Nederland weer van ons

Doel van het wetsvoorstel waar we vandaag over spreken is het versterken van het juridisch instrumentarium voor de opsporing en vervolging van computercriminaliteit (= het plegen van strafbare feiten met behulp van/gericht tegen een geautomatiseerd werk). Dit is noodzakelijk vanwege technologische ontwikkelingen op het internet en het gebruik van computers voor communicatie en de verwerking en opslag van gegevens. In het wetsvoorstel worden bestaande strafvorderlijke bevoegdheden verruimd en worden nieuwe strafbaarstellingen opgenomen. Ik zal beginnen met de punten waar eigenlijk niemand het over heeft, maar die wel zeer gewenst zijn en waar mijn fractie ook mee in kan stemmen.

Zo wordt voorgesteld om computergegevens te beschermen door het strafbaar stellen van het voorhanden hebben of bekend maken van door misdrijf verkregen gegevens. In een dergelijk geval is namelijk sprake van heling van gegevens. Ook het verleiden van minderjarigen tot ontucht en grooming wordt strafbaar. Grooming is het ongewenst benaderen van kinderen op internet (in bijv. chatrooms) met het oogmerk om ontuchtige handelingen met hen te plegen. Om dit beter te kunnen bestrijden is het ook wenselijk om opsporingsambtenaren in te kunnen zetten die zich als minderjarige voordoen (lokpubers).

Daarnaast wordt online handelsfraude strafbaar. Online handelsfraude is het via het internet aanbieden van goederen of diensten zonder de intentie te hebben deze goe-deren daadwerkelijk te leveren. Zoals we regelmatig uit de media kunnen vernemen worden grote aantallen kopers worden hierdoor gedupeerd. Mijn fractie is dan ook blij dat deze punten nu wettelijk geregeld worden. Het uitbreiden van het wetboek van strafrecht met deze onwenselijke gedragingen is ook begrijpelijk in het licht van de ontwikkelingen. Het is op dit moment niet mogelijk om iemand te vervolging voor heling van gegevens die door een misdrijf zijn verkregen. Ook het vervolgen voor online handelsfraude is erg lastig, net als het vervolgen voor de ‘moderne’ vormen van sek-sueel misbruik van minderjarigen (verleiden tot ontucht en grooming). Zonder de inzet van een ‘lokpuber’ is het vrijwel onmogelijk om het bewijs van het plegen van grooming te leveren. Aparte strafbaarstelling, dan wel uitbreiding van bevoegdheden onder strikte voorwaarden is dan ook de aangewezen weg. Helaas is nog niet zo lang geleden gebleken dat pedofielen, die zijn opgespoord met behulp van het virtuele meisje Sweetie, niet veroordeeld kunnen worden, omdat de wet dit niet toestaat. Het wetsvoorstel waar we het vandaag over hebben, stelt het verleiden van minderjarigen strafbaar en niet het verleiden door minderjarigen. Vraag aan de staatssecretaris: klopt dit en zo ja, wanneer kunnen we wetgeving (van de minister) verwachten die dit wel strafbaar maakt, want naar mening van mijn fractie dient dit hiaat zo spoedig mogelijk opgevuld te worden.

Wat ook wordt voorgesteld, en daardoor worden de voorstellen die ik zojuist heb be-noemd lichtelijk ondergesneeuwd, is een nieuwe bevoegdheid voor daartoe aange-wezen opsporingsambtenaren om onder voorwaarden een geautomatiseerd werk (bijv. een computer of smartphone) welke in gebruik is bij een verdachte, op afstand heimelijk binnen te dringen. Binnendringen betekent dat de beveiliging wordt doorbroken of omzeild. Eenmaal binnen kunnen onderzoekshandelingen worden verricht. Voorwaarde is dat het misdrijf in ieder geval een ernstige inbreuk moet zijn op de rechtsorde. Vervolgens is de reikwijdte van de bevoegdheden afhankelijk van het soort misdrijf. In geval van een misdrijf waar een gevangenisstraf van 4 jaar/meer op staat mogen onderzoekshandelingen worden verricht om de identiteit of locatie vast te stellen en mag communicatie worden opgenomen. In geval van een misdrijf waar een gevangenisstraf van 8 jaar of meer op staat mag tevens de identiteit of locatie worden vastgesteld, communicatie worden opgenomen, maar mogen ook gegevens worden vastgelegd en ontoegankelijk worden gemaakt. Er is dus sprake van differentiatie: de mate van inbreuk is afhankelijk van de zwaarte/ernst van het misdrijf. Reden is het indringende en het heimelijke karakter van de voorgestelde bevoegdheid. In alle gevallen is wel voorafgaande toestemming van de rechter-commissaris vereist.

Het is vanwege deze bevoegdheid dat dit wetsvoorstel bekend staat als het “(te-rug)hackvoorstel.” Zo ernstig is het echter niet. Volgens de Van Dale is hacken het inbreken in een computer. Inbreken is omschreven als het wederrechtelijk en met geweld toegang verschaffen met het oogmerk van stelen. Ofwel het onbevoegd bin-nendringen van een beveiligd computersysteem. De politie gaat echter niet onbevoegd over tot het binnendringen van een computer. Het wetsvoorstel legt die bevoegdheid juist wettelijk vast en zoals ik eerder al heb opgemerkt, is er voorafgaand aan de inzet van de bevoegdheid, toestemming nodig van de rechter-commissaris. Het voorstellen van de bevoegdheid tot het binnendringen van een computer, smartphone of ander geautomatiseerd werk is een reactie op de ontwikkelingen op het gebied van internet en computercriminaliteit. Het is voor de politie steeds moeilijker om via een ‘gewone’ tap informatie te krijgen. Dit heeft te maken met versleuteling en clouddiensten en het feit dat de aanbieders van diensten vaak niet te achterhalen zijn of in het buitenland zitten waardoor Nederland geen rechtsmacht heeft om te kunnen tappen. Door in te breken bij de bron (het apparaat zelf) wordt dit probleem omzeild. Ook is een decryptiebevel (verplicht meewerken aan het ontsleutelen van informatie door de verdachte, dat ook nog eens in strijd is met het nemo tenetur-beginsel) niet meer nodig, omdat de politie al bij de gegevens kan voordat deze versleuteld zijn. De AIVD en de MIVD hebben deze bevoegdheden al en ook België, Frankrijk en Duitsland kennen een wettelijke regeling voor het heimelijk doorzoeken van informatiesystemen ten behoeve van de opsporing van strafbare feiten.

Kern van de discussie over dit wetsvoorstel is het afwegen van het belang van op-sporing en vervolging van ernstige misdrijven (dus niet alleen computercriminaliteit) enerzijds en de bescherming van de privacy anderzijds. De staatssecretaris geeft dit ook duidelijk aan in zijn brief van 8 november jongstleden: “In het streven naar een open, vrij en veilig internet dient aan de diverse belangen recht te worden gedaan. Deze belangen zijn in de meeste gevallen met elkaar in overeenstemming, maar het
komt ook voor dat een belangenafweging noodzakelijk is, bijvoorbeeld tussen veiligheid en vrijheden, of tussen verschillende veiligheidsbelangen.” Wat de PVV betreft prevaleert de opsporing en vervolging van ernstige misdrijven die niet op een andere manier kunnen worden opgespoord dan met gebruikmaking van de voorgestelde be-voegdheid, maar de inbreuk op de privacy dient zo klein mogelijk te zijn. Er moeten ook goede waarborgen zijn. In dat kader heeft mijn fractie dan ook nog heel wat vragen.

Waarborgen zijn o.a. vastgelegd in het Besluit Technische Hulpmiddelen. Dit Besluit stamt uit 2006 en de staatssecretaris heeft zelf aangegeven dat dit verouderd is en aangepast zal worden aan dit wetsvoorstel (p. 24 MvT). Mijn fractie is dan ook van mening dat dit Besluit eerst aangepast dient te worden, alvorens deze wet in werking zal treden. Het gaat hier om technische hulpmiddelen die worden ingezet ten behoeve van stelselmatige observatie, het opnemen van vertrouwelijke communicatie of het opnemen van telecommunicatie zonder dat de aanbieder hiervan op de hoogte is. Deze hulpmiddelen worden ingezet voor het doen van waarnemingen die de eigen waarneming van de opsporingsambtenaar vervangen. De met deze hulpmiddelen verkregen resultaten hebben daarmee in toenemende mate zelfstandige waarde, ook als (dragend) bewijsmateriaal tegen de verdachte. Dat vereist dat de hulpmiddelen aan hoge kwaliteitseisen moeten voldoen en dat de regels hieromtrent up to date zijn. Volgens de toelichting bij het betreffende wetsartikel (artikel 126ee wetboek van strafvordering) zijn er namelijk drie belangen: de waarneming moet betrouwbaar, voor derden toetsbaar en niet te manipuleren zijn. Is de staatssecretaris daarom bereid eerst het Besluit aan te passen, zodat dit geregeld is vóór de inwerkingtreding van het wetsvoorstel?

Een kritiekpunt dat in de hoorzitting naar voren kwam, was dat de groep misdrijven, waarvoor deze bevoegdheid kan worden ingezet, te groot is. Volgens de betreffende spreker zou het een verbetering zijn als de misdrijven specifiek zouden worden om-schreven. Bijvoorbeeld levensdelicten, kinderporno en terrorisme. Mijn fractie begrijpt die wens om het aantal misdrijven waarvoor de bevoegdheid mag worden ingezet strak te omkaderen gezien de zwaarte van deze bevoegdheid wel. Ik zie ook dat een te nauwe omschrijving ook problemen oplevert, gehoord het voorbeeld: er is een einde gemaakt aan een gijzeling doordat de politie de daar aanwezige camera’s kon binnendringen. Desondanks zijn wij niet doof voor de vrees van velen die de overheid niet vertrouwen, maar ik zie ook dat criminelen een voorsprong hebben op de opsporingsdiensten en dat is ook ongewenst. Weliswaar heeft dat ook met het be-schikbare budget te maken, maar daar hebben we het al vaker over gehad en daar is het laatste woord ook nog niet over gezegd.

Dat brengt mij tot de vraag aan de staatssecretaris om de voorgestelde bevoegdheid te beperken tot een aantal met name genoemde ernstige misdrijven (genoemd op pagina 29 MvT): terroristische misdrijven, kinderporno, gijzeling, mensenhandel, moord en doodslag. Is hij daartoe bereid? In het verlengde daarvan de vraag of er een uitzondering gemaakt kan worden in spoedeisende levensbedreigende situaties zoals die gijzeling.

Dan is er nog een hele discussie geweest over het binnendringen door middel van bekende kwetsbaarheden en zogenoemde zero days/0days, ofwel voor de fabrikant onbekende kwetsbaarheden in de hard-/software. (zero day exploit = software die vervolgens wordt geschreven om van de kwetsbaarheid gebruik te maken). Uit de memorie van toelichting begrijp ik dat de politie zeer waarschijnlijk het meest gebruik zal maken van bestaande kwetsbaar-heden in het systeem, om zo in het geautomatiseerde werk binnen te dringen. Dat is wat mijn fractie betreft akkoord. Net als het beveiligen van je huis, ben je ook zelf verantwoordelijk voor het beveiligen van je computer en door de fabrikant beschikbaar gestelde updates te installeren. Dat de politie de nog niet bekende kwetsbaarheid vervolgens in beginsel meldt maakt het internet niet per se veiliger (er bestaan heel veel van dat soort onbekende kwetsbaarheden), maar zeker ook niet onveiliger. Daarbij gaat het ook om het doel, namelijk zware criminelen pakken. De staatssecretaris geeft in zijn brief van 8 november jongstleden (pagina 5) aan dat er uitzonderingen zijn (vandaar ‘in beginsel’) op het melden van de ontdekte kwetsbaarheden, bijvoorbeeld de nationale veiligheid of een gewapend conflict. Zodra het mogelijk is, wordt de kwetsbaarheid alsnog gemeld.

De staatssecretaris schrijft echter ook dat er in beginsel geen nieuwe kwetsbaarheden gecreëerd. ‘In beginsel’ houdt over het algemeen in dat het ook niet wordt uitgesloten. Begrijpt mijn fractie het goed dat de staatssecretaris dus niet uitsluit dat politie en/of het Openbaar Ministerie op de een of andere manier nieuwe kwetsbaarheden gaan creëren? Zo ja, aan welke mogelijke nieuwe kwetsbaarheden wordt dan gedacht en hoe wordt dit gerealiseerd? Want dan komt het antwoord op de vraag of het internet onveiliger wordt, er wel anders uit te zien.

Wat mijn fractie ook van belang vindt, is dat (de schijn van) belangenverstrengeling moet worden voorkomen. Het is of voelt namelijk wel tegenstrijdig dat het Nationaal Cyber Security Centrum risico’s/zwakheden in software opspoort en de politie juist hier gebruik van gaat maken. Ze vallen beiden onder het ministerie van V&J, dan wel de overheid (voor de situatie dat de politie straks naar BZK zou gaan). Hoe gaat de staatssecretaris dit wegnemen? Ook wil mijn fractie weten of het mogelijk is dat de politie bijvoorbeeld KPN verzoekt om nog even te wachten met een update/het her-stellen van een zwakheid, zodat de politie daar nog gebruik van kan maken. Dat mag namelijk niet het geval zijn, omdat de politie dan de zwakke plek in stand houdt terwijl het anders zou zijn hersteld.

Tijdens de hoorzitting is ook nog aangegeven dat de in het wetsvoorstel geregelde bevoegdheid niet nodig is, omdat gewoon beter internationaal moet worden samen-gewerkt. Mijn fractie is altijd voor een goede internationale samenwerking, maar we moeten ook realistisch zijn. Een rechtshulpverzoek is niet binnen een dag afgehandeld en snelheid is in dit soort zaken wel geboden. Wel heeft mijn fractie begrip voor het feit dat het een vergaande bevoegdheid is en wij het als Nederland ook niet leuk vinden als een ander land in onze computers zit te grasduinen zonder dat wij daarvan af weten (ook al heeft dat land die bevoegdheid en gaat het om een verdachte van een zwaar misdrijf). Om die reden de vraag aan de staatssecretaris hoe hij hiermee zal omgaan. Is het bijvoorbeeld niet handig om voordat op afstand een geautomatiseerd werk in het buitenland wordt binnengedrongen, contact wordt opgenomen met dat betreffende land of Europol, dan wel Interpol met de vraag om hier samen mee aan de slag te gaan? Graag een reactie.

Ten slotte kunnen we ook niet doof zijn voor de terechte kritiek dat het binnendringen in een computersysteem van de verdachte ook computersystemen van niet-verdachten kunnen raken. Ziet de staatssecretaris een mogelijkheid om aan deze zorgen tegemoet te komen, bijvoorbeeld in een vorm van toezicht achteraf door een externe, onafhankelijke commissie? Mijn fractie kan zich niet voorstellen dat de politie (team high impact crimes) hier bezwaar tegen heeft zolang zij niet in hun werk gehinderd worden. Hetzelfde geldt voor het Openbaar Ministerie. Maar ik hoor graag van de staatssecretaris of die veronderstelling juist is. Dus ook hier graag een reactie op.

Samenvattend, ik wacht de antwoorden van de staatssecretaris af, alvorens mijn fractie een definitief besluit kan nemen.

Aanvullende informatie n.a.v. kritiekpunten:

I. de noodzaak van de bevoegdheid is niet aangetoond.
Beleidsreactie staatssecretaris bij Cyber Security Beeld Nederland 2016:
Waar in 2015 sprake was van het doorzetten van zorgelijke trends, kan nu gesproken worden van toenemende en reële cyberdreigingen. Deze dreigingen zijn gericht op diefstal van geld en kostbare commerciële informatie maar richten zich ook op de ondermijning van politiek en bestuur en het verstoren of saboteren van diensten en processen waar overheden en de samenleving van afhankelijk zijn voor hun functio-neren. Cybercriminelen hebben zich ontwikkeld tot zeer geavanceerde actoren wier capaciteiten in een aantal gevallen gelijk staan met die van staten. Cybercrime is daarmee zowel kwantitatief als kwalitatief een groeiend probleem voor de Nederlandse samenleving.

2. de heer Ronald Prins (Fox-IT) tijdens hoorzitting d.d. 11 februari 2016:
De politie loopt vast online. Het is makkelijk voor criminelen om zich daar te verstoppen achter valse/vage IP-adressen, gehuurde servers, etc. het land waar de crimineel zich bevindt, is vaak onbekend, dus aan welk land moet het verzoek worden gericht?
De voorgestelde bevoegdheid is een essentieel middel om een zaak rond te krijgen in het geval van cybercrime, kinderporno en voor het achterhalen van cryptologische sleutels.
Wel nodig = in machtiging RC een nauwkeurige omschrijving waarvoor de last wordt verstrekt.

II. het internet wordt onveiliger.
1. Mevrouw Philipsen (toen nog N.P.) tijdens hoorzitting d.d. 11 februari 2016:
We maken alleen gebruik van bestaande kwetsbaarheden; we creëren er zelf geen. Er is geen sprake van hacken.

2. de heer Ronald Prins (Fox-IT) tijdens hoorzitting d.d. 11 februari 2016:
Het gebruik van zero days is niet nodig om effectief te zijn. Het gebruik van bestaande kwetsbaarheden kan ook al veel opleveren.

facebooktwitterinstagrammail

We hebben 2990 gasten

doneer

Nederland
English

steun ons ideal

donaties

donaties