Tweede Kamer stemt in met wet waardoor politie mag hacken

Wachtwoord

Een meerderheid in de Tweede Kamer heeft vanmiddag ingestemd met het wetsvoorstel Computercriminaliteit III, ook wel ‘terughackwet’ genoemd. De wet dankt zijn bijnaam aan het gegeven dat de politie hierdoor verdachten mag hacken. In eerste versie van de wet, uit 1993, werd hacken juist strafbaar.

Met de wet mag de politie mensen hacken die verdacht worden van een misdrijf waar minstens vier jaar cel op staat. Daarvoor moet het wel toestemming krijgen van het Openbaar Ministerie en van de Officier van Justitie. Een rechter-commissaris spreekt zijn oordeel op verzoek van de officier uit.

Naast de hackbevoegdheid van de politie worden ook misdrijven die online worden gepleegd aangepakt. Zo mag de politie ook lokpubers in te zetten om online kinderlokken aan te pakken. Ook moet de wet de aanpak van illegale online handel effectiever maken.

Zero days

Wat betreft de hackbevoegdheid was één van de discussiepunten in de nieuwe wet het gebruik van zogenaamde zero days. Dat zijn lekken in software die door de makers en het grote publiek onbekend zijn. Zo’n kwetsbaarheid is voor de politie een ingang in het apparaat van een verdachte. De politie kan zelf op zoek gaan naar deze zero days, maar ze worden ook in het geniep verhandeld.

De Tweede Kamer is nu akkoord gegaan met een variant waarbij de politie niet direct de kennis over kwetsbaarheden koopt, maar wel een tool die gebruik maakt van het lek. Zo zou de politie niet weten van welke kwetsbaarheid het precies gebruikmaakt. Als de politie zelf op zoek gaat naar kwetsbaarheden, mogen die ook tijdelijk geheimgehouden worden om er gebruik van te maken.

Tegenstanders van de wet zeggen dat de politie hiermee de veiligheid van het internet in gevaar brengt. Een zero day is immers ook door criminelen te gebruiken. En het lek is alleen bruikbaar als de maker van de software er niets van weet. Is de maker er wel mee bekend, dan wordt het lek waarschijnlijk snel gedicht. Alleen als de software dan niet door de gebruiker geüpdatet wordt, is iemand kwetsbaar.

In onze podcast Rush Talk spraken Elger en Johan vorige week uitgebreid over de terughackwet.