Skip to content

Digitale opsporingsbevoegdheden: noodzaak of bedreiging

by Elmer on oktober 17th, 2012

 

Inter-net

Er is de afgelopen dagen veel discussie over een voorstel van Opstelten voor het regelen van digitale opsporingsbevoegdheden. Er zijn vier maatregelen:

 – Het op afstand binnendringen van geautomatiseerde werken (=computers) en  het plaatsen van technische hulpmiddelen (waaronder software) ten behoeve  van de opsporing van ernstige vormen van cybercrime;

– Het op afstand doorzoeken van gegevens die vanuit een geautomatiseerd werk  (computer) toegankelijk zijn, ongeacht de locatie van het geautomatiseerde  werk waarop die  gegevens zijn opgeslagen en met inachtneming van de  afspraken en regels over de internationale rechtshulp;

– Het op afstand ontoegankelijk maken van gegevens die vanuit een  geautomatiseerd werk (computer) toegankelijk zijn, ongeacht de locatie van het  geautomatiseerde werk waarop die gegevens zijn opgeslagen en met  inachtneming van de afspraken en regels over de internationale rechtshulp.

– De strafbaarstelling van het helen van (digitale) gegevens.

 De eerste drie krijgen de volgende beperking:

Maar gezien de mate van ingrijpendheid van de wettelijke bevoegdheden tot het op afstand binnendringen van geautomatiseerde werken en het plaatsen van technische hulpmiddelen ten behoeve van de opsporing van ernstige vormen van cybercrime, vooral gelet op de inbreuk die daardoor wordt gemaakt op het recht op eerbiediging van de persoonlijke levenssfeer van personen, zal steeds een voorafgaande machtiging van de rechter-commissaris dienen te zijn verkregen.

Ook zal de bevoegdheid alleen kunnen worden uitgeoefend bij verdenking van strafbare feiten van een zekere ernst, bijvoorbeeld misdrijven waarvoor voorlopige hechtenis voorzien is of waarop een maximale gevangenisstraf van vier jaar of meer is gesteld.

Verder geldt uiteraard ook bij deze bevoegdheden de algemene eis dat van de uitoefening daarvan proces-verbaal moet worden opgemaakt. Daarnaast zullen alle bij de uitoefening van deze bevoegdheden verrichte handelingen automatisch worden gelogd en bewaard en daardoor achteraf altijd raadpleegbaar en controleerbaar zijn.

De eis toestemming van de rechter commissaris vind ik essentieel. Die moet wettelijk worden vastgelegd. De ondergrens, voorlopige hechtenis en een maximale gevangenisstraf van vier jaar of meer, twijfel ik aan. Wellicht zou deze grens hoger moeten liggen. Ik weet niet welke strafbare feiten hier precies onder vallen. Er wordt wel aan getwijfeld of de rechter commissaris voldoende deskundig is om exact te beoordelen wat de gevolgen zijn van de ingezette technische hulpmiddelen.  Ik ben het niet eens met dat argument. De rechter comissaris hoeft ook geen verstand te hebben van hoe een DNA test precies werkt om daar een machtiging voor af te geven. Hij moet de rechtstaat bewaken. Het OM en de politie moeten hem er van overtuigen dat er voldoende aanwijzingen zijn om iemand te verdenken van een strafbaar feit dat de opsporingsbevoegdheden rechtvaardigt. Als we het bijvoorbeeld hebben over kinderporno, dan staat los van de technologie. Dat is alleen anders als kennis van de technologie nodig is om vast te kunnen stellen of er sprake is van een strafbaar feit. Dan is het, net als bij complexe fraude zaken, handig als de rechter commissaris enige basis kennis heeft van de techniek of zich goed laat adviseren door een deskundige.
Het is de rol van de rechter commissaris om te bewaken dat het proces volgens de afgesproken waarborgen wordt uitgevoerd. Dat er voldoende juridische argumenten zijn om de schending van de privacy van de verdachte (en degenen met wie de verdachte contact heeft) te rechtvaardigen. Het is volgens mij niet gewenst dat een rechter commissaris op het niveau van techniek een antwoord gaat geven. Daarmee gaat hij te veel op de stoel van de uitvoerder, OM en politie, zitten. Als gevraagd wordt om een telefoontap zal ook niet gevraagd worden naar het merk en type afluisterapparaat wat daarvoor wordt toegepast. Een rechter commissaris zal op basis van het reeds beschikbare bewijs en overige aanwijzingen over de schuld van een verdachte beslissen of er mag worden ingebroken op de computer of dat andere maatregelen worden genomen. Als de buffer overflow zo destructief kan zijn, dan zal deze ook niet snel worden ingezet. Een niet werkende computer kun je ook niet meer afluisteren. Ik zie dan ook meer in toetsing achteraf. Als die risico’s zich voordoen dan zal dat bij de rechtszaak zeker ter sprake komen.
Het vierde punt levert bij mij meer twijfel op. Ik vind dat in deze definitie van heling in ieder geval moet voorkomen dat het gaat om heling met het oogmerk van financieel gewin of het plegen van ernstige strafbare feiten (met dan bijvoorbeeld dezelfde ondergrens).
Bits of Freedom heeft de aanval geopend op de plannen. De kern van hun verhaal is een onzin argument. Volgens Bits of Freedom leidt toestaan van terughacken door de politie tot het achterhouden door de politie van de mogelijkheden tot hacken en daarmee tot het langer voortbestaan van deze mogelijkheden.  Dit kun je vergelijken met de stelling dat de politie er belang bij heeft dat sloten en hang en sluit werk ondeugdelijk zijn, omdat bij een huiszoeking als de bewoner niet thuis is het dan makkelijker is voor de politie om in te breken. Het tegendeel is waar. De politie adviseert burgers om beter hang en sluitwerk aan te brengen. Het argument van Bits of Freedom is alleen valide als je de politie per definitie niet vertrouwd. Bovendien is er een oplossing. Zorg dat er twee teams zijn. Eén die digitale opsporingsmiddelen inzet om boeven te vangen en een ander team dat de veiligheid van software bewaakt. Het eerste team zal per definitie bij de politie zitten. Het tweede team valt waarschijnlijk onder het cyber security centrum. Als het politieteam nu kwetsbaarheden bewust verzwijgt, wat is dan het probleem?

Ander argument is het “bundes trojan”. Door de Duitse politie geplaatste software bleek ook te gebruiken door derden. Daarmee werd het bewijsmateriaal gecompromitteerd  Het bundes trojan probleem lost zichzelf ook snel op. Als de advocaat van de verdachte aannemelijk kan maken dat het door de politie verkregen bewijs vervuild is met anderen die misbruik hebben gemaakt van de door de politie geplaatste software, dan is er geen bewijs. De politie heeft dus alle belang om dit te voorkomen. Net zoals bij het testen van DNA er alles aan wordt gedaan om vervuiling van sporen te voorkomen.
Bits of Freedom stelt ook dat de politie op moet trekken met het Cyber Security Center om ons te beschermen tegen aanvallen uit China. Hierbij wordt te veel op één hoop gegooid. Laat het Cyber Security Center zich vooral concentreren op de technische kennis die nodig is voor de verdediging tegen digitale aanvallen van buiten. Laat ze daarbij samenwerken met de betreffende overheidsdiensten die nu ook al ons moeten beschermen tegen dergelijke aanvallen. In het geval van vreemde mogendheden die ons willen aanvallen of schade willen toebrengen is dat defensie, in het geval van spionage (het genoemde voorbeeld: China) de AIVD en in geval van criminelen de politie. Bovenstaande lijkt versnippering, maar is het niet. Het Cyber Security Center is op deze manier het punt waar de technologie geborgd wordt. De verschillende overheidsdiensten zijn de plek waar op basis van bewezen deskundigheid de kennis uit de digitale wereld en de fysieke wereld bij elkaar komt.
Een argument dat ook wordt ingebracht tegen het digitaal doorzoeken van een computer is het aantreffen van gegevens van anderen. Dat is niets nieuws. Het is gelijk aan een normale huiszoeking. Ook in die situatie worden zeer persoonlijke en privacy gevoelige zaken aangetroffen van huisgenoten van de verdachte. Denk aan liefdesbrieven. Ik heb nog een schoenendoos vol van dergelijke brieven van mijn ouders. Ook heb ik nog zeer privacy gevoelige afgedrukte foto’s van voor het digitale tijdperk en dagboeken. Bij een huiszoeking gaan dergelijke uiterst privacy gevoelige zaken, ook als ze niet van de verdachte zijn, door de handen van rechercheurs. Er is daarin geen principieel verschil met een computer. Het feit dat het nu digitaal is, is geen reden om anders er anders mee om te gaan.

Maar als ik de argumenten in deze van Bits of Freedom lees en de bijdrage van Jaap Henk Hoepman, dan wordt ik erg verdrietig. Het zijn vooral argumenten die veel blijk geven van angst en wantrouwen. Daarbij worden theoretische mogelijkheden opgeblazen en vervolgens als zekere uitkomst tot in het absurde doorgetrokken. Een goed voorbeeld daarin is de FBI en de Chinese politie. De redenering is “Als we  in Nederland criminele computers gaan hacken, dan volgen de FBI en de Chinezen ons voorbeeld” en vervolgens “die anderen gaan dat voor misdrijven doen die wij niet ernstig vinden, bijvoorbeeld illegaal downloaden”. De logische stap daarna is “en dan hacken die anderen dus de computers van onschuldigen en misschien wel die van mij”. Deze redenering is vervolgens het bewijs dat het voorstel van Opstelten een serieuze bedreiging is voor de Privacy.
Als een Officier van Justitie met een dergelijke redenering bij een rechter commissaris komt, dan is naar mijn stellige overtuiging de kans dat hij een machtiging voor de gevraagde opsporingsbevoegdheden krijgt gelijk aan nul. Die krijgt hij alleen als er al aanvullend bewijs is dat een dergelijke redenering ondersteund. En laten we onszelf niet belangrijker maken dan we zijn. Als de FBI of de Chinezen een computer willen hacken, dan hebben ze een voorbeeld van Nederland echt niet nodig. Dat doen ze op basis van hun eigen afweging. De ideeën van Ivo Opstelten veranderen daar niets aan.

De discussie gaat vooral over computers waarvan niet bekend is waar ze staan. Ik vind dat voor computers die in het buitenland staan of waarvan de locatie onbekend is, internationale afspraken moeten worden gemaakt. In die afspraken moet er overeenstemming zijn over de misdrijven die het mogelijk maken dat wordt gehackt door een politiedienst. Op dit moment zijn er al een beperkt aantal misdrijven waar ieder land jurisdictie heeft.
Dan wat betreft de benoemde risico’s op schade. De praktijk van risicomanagement is:  risico = kans * impact . Dat heeft als consequentie dat het aantonen van mogelijke impact nog geen risico is. Je hoeft je pas zorgen te maken als je weet dat er een redelijke kans is dat die impact zich ook voordoet. Dan het risico van onbedoelde schade. Dat is er bij de huidige opsporingsbevoegdheden ook. Als de politie met vier man een deur openbreekt met stromram en ze missen en raken een dragende muur op een ongelukkige plek, dan kan het hele huis instorten. De voorbeelden die ik lees hebben voor mijn gevoel eenzelfde waarschijnlijkheid.
Dan het risico van een reboot na het wissen van bestanden voor de apparaten treft die in het blog van Jaap Henk Hoepman worden genoemd (kerncentrale, operatiekamer, telefooncentrale). De impact is hier zonder twijfel groot. Maar hoe zit het met de kans? De kans dat criminelen de controle krijgen over deze computers? Of de kans dat de politie bij haar jacht op kinderporno op één van deze computers terecht komt, niet weet waar de computer staat, de porno gaat wissen en daarmee onbedoeld een reboot veroorzaakt die mensenlevens in gevaar brengt. De kans op het tweede lijkt me erg klein. En daar komt dan nog bij dat deze per definitie kleiner is dan de eerste, omdat de eerste een voorwaarde is voor de tweede. Als de computer niet al eerder gehackt of geïnfecteerd was door een criminele organisatie, dan was de politie er al helemaal nooit op terecht gekomen.
Laten we dezelfde manier van argumenteren eens de andere kant op volgen. We zien de mogelijkheid dat de politie bij het wissen van een computer die door criminelen wordt gebruikt waardoor een kerncentrale de lucht in gaat als een reële bedreiging (kleine kans maar zeer grote impact). In dit geval wil ik er met kracht voor pleiten dat er vooral heel veel meer capaciteit en expertise bij de politie en het Cyber Securty Centrum komt! Die moet worden ingezet om de criminelen die dit soort computers overnemen te vangen. En bij die capaciteit en expertise hoort de mogelijkheid om te hacken en digitaal af te luisteren. Dat is de enige manier om te kunnen vaststellen door welke criminelen die computer is overgenomen. En als het spoor naar buitenlandse computers leidt of computers waarvan we niet weten waar ze staan, dan zeg ik in het geval van een gehackte  kerncentrale: Hot Pursuit! En als we de bron van dat netwerk vinden, dan zeg ik platgooien die server of PC! Als er dan als gevolg een Chinese of Iraanse (of desnoods Amerikaanse) kerncentrale plat gaat (want daar stond toevallig de bron computer), dan zeg ik “collateral damage”.
Tenslotte nog het geweldsmonopolie argument. Het gaat in het geweldsmonopolie primair om fysiek geweld. Het inzetten van potentieel dodelijke wapens. Als het gaat om technische kennis, dan kan die best aanvullend worden ingehuurd. Dat doen we ook met medisch forensische kennis. Als een deur moet worden geopend wordt een lokale slotenmaker ingehuurd. Als de politie eindverantwoordelijk is, dan is aan het geweldsmonopolie voldaan. Ik zie hier geen principieel bezwaar. Het is van meer van belang of we vinden dat de politie volledig afhankelijk moet zijn van derde, commerciële, partijen voor dit soort kennis. Maar dat is voor mij een retorische vraag.
Terug naar de oplossing. De twee belangrijkste zaken die geregeld moeten worden, zijn rechtsstatelijke controle (rol rechter commissaris) en internationaal recht. Het eerste ziet er mijns inziens in het voorstel behoorlijk uit. Het tweede kun je over twisten. Het is wel een meer juridisch dan ICT probleem. Als we de analogie met internationaal recht trekken, dan zie ik meer in het in internationale verdragen afspreken van misdaden waar iedereen jurisdictie heeft, bijvoorbeeld zoals dat nu al is bij misdaden tegen de menselijkheid, piraterij en drugs (!). Ofwel, een computer “surft” op internet via internationale wateren onder de eigen vlag en jurisdictie (fysieke locatie). Alleen bij verdenking van bepaalde misdrijven die gedekt zijn door internationale verdragen is dat anders. Als de locatie niet bekend is, dan geldt de jurisdictie ook alleen voor die bepaalde misdrijven.

Bronnen:

Voorstel Opstelten: http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2012/10/15/wetgeving-bestrijding-cybercrime.html

Bits of Freedom in de media: http://www.trouw.nl/tr/nl/4492/Nederland/article/detail/3332430/2012/10/16/Bits-of-Freedom-hackplan-Opstelten-schokkend.dhtml

Bits of Freedom op het eigen blog: https://www.bof.nl/2012/10/16/terughacken-is-risico-voor-cybersecurity/

Blog van Jaap Henk Hoepman: http://blog.xot.nl/2012/10/16/terughacken-maakt-meer-kapot-dan-me-lief-is/

{lang: 'nl'}