Privacy verdachten opnieuw in gedrang door hackbeleid politie, ziet inspectie
De Inspectie Justitie en Veiligheid uit in een jaarverslag voor het derde jaar op rij zorgen over het hackbeleid van de politie. Zo heeft de afdeling Landelijke Eenheid vorig jaar wederom commerciële software ingezet, waardoor ook de makers van de software toegang kunnen krijgen tot de gehackte gegevens. Daarnaast heeft de politie de beveiliging van de informatie nog niet op orde.
De politie heeft vorig jaar in 28 zaken apparaten van verdachten, zoals computers of telefoons, gehackt. Dat is een stijging ten opzichte van 2020 (14 zaken) en 2019 (8 zaken). In 23 zaken werd vorig jaar commerciële software ingezet.
Leveranciers kunnen meekijken
Met de leverancier van commerciële software is afgesproken dat die niet mag inloggen zonder toestemming van de politie, maar de inspectie concludeert dat de politie die afspraak niet kan controleren. Daardoor ontstaat dus de kans dat de leverancier toegang heeft tot gevoelige informatie. En volgens de wet mogen alleen politiemensen bij die gegevens, benadrukt de inspectie.
Daarnaast gebruikte de politie "bijna altijd" software die nog niet was goedgekeurd door een specialist van de politie. Dat kan te maken hebben met de capaciteit van die afdeling, schrijft de inspectie, waar vorig jaar "door omstandigheden" slechts één medewerker werkte.
Screening AIVD
De politie laat weten dat zogenoemde binnendringsoftware van groot belang is voor de uitvoering van de hackbevoegdheid. "Uitsluitend en specifiek voor technisch beheer kan de leverancier toegang worden verleend tot de software en servers."
De leveranciers van deze software worden volgens de politie vooraf gescreend door de AIVD. Er zou altijd rekening worden gehouden met de eventuele risico's. De servers waarop de onderzoeksgegevens worden vastgelegd zijn volgens de politie in eigendom en beheer van de politie, niet van de leveranciers.
Beveiliging niet in orde
Naast de software zag de inspectie ook problemen bij de beveiliging van de gehackte gegevens. De inspectie schrijft over enkele tekortkomingen, zoals het autorisatiebeheer, maar zag "geen grote technische beveiligingsrisico's".
De inspectie zag ook wat verbeterpunten. Zo registreerde de politie vollediger wat er precies is gedaan bij het hacken van apparaten. Het bewaken en controleren van beeldschermopnames waarmee het hacken wordt vastgelegd werd beter gedaan dan in 2020, schrijft de inspectie.
De inspectie gaat het toezicht op het hackbeleid van de politie vanwege de tekortkomingen nog niet afbouwen; in 2022 wordt met "dezelfde diepgang" toezicht gehouden.