Sleepnet voor geheime diensten

Hackwet voor de politie

Doe-het-zelf

Wat was het hackvoorstel?

Om criminelen op te kunnen sporen mag de politie hacken. Wij vonden het hacken door de politie een probleem voor onze digitale veiligheid. Wij begrijpen natuurlijk ook wel dat de politie boeven moet kunnen opsporen, maar dit voorstel zou volgens ons een averechtse werking hebben op onze veiligheid.

Wat is het grootste probleem?

Dat zit zo. Stel dat de politie een telefoon van een verdachte wil hacken. Om dan te kunnen hacken wilde de politie (onbekende) kwetsbaarheden in software gaan gebruiken. Die kwetsbaarheden zitten niet alleen in het telefoon van een verdachte, maar in alle vergelijkbare telefoons. apparaten van dat model telefoonsAls de politie gebruik wil maken van zo’n onbekende kwetsbaarheid om apparaten van verdachten te kunnen hacken, houden ze dus stil dat deze kwetsbaarheid bestaat.

Op die manier blijven ook alle andere telefoonsonveilig. We weten namelijk dat criminelen net zo goed gebruik maken van deze kwetsbaarheden. Omdat de politie in een heel klein percentage van de apparaten wil kunnen breken, houden ze voor een heel groot aantal apparaten een onveilige situatie in stand. Criminelen kunnen de apparaten hacken en er bijvoorbeeld ransomware op plaatsen. Van het verzamelen en gebruiken van onbekende kwetsbaarheden loopt de samenleving volgens ons een te groot risicoDat risico blijkt zich in de praktijk ook al voor te doen.

Hoe kwam het zover?

In 2012 stuurde minister Opstelten een briefLees hier ons blog met zijn brief naar de Tweede Kamer waarin hij aankondigde met een wetsvoorstel te komen dat de politie de mogelijkheid zou geven om te gaan hacken. Tot dat moment was het voor de politie niet toegestaan om op afstand apparaten te betreden.

Die brief leidde tot veel consternatie. En tot een oproep van een internationale coalitie van cybersecurityexpertsLees de oproep hier die de toenmalige minister Opstelten vroegen af te zien van zijn plannen. Dat leek helaas voor dovemansoren gesproken. In het voorjaar van 2013 vond een internetconsultatieHier staat de originele consultatietekst, net als alle reacties plaats, waarmee iedereen op het wetsvoorstel kon reageren. Wij stuurden een reactieLees hier onze reactie en riepen op om het wetsvoorstel in te trekken.

Daarna is er op het ministerie van Justitie en Veiligheid (toen nog Veiligheid en Justitie) lang nagedacht over de breedgedragen kritiek. Uiteindelijk werd op de valreep van 2015 het wetsvoorstel naar de Tweede Kamer gestuurdLees hier het uiteindelijke wetsvoorstel.

Wat deed Bits of Freedom?

Wij hebben ons al die jaren hard gemaakt voor een wet die niet als neveneffect zou hebben dat wij als samenleving juist onveiliger zouden worden. Dat hebben we gedaan in talloze gesprekken met Kamerleden, in de media, bij presentaties, in hoorzittingenZie hier de bijdrage in de Eerste Kamer en via campagnesCheck de campagne! waar we iedereen opriepen Kamerleden te vragen de slechte delen uit de wet te halen.

We hadden trouwens ook kritiek op andere onderdelen van het voorstel. We vonden bijvoorbeeld dat de keuring van de hackmiddelen en het toezicht op het hacken niet goed genoeg geregeld was.

Hebben we succes gehad?

Ja.

Tijdens de behandeling zijn heel veel van deze probleempunten aangepakt. Zo lijkt er beter toezicht te zijn, is de keuring verbeterd en het belangrijkste: er is uitgebreid gediscussieerd over het gebruik van onbekende kwetsbaarheden. Juni 2018 werd de wet uiteindelijk in de Eerste Kamer aangenomenLees hier hoe dat ging. De wet zal per januari 2019 in werking treden.

In de uiteindelijke wet is vastgelegd dat onbekende kwetsbaarheden in principe gemeld moeten worden. Bij uitzondering kan, als een rechter dat goedvindt, een melding uitgesteld worden. Dat klinkt goed, maar er is een grote loopholeLees hier meer over de loophole: de politie kan hacksoftware kopen en die gebruiken om te hacken. Die software kan gebruik maken van onbekende kwetsbaarheden. Die hoeven dan niet gemeld te worden. Wij maken ons zorgen dat juist deze software in de praktijk heel vaak zal worden ingezet. Daarmee kan het hele meldsysteem een wassen neus blijken.

En nu?

Wij gaan de komende jaren goed in de gaten houden of de wet in de praktijk net zo werkt als op papier. En we blijven natuurlijk scherp op het gebruik van onbekende kwetsbaarheden.

Previous
Next

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.