Toezicht achteraf nodig voor hacken en take down bevel justitie

Het wetsvoorstel stelt enkele online gedragingen strafbaar, zoals het groomen van personen die schijnbaar 18 jaar en jonger zijn, het opzettelijk en wederrechtelijk vergaren van niet-openbare gegevens en het helen van deze gegevens op internet. Wellicht belangrijker nog is de regeling voor de inzet van de hackbevoegdheid en de bevoegdheid tot het afgeven van een bevel tot het ontoegankelijk maken van strafbare inhoud, zoals kinderporno en jihadistische propaganda (het ‘take down-bevel’).

Hackbevoegdheid

De hackbevoegdheid is ingegeven door de problematiek rondom anonimiteit, versleuteling en cloud computing in cybercrime onderzoeken. Het wordt voor opsporingsinstanties om deze redenen steeds lastiger effectief bewijs te verzamelen. Met de inzet van de hackbevoegdheid kunnen opsporingsambtenaren op afstand computers binnendringen en bewijs verzamelen ‘op de bron’ en daarmee problemen zoals encryptie omzeilen.

De bijzondere opsporingsbevoegdheid mag alleen worden ingezet in opsporingsonderzoeken naar de meest ernstige misdrijven, nadat een bevel is afgeven door een officier van justitie en na een machtiging van een rechter-commissaris. Een speciale commissie bij het Openbaar Ministerie adviseert ook nog over de inzet.

Nadat opsporingsambtenaren op afstand de computer zijn binnengedrongen, mogen ze indien nodig andere opsporingshandelingen uitvoeren; zoals het monitoren van het gedrag van de computergebruiker door zijn microfoon, camera of GPS-signaal aan te zetten. Ook mogen opsporingsambtenaren op afstand gegevens kopiëren en software op de computer van de verdachte plaatsen.

Daarnaast wordt geregeld dat ze op afstand gegevens ontoegankelijk mogen maken. Hier onder valt ook het ontoegankelijk maken van een botnetinfrastructuur (mede voor ‘verstoringsdoeleinden’) en het ontoegankelijk maken van kinderporno.

Take down bevel

Het take down-bevel geeft opsporingsinstanties een instrument om gegevens op internet ontoegankelijk te maken. Als de aanbieder van het materiaal de inhoud niet vrijwillig verwijdert (eventueel na een beroep op de notice-and-take down gedragscode), kan het Take down bevel worden afgegeven.

Dit bevel houdt in dat het strafbare materiaal ontoegankelijk moet worden gemaakt, op straffe van het niet-nakomen van een ambtelijk gegeven bevel. Gelukkig gelden in deze latere versie van het wetsvoorstel strenge voorwaarden voor de inzet van het middel, zoals de beperking tot de toepassing bij ernstige strafbare feiten en het vereiste van een machtiging van een rechter-commissaris.

Toch kan de inzet van deze bevoegdheid verstrekkende gevolgen hebben, omdat het in het uiterste geval óók aan een internet access provider kan worden afgegeven en daarmee neerkomt op een internetfilter zoals bij de The Pirate Bay. Ik vraag mij af of dit uiteindelijk leidt tot een nationale zwarte lijst van domeinnamen en IP-adressen.

Toezicht achteraf

In mijn overzichtsartikel van de Wet computercriminaliteit III bespreek ik de veranderingen die het wetsvoorstel met zich meebrengt voor het strafrecht. Hoewel ik de noodzaak van de introductie van de hackbevoegdheid wel degelijk erken, maar ik mij zorgen over de voorgestelde bevoegdheden om  gegevens ontoegankelijk te maken.

Het probleem is dat cybercriminelen in veel gevallen niet succesvol vervolgd kunnen worden in Nederland. In sommige gevallen is het onmogelijk hen op te sporen en in andere gevallen weigert een staat mee te werken aan de vervolging van hun eigen burgers.

Om deze reden vraag ik mij af hoe vaak een botnet onklaar wordt gemaakt, kinderporno op het darkweb ontoegankelijk wordt gemaakt, of jihadistische propaganda offline wordt gehaald, zonder dat een zittingsrechter over de rechtmatigheid van de inzet van bevoegdheden oordeelt.

Daarom stel ik in mijn artikel voor (en met mij enige Kamerleden, andere onderzoekers en organisaties zoals Bits of Freedom) dat meer onafhankelijk toezicht achteraf noodzakelijk is. Dat wordt mogelijk door de instelling van een onafhankelijk toezichtsorgaan, eventueel vergelijkbaar met het Engelse Investigatory Powers Commissioner’s Office.

 Een dergelijk toezichtsorgaan kan de rechtmatigheid van de inzet van bijzondere opsporingsbevoegdheden beoordelen. Het ligt niet voor de hand dat het creëren van het toezichtsorgaan onderdeel wordt van het wetsvoorstel Computercriminaliteit III, maar wellicht is het idee hier een nieuw wetgevingstraject voor op te starten.

*) Jan-Jaap Oerlemans is als onderzoeker en gastdocent verbonden aan eLaw van de universiteit Leiden