Het was al kantje boord in de Tweede Kamere en ook in de Eerste Kamer stuit de zogenoemde 'hackwet' op weerstand. De wet die de politie verdachten laat hacken, is op zijn zachtst gezegd omstreden. Zeker nu blijkt dat de hackmethoden van opsporingsdiensten in verkeerde handen kunnen vallen.
Dat bleek vorige maand toen de gijzelsoftware Wannacry tienduizenden computers trof. De software was oorspronkelijk ontwikkeld door de Amerikaanse geheime dienst NSA. Het virus kon zich vanzelf razendsnel verspreiden via een beveiligingslek in de code van Microsoft Windows, dat de NSA niet had gemeld. Ook de aanval van gisteren maakt gebruik van dat lek.
Digitale huiszoeking
Met de nieuwe wet mag de politie verdachten hacken bij verdenking van bepaalde misdrijven. De politie mag dan bijvoorbeeld geluid en telefoongesprekken opnemen, bestanden van telefoons halen en iemands locatie achterhalen.
Het is de digitale variant van een huiszoeking en die is hard nodig, zegt Theo van der Plas. Hij houdt zich bezig met cybersecurity bij de politie. "Criminelen worden steeds slimmer, ze ontmoeten elkaar digitaal, kopen op een darkmarket en betalen met bitcoins."
De politie heeft er baat bij dat er fouten in software zitten, terwijl ze er juist zijn om ons te beschermen.
Maar volgens hoogleraar digital security Bart Jacobs weegt het uiteindelijke doel van de wet niet op tegen de risico's. Het wordt mogelijk voor de politie om gebruik te maken van fouten in systemen, zonder die meteen te hoeven melden, waardoor gebruikers gevaar lopen.
"De politie heeft er baat bij dat er fouten in software zitten, terwijl ze er juist zijn om ons te beschermen en niet de zwakheden uit te buiten", zegt Jacobs.
Hij vergelijkt het met een slot in een voordeur. "Stel de politie weet dat die niet goed werkt. Maar in plaats van het te melden aan de fabrikant, gebruikt de politie het om een inkijkoperatie bij iemand thuis uit te voeren. Dat is toch van de zotte."
Van der Plas benadrukt dat de politie daar alleen in de uiterste gevallen gebruik van mag maken. De rechter-commissaris bepaalt wanneer dat gerechtvaardigd is. "Het kan soms te maken hebben met kinderporno of terrorisme. Hoe lang je een fout dan niet hoeft melden, is aan de commissaris. Dat hangt ook af van de impact van een fout op een systeem."
Onafhankelijk toezicht
Ook staatssecretaris Klaas Dijkhoff van Veiligheid en Justitie liet eerder weten dat een zwakke plek in een systeem altijd wordt gemeld, tenzij een onderzoek naar een crimineel zo belangrijk is dat ze daar nog even mee willen wachten.
Maar Jacobs vindt dat zo'n onderzoek in geen geval opweegt tegen de risico's. "Het is één specifiek geval tegenover de bescherming van de hele samenleving, in feite de wereldwijde samenleving. Ik zou toch de balans laten doorslaan naar het grotere geheel."
Onwenselijk
Een ander probleem is het toezicht. Dat is bij veiligheidsdiensten wel geregeld, maar de politie ligt dat anders. Vooral hoe en wanneer software ingezet wordt, wordt niet goed bijgehouden, zegt Aleid Wolfsen van de Autoriteit Persoonsgegevens. "Daar wordt helemaal geen verslag van gemaakt, dus achteraf kan niemand zien wat er precies is gebeurd. Toezicht houden kan zo niet en dat is onwenselijk."
Hoogleraar Jacobs hoopt dat als de wet er toch komt, er meer eisen worden gesteld aan het toezicht. Als de inlichtingen- en veiligheidsdiensten hacken, is er een onafhankelijke toezichthouder die controleert of dat rechtmatig gebeurt. Bij de politie is die er nu niet.