Swipe to the left

Computercriminaliteit III – reden tot zorg voor een hackende overheid?

Print
Computercriminaliteit III – reden tot zorg voor een hackende overheid?
By 17 days ago 1515 keer bekeken Geen opmerkingen

Het was afgelopen week wereldnieuws dat Nederlandse digitale agenten – oftewel: hackers – van de AIVD hebben kunnen infiltreren in het Russische hackerscollectief “Cozy Bear” (https://www.volkskrant.nl/4561895). Maar niet alleen Russische hackers hebben te vrezen voor Nederlandse agenten die hun computers binnendringen. Als het aan de Tweede Kamer ligt, hebben ook Nederlandse burgers binnenkort te vrezen voor hackers vanuit de (justitiële) overheid. Daarmee doel ik niet op de Wet op de inlichtingen- en veiligheidsdiensten (de “Wiv”), ook wel bekend als de “sleepwet” of de “sleepnetwet”. Die wet zou voor de AIVD en MIVD namelijk de bevoegdheden moeten creëren om massaal online communicatie te mogen aftappen (het “sleepnet”) en geautomatiseerde apparaten te mogen hacken. Zoals blijkt uit het nieuwsbericht van vorige week doet de AIVD dat laatste al; in elk geval bij buitenlandse individuen en groepen. De aard van het werk van de AIVD maakt dat (grotendeels) onduidelijk zal blijven hoe deze bevoegdheden worden ingezet tegen Nederlandse burgers, maar wat dat betreft hoeven we niet al te naïef te zijn. De vraag lijkt dus gerechtvaardigd of de nieuwe “Wiv” feitelijk wel nieuwe bevoegdheden creëert…

Daarom zal veel kennis moeten worden verworven om de inzet van deze opsporingsmethoden te kunnen begrijpen om vervolgens de rechtmatigheid daarvan überhaupt te kunnen beoordelen

Maar het lijkt erop dat het neuzen in andermans (particuliere) computers binnenkort niet alleen maar is weggelegd voor agenten van de AIVD. Het wetsvoorstel “Computercriminaliteit III” moet het Wetboek van Strafrecht en het Wetboek van Strafvordering namelijk aanpassen “aan de technologische ontwikkelingen op internet en het gebruik van computers voor communicatie en de verwerking en opslag van gegevens” (zie voor de huidige stand van zaken: https://www.eerstekamer.nl/wetsvoorstel/34372_computercriminaliteit_iii). Voor de strafrechtspraktijk zal de implementering van de bevoegdheden uit dit wetsvoorstel een zeer belangrijke en ingrijpende ontwikkeling zijn. En die ontwikkeling is op dit moment al meer dan de moeite van het bespreken waard. Duidelijk is dat met name het Wetboek van Strafvordering toe is aan aanpassing aan de huidige stand van de (opsporings)technieken ter legitimering van vergaande strafvorderlijke opsporingsmogelijkheden. Zo is nieuwe technologie bijvoorbeeld nodig voor het opsporen van nieuwe criminaliteit (hacken door particulieren, ddos-aanvallen), nieuwe mogelijkheden die voor criminele doeleinden bruikbaar zijn (TOR, darkweb, bitcoins of andere cryptocoina) of simpelweg van commune criminaliteit die zich naar het internet verplaatst (marktplaatsoplichting, identiteitsfraude, stalking). De vraag is evenwel of de strafrechtspraktijk voldoende is voorbereid op de nieuwe mogelijkheden die dit wetsvoorstel wenst te creëren.

De 'hackbevoegdheid'
Zo vergt de (strafvorderlijke) toepassing van nieuwe technologische ontwikkelingen de nodige kennis van (digitale) zaken van de juristen, in het bijzonder de procespartijen, die zich met strafzaken bezig houden. Het “hacken” c.q. binnendringen van de computer, is namelijk slechts één ding. Dat kan worden vergeleken met de overkoepelende bevoegdheid tot het binnentreden van een woning. Welk onderzoek de politie vervolgens onderzoek doet – bijvoorbeeld: observeren, (GPS-)data vastleggen of zelfs meeluisteren/-kijken via een microfoon of (webcam)camera – en wat de betekenis van de resultaten daarvan is, is nog niet zo eenvoudig. Daarom zal veel kennis moeten worden verworven om de inzet van deze opsporingsmethoden te kunnen begrijpen om vervolgens de rechtmatigheid daarvan überhaupt te kunnen beoordelen.

Uit de wetsgeschiedenis van Computercriminaliteit III blijkt dat de wetgever zich zeer bewust is van de inbreuk die gemaakt kan worden op het privéleven door de inzet van de ‘hackbevoegdheid’

De beoordeling van die rechtmatigheid zal evenwel van groot belang zijn. Uit de hiervoor genoemde voorbeelden blijkt immers hoe verstrekkend de inbreuk op de privacy kan zijn bij de inzet van de ‘hackbevoegdheid’. In de vergaand gedigitaliseerde wereld waarin we momenteel leven, kan een inkijk in een computer en/of smartphone een volledig beeld van iemand zijn persoonlijke leven geven – denk aan (de inhoud van contacten via) social media tot en met simpelweg de opslag van een privécollectie foto’s, video’s etc… (al dan niet via cloud-diensten). Het kan zelfs letterlijk een inkijk geven in het huiselijke privéleven!

De toetsing van de inzet van de 'hackbevoegdheid'
Uit de wetsgeschiedenis van Computercriminaliteit III blijkt dat de wetgever zich zeer bewust is van de inbreuk die gemaakt kan worden op het privéleven door de inzet van de ‘hackbevoegdheid’. Om die reden is bijvoorbeeld de waarborg gekozen dat de inzet van de bevoegdheid getoetst moet worden door de rechter-commissaris. Dit lijkt een geruststelling. Voor de praktijk is het dat echter niet zonder meer. Zo nam Nederland al vaker de (dubieuze) koppositie in als het gaat om het afluisteren van telefoongesprekken, terwijl daar ook een machtiging door de rechter-commissaris voor nodig is. De aanvullende toets dat sprake moet zijn van “ernstige bezwaren” – vaak vrij vertaald als: “een serieuze verdenking” – kan evenmin op voorhand geruststellend zijn voor een verdachte burger. Denk onder meer aan de toepassing van voorarrest in Nederland: in Europees perspectief neemt Nederland ook op dat vlak een koppositie in. Het percentage voorlopig gehechten op het totaal aantal gedetineerden alleen al is zo’n 40 procent. Voor die voorlopige hechtenis is het bestaan van ernstige bezwaren evengoed een eis. Een eis waar dus in zeer veel gevallen aan wordt voldaan als het (in eerste instantie) aan de rechter-commissaris ligt. Nota bene, bij die beslissing van de rechter-commissaris over het voorarrest is tenminste nog een tegenspreker aanwezig in de vorm van een advocaat van de verdachte die kan bepleiten waarom geen sprake is van “ernstige bezwaren”. Bij de aanwending van de ‘hackbevoegdheid’ zal die tegenspreker – vanzelfsprekend – ontbreken.

Mijns inziens kan niet vroeg genoeg begonnen worden met het op peil brengen van kennis over de technische aspecten van de ‘hackbevoegdheid’, en de verstrekkende inbreuk daarvan op de privacy

Het feit dat de zittingsrechter achteraf een oordeel kan geven over de (on)rechtmatigheid van een opsporingsbevoegdheid, stemt evenmin direct tot vertrouwen. Dan zal namelijk altijd eerst geklaagd moeten worden door of namens de verdachte over een onrechtmatigheid in de opsporing. Vervolgens zal de zittingsrechter moeten beslissen – in afwijking van diens collega-rechter – dat die eveneens van oordeel is dat sprake is van een vormverzuim, bijvoorbeeld als de inzet niet voldoet aan de eisen van proportionaliteit en subsidiariteit. En zelfs als dát het geval is, is het maar de vraag of de zittingsrechter daar consequenties aan verbindt en kan worden gesproken over een corrigerend vermogen op te vergaande opsporingspraktijken. De huidige strafrechtspleging, hoofdzakelijk aangestuurd door de rechtspraak van de Hoge Raad over de vraag hoe om te gaan vormverzuimen, stemt wat dat betreft weinig hoopvol.

Voorkomen is beter dan genezen

Aanbeveling
Het is er mij in deze blog niet om te doen om nadrukkelijk op dat laatste punt in te gaan. In het kader van “voorkomen is beter dan genezen” en gezien de huidige status van wetsvoorstel van “Computercriminaliteit III”, zou ik dit moment veeleer willen aangrijpen voor een aanbeveling. Mijns inziens kan niet vroeg genoeg begonnen worden met het op peil brengen van kennis over de technische aspecten van de ‘hackbevoegdheid’, en de verstrekkende inbreuk daarvan op de privacy, bij de kabinetten van de rechters-commissarissen die over de inzet van deze bevoegdheid zullen moeten gaan oordelen. Vervolgens, of voor zover het voorgaande al gebeurt, zal bij de aanwending van een ‘hackbevoegdheid’ in een specifiek geval nadrukkelijk en gemotiveerd grenzen gesteld kunnen – en mijns inziens: moeten – worden aan datgene dat de politie mag doen nádat is ‘ingebroken’ op een computer. Dit geldt te meer omdat de ‘hackbevoegdheid’ vanuit het oogpunt van opsporing nou juist zo gewenst zal zijn. In het licht van een rechterlijke toetsing van de proportionaliteit en subsidiairiteit leent het stellen van grenzen zich in elk geval niet voor een standaardformulier “dat enkel nog maar afgestempeld hoeft te worden door een rechter-commissaris. Een uitgebreidere verslaglegging zoals bij het binnentreden van een woning verdient wat mij betreft eerder navolging om recht te doen aan het ingrijpende karakter van de ‘hackbevoegdheid’.

Posted in: Strafrecht