Dat bleek gisteren tijdens een levendig debat over het ‘terughackvoorstel’ van minister Ivo Opstelten dat vier nieuwe bevoegdheden bevat. Het gaat vooral om het verkrijgen van toegang tot computers bij verdenking van ‘ernstige delicten’ (minimaal vier jaar celstraf) of dreigende ‘ernstige inbreuk op de rechtsorde’; en louter met toestemming van een rechter-commissaris. Speurders moeten malware kunnen plaatsen (bijvoorbeeld keyloggers), gegevens kunnen wissen (kinderporno, botnetbeheer) en de eigenaar dwingen om encryptie te verwijderen.

Dat voorstel werd gisteren in buitengewone openheid verdedigd door Simon van de Geer, chef Cybercrime van Veiligheid en Justitie. Hij nam het op tegen Jaap-Henk Hoepman, die vindt dat die online bevoegdheden de bijl aan de wortel van de rechtsstaat zetten, en de ervaren KPN ‘afluisterchef’ Gert Wabeke.

Encryptie zit dwars

Uit het debat bleek dat justitie vooral heimelijk toegang wil krijgen tot computers voordat de data wordt versleuteld. Dat viel duidelijk op te maken uit het antwoord van Van de Geer op een vraag uit de zaal van Astrid Oosenbrug, ICT-woordvoerder van de PvdA, die vroeg om waarborgen tegen misbruik van de vergaande bevoegdheden. “Ik denk wel dat we deels kunnen instemmen met dit voorstel, maar behalve toestemming van een rechter-commissaris en louter gebruik voor ernstige gevallen zou je net als bij huiszoeking het niet heimelijk moeten doen.”

Van de Geer vindt dat geen optie: “Het speurwerk op computers wordt zinloos zodra diegene op de hoogte is. We moeten heimelijk toegang verkrijgen en voordat encryptie van data plaatsvindt.” Dat laatste is de kern van de wens van Justitie: aftappen op verbindingen levert steeds minder resultaat op door encryptie, bij Gmail standaard en bij veel andere diensten als optie. Op de computer kan Justitie een scherper beeld krijgen van boevenstreken als drugssmokkel, afrekening, terrorisme en bewerking en verspreiding van kinderporno.

Technische bedenkingen

Oosenbrug: “Ik snap die achterliggende gedachte goed, maar toen ik vernam hoe eenvoudig Justitie denkt over het zomaar plaatsen van spyware en trojan horses op computers, was ik echt flabbergasted. Als techneut vraag ik me echt af: is dit uitvoerbaar als je het zorgvuldig wilt doen?” Dat is een vraag die al vaker door technici is gesteld.

Wabeke en Hoepman vroegen zich ook hardop af hoe je de uitvoering van de bevoegdheden “technisch kunt afkaderen”. Heeft de overheid straks baat bij het in stand houden van lekken om er gebruik van te kunnen maken, terwijl die tegelijkertijd gebruikers moet beschermen? Kunnen ook anderen binnenkomen behalve de politie? Hoe stel je vast of de politie zelf niet op computers rommelt en bewijs vervalst? Ook providers in de zaal uitten dergelijke zorgen. Moeten zij meewerken aan het blootstellen van hun gebruikers aan de nieuwe praktijken?

Van de Geer sust: “Het wordt wel erg demonisch afgeschilderd allemaal. In de meeste systemen zitten heel veel gaten. Natuurlijk zullen we heel prudent omgaan met de bevoegdheden en zien die ook als uiterste middelen om alleen in te zetten bij zware criminaliteit en met instemming van de rechter-commissaris.” De vraag is alleen of die laatste competent genoeg is om te bepalen of zo’n middel nodig is, of zet die wel even een handtekening? Maar daar wordt volgens Van de Geer aan gewerkt: “De rechterlijke macht wordt op dit punt bijgeschoold en er zijn inmiddels specialisten werkzaam.”

Helaas zijn er slechte voorbeelden uit het verleden. Hoepman en Wabeke wijzen op schaarse verslaglegging over bijvoorbeeld gebruik van het CIOT-register met verkeersgegevens. Daaruit blijkt dat de politie vaak niet netjes omgaat met bevoegdheden. Van de Geer, weer heel open: “Ik moet toegeven dat de politie hierin geen goed track record heeft. Maar met de komst van één politiekorps in plaats van de 26 korpsen zal dat veel beter georganiseerd worden. We mogen geen enge, stiekeme dingen doen.”

Hacken onontkoombaar

Het belangrijkste punt van kritiek blijft het gebrek aan transparantie en rekenschap afleggen over het gebruik van vergaande methoden. Is dat ‘proportioneel’ en heeft het effect? Van de Geer wilde niet ingaan op het hacken door de AIVD, die de bevoegdheid al sinds 2002 heeft. Over de toepassing in België, zo zei hij na afloop desgevraagd, is niets bekend: “Dat moet verplicht gemeld worden maar tot nu toe zijn er geen meldingen.” Dat wil niet zeggen, aldus Van de Geer, dat de Belgen de zware middelen ook niet toepassen.

De Belgische politie mag ook ‘hacken’ in het buitenland, dus mag in principe Nederlandse computers in. Nederland wil ook mondiaal speuren en hacken, maar de angst is dat het buitenland, en dan vooral China, hier dan ook inbreekt. Volgens Van de Geer moeten we uitgaan van goede wil en internationale samenwerking. “China werkt ook mee aan internationale opsporing van kinderporno. Dat vinden we leuker dan dat ze De Telegraaf zouden hacken omdat een bericht ze niet bevalt”, zo zei hij met een hint naar het hacken van Amerikaanse kranten.

In weerwil van de bezwaren vindt Justitie het absoluut nodig om ook over de grens computers te hacken, een bevoegdheid die volgens Van de Geer onontkoombaar is, omdat zeker bij digitale criminaliteit nationale bestrijding en speurwerk vrijwel zinloos is.

Geen wisselgeld

Hij ontkende dat het vergaande voorstel wisselgeld bevat: dat Justitie weet dat het parlement de inzet van malware zal afkeuren, maar dat dan in elk geval toegang tot pc’s bij zware verdenkingen wel wordt geregeld.

Vanavond vindt in De Waag in Amsterdam een debat plaats over hetzelfde onderwerp, met ook Astrid Oosenbrug en tevens Gerben Klein Baltink van de Cyber Security Raad, advocaat Jetse Sprey en journalist Brenno de Winter.