Als het aan minister Opstelten ligt mag de politie straks via het internet inbreken op de computers van burgers om daar rond te snuffelen en hen vanaf daar te bespieden. Volgens Opstelten is zo’n hackbevoegdheid geen vreemd verschijnsel. Hij wijst daarvoor naar België, Duitsland en Frankrijk, maar dat is onterecht. De praktijk daar leert namelijk vooral dat zijn voorstel controversieel en gevaarlijk is.

Duitsland

Hoewel Duitsland een hackbevoegdheid kent, gaat deze gaat lang niet zo ver als die van Opstelten. Niet alleen mag ze slechts worden ingezet ter bestrijding van internationaal terrorisme, maar de Duitse politie mag ook geen gegevens verwijderen en heeft geen bevoegdheid om te hacken buiten landsgrenzen.

Ook zijn de Duitsers zich welbewust van de gevaren van zo’n wet. Zo overwoog het Duitse Grondwettelijke Hof dat gegevens kunnen worden verwijderd of gewijzigd of nieuwe gegevens kunnen worden aangemaakt, zie paragraaf 174 van de uitspraak. Daarnaast uitte het Hof zorgen over de wijze waarop overheidssoftware zal worden verspreid. Als die software wordt verstopt in andere – schijnbaar nuttige of aantrekkelijke – programma’s, dan bestaat het risico dat het doelwit deze software doorspeelt aan derden zodat de software zich veel verder verspreidt dan wenselijk is (zie paragraaf 175).

Dat deze gevaren aan de orde van de dag zijn, bewezen security-onderzoekers van de Duitse Chaos Computer Club (CCC). Zij ontdekten dat de software van de overheid ook door derden kon worden overgenomen en misbruikt. Zo kon met de software de microfoon of webcam van de computer worden aangezet, kon vals bewijs worden geüpload en konden gegevens worden verwijderd. Het was bovendien niet uit te sluiten dat derden via deze weg de IT-infrastructuur van de politie zouden kunnen aanvallen. De Duitse overheid heeft daarop laten weten de bevoegdheid pas weer in te zetten als ze over veilige sofware beschikt. Tot die tijd is de bevoegdheid dus praktisch onbruikbaar en vooral een kostbaar grapje.

Frankrijk

Ook de Franse hackbevoegdheid is beperkt: alleen gegevens die ‘realtime’ op het scherm van de computer te zien zijn of worden ingetikt, mogen worden onderzocht. Het doorzoeken van andere gegevens, zoals gegevens op de harde schijf, is verboden. Verder mag de politie geen gegevens verwijderen en is niet voorzien in hacken over landsgrenzen. Opvallend genoeg is ook in Frankrijk de bevoegdheid praktisch onbruikbaar omdat de overheid er nog steeds niet in is geslaagd veilige software te ontwikkelen.

België

Tot slot kunnen we over België kort maart krachtig zijn. Opstelten schrijft immers zelf “dat de Belgische wetgever het op afstand heimelijk binnendringen van een geautomatiseerd werk door de overheid uitdrukkelijk uitsluit,” zie pagina 30-31 van de Memorie van Toelichting bij het wetsvoorstel.

Opstelten houdt Nederland voor de gek

Opstelten gaat met zijn voorstel dus veel verder dan de ons omringende landen. Bovendien leert de ervaring daar dat zelfs zo’n beperkte bevoegdheid grote veiligheidsrisico’s kent en zonder fatsoenlijke software niets waard is. De vraag is: waarom? Want een onnodige, onbruikbare en kostbare bevoegdheid, wie wordt daar nou beter van?