Den Haag, 15 juni 2018

Geachte Kamerleden,

Komende week behandelt u het wetsvoorstel computercriminaliteit III.

Het wetsvoorstel geeft de politie de mogelijkheid het (digitale) privéleven van burgers te bekijken en te doorzoeken. De impact hiervan op de privacy van burgers is onevenredig groot, met name omdat de bevoegdheid niet goed is afgebakend, zowel qua reikwijdte van de doorzochte gegevens als de te hacken apparatuur.

Daarnaast krijgt de politie een belang bij het onveilig houden van software omdat dat nodig is om in apparatuur in te kunnen breken. De minister kan geen cijfers geven om de noodzaak van de bevoegdheid aan te tonen en onafhankelijk toezicht ontbreekt.

Deze wet is vanwege het bovenstaande niet in balans. Hieronder treft u onze aanbevelingen aan.

1. Noodzaak hackbevoegdheid onvoldoende aangetoond

De impact op de privacy van de bevoegdheid om elk digitaal apparaat te mogen hacken, is volgens de Autoriteit Persoonsgegevens "ongekend omvangrijk". De toezichthouder schrijft dat het bereik van de bevoegdheid zich uitstrekt tot een zeer grote hoeveelheid gegevens die op het apparaat zijn opgeslagen en die worden uitgewisseld via alle communicatiekanalen waarmee het apparaat is verbonden. De bevoegdheid kan ook betrekking hebben op toekomstige gegevens of gegevens die in de 'cloud' zijn opgeslagen. Niet voorkomen kan worden dat ook gegevens van onverdachte burgers in de systemen van de politie terecht komen.

De Raad van State wijst erop dat het heimelijk binnendringen in een geautomatiseerd werk een grote inbreuk op de persoonlijke levenssfeer vormt, die vergelijkbaar is met het betreden van een woning om af te luisteren wat er gebeurt.

Volgens artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) moet de noodzaak van een dergelijke bevoegdheid goed worden onderbouwd. Dat doet minister Grapperhaus (CDA) niet. De minister geeft geen concrete cijfers of voorbeelden waaruit de noodzaak blijkt. In antwoord op vragen van Tweede Kamerleden schrijft hij meermaals dat de opsporingsdiensten geen relevante cijfers bijhouden en dat hij daarop dus "helaas" geen antwoord kan geven.

Ook in antwoorden aan de Eerste Kamer herhaalt de minister dat hij niet precies weet in welke zaken de bevoegdheid een meerwaarde kan zijn. Hij schrijft: "De opsporingsdiensten en het openbaar ministerie houden daarom geen cijfers bij over het aantal gevallen waarin gedurende de afgelopen vijf jaar de voorgestelde bevoegdheid van het op afstand binnendringen in een geautomatiseerd werk had kunnen worden ingezet." De minister heeft geen idee in welke zaken en in welke mate deze bevoegdheid noodzakelijk is. Dat is onvoldoende onderbouwing om zo'n zware bevoegdheid mogelijk te maken.

De minister onderbouwt ook niet voldoende dat de huidige middelen tekort schieten. De tapstatistieken laten zien dat het aantal telefoon- en internettaps al jaren min of meer stabiel ligt rond circa 25.000 taps per jaar. Gezien de energie die daar jaarlijks nog steeds ingestoken wordt, blijft dat blijkbaar een voldoende effectief middel.

^top

2. Alleen inzetten tegen specifieke misdrijven

Nederland is al jaren wereldkampioen telefoon- en internetaansluitingen afluisteren. In 2016 werden er 24.850 aansluitingen afgeluisterd. De criteria voor de inzet van deze nieuwe hackbevoegdheid zijn vergelijkbaar met die voor de inzet van een telefoon- of internettap. Het is daarom te verwachten dat (op termijn) jaarlijks tienduizenden apparaten of netwerken door de politie gehackt gaan worden. Het zal niet voor het eerst zijn dat als een bevoegdheid eenmaal geïntroduceerd is, deze steeds makkelijker wordt ingezet.

Om die reden dient er een lijst te komen met een limitatieve opsomming van specifieke misdrijven die op hun beurt vallen binnen de het genoemde van het voorgestelde artikel 126nba. Ook de Nederlandse Orde van Advocaten pleit hiervoor in haar advies. De lijst zou om te beginnen kunnen bestaan uit het bestrijden van kinderporno, botnets en bepaalde vormen van ransomware. De lijst kan na inspraak door het parlement in een in Algemene Maatregel van Bestuur worden opgenomen.

^top

3. Afbakenen van te hacken apparatuur

De hackbevoegdheid geldt voor een geautomatiseerd werk. Volgens de definitie uit het Europese cybercrimeverdrag omvat dit vrijwel alle elektronische apparaten.Dit is een veel te ruime definitie voor een dergelijke indringende bevoegdheid. Alleen het hoogst noodzakelijke zou gehackt mogen worden. De minister vindt dat het OM dit per situatie moet beoordelen, maar het is onwenselijk dat de beperking van de bevoegdheid per individueel geval bekeken wordt, omdat dan een glijdende schaal waarschijnlijk is.

De Autoriteit Persoonsgegevens concludeert dat na het hacken van een apparaat direct toegang tot alle gegevens ontstaat. Of het nu om een identificerend of een doorzoekend onderzoek gaat. Daarmee krijgt de politie bovenmatig veel gegevens in handen waarvan een groot deel niets met het doel van de hack te maken heeft. Dit is volgens de toezichthouder in strijd met artikel 3 van de Wet politiegegevens. Maar ook volgens artikel 8 EVRM mag de inbreuk op de privacy niet ruimer zijn dan strikt noodzakelijk.

Er zouden twee limitatieve lijsten dienen te komen met welke apparatuur voor identificerende doelen mag worden gehackt en welke apparatuur mag worden gehackt om de gegevens te doorzoeken. Deze lijsten zouden in een Algemene Maatregel van Bestuur moeten worden opgenomen na goedkeuring door het parlement.

Voor het doorzoeken van apparaten of het ontoegankelijk maken van informatie moet een lijst komen welke functies in dat apparaat wel of niet gebruikt mogen worden. Zo zou de toegang tot de camera en microfoon op apparatuur verboden moeten blijven. Filmen in een woning door opsporingsdiensten is op dit moment expliciet verboden. Er is geen enkele noodzaak gegeven en het is ook onwenselijk om dat nu sluipenderwijs mogelijk te maken.

^top

4. Verbeter het toezicht

Het toezicht op het proportioneel gebruik van de hackbevoegdheid is nauwelijks waterdicht te krijgen. Als belangrijkste waarborg worden de activiteiten 'gelogd'. De minister schrijft hierover: "De onderzoekshandelingen in het geautomatiseerde werk worden elektronisch vastgelegd (logging) en tevens vastgelegd in een proces-verbaal, ten behoeve van de controle en de verantwoording." Maar het blijft onbekend tot in welk detail die logging plaatsvindt.

Ook de Autoriteit Persoonsgegevens constateert dit en stelt: "Logging kan vooralsnog niet leiden tot het weergeven van alle relevante handelingen. Daarbij geldt dat voor zinvolle logging de exacte werking van de gebruikte software bekend moet zijn, waaronder begrepen kennis van de broncode." De minister erkent dit en zegt dat het van de gebruikte hacksoftware zal afhangen hoe gedetailleerd er gelogd kan worden. Loggen alleen biedt dus duidelijk te weinig garanties dat de proportionaliteit van de inzet goed gecontroleerd kan worden.

In het ontwerpbesluit 'Besluit onderzoek in een geautomatiseerd werk' dat bij dit wetsvoorstel is gemaakt, wordt nadere invulling gegeven aan het loggen van het binnendringen en het onderzoek. Het doel hiervan lijkt alleen over de betrouwbaarheid van de gegevens te gaan, maar het zou natuurlijk ook over de reikwijdte van het binnendringen moeten gaan. Blijven de opsporingsambtenaren binnen de door de rechtercommissaris gestelde kaders? Wordt de privacy-inbreuk in het digitale leven van de burger niet groter gemaakt dan strikt noodzakelijk? Deze elementen zouden in het ontwerpbesluit toegevoegd moeten worden.

Als extra waarborg zou bij het doorzoeken van een apparaat altijd een rechter-commissaris aanwezig dienen te zijn. Dit zou ook in overeenstemming met de Wet versterking positie rechter-commissaris zijn waarin de rechter-commissaris een meer toezichthoudende rol krijgt. De officier van justitie is sowieso aanwezig, maar volgens de Europese rechters kan het openbaar ministerie niet als een onafhankelijke organisatie worden aangemerkt (onder punt 62).

Onafhankelijke toezichthouder
De Inspectie Justitie en Veiligheid houdt toezicht op de inzet van de bijzondere opsporingsbevoegdheden. Uitgaande van de uitspraak dat het openbaar ministerie niet als onafhankelijke organisatie kan worden gezien, kan logischerwijs ook de Inspectie J&V niet als onafhankelijke organisatie worden gezien. Zij maakt immers deel uit van het ministerie.

Dat zo'n organisatie niet onafhankelijk kan functioneren, bleek onlangs toen bekend werd dat het WODC door hoge ambtenaren werd aangestuurd. Ook dit onderdeel is 'onafhankelijk' binnen het ministerie geplaatst.

Gezien het heimelijke karakter van het inbreken door de politie, is echt onafhankelijk toezicht noodzakelijk dat bindende oordelen kan geven. Ook de Autoriteit Persoonsgegevens pleit hiervoor. Als onafhankelijk toezichthouder zou een aparte afdeling bij de Autoriteit Persoonsgegevens of bij de toezichthouder op de inlichtingendiensten CTIVD kunnen worden aangewezen. Zij hebben beide sterke affiniteit en deskundigheid op dit terrein.

^top

5. Geen 'zero-day' kwetsbaarheden gebruiken

De politie heeft als taak voor veiligheid in de samenleving te zorgen. Zodra de politie zich inlaat met het inbreken in apparatuur van mensen, krijgt de politie er belang bij dat apparaten niet goed beveiligd blijven. Als de politie daarbij ook gebruik maakt van nog niet-bekende kwetsbaarheden (zero-days) in plaats van deze te melden, gaat de politie over de principiële grens en staat ze ineens aan de verkeerde kant.

Dat geldt nog sterker als de politie deze niet-bekende kwetsbaarheden inkoopt bij organisaties die geld verdienen aan inbraaksoftware. De politie financiert dan de (criminele) organisaties die deze lekken of inbraaksoftware aanbieden. Het gebruik van inbraaksoftware geeft de politie de mogelijkheid te stellen dat ze geen weet heeft van welke kwetsbaarheden worden gebruikt en dus niet weet of het om niet-bekende kwetsbaarheden gaat.

De motie van de Tweede Kamer die oproept om niet-bekende kwetsbaarheden 'alleen in het uiterste geval' te gebruiken, laat teveel ruimte om dat toch te doen. De politie zou (inbraaksoftware met) niet-bekende kwetsbaarheden niet moeten gebruiken, maar juist dienen te melden zodat software veiliger kan worden gemaakt.

^top

6. Zorg dat politie zich eerst aan bestaande privacyregels houdt

De politie houdt zich op dit moment niet aan de wettelijke regels over de omgang met persoonsgegevens. Onlangs bleek dat ook het ministerie van justitie niet aan de nieuwe AVG voldoet, een wet waar het ministerie zelf verantwoordelijk voor is.

Met deze hackbevoegdheid krijgt de politie nog veel meer en waarschijnlijk zeer gevoelige gegevens van mensen in handen. Het kabinet is vlot in het toekennen van nieuwe bevoegdheden maar laks in het handhaven van de wettelijke regels binnen de eigen organisatie. De minister liet eerder weten dat de politie zich eind 2019 "grotendeels maar nog niet volledig" aan de wet gaat houden. De Kamer zou er op moeten aandringen dat de bevoegdheden pas worden toegekend als de politie zich aan de wettelijke privacyregels weet te houden.

^top

7. Geef meer transparantie over de inzet

Een vorm van controle op de inzet van de hackbevoegdheid is mogelijk als er transparantie is over de inzet. De minister zegt daarover toe: "Conform de werkwijze bij het aftappen van communicatie zal jaarlijks aan de Kamer worden gerapporteerd over de inzet van de bevoegdheid."

Dit is echter een zeer minimale rapportage. De minister dient cijfers te geven waardoor controle mogelijk wordt. Zo zou er meer in detail gerapporteerd dienen te worden. Gedacht kan worden aan inzetcijfers per individuele bijzondere bevoegdheid en voor welk wettelijk doel de bevoegdheid is ingezet. Daarbij moet gerapporteerd worden hoe vaak de inzet is aangevraagd, hoe vaak de interne toestemmingscommissie en de rechter-commissaris toestemming gaven en hoe vaak de bevoegdheid daadwerkelijk is ingezet. Daarnaast dient gerapporteerd te worden in hoeveel strafzaken de inzet een rol speelde en wat de uitkomst van die zaken is geweest. Alleen dan kan straks een zinvolle evaluatie over dit wetsvoorstel worden gemaakt.

Ook over het notificeren van mensen tegen wie de bevoegdheden zijn ingezet dient te worden gerapporteerd. Hoe vaak is na de inzet van een bevoegdheid binnen de gestelde termijn genotificeerd. Hoe vaak werd daarna nog genotificeerd en hoe vaak is niet genotificeerd omwille van het onderzoek. Hoe vaak werd een klacht ingediend en wat waren daarvan de uitkomsten.

^top

8. Verbeter het notificeren

Op dit moment geldt al een notificatieplicht voor bijzondere bevoegdheden (artikel 126bb Sv). Dit is een belangrijk onderdeel van de rechtsbescherming van burgers, omdat zij na notificatie mogelijk hun beklag kunnen doen over bijvoorbeeld een mogelijke schending van de privacy. De minister verwijst naar de evaluatie van de inzet van telefoontaps, een andere bijzondere opsporingsbevoegdheid, uit 2012. Daaruit concludeert de minister dat "de onderzoekers concludeerden dat de onderzochte parketten zich anno 2011 doorgaans houden aan de notificatieplicht".

Maar dat is maar het halve verhaal. Uit de evaluatie blijkt ook het volgende. "Nadere informatie naar aanleiding van de door het OM verstuurde brief wordt niet verstrekt. Wanneer iemand zich wil beklagen over de notificatiebrief, kan hij zich dus niet tot het OM wenden. In de notificatiebrieven van de onderzochte regio’s wordt geen melding gemaakt van een klachtenregeling of van organisaties waartoe men zich kan wenden met vragen. De klachtenprocedure rondom de notificatiebrief is voor verbetering vatbaar. Naast de getapte persoon zelf, die achteraf dus wordt genotificeerd, zijn er meer mensen die gecommuniceerd hebben met de getapte persoon en daardoor ook in hun privacy worden geschonden. Deze personen worden echter niet genotificeerd."

Het doel van het notificeren, namelijk een onderdeel vormen voor de rechtsbescherming van burgers tegen bevoegdheden van de staat, zoals neergelegd in artikel 13 EVRM, komt nog steeds onvoldoende tot zijn recht.

Klachtenprocedures zouden moeten worden verbeterd. Er moet verwezen worden naar een werkende klachtenprocedure. Ook moet worden vermeld wat er met de verzamelde gegevens gebeurt. Alle getroffen personen moeten worden geïnformeerd en niet alleen de persoon tegen wie de opsporing gericht was. Het moet mogelijk zijn zowel voor verdachte als onverdachte mensen een klacht in te dienen tegen het binnendringen en kopiëren van gegevens.

^top

9. Voeg een horizonbepaling toe

Omdat dit een nieuwe bevoegdheid betreft die enorme consequenties voor de privacy van burgers heeft, is niet te overzien hoe de inzet hiervan zich zal ontwikkelen. De effectiviteit is onduidelijk, over nut, noodzaak en proportionaliteit kan de minister geen cijfermatige onderbouwing geven en een glijdende schaal dreigt.

Met zoveel onzekerheid is het zeer onwenselijk als deze bevoegdheden permanent worden ingevoerd. De bevoegdheden zouden automatisch na een of twee jaar moeten vervallen. Ook de Autoriteit Persoonsgegevens pleit hier in haar advies voor. Er is vervolgens opnieuw parlementaire goedkeuring nodig als uit een evaluatie zou blijken dat bepaalde inzet noodzakelijk en proportioneel is.

^top

Vriendelijke groet,
Privacy Barometer

 

 

reacties

Er zijn nog geen reacties gegeven.

Voeg zelf uw reactie toe:

naam: 
reactie: 
0/1500
 

Deel deze pagina via:

07-11-18

Gebruik risicoprofielen in de zorg krijgt wettelijke basis

Het opstellen van risicoprofielen van mensen voor het gebruik van medische zorg krijgt een wettelijke basis. Minister Bruins (VVD) heeft hiervoor een wetsvoorstel ingediend.  Het Zorginstituut stelt namens het ministerie per verzekerde een risicoprofiel op. Deze persoonlijke medische risicoprofielen worden gebruikt om kosten tussen zorgverzekeraars te kunnen verrekenen. Lees verder >>>

01-10-18

Voorlopig geen Constitioneel Hof

GroenLinks trekt het wetsvoorstel in dat er toe moest leiden dat rechters ook aan de Grondwet mogen toetsen bij de behandeling van een zaak. Op dit moment is dat verboden. Tweede Kamerlid Buitenweg (GroenLinks) schrijft aan de Kamer dat het wetsvoorstel niet meer haalbaar is. "Ik ben tot de slotsom gekomen dat [... Lees verder >>>

Download onze app

Privacy VandaagVolg het actuele nieuws van het Nederlandse privacyfront met onze Android app. Download hem hier!

Facebook opzeggen

opzeggenLees hier hoe je je Facebook-account kan opzeggen. >>>

Heb jij wat te verbergen?

fotoMensen hebben niets te verbergen als je ze dat vraagt. Of toch wel? Bekijk de video op Youtube.

Nieuwsbrief

Privacy Barometer brengt een paar keer per jaar een nieuwsbrief uit. Wilt u op de hoogte blijven, meldt u hier aan voor deze nieuwsbrief:  
Uw gegevens worden aan niemand ter beschikking gesteld, tenzij dat wettelijk vereist wordt. Het emailadres wordt alleen voor deze nieuwsbrief gebruikt.

of volg ons via

mobiele versie | volledige versie

deze pagina is samengesteld in: 0.056 seconden