken – volgens mij terecht – op:

Daarom zou het goed zijn om met alle betrokken actoren gezamenlijk te kijken op welke manieren het beste een oordeel kan worden gegeven of gegevens op een betrouwbare, integere en herleidbare manier verzameld kunnen worden, ook wanneer gebruik wordt gemaakt van commerciële middelen. Het verzamelen van betrouwbare gegevens is per slot van rekening een belang dat alle actoren met elkaar delen.”

Maar suggesties voor concrete oplossingen ontbreken daarbij. Andere punten zoals het regelen van een steunbevoegdheid en eventueel m.b.t. de melding kan de wetgever oplossen. Kortom, er lijken genoeg belangrijke conclusies uit het rapport om op te pakken en waar de wetgever een rol in kan spelen. In dat opzicht vind ik het jammer dat zo laat een reactie van de minister volgt.

Evaluatie Wiv 2017: van meer privacy naar meer werkbaarheid… en weer terug?

Aanleiding: meer privacy

Twee jaar na de inwerkingtreding van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) is een evaluatie van deze wet van start gegaan. Deze vervroegde wetsevaluatie (het wordt standaard pas na 5 jaar geëvalueerd) is geïnitieerd vanwege de uitslag van het raadgevend referendum over de Wiv 2017. 49,44% van de kiezers heeft tegen de Wiv 2017 gestemd, 46,53% voor, en 4,03% blanco. Uit het maatschappelijk debat rondom het referendum bleek dat mensen zich met name zorgen maakten over privacy en dan specifiek over de uitbreiding van de bevoegdheid tot bulkinterceptie van internetverkeer naar de kabel (het ‘sleepnet’ genoemd).

Naar meer werkbaarheid

Net voor de start van de evaluatie van de Wiv 2017 vond in 2019 een kentering in het debat plaats. Het voormalige hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) Dick Schoof waarschuwde op 6 februari 2019 in het programma Nieuwsuur dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. Kort daarop vroegen Kamerleden van CDA- en VVD-fractie zich af ‘of de genomen maatregelen werkbaar blijven voor de diensten’ en ‘hoe de disproportionele bureaucratisering van het werk van de diensten wordt tegengaan’. De invloed op de operationele slagkracht van de Wiv 2017 is door de Algemene Rekenkamer speciaal onderzocht. De Algemene Rekenkamer concludeert dat: de nieuwe waarborgen de inzet van bepaalde bijzondere bevoegdheden het verzamelen van inlichten en de snelheid in internationale samenwerking beperken en er een toename is van administratieve lasten, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid (zie rapport).  

De Commissie Evaluatie Wiv 2017 (hierna: de Commissie Jones-Bos naar haar voorzitter) kreeg hierop expliciet de opdracht te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet’ te onderkennen. Op 20 januari 2021 heeft de Commissie Jones-Bos een lijvig rapport (180 pagina’s) afgeleverd. Een groot deel van de aanbevelingen streven een ‘werkbaarder wet’ na, soms ten koste van reeds bestaande (privacy)waarborgen. Kort daarop schreef het demissionaire kabinet de aanbevelingen te ‘omarmen’ en de voorbereidingen te treffen voor een wijzigingsvoorstel van de Wiv 2017.

Gevolgen voorstellen Commissie Jones-Bos voor privacy

Ons artikel (.pdf) betreft een beschouwing van dit rapport, waar in wij verkennen wat de gevolgen van een aantal van deze voorstellen kunnen zijn voor het recht op privacy van personen. In het bijzonder richtten wij ons op de manier waarop bulkdatasets worden verzameld en hoe data-analyse is geregeld.

Wij concluderen dat de voorstellen van de Commissie Jones-Bos de waarborgen van bepaalde bijzondere bevoegdheden verzwakken. Dit heeft gevolgen heeft voor de bescherming van het recht op privacy. Met name een voorgestelde informantenbevoegdheid wordt gebrekkig uitgewerkt door de commissie, terwijl daarmee ook bulkdatasets kunnen worden verzameld. Die regeling behoeft meer aandacht, waarbij fundamentele keuzes gemaakt worden, zoals de vraag of de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) van elke overheidsinstantie en misschien zelfs elk bedrijf gegevens vrijwillig mogen opvragen of kunnen eisen dat deze op verzoek verplicht verstrekt worden (vorderen). Het voorstel de voorafgaande onafhankelijke toets van de Toetsingscommissie Inzet Bevoegdheden (TIB) te schrappen bij de bevoegdheden voor selectie- en metadata-analyse, het vereenvoudigen van het relevant verklaren van bulkdatasets, en de inperking van het begrip ‘geautomatiseerde data-analyse’, verzwakt ook de bescherming van privacy.

Ten slotte merken wij in het artikel op dat de Commissie Jones-Bos bijzonder weinig aandacht aan de bepalingen omtrent gegevensverwerking in de Wiv 2017. Ook bij minder geavanceerde vormen van data-analyse die wel degelijk een ernstige inbreuk op het recht op privacy en andere mensenrechten kunnen meebrengen, waarvoor deze bepalingen van belang kunnen zijn. Wij bevelen daarom aan voordat het voorstel tot wetswijzing naar de Tweede Kamer wordt gestuurd alsnog een ‘privacy impact assessment’ uit te voeren (zie ook de PIA op het wetsvoorstel van de Wiv 2017). Net als bij de Wiv 2017 kunnen de uitkomsten daarvan voor het wetsvoorstel in overweging worden genomen. 

En weer terug naar privacy?

Na de publicatie van ons artikel heeft toch een kleine kentering in het (parlementaire) debat plaatsgevonden over de voorgenomen wijzigingen van de Wiv 2017. De aangenomen moties (zoek op ‘IVD’) zien op de toezichthouders (bijvoorbeeld een oproep te onderzoeken wat de voor- en nadelen van samenvoeging zijn). Daarmee wordt er enige tegenwicht geboden aan sommige aanbevelingen van de Commissie Jones-Bos over toezicht.

In een recente annotatie bij de Big Brother Watch- en Centrum För Rättvisa-zaken betogen Mireille Hagens en ik (Jan-Jaap) dat de oproep van het Europees Hof voor de Rechten van de Mens (EHRM) tot ‘end-to-end safeguards’ bij bulkinterceptie ook tot een heroverweging van het toezicht stelsel en de rol van de rechter zou moeten leiden.

Quirine en ik hadden natuurlijk graag ook een oproep tot meer aandacht voor de regels omtrent gegevensverwerking en impact op privacy gezien (ook vanwege het gemoderniseerde verdrag van de Raad van Europa over regels voor gegevensverwerking (Conventie 108+) die ook betrekking heeft op nationale veiligheid). Maar de discussie lijkt met de vele nieuwe Tweede Kamerleden weer wat meer open te liggen. Het zal ook afhankelijk zijn van de visie en waarden die een nieuw kabinet te zijner tijd met zich meebrengt, hoe een wetsvoorstel voor een nieuwe Wiv (2024?) eruit komt te zien.

Jan-Jaap Oerlemans & Quirine Eijkman