De nieuwe hackbevoegdheid geeft de politie toegang tot versleutelde gegevens van verdachten in opsporingsonderzoeken naar ernstige strafbare feiten. Dat was vóór de komst van de nieuwe bevoegdheid niet goed mogelijk. Er is wel een aantal knelpunten in de uitvoering, zo stelt het WODC vast.

De knelpunten staan beschreven in het WODC-rapport ‘De hackbevoegdheid in de praktijk’, waarin het proces rondom de uitvoering van de hackbevoegdheid in de eerste twee jaar geëvalueerd is.

26 hacks in twee jaar
Sinds 1 maart 2019 beschikt de politie over een hackbevoegdheid. Onder bepaalde voorwaarden mag een specialistisch team van de Nationale politie apparaten van verdachten, zoals telefoons en servers, heimelijk en op afstand binnendringen en daarin gegevens verzamelen. De opgehaalde gegevens kunnen worden gebruikt in tactische opsporingsonderzoeken. In de afgelopen twee jaar (periode maart 2019 tot en met maart 2021) zijn in 26 opsporingsonderzoeken bevelen afgegeven om een apparaat te hacken. Daarbij ging het voornamelijk om zwaardere vormen van traditionele criminaliteit zoals moord- en doodslag en drugsgerelateerde criminaliteit.

Knelpunt hacken op afstand
Het is de bedoeling dat de politie de hackbevoegdheid heimelijk en op afstand inzet. In de praktijk is het soms nodig om op locatie, in de buurt van een apparaat, aanwezig te zijn om binnen te kunnen dringen. De wetgever lijkt met deze optie geen rekening te hebben gehouden. Om toch in de buurt van een apparaat te kunnen komen, heeft de politie daarom behoefte aan een steunbevoegdheid. Zo’n bevoegdheid verschaft de politie nabijheid tot een apparaat als dat nodig blijkt te zijn.

Aanschaf aparte licenties
Een voorbeeld van een ander knelpunt in de uitvoering is de aanschaf van licenties voor commerciële softwareproducten die de politie gebruikt. Om binnen te komen op een apparaat maakt zo’n product gebruik van kwetsbaarheden die nog onbekend zijn. Kwetsbaarheden zijn zwakke plekken in hard- en software die ervoor kunnen zorgen dat het voor derden mogelijk wordt om een apparaat binnen te komen. De politie mag dit soort producten aanschaffen die dit soort kwetsbaarheden benutten. Wel is afgesproken dat zij bij elk opsporingsonderzoek opnieuw een licentie moet kopen. Dit om te voorkomen dat de handel in dit soort kwetsbaarheden wordt gestimuleerd. De aangeschafte software is de afgelopen twee jaar veel gebruikt en de politie acht het gebruik hiervan onmisbaar. Daardoor wordt inmiddels meer geld betaald dan hoogstwaarschijnlijk nodig zou zijn. Als op eenzelfde manier gewerkt blijft worden, is het goed de afspraak per zaak een aparte licentie aan te schaffen tegen het licht te houden. Daarbij is het nodig meer aandacht te hebben voor de wijze waarop met deze software betrouwbare, integere en herleidbare gegevensverzameling gewaarborgd kan worden. Dat is nu nog niet het geval.

Meldplicht
Ook de meldplicht van onbekende kwetsbaarheden is een knelpunt. Uit de nieuwe wet volgt dat de politie zo’n kwetsbaarheid uiteindelijk moet melden. Het idee achter de meldplicht is dat de kwetsbaarheid verholpen kan worden om zo de veiligheid van het internet toe te laten nemen. De meldplicht geldt echter ook voor kwetsbaarheden in apparaten die specifiek gemaakt zijn voor en door personen met criminele intenties. Dat betekent dat deze personen uiteindelijk op de hoogte moeten worden gesteld dat in hun apparaat, vrijwel alleen gebruikt voor criminele doeleinden, zich een kwetsbaarheid bevindt. Dit roept de vraag op in hoeverre het melden van dit soort kwetsbaarheden zorgt voor meer veiligheid. Het lijkt er eerder op dat personen met criminele intenties in dit soort gevallen juist de gelegenheid krijgen om hun afscherming beter op orde te brengen. Verder blijkt dat de meldplicht internationale politiesamenwerking kan bemoeilijken, omdat het gebruik van deze kwetsbaarheden in sommige landen staatsgeheim is. Ook dat roept de vraag op of de meldplicht zoals die nu in Nederland geldt veiligheidsbevorderend werkt. Daarom is het van belang de bestaande meldplicht nader onder de loep te nemen.