Peter Olsthoorn

Justitie wil de computer in: “Aanvaluhhh!”

De buitenlandse computer die een Nederlandse bank en een ministerie platlegt wordt getraceerd. Moet Justitie lijdzaam blijven toezien?
Wat vinden de experts?
Nico van Eijk
Nico van Eijk
De verantwoording ontbreekt wederom
Jaap van Till
Jaap van Till
Huidige speurwerk veel beter doen
Rop Gonggrijp
Rop Gonggrijp
Niet goed
Gerrit-Jan Zwenne
Gerrit-Jan Zwenne
Behoefte vergaande bevoegdheden goed aantonen
Arnold Roosendaal
Arnold Roosendaal
Onafhankelijke toets
Rashid Niamat
Rashid Niamat
Een déjà-vu met een lastig prijskaartje
Eveline Kubbenga
Eveline Kubbenga
Ivo Opstelten onze Big Brother?
Miranda Maasman
Miranda Maasman
Bescherming journalisten schiet ernstig tekort

Zo’n soort geval trad afgelopen jaar op bij SurfCert, de beveiligingsclub van Surfnet. De beheerder van een botnet dat ook pc’s misbruikte die van Surfnet gebruikmaken, werd na veel speurwerk getraceerd. Daar stonden de beveiligers dan: boef laten lopen, want wettelijk gezien kunnen ze niet optreden. En ook de getroffenen geen waarschuwing op het beeldscherm laten zien.

Ook ons Nationaal Cyber Security Centrum (NCSC) heeft meer bevoegdheden nodig om haar taken goed te kunnen uitvoeren, waaronder inbraak in computers, eventueel in het buitenland. Internet houdt niet op bij de landsgrenzen. Dus kwam Ivo Opstelten van Veiligheid en Justitie met vergaande voorstellen om bevoegdheden uit te breiden.

Concreet stelt Opstelten voor:

  1. op afstand onderzoek mogelijk maken in computers van vermeende criminelen en - indien nodig - gegevens overnemen of ontoegankelijk maken. Het zou beperkt moeten worden tot bestrijding van ‘ernstige delicten’ waarop minimaal vier jaar gevangenisstraf staat, maar ook als een ‘ernstige inbreuk op de rechtsorde’ dreigt. Dat mag dan louter met toestemming van een rechter-commissaris. De te gebruiken software moet vooraf goedkeuring verkrijgen.
  2. Verruiming van de bevoegdheid van de officier van justitie om, met machtiging van de rechter-commissaris, online publicatie ontoegankelijk te maken. Opstelten wenst een “betere toepassing van de bestaande regeling, zodat de samenleving beter kan worden beschermd tegen strafbare feiten die op internet worden begaan.”
  3. Versleuteling kunnen doorbreken en de mogelijkheid om te kunnen inbreken in computers. Nu is dat beperkt tot de mogelijkheid om in te breken op de verbinding. Ook moeten verdachten meewerken aan het openen van versleutelde bestanden op hun computer na een ‘decryptiebevel’ van de officier van justitie. Werken ze niet mee, dan riskeren ze maximaal drie jaar celstraf.
  4. Ook wil Opstelten heling van data strafbaar maken; dat wil zeggen het publiceren van gehackte gegevens. Genoemd worden wachtwoorden en toegangscodes, maar het strekt zich ook uit tot privé foto’s en bestanden van de overheid die gehackt zijn en openbaargemaakt worden.

Kritiek van BoF

Het wetsvoorstel is naar instanties gestuurd, zoals het OM en de Raad voor de rechtspraak, en openbaar gemaakt voor publieke kritiek. Die was direct pittig, vooral van de kant van Bits of Freedom (BoF). De privacyclub vindt dat de voorstellen burgers kwetsbaar maken. Iedere burger,  van wie bijvoorbeeld de computer wordt gekraakt door criminelen, kan een doelwit worden van de politie gedurende opsporing.

Uit de toelichting van BoF: “Een voorbeeld uit het hackvoorstel: de politie wil op afstand software op een smartphone kunnen installeren, waardoor de GPS-functie kan worden geactiveerd en de locatie van de smartphone kan worden bepaald. Andere dingen die de politie met dit soort software kan doen is gesprekken afluisteren of toetsaanslagen registreren en wellicht zelfs de camera aanzetten.”

Een beetje ondoordacht, vindt Bits of Freedom, want de politie die zich crimineel gaat gedragen, wordt een risicofactor. Gebruikte software kan ook door criminelen worden gebruikt en hoe moet de antivirus bestrijding ermee omgaan? En wat het buitenland betreft: als wij gaan hacken,  zullen China en Iran hun aanvallen diplomatiek kunnen legitimeren.

Meer bevoegdheden zijn ook onnodig volgens BoF. De digitale recherche moet eerst eens op sterkte worden gebracht en het ‘gewone werk’ gaan doen, zoals voor het ontmantelen van de ruim 150 servers in Nederland gebruikt voor aansturing van botnets. Nederland is met dit aantal qua Ddos bronnen mondiaal een derde speler, na de VS en de Maagdeneilanden, maar vóór Rusland en China. Althans, volgens McAfee.

Propaganda met kinderporno

Justitie bepaalt of de bevoegdheden nodig zijn of niet, ook al wordt de huidige computermisdaad niet allemaal opgelost, zoals BoF als argument aanvoert. De politie lost ook niet alle autodiefstallen op maar heeft bevoegdheden om nodig om moordenaars op te sporen.

Anderzijds neemt met toename van bevoegdheden het risico op misbruik en privacyschending door digitale dienders toe en roept het gebruik van criminele methoden kwesties op.

De afwegingen zijn politiek, lobbies gaan aan de besluitvorming vooraf, ook door Justitie zelf. Het meningencircus vormt een strijdtoneel en staatspropaganda in persberichten hoort daar tegenwoordig bij. De motivatie kleden bewindslieden steeds vaker in met argumenten om het publiek snel te overtuigen. Uit het persbericht: “Politie en Justitie krijgen dan toegang tot afgeschermde gegevens en kunnen de vervaardiging, de verspreiding en het bezit van kinderpornografie effectiever bestrijden en hulp bieden aan de slachtoffers.”

Is de laatste toevoeging realiteit of effectbejag van Opstelten en zijn apparaat? Een persbericht telt zwaar, want aan het lezen van de 90 pagina’s Memorie van Toelichting komen de meesten niet toe. We deden dat wel. Uit de Memorie van Toelichting:

Het gebruik van encryptie komt voornamelijk voor binnen bepaalde netwerken van kinderpornogebruikers en –verspreiders. Dit is in het kader van de Rotterdamse proeftuin kinderpornografie aan de orde gekomen.”
Ook Robert M. had grote hoeveelheden kinderpornografie in versleutelde vorm op zijn computer had opgeslagen. (Hier een verslag van gebruik van proeftuinen.)

Veiligheid versus privacy

We kennen de Wet computercriminaliteit (1993), de Wet computercriminaliteit II (2006) inclusief het Europese Cybercrime Verdrag, beide onderdeel van het Wetboek van Strafvordering en Wetboek van Strafrecht. Dat is niet genoeg, gezien de toename van misdaad met IT. In het Regeerakoord van VVD en PvdA staat al: “Er is sprake van toenemende bedreigingen en kwetsbaarheden op het terrein van cybersecurity. Die willen we het hoofd bieden door krachten te bundelen met alle belanghebbenden, de opsporingscapaciteit te versterken en het juridisch instrumentarium aan te passen aan de gewijzigde omstandigheden.”
Iets eerder staat ook in het akkoord het volgende cliché: “Bescherming van de persoonlijke levenssfeer van burgers is van groot belang. De overheid dient daarvoor borg te staan.”

De precaire afweging tussen de risico’s op privacyschending van eerbare burgers en de noodzaak om beter naar verdachten te kunnen speuren, krijgt uitgebreid aandacht in de Memorie van Toelichting. Het is de gebruikelijke afweging en een steeds vaker terugkerend politiek vraagstuk.
Zoals bij alle nieuwe wetgeving sinds 2002 vindt de regering dat, als je maar zorgvuldig genoeg bent, nieuwe bevoegdheden voor Justitie en politie louter boeven zullen treffen en de bevolking dus ten goede komen. Oftewel: de rechtsstaat werpt een dam op tegen misbruik van de nieuwe bevoegdheden. Erkend wordt dat hacken van verbindingen al een schending van artikel 8 EVRM is, dus het nu in te voeren inbreken in pc’s ook.
Volgens Opstelten zal praktische toepassing echter beperkt zijn. De Centrale Toetsingscommissie van het Openbaar Ministerie moet instemmen. De uitvoering zal beperkt zijn tot aangewezen, deskundige speurders. En, logisch, inbreken is niet mogelijk als de vermeende boef die weg heeft afgesloten.
De officier van justitie kan een bevel tot onderzoek in een computer alleen geven na een voorafgaande schriftelijke machtiging van de rechter-commissaris. “Het vereiste van een voorafgaande rechterlijke toetsing biedt de burger bescherming tegen willekeurige inmenging door de overheid in zijn privéleven”, beweert de minister. De politie/justitie moet een ‘dringend onderzoeksbelang’ hebben.

We gaan de punten na uit die toelichting van Opstelten. Justitie spreekt formeel van ‘geautomatiseerd werk’; we vertalen dat even met ‘computer’.

Ad 1 Inbraak en molest

  • De AIVD en MIVD mogen al sinds 2002 computers binnendringen, data kopiëren en versleuteling blokkeren. Zonder gerechtelijke toestemming en daarmee een volstrekt ongecontroleerd fenomeen;
  • Gebruik van apparaten en online diensten vervaagt. Nu kan justitie wel aftappen, dus online verkeer proberen te onderscheppen, maar op de apparatuur van gebruikers niet;
  • Verbindingen aftappen is steeds vaker zinloos door encryptie, zoals met TrueCript, of standaard bij Gmail en Twitter, optioneel bij Facebook en Hotmail. Je moet dus op de pc zijn voor data, vóór en na versleuteling. Ook inzet van Tor en NAT-technologie maakt speuren op de verbinding vaker zinloos;
  • Ook wifi-gebruik op verschillende verbindingen is buitengewoon lastig want achter een router met wifi zijn verschillende apparaten in gebruik (camping bijvoorbeeld). Ook heeft justitie vaak verschillende aftapbevelen nodig, en dan nog is het volgen van verkeer van één persoon moeilijk;
  • Cloud computing met Dropbox, Gdrive etc. compliceert opsporing ook danig vanwege opslag van data in het buitenland, die ook vaak gefragmenteerd is over verschillende servers. Via de pc kan justitie wel bij die data van de verdachte komen;
  • Anonieme hosting van bijvoorbeeld nagebouwde bankwebsites in een land waarmee Nederland niet of nauwelijks een rechtshulprelatie onderhoudt, is werkelijk problematisch. “De opsporing heeft behoefte aan de mogelijkheid om heimelijk toegang te kunnen verkrijgen tot gegevens die in de Cloud zijn opgeslagen, zonder dat de verdachte of de aanbieder daarbij betrokken is.”
  • Inbeslagname van computers brengt de verdachte op de hoogte van onderzoek. Dat werkt te vaak averechts, dus stiekem inbreken is nodig.
  •  niet enkel voor ernstige computermisdaad, maar ook voor onderzoek naar moord, handel in drugs, mensenhandel, omvangrijke milieudelicten, wapenhandel en ernstige fraude;
  • Keyboard en mouse logging mag de politie offline al op pc’s aanbrengen, dus is het logisch dat dit online ook moet kunnen;
  • Het plaatsen van een ‘richtmicrofoon’ wordt mogelijk evenals het op afstand aanzetten van een microfoon van een computer, bijvoorbeeld om Skype-gesprekken af te luisteren;
  • Locatiebepaling van laptops en smartphones wordt veel beter mogelijk dan nu (via masten vervallen?), door op afstand GPS-software te installeren en te volgen. Ook gebruikte wifi-spots komen direct in beeld;
  • Kennis bij de rechterlijke macht voor dit soort dingen schiet nu tekort. Officieren en rechters worden bijgeschoold en kennisuitwisseling wordt beter geregeld;
  • De speurder gaat criminele methoden toepassen zoals plaatsing van malware, ondermeer met toepassing van phishing om die te kunnen installeren, en van social engineering om wachtwoorden te achterhalen;
  • Het technische hulpmiddel moet zijn goedgekeurd en voldoen aan de normen in het Besluit technische hulpmiddelen strafvordering, dat in verband met de voorgestelde bevoegdheid wordt aangepast;
  • Malware moet ook weer verwijderd worden, maar dat zal niet altijd gaan. Het criminele opsporingsgedrag moet nauwkeurig vastgelegd worden voor eventuele latere toetsing.


Europese onenigheid

  • Inbreken in pc’s voor opsporing mag al in België, Duitsland en Frankrijk. Belgische speurders mogen ook de grens al over. (Dus ook in onze computers snuffelen!)
  • De Duitse rechter sprak zich er in 2008 over uit en beperkte de toestemming voor inbraak tot gevaar voor mensenlevens en rechtsgoed. De bevoegdheid mag slechts op verzoek van de voorzitter van de Duitse Bondsrecherchedienst en na toestemming van de rechtbank worden ingezet;
  • Over grensoverschrijdende noodzaak:  de EU-landen, Japan en de VS konden in 2010 in cybercrime-overleg niet tot overeenstemming komen over voorwaarden waaronder vergaande grensoverschrijdende toegang tot gegevens mogelijk is. In het Cybercrime Verdrag ligt het accent dan ook op de wederzijdse bijstand. Dit werkt niet goed, want het is te traag of levert helemaal geen respons op;
  • De Raad van Europa heeft recent in de zogenaamde Transborder Group al vastgesteld dat vaak al grensoverschrijdend data worden verkregen, al dan niet via inbraak. Dat wordt niet gedekt door het Cybercrime Verdrag, maar uitbreiding hiervan wordt toch niet aanbevolen. Steeds minder is de locatie van data in een bepaald land vast te stellen, omdat ‘cyberspace’ grenzeloos is. (zie rapport)

Voorbeelden inbraak

  1. Het binnendringen van een router zodat kan worden achterhaald wat het identificerende kenmerk van de laptop van de verdachte is, waardoor de toepassing van onderzoekshandelingen (bijvoorbeeld het overnemen van gegevens) of de inzet van opsporingsbevoegdheden (bijvoorbeeld het aftappen en opnemen van communicatie) selectiever kan plaatsvinden.
  2. Het binnendringen van een computer, waarvan alleen het Tor-adres bekend is, om het IP-adres vast te stellen teneinde een bevel tot het aftappen en opnemen van communicatie aan de aanbieder te kunnen afgeven.
  3. Het binnendringen van een smartphone van een persoon, die criminele contacten onderhoudt met een verdachte, om zijn identiteit vast te kunnen stellen.

Voorbeelden data pikken:

  1. De verdachte maakt veelvuldig gebruik van cryptocontainers of complete versleuteling van de harde schijf. Nadat is binnengedrongen kan het wachtwoord worden afgevangen zodat bij latere vastlegging van de gegevens de cryptocontainer kan worden geopend.
  2. De verdachte heeft zijn gegevens via het Tor-netwerk in de Cloud opgeslagen. De aanbieder kan niet worden vastgesteld of bereikt. Het veiligstellen van de gegevens is uitsluitend mogelijk als de verbinding met de Clouddienst open is. Daarvoor is het noodzakelijk om aanwezig te zijn op de computer.

Ad 2. Ontoegankelijk maken

  • Onder ontoegankelijkmaking van gegevens wordt verstaan het treffen van maatregelen om te voorkomen dat een computereigenaar nog misdaad kan plegen, bijvoorbeeld een botnet onderhouden of kinderporno verspreiden;
  • Nu regeert de gedragscode “Notice and Take Down” (NTD-gedragscode). Providers die meldingen ontvangen over onrechtmatige en strafbare informatie op internet, moeten die na controle verwijderen. Dan nog kan de melder aangifte doen of een rechtszaak beginnen;
  • Deze procedure wordt eveneens toegepast bij verzoeken van de politie als het gaat om het verwijderen van kinderporno, die in Nederland wordt “gehost”. Ook kan verwijdering via een rechter worden afgedwongen;
  • Providers die een bevel van Justitie om een website af te sluiten niet nakomen, kunnen worden vervolgd als ze niet meewerken.
  • Het ontoegankelijk maken van gegevens betreft een voorlopige maatregel. De definitieve beslissing over de vernietiging van de gegevens is voorbehouden aan de rechter

Ad 3. Decryptiebevel aan de verdachte

  • De sleutellengtes nemen toe, tot nu de nauwelijks te kraken 256 bits. Cryptografieprogramma’s specifiek gericht op het ondermijnen van  forensisch onderzoek maken het extra moeilijk, met bijvoorbeeld open source opslag in containers zoals met TrueCript;
  • Het is vooral nodig in de strijd tegen kinderporno;
  • Bij de invoering van de Wet Computercriminaliteit vond de toenmalige minister van Justitie het verplichten van de verdachte tot medewerking aan ontsleuteling een stap te ver vanwege diens verklaringsvrijheid en het zwijgrecht. Hij baseerde zich op onderzoek van Bert-Jaap Koops van Instituut Tilt van de Universiteit van Tilburg;
  • Opstelten liet naar deze bepalingen van artikel 6 van het EVRM en nemo tenetur (geen gedwongen medewerking aan eigen veroordeling) opnieuw door Koops onderzoek doen. Dit is klaar en is als Decryptiebevel en artikel 6 EVRM’ aan de Tweede Kamer aangeboden;
  • Opzienbarende conclusie van Koops: “Uit bovenstaande bevindingen blijkt dat een decryptiebevel aan verdachten niet onverenigbaar is met het nemo teneturbeginsel. Het hangt ervan af hoe het wettelijk wordt vormgegeven (bijvoorbeeld welke soort en mate van dwang kan worden gebruikt) en hoe het in een concreet geval wordt toegepast.”* De VS, Engeland, Australië en Frankrijk kennen de decryptieplicht ook, elk onder eigen voorwaarden. België niet;
  • Werkbaar is een bevel waarbij de officier van justitie kan toezeggen de resultaten van de medewerking door verdachte niet als bewijs tegen hem te zullen gebruiken;
  • Een decryptiebevel met strafbaarstelling van weigering krijgt de voorkeur van Opstelten, anders heeft het geen zin. Hij denkt aan deze machtsuitoefening bij verdenking van bepaalde zeer ernstige strafbare feiten;
  • Dat zijn volgens de minister vervaardiging en/of verspreiding van kinderpornografie en het plegen van terroristische misdrijven;
  • Weigering leidt tot maximaal drie jaar (extra) celstraf;
  • In de toelichting: “Voor een adequate bestrijding van deze strafbare feiten is het van groot belang dat politie en justitie toegang kunnen krijgen tot versleutelde gegevens.”

Dat laatste kan niet getoetst worden, wat evenzeer geldt voor andere bevoegdheden die justitie wil hebben. Rapportage over de effectiviteit lijkt het minste dat het parlement kan eisen bij goedkeuring van de voorstellen.

Ad 4 De heling van gegevens

  • Het wordt strafbaar om niet-openbare gegevens met een computer wederrechtelijk over te nemen;
  • Het wordt ook strafbaar om niet-openbare gegevens die door misdrijf zijn verkregen voorhanden te hebben of bekend te maken;
  • De beide voorgestelde strafbaarstellingen kwamen eerder al ter sprake in bijvoorbeeld de zaak van publicatie van naaktfoto's en -filmpjes van Manon Thomas door GeenStijl;
  • Doel is te voorkomen dat vertrouwelijke gegevens snel voor grote groepen toegankelijk worden, waardoor ze nauwelijks meer te verwijderen zijn;
  • Het gaat ook om data die niet door eigen inbraak zijn verkregen, maar van een kraak door anderen, zoals creditcardgegevens, wachtwoorden en zelfs virtuele goederen in spellen, zoals eerder de diefstal van een virtueel amulet en een virtueel masker uit het spel RunSape, veroordeeld door de Hoge Raad;
  • Het door artikel 10 van het EVRM gewaarborgde recht op vrijheid van meningsuiting kan dwingen tot het maken van een uitzondering voor journalisten die data helen voor een maatschappelijk relevante publicatie, maar geldt zeker niet altijd;
  • Strafbaarstelling van heling is geen verkapt downloadverbod.

Klinkt goed, doen dus?

Kortom, Justitie heeft goed nagedacht over de voorstellen, vergelijkingen getrokken met het buitenland en opnieuw onderzoek laten doen waarbij een privacygeleerde zijn mening over het decryptiebevel van 12 jaar geleden herzag . Snel invoeren dus? Of is het de volgende stap in het scheppen van nieuwe mogelijkheden, die in toekomstige staatsvormen en maatschappelijke stromingen misbruik en verregaande schending van burgerrechten in de hand zullen werken?

Het woord is aan onze experts.

Justitie wil de computer in: “Aanvaluhhh!”

Dossier

Gepubliceerd

11 mei 2013

Wat vinden de experts?

Nico van Eijk
12 mei 2013
Nico van Eijk
De verantwoording ontbreekt wederom

Van diverse kanten is al gewezen op de risico's verbonden aan dit voorstel, waaronder het gevaar dat ook andere landen vergelijkbare bevoegdheden gaan introduceren en daarmee de ruimte creëren om ook Nederlandse burgers te hacken.

Opnieuw worden bevoegdheden geïntroduceerd waarvan niet duidelijk is of zij effectief en proportioneel zijn. Het is daarom tenminste nodig dat eerst onafhankelijk onderzoek wordt gedaan naar de pro's en con's, inclusief de vraag of de voorgestelde maatregelen wel proportioneel zijn.

De voorstellen zijn zeer ingrijpend en raken de kern van de rechtstaat. De toelichting op het wetsvoorstel stapt daar wel heel gemakkelijk over heen. Zelfs als zulke bevoegdheden zouden worden geïntroduceerd, vraagt dit een goed systeem van toezicht. Zo zou tenminste een onafhankelijke rechter of instantie toestemming moeten verlenen en op de toepassing moeten toezien.

Het is de zoveelste keer dat Justitie wel verstrekkende bevoegdheden wil, maar geen bijpassende verantwoording biedt.

Jaap van Till
12 mei 2013
Jaap van Till
Huidige speurwerk veel beter doen

Het is vreselijk frustrerend voor onze speurneuzen, maar zij bepalen niet of verdachten schuldig zijn. Al is het nog zo evident, die rol is aan de rechter. Houdt dat teveel op en zijn er geen rechters met voldoende kennis om die gescheiden functie uit te voeren? Zorg dan dat die er komen!!

Als ik het goed begrijp is deze discussie een spiegelgevecht van symptoombestrijding waarbij disproportionele bevoegdheden en tools soulaas zouden moeten bieden in plaats van het echte probleem te verhelpen.
Er zijn bijna geen mensen goed genoeg opgeleid en met voldoende kennis en continue leermogelijkheden beschikbaar om dit werk te doen. Bijna geen budget en rechercheurs. All chiefs, beleidsmensen but no indians.
We zien permanente reorganisaties van de hiërarchische verticale bevelsstructuur die steeds verder af komt te staan van het werk op de vloer en buitenwereld. Terug naar het primaire proces van de mensen van de recherche. Verbeter dat!

Rop Gonggrijp
12 mei 2013
Rop Gonggrijp
Niet goed
Sluit me gaarne aan bij het commentaar van Bits of Freedom.

 

Gerrit-Jan Zwenne
12 mei 2013
Gerrit-Jan Zwenne
Behoefte vergaande bevoegdheden goed aantonen

De timing van minister Opstelten is goed. Dat zonder meer. De afgelopen weken was er geen dag dat een of andere vorm van cybercrime het nieuws haalde.

Het is dan ook misschien iets te gemakkelijk om het voorstel voor extra opsporingsbevoegdheden af te doen als symptoombestrijding. Er is sprake van een serieus probleem. En het is niet heel onaannemelijk dat de politie nieuwe bevoegdheden nodig heeft om deze aan te pakken.

Maar dat moet dan wel goed worden onderbouwd, en niet alleen met anekdotisch bewijs. De voorgestelde bevoegdheden maken vergaande inbreuken op fundamentele rechten mogelijk. Daarbij past dat de noodzaak ervan wordt aangetoond.

Vooraf bij de behandeling van het wetsvoorstel moet worden duidelijk gemaakt dat de bevoegdheden echt nodig zijn en dat de huidige bevoegdheden tekortschieten. Als het wetsvoorstel wordt aangenomen, zou inzichtelijk kunnen worden gemaakt hoe vaak ervan gebruik is gemaakt en wat dat heeft opgeleverd.

Als Opstelten gelooft in zijn voorstel heeft hij er geen moeite mee dit toe te zeggen. Er zijn twijfels bij de ontsleutelplicht. Niemand is gehouden actief mee te werken aan de eigen veroordeling. Onder voorwaarden mag een DNA-test. En soms moet je toestaan dat een hond aan je ruikt om vast te stellen of je drugs bij je hebt. Maar dat is iets anders dan iemand dwingen om een wachtwoord af te geven. Het is een moeilijke en genuanceerde discussie. De toelichting bij het wetvoorstel gaat daar erg gemakkelijk aan voorbij.

Het 'over de grens hacken' moet beter worden doordacht. Als Nederlandse opsporingsdiensten in Iraanse servers mogen binnendringen om onderzoek te doen naar feiten die volgens onze strafwet misdrijven zijn, mogen Iraanse autoriteiten dan ook in Nederlandse servers onderzoek doen naar feiten die volgens hun strafwet strafbaar zijn?

Arnold Roosendaal
13 mei 2013
Arnold Roosendaal
Onafhankelijke toets
Bij dit soort nieuwe bevoegdheden dient inderdaad sterk gekeken te worden naar de noodzaak (en dus ook een goede verantwoording) en waarborgen (onafhankelijke toets). Een bevoegdheid in brede zin is disproportioneel en zet de deur open naar te grote inbreuken op privacy van burgers. Het vermoeden van schuld is in dit voorstel immers de grondslag voor toegang tot computers va individuele personen en eventueel zelfs wijzigingen aanbrengen in de inhoud van content op die computers.
Rashid Niamat
13 mei 2013
Rashid Niamat
Een déjà-vu met een lastig prijskaartje

Het commentaar van de voorgangers komt in grote mate overeen met de punten die ik ook  aanvoer tegen deze plannen van Opstelten.
De opmerking van Nico van Eijk, dat het de zoveelste keer is dat justitie nieuwe bevoegdheden wil verdient, voor met name de jongere lezers van Netkwesties, wel meer uitleg.

De eerste keer dat ik dat ambtenaren namens politici een pleidooi hoorde voeren voor meer toegang tot data van providers en rechtstreeks van gebruikers was in 1997. Ook toen was het zoethoudertje voor het grotere publiek dat het echt alleen maar ging om zeer ernstige misdrijven zoals kinderporno (begrippen als cybercrime en cyberterrorisme moesten nog worden uitgevonden) en men zou slechts in uitzonderlijke gevallen gebruik maken van die bevoegdheden.

Wat dat betreft heb ik bij het lezen van zowel de bijdragen op Netkwesties als uit deze Memorie van Toelichting van Justitie & Veiligheid het gevoel dat dit een grote déjà-vu moet zijn.

Dat in 16 jaar tijd de aard en omvang van crimineel online gedrag is toegenomen zal ik  niet bestrijden, wat ik wel in twijfel durf te trekken is dat het blijven opstapelen van bevoegdheden een goede zaak is.

Op dat punt sluit ik aan bij o.a. Gerrit-Jan Zwenne die stelt dat het duidelijk moet worden waar de huidige bevoegdheden tekortschieten.
Overigens is het antwoord op een vraag mij – net als 16 jaar geleden – nog niet geheel duidelijk: wat is de impact van deze voorstellen op de rol van de internet -en telecombedrijven. Worden zij bij de uitvoering van de maatregelen rechtstreeks betrokken? Kenners van vergelijkbare materie weten dat er dan op het gebied van kosten en door te berekenen uren nog een flink aantal discussies te verwachten zijn.

Eveline Kubbenga
13 mei 2013
Eveline Kubbenga
Ivo Opstelten onze Big Brother?

Lukraak gaan terughacken, is net zo absurd als de wens om bij iedereen thuis webcams te gaan ophangen, of de ingebouwde webcam op iemands laptop te gaan gebruiken. Terughacken zal weinig soelaas bieden, terwijl verruimde opsporingsbevoegdheden mogelijk de rechtsstaat in hoge mate zullen aantasten.

Het beleid van Opstelten, Teeven en overige VVD-maten lijkt gericht te zijn op de realisatie van de Big Brother figuur uit het boek ‘Nineteen Eighty-Four’ van George Orwell. Het in 1949 geschreven boek ligt ongetwijfeld op het nachtkastje van enkele bewindslieden met Pim Fortuyn trekjes.

Bij een Telegraafjournaliste werd al eens een huisdoorzoeking gedaan onder het mom dat haar onderzoek een gevaar zou zijn voor de staatsveiligheid. Een overheid die niet eens het werk van een journalist respecteert, is een gevaarlijke overheid. De Orwelliaanse nachtmerrie is dichterbij dan menigeen zal willen geloven. Voor enkelen is die nachtmerrie al een feit.

Hackers en terroristen roei je niet uit door met gelijke munt terug te betalen. Bombastisch roepen dat de overheid moet kunnen terughacken, zal de echte hacker slechts als een provocatie opvatten. Met een beetje geluk zal de computer die de hacker gebruikt onschadelijk worden gemaakt. En dan? De echte crimineel zal Opstelten pas te pakken krijgen als het kwaad al is geschied. Makkelijker te grijpen zijn de pubers die hun ‘ik’, hun identiteit, in de buitenwereld aan het onderzoeken zijn. Pubers hebben echter nog niet het besef bij voorbaat te begrijpen wat de nadelige consequenties van het handelen zou kunnen zijn. En omdat de internettechnologie niet adequaat te beveiligen valt – in ieder geval niet door de overheid zelf zo blijkt uit de praktijk – zal de intelligente puber simpel in computers in kunnen breken en tot crimineel bestempeld worden. Met de huidige wettelijke opsporingsmethoden is de puber snel op te sporen. De doorgewinterde crimineel zal met het voorstel van Opstelten zelden gepakt kunnen worden.

Hoe hardvochtig Opstelten is bleek ook wel aan het niet toelaten van een vondelingenkraamkamer. Zijn betoog daartegen in de Tweede Kamer kwam op mij over als van een man zonder enig mededogen. Het strafbaar stellen van illegalen hoort ook al in dit rijtje. Om heel eerlijk te zijn ben ik bang voor zulke mannen. Alleen al daarom acht ik het volkomen ongepast om deze regering nog meer opsporingsbevoegdheden te geven.

Het probleem van deze overheid is dat ze niet de mankracht hebben om de bestaande wet adequaat uit te voeren. Zedenzaken, mishandelingen, vandalisme, zaken waar de gemiddelde burger mee te maken kan krijgen, blijven maandenlang op de stapel liggen. Gewoonweg omdat de politiemacht ‘urgentere’ zaken heeft liggen. Zaken die in de publiciteit komen en electoraal lekker liggen, krijgen immers voorrang.

Terughacken – met alle voorziene en onvoorziene implicaties – is niet het antwoord op het probleem.

Het probleem is het internet. Het gaat om beveiliging. Een technisch probleem dus. En een technisch probleem juridisch aanpakken, is altijd hollen achter de feiten aan. Wat Opstelten wil zal niet bijdragen tot minder hackers. Wat Opstelten wil zal wél bijdragen tot het verder te grabbel gooien van onze privacy. In iemands computer mogen inbreken, betekent voor mij het schenden van mijn briefgeheim. Wat vroeger in brieven stond, staat tegenwoordig in onze computers. Daar heeft de overheid vanaf te blijven. Al jeuken de vingers!

De burger moet waken voor zijn vrijheid, voor zijn recht op een mening, voor zijn grondrechten. Anderen hebben onze mensenrechten met de dood moeten bekopen. Als je dan niet wilt beseffen hoe het voelt om ‘bespitzelt’, bespioneerd, te worden, ageer dan tegen de poging van Opstelten om jou je privéleven te ontnemen uit respect voor de mensenrechtenvoorvechters.

Justitie heeft voldoende opsporingsbevoegdheden.

Laat ze eerst maar hun tot stof wordende stapels huiswerk wegwerken.

 

Miranda Maasman
21 mei 2013
Miranda Maasman
Bescherming journalisten schiet ernstig tekort

Over het openbaar maken van wederrechtelijk verkregen gegevens zegt de memorie van toelichting: “niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang bekendmaking van de gegevens vereiste”.
Deze uitzondering is aan het vorige voorstel toegevoegd naar aanleiding van de zorgen die velen hebben geuit, vooral in verband met de mogelijke gevolgen van deze bepaling voor de in elke democratie essentiële (onderzoeks)journalistiek.
Het is volkomen terecht dat het wetsvoorstel en memorie van toelichting duidelijk maken dat van strafbaarheid van journalisten en klokkenluiders geen sprake behoort te zijn wanneer bekendmaking van de gegevens in het algemeen belang noodzakelijk is.
Echter, dat deze overweging alleen maar wordt vermeld bij het openbaar maken van wederrechtelijk verkregen gegevens, en niet eveneens bij de overige nieuwe bevoegdheden en het nieuwe verbod om heimelijk gemaakte camerabeelden te openbaren vind ik onbegrijpelijk.
Immers, ook het ‘op zwart’ zetten van (delen van) websites en het binnendringen van computers -met de gelegenheid om al rondsnuffelend journalistieke bronnen te achterhalen!- en het strafbaar stellen van het gebruik van verborgen camera’s in een woning of niet-openbare plek (waar de memorie van toelichting vreemd genoeg geen aandacht besteedt!) kunnen te vergaande gevolgen hebben voor de journalistiek, de persvrijheid en de vrijheid van meningsuiting, ook al omdat ze kunnen leiden tot een chilling effect.
De zorgen over het onthullen van journalistieke bronnen zijn overigens niet bepaald uit de lucht gegrepen; Nederland is inmiddels al driemaal door het Europese Hof van Justitie op de vingers getikt voor het niet naleven van het recht op journalistieke bronbescherming. Terecht wees Eveline Kubbenga in dit verband hierboven al op de zaak van de Telegraafjournalist.

Een belangrijke verbetering te opzichte van het eerdere voorstel van voormalig minister Hirsch Ballin met eenzelfde strekking is wèl de toevoeging van een extra waarborg tegen te lichtvaardig gebruik van de bevoegdheden door de officier van justitie of politie.
De Rechter Commissaris zal straks voor inzet van de nieuwe bevoegdheden steeds voorafgaand een machtiging moeten afgeven. De vraag is dan wel op welke wijze de kwaliteit van die afweging straks gewaarborgd wordt. De techniek maakt zeer snel ingrijpen in praktische zin mogelijk, waardoor het voor de Rechter Commissaris verleidelijk kan worden zeer snel te beslissen.
Die snelheid kan ten koste gaan van de zorgvuldigheid. Nederland is nu al kampioen telefoontaps, waarom zou van de nieuwe bevoegdheden straks dan wel terughoudend gebruikgemaakt worden?
Natuurlijk moet justitie al zeer terughoudend zijn bij het inzetten van haar nieuwe bevoegdheden, vanwege de ingrijpendheid in de persoonlijke levenssfeer van burgers, maar zodra er een journalist of journalistieke uiting bij de zaak betrokken is moet die afweging nog veel zorgvuldiger plaatsvinden. Het wetsvoorstel houdt daar nu nog onvoldoende rekening mee en V&J zou hier zeker aandacht aan moeten besteden. 

De internetconsultatie van het wetsvoorstel is vandaag geopend en eindigt op 1 juli. Ik ben zeer benieuwd naar de argumenten die alle belanghebbenden gaan aanvoeren maar ik hoop dat de journalistiek in een eventueel aangepast wetsvoorstel wel de bijzondere positie verkrijgt die zij verdient.

Privacy

AVG en AP
Anonimiteit
Cybersecurity
Profilering
Algoritmes en privacy

Mediakwesties

Journalistiek
Desinformatie en deepfakes
Censuur, modereren en filteren
Vrijheid van meningsuiting
Uitgeven

Intelligence

AI en maatschappij
Inlichtingendiensten
Wetenschap
Geschiedenis
Theater

Technologie

Governance
Internetinfrastructuur
Blockchain en crypto
Internettoegang
Datacenters

Actuele dossiers

Journalistiek
Televisie
Desinformatie en deepfakes
Sociale media
Google
Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Recente nieuwsbrieven

17 nov 2024
Netkwesties mail 246: Expert over vertrek van Twitter; bonje om hoogleraar journalistiek; Grunberg over beeldvorming
3 nov 2024
Netkwesties mail 245: Interview Beatrice de Graaf; Weg van Twitter; Megaboete van AP; AI-vervuiling van Google
13 okt 2024
Netkwesties mail 244: VoetbalTV eist schadevergoeding na blunder AP; 25 jaar Isoc, hoe verder; Copilot en privacy

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0