De Tweede Kamer debatteert vanaf vandaag over de ’terughackwet’, of zoals hij officieel heet: de Wet Computercriminaliteit III. Het is een wetsvoorstel dat veel aandacht krijgt en dat leidt tot hevige discussie, maar wat houdt het nu eigenlijk in? Een korte uitleg.
In 1993 werd de allereerste Wet Computercriminaliteit ingevoerd in Nederland. Omdat we steeds meer gebruikmaakten van computers, was het nodig om een aantal nieuwe bepalingen toe te voegen aan onder meer het Wetboek voor Strafvordering en het Wetboek van Strafrecht. Eén van die bepalingen was dat ‘computervredebreuk’ (hacken) strafbaar werd.
In 2006 volgde de tweede versie van de wet, waarin onder meer bepalingen werden opgenomen over DDoS-aanvallen. Ook werd het strafbaar om een computersysteem binnen te dringen, zelfs als er geen beveiliging wordt doorbroken.
Terughackwet
En nu wordt er dus gesproken over een derde versie van de wetgeving. Op 22 december 2015 werd het voorstel bij de Tweede Kamer ingediend. En ook in deze versie zijn er een aantal nieuwe bepalingen toegevoegd. Zo mag de politie en justitie straks op afstand onderzoek doen naar gegevens op apparaten als smartphones en computers. Dit is niets meer dan hacken, en daarom heeft het voorstel de naam terughackwet gekregen. Dit mag overigens alleen bij ernstige delicten, waarvoor een verdachte in voorlopige hechtenis kan worden genomen.
Maar communicatiemiddelen mogen door de politie en justitie ook afgetapt worden, gegevens mogen ontoegankelijk worden gemaakt en ze mogen worden gekopieerd. Dit mag echter alleen als er een ernstig misdrijf waar een gevangenisstraf van acht jaar of meer op staat. Denk bijvoorbeeld aan mensenhandel of de deelname van terroristische organisaties. En dat laatste is dan ook waar het kabinet zich het meeste op richt om deze wet goedgekeurd te krijgen: het bestrijden van terrorisme.
Maar er is ook een uitzondering voor een aantal strafbare feiten waar je een veel lagere straf op krijgt. Deze moeten via een computer gepleegd worden en er moet een maatschappelijk belang zijn om er een einde aan te maken. Een voorbeeld is het verspreiden van kinderporno en een DDoS-aanval uitvoeren op banken. Maar voor al deze maatregelen is een machtiging nodig van de rechter-commissaris. De politie kan dus niet zomaar bij iedereen inbreken.
Kritiek
Al snel na de presentatie van het wetsvoorstel kwam er flinke kritiek. Twee dagen na het indienen liet branchevereniging ICT Nederland weten niet te spreken te zijn over het wetsvoorstel. Voornaamste reden is dat de overheid aangemoedigd wordt om informatie rondom kwetsbaarheden geheim te houden en te gebruiken als wapen. Wil justitie namelijk bij iemand binnendringen, dan moet dit door gebruik te maken van een kwetsbaarheid in het systeem. Bekende kwetsbaarheden worden vaak snel door de makers van de software verholpen door een update beschikbaar te maken. De kans is dus aanwezig dat er vooral gebruik wordt gemaakt van nog niet ontdekte zwakke punten.
In november liet het kabinet zelfs nog weten te willen dat onbekende lekken – zero days – niet direct bij de fabrikanten gemeld hoeven te worden, mocht dit bijvoorbeeld in het belang van het onderzoek zijn. Groot nadeel hiervan is dat die achterdeurtjes niet alleen aanwezig zijn in het systeem van de verdachte, maar van iedereen met die versie van de software. En niet alleen de overheid kan die kwetsbaarheden natuurlijk gebruiken, maar criminelen ook.
ICT Nederland is niet de enige die zich zorgen maakt. In het afgelopen jaar hebben diverse bedrijven, organisaties en experts zich kritisch uitgesproken over de wet. Zo verstuurden 29 terrorisme- en privacy-experts vandaag een brief naar de Tweede Kamer, schrijft NOS. De experts vinden het onder meer gevaarlijk dat de geheime diensten AIVD en MIVD technologieën kunnen gaan inzetten die nu nog niet mogelijk of praktisch onhaalbaar zijn.
“Denk aan het analyseren van DNA – misschien is iemand met een bepaald gen wel vaker een terrorist”, vertelt hoogleraar Nico van Eijk van de Universiteit van Amsterdam. “Of denk aan het aanbrengen van een afluisterapparaat in iemands lichaam.” Volgens Van Eijk kunnen de diensten daar toe over gaan, zonder dat er echt een discussie over gevoerd kan worden. Maar de experts willen dat er wel een debat over komt voor een dergelijke techniek wordt ingezet.
Toezicht verbeteren
Een ander punt van kritiek is het opslaan van gegevens van burgers. Wordt iemand nergens van verdacht, dan moeten de geheime diensten die informatie van de experts zo snel mogelijk verwijderen. Maar in de huidige versie van het voorstel staat dat alles drie jaar mag worden bewaard.
Verder moet het toezicht op de geheime diensten beter worden. Als de wet er door komt zijn er drie organisaties die toezicht houden en volgens de critici is dat onoverzichtelijk en onhandig. Een gespecialiseerde rechtbank zou de diensten in de gaten moeten houden, stellen ze voor.
En ook de een meerderheid van de Tweede Kamer zou voorstander zijn van strengere regels rond de hackbevoegdheid, schrijft NRC. PvdA-Kamerlid Jeroen Recourt wil in ieder geval dat ieder zero day-lek direct gemeld wordt. In andere gevallen moet het OM toestemming van een onderzoeksrechter krijgen, stelt hij. Ook uit andere partijen klinkt kritiek. Begin deze maand dienden Kamerleden Verhoeven (D66) en Van Tongeren (GroenLinks) een voorstel voor een wijziging van de terughackwet in. Zij willen dat het gebruik van kwetsbaarheden door de politie alsnog niet toegestaan wordt en dit deel volledig uit de wet wordt geschrapt.
Debat
Vandaag wordt er dus in de Tweede Kamer gesproken over de hackwet. Dit is een openbaar overleg met de toezichthouder, de CTIVD. Dit debat start om 16:30 uur en zal wel even duren. D66 heeft alleen al 75 minuten spreektijd gekregen. De vergadering is openbaar en live te bekijken.