Simon van der Aa

Het is het jaar 2025 en we zitten midden in het zogenoemde digitale tijdperk. Het is nooit eerder zo makkelijk geweest om met mensen in contact te komen dankzij sociale media. Het verwerken van gegevens met pen en papier wordt steeds meer een ding van het verleden. Leven zonder smartphones, laptops en tablets is vrijwel ondenkbaar. Deze apparaten hebben allemaal gemeen dat ze verbonden zijn met het internet en dus ook toegankelijk zijn voor (ongewenste) derde partijen, waaronder de politie. Sinds de invoering van de Wet computercriminaliteit III op 1 maart 2019 heeft de politie een wettelijke hackbevoegdheid die vastgelegd is in artt. 126nba, 126uba en 126zpa Wetboek van Strafvordering.[1] De vraag is nu hoe dit in zijn werk gaat en hoe ver de politie in de praktijk mag gaan.

Wettelijke grondslag hackbevoegdheid

De hackbevoegdheid (artt. 126nba e.v. Wetboek van Strafvordering) regelt dat speciaal aangewezen opsporingsambtenaren onder voorwaarden een geautomatiseerd werk, dat bij een verdachte in gebruik is, op afstand kunnen binnendringen zonder medeweten van de verdachte bij opsporing van ernstige strafbare feiten.[2] Het gaat hierbij meestal om zware misdrijven zoals moord- en doodslag en drugsgerelateerde criminaliteit. Een geautomatiseerd werk wordt gedefinieerd als een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken (artikel 80sexies Wetboek van Strafrecht). Voorbeelden van geautomatiseerde werken zijn smartphones, computers en servers. De aanleiding voor deze nieuwe bevoegdheid is de opkomst van nieuwe technologische ontwikkelingen die ervoor zorgen dat de eerder bestaande opsporingsmethoden niet altijd meer bruikbaar zijn om de benodigde gegevens te verzamelen. De drie technologische ontwikkelingen die het meest worden genoemd in de wetteksten zijn versleuteling, draadloze netwerken en cloud computing.[3] Door deze ontwikkelingen kan data dusdanig omgevormd en verspreid worden over meerdere netwerken en buitenlandse servers dat het niet meer mogelijk is voor de politie om deze data te achterhalen door middel van traditionele opsporingsmethoden zoals telefoon-, e-mail- of internettap. De nieuwe hackbevoegdheid moet een oplossing bieden voor de problemen die deze technologische ontwikkelingen met zich meebrengen.[4]                                      

Toepassing in de praktijk

Bij de inzet van de hackbevoegdheid kunnen vier fases worden onderscheiden: 

Voorbereiding & Verkenning → Binnendringen → Onderzoekshandelingen → Afsluiting.[5] 

In de eerste fase moet het tactisch team van de politie een projectvoorstel doen waarom het de bevoegdheid wil inzetten. Na het aanleveren van een door het tactisch team opgestelde haalbaarheidsrapport vraagt de officier van justitie (hierna: OvJ) toestemming van het College van Procureurs-Generaal voor de inzet van de bevoegdheid. Een onderzoek in een geautomatiseerd werk kan worden uitgevoerd zodra de OvJ een bevel heeft gegeven na een machtiging van een rechter-commissaris.[6] Doordat het inzetten van de hackbevoegdheid een tamelijk zwaar middel is i.v.m. privacy schending wordt het bevel voor hoogstens vier weken afgegeven en kan het telkens voor een periode van hoogstens vier weken worden verlengd (artikel 126nba lid 3 Wetboek van Strafvordering). Vervolgens gaat het technisch team over naar het daadwerkelijk binnendringen van een geautomatiseerd werk. Voor het binnendringen kunnen verschillende technieken worden gebruikt.[7] De eerste en meest voor de hand liggende manier is het gebruiken van de inloggegevens die verkregen zijn door middel van social engineering of kunstmatige intelligentie. Dit houdt in dat de politie manipulatieve technieken inzet om de verdachte te bewegen handelingen te verrichten zodat software wordt geplaatst op het geautomatiseerde werk dat hij gebruikt. Een voorbeeld hiervan is phishing, waarbij de politie een e-mail stuurt om zo malware te plaatsen en zo toegang te krijgen tot het geautomatiseerde werk. De tweede manier om binnen te dringen is het gebruik maken van kwetsbaarheden in een computer, zoals softwarefouten in het besturingssysteem.[8] Nadat het geautomatiseerde werk is binnengedrongen kan het technische team verschillende onderzoekshandelingen verrichten. Dit zijn onder andere het vaststellen van bepaalde kenmerken zoals de locatie en identiteit van de gebruiker of het aftappen en opnemen van communicatie. Het vastleggen en ontoegankelijk maken van gegevens die zijn of worden opgeslagen op het geautomatiseerde werk zijn ook onderzoekshandelingen die binnen dit kader kunnen worden ingezet, maar voor deze handelingen gelden wel strengere inzetvoorwaarden.[9] Op het moment dat het technisch team het doel van het onderzoek heeft bereikt, of de geldigheidsduur van het bevel is verlopen, zal het onderzoek worden beëindigd. Technische hulpmiddelen die gebruikt zijn worden zoveel als mogelijk verwijderd en de resultaten van het onderzoek worden overgedragen aan het tactisch team.[10] Gegevens die op de technische infrastructuur worden gelegd zijn persoonsgegevens met als gevolg dat de Wet politiegegevens (Wpg) van toepassing is. Hierdoor mogen gegevens die niet langer nodig zijn voor het onderzoek maximaal een half jaar bewaard blijven om te bekijken of deze aanleiding geven tot nieuw onderzoek of nog verwerkt kunnen worden in de lopende zaak.[11]

Kritische noten en praktische knelpunten

De invoering van de Wet computercriminaliteit III op 1 maart 2019 met de daarin opgenomen nieuwe hackbevoegdheid van de politie is niet zonder kritiek ontvangen. Privacyoverwegingen vormen hier de grootste zorg, voornamelijk omdat het de politie nu is toegestaan een apparaat te hacken die bij de verdachte in gebruik is. Dit kan ook de telefoon of computer van een vriend of familielid zijn, waardoor dus niet alleen sprake kan zijn van een inbreuk op de privacy van de verdachte maar ook op de privacy van derden.[12] Zo hebben ook 143 strafrechtadvocaten in een gezamenlijke brandbrief hun zorgen geuit over deze nieuwe opsporingsmethoden van het Openbaar Ministerie.[13] De advocaten schrijven dat het recht op een eerlijk proces en het recht op privacy op het spel staat doordat tijdens onderzoeken regelmatig niet alleen inhoudelijke informatie, maar ook metadata zoals locatiegegevens wordt onderschept. Door de manier waarop het Openbaar Ministerie met deze gegevens omgaat is het moeizaam om na te gaan of bewijsmateriaal rechtmatig en betrouwbaar is, aldus de advocaten.[14] Er zijn ook zorgen vanuit de overheidsinstanties zelf over de inzet van hacken als opsporingsmethode. De Inspectie van Justitie en Veiligheid (hierna: de Inspectie) houdt toezicht op de uitvoering van de hackbevoegdheid en heeft sinds 1 maart 2019 voor het vierde jaar op rij vastgesteld dat de politie geen of onvoldoende opvolging heeft gegeven aan diverse regels uit het geldende rechtskader.[15] Vanaf de introductie van de hackbevoegdheid was beoogd om een intern controlesysteem in te voeren, maar door het ontbreken van een kwaliteitssysteem is dit nog steeds niet gerealiseerd. Dit is van belang omdat de politie dan zelf tijdig kan signaleren wanneer er inbreuken worden gemaakt op het wettelijk kader welke risico’s er zijn in het proces.[16] Ten slotte voorziet de Inspectie dat gebrek aan capaciteit een knelpunt kan worden bij de uitvoering van het verbeterplan doordat het procesplan wordt uitgevoerd naast de operationele activiteiten van het Digital Intrusion Team (DIGIT). Hierdoor kan er mogelijk spanning ontstaan tussen het inzetten van de hackbevoegdheid enerzijds en het inrichten van het kwaliteitssysteem anderzijds. Het gevolg is dat de realisatie van het kwaliteitssysteem nog meer vertraging oploopt, wat vanwege privacyoverwegingen zeer onwenselijk is.[17]

Eindnoten

[1]‘Computercriminaliteit III (34.372)’, eerstekamer.nl.

[2] Kamerstukken II 2015/16, 34 372, nr. 3, p. 3.

[3]Kamerstukken II 2015/16, 34 372, nr. 3, p. 7-13. 

[4] A. van Uden & C.A.J. van den Eeden, ‘De hackbevoegdheid in de praktijk’, repository.wodc.nl, p.35.

[5] A. van Uden & C.A.J. van den Eeden, ‘De hackbevoegdheid in de praktijk’, repository.wodc.nl, p.37.

[6] A. van Uden & C.A.J. van den Eeden, ‘De hackbevoegdheid in de praktijk’, repository.wodc.nl, p.38.

[7] Stb. 2018, 340, p. 16.

[8] A. van Uden & C.A.J. van den Eeden, ‘De hackbevoegdheid in de praktijk’, repository.wodc.nl, p.39.

[9] A. van Uden & C.A.J. van den Eeden, ‘De hackbevoegdheid in de praktijk’, repository.wodc.nl, p.42.

[10] A. van Uden & C.A.J. van den Eeden, ‘De hackbevoegdheid in de praktijk’, repository.wodc.nl, p.48.

[11] A. van Uden & C.A.J. van den Eeden, ‘De hackbevoegdheid in de praktijk’, repository.wodc.nl, p.49.

[12]‘Computercriminaliteit III: Wat je moet weten in het kader van privacy’, considerati.com.  

[13] ‘Brandbrief strafrechtadvocatuur’, vanboomadvocaten.nu. 

[14] ‘Brandbrief strafrechtadvocaten: door opsporingsmethoden staat eerlijk proces op het spel’, advocatie.nl. 

[15]‘Brief verslag wettelijke hackbevoegdheid politie 2023’, inspectie-jenv.nl, p. 1.

[16] ‘Brief verslag wettelijke hackbevoegdheid politie 2023’, inspectie-jenv.nl, p. 2.

[17] ‘Brief verslag wettelijke hackbevoegdheid politie 2023’, inspectie-jenv.nl, p. 4.