Hacken als opsporingsbevoegdheid

Eind oktober 2011 kwam naar buiten dat een Duits bedrijf spionagesoftware aan de Nederlandse overheid heeft geleverd. Onduidelijk is of de software ook door de Nederlandse politie en justitie wordt gebruikt. Er zijn dan ook Kamervragen gesteld over het gebruik van de software. Op zijn minst zijn er aanwijzingen dat hacken als opsporingsmethode in de praktijk al incidenteel wordt toegepast. Naar mijn mening bestaat voor het hacken van persoonlijke geautomatiseerde werken echter geen wettelijke grondslag.

De vraag of bepaalde vormen van hacken als opsporingsmethode legitiem zijn heb ik verder uitgewerkt in mijn artikel ‘Hacken als opsporingsbevoegdheid’. Daarbij ga ik
met name in op de zogenaamde ‘online doorzoeking’ en het plaatsen van spyware
door de politie op afstand.

Plaatsen van spyware 

In de literatuur wordt wel aangenomen dat het mogelijk is tijdens een huiszoeking
speciale software op de computer van een verdachte te plaatsen zodat toetsaanslagen kunnen worden opgenomen en doorgestuurd worden naar de politie. Tussen al die toetsaanslagen kunnen bijvoorbeeld ook wachtwoorden van de verdachte zitten. Indien bij inbeslagname blijkt dat de computers of andere gegevensdragers (zoals externe harde schijven en USB-sticks) versleuteld zijn, kunnen de bestanden met de afgevangen wachtwoorden en de daarmee de sleutels toch geopend worden. Versleutelde harde schijven of gegevensdragers kunnen namelijk nog wel eens probleem vormen in een opsporingsonderzoek, met name bij kinderpornozaken.

Het plaatsen van de software valt onder de bijzondere opsporingsbevoegdheid ‘direct
afluisteren’ (126l Wetboek van Strafvordering), oftewel het ‘opnemen van vertrouwelijke communicatie met een technisch hulpmiddel’. In de Memorie van Toelichting op de Wet bijzondere opsporingsbevoegdheden wordt uitgebreid gesproken over de plaatsing van een ‘hardwarematige bug’ teneinde versleuteling ongedaan maken. Een softwarematige bug gaat dus al verder dan de wetgever oorspronkelijk had bedoeld, maar de tekst van de wet houdt het niet tegen en indien de functies gelijk blijven – dat wil zeggen: slechts toetsaanslagen registreren – is er weinig over op te merken.

Hacken

Waar naar mijn mening wél iets tegen is op te merken, is het plaatsen van de software op
afstand
. Daarvoor zal doorgaans een persoonlijke computer van de verdachte gehackt moeten worden en daar ligt volgens mij het probleem: hacken door politie en justitie op deze apparaten is niet toegestaan. Inlichtingen- en veiligheidsdiensten mogen dat wel op grond van artikel 24 van de Wet op de inlichtingen- en veiligheidsdiensten. Een persoonlijke computer van de verdachte is mijns inziens niet aan te merken als een ‘besloten plaats’ in de zin van artikel 126l van het Wetboek van Strafvordering. Bovendien is voor hacken in de wetsgeschiedenis geen enkele ondersteuning te vinden en wordt met de opsporingsmethode een ernstige inbreuk op de persoonlijke levenssfeer van
burgers gemaakt.

Daarnaast ga ik mijn artikel in op de online doorzoeking. Hierbij wordt op afstand via
internet (na een hack in juridische zin) de gegevens op een persoonlijk geautomatiseerd werk van de verdachte bekeken. Daarbij gaat het naar mijn mening niet alleen om een laptop of PC van de verdachte, maar bijvoorbeeld ook om gegevens in de persoonlijke webmail van de verdachte. In deze zaak wordt bijvoorbeeld door de politie na toestemming van de officier van justitie met een verkregen inlognaam en wachtwoord op afstand in een Hotmail-inbox gekeken. Daarmee gaan politie en justitie wat mij betreft letterlijk en figuurlijk de grens over. De rechtbank Rotterdam was in eerste instantie dezelfde mening toebedeeld, maar in hoger beroep werd tegen deze actie geen sancties opgelegd omdat het niet de e-mail van de verdachte betrof. Dit neemt niet weg dat hier naar mijn mening sprake was van toepassing van een onwetmatige opsporingsmethode.

Het zogenaamde ‘strafvorderlijk legaliteitsbeginsel’ (artikel 1 Wetboek van Strafvordering) en de vereisten van artikel 8 EVRM schrijven voor dat voor
dergelijke inbreuken op de persoonlijke levenssfeer van de verdachte een
gedetailleerde wettelijke regeling voorhanden moet zijn. En die is naar mijn
mening niet aanwezig.

Persoonlijk geautomatiseerd werk

In mijn artikel maak ik een onderscheid tussen een persoonlijk geautomatiseerd werk en
geautomatiseerde werken die niet voor privézaken worden gebruikt. Dit onderscheid sluit aan bij de uitspraak van het Bundesverfassungsgericht (het hoogste Duitse rechtsorgaan) over de inzet van spionagesoftware door de politie (de zogenaamde ‘Bundestrojaner’). De gedachte is dat een inbreuk op de integriteit en vertrouwelijkheid van een persoonlijk geautomatiseerd werk een grotere privacyinbreuk met zich meebrengt dan wanneer dit bij een onpersoonlijk geautomatiseerd gebeurt. Dat heeft gevolgen voor de manier waarop de opsporingshandeling moet worden genormeerd.

Geredeneerd kan worden dat het inbreken in onpersoonlijke geautomatiseerde werken – zoals de servers van een botnet – een lichte inbreuk op de persoonlijke levenssfeer van de verdachte vormt waardoor voor die handeling geen expliciete bevoegdheid in het Wetboek van Strafvordering is vereist. Volstaan kan worden met de algemene opsporingsbevoegdheid van artikel 2 Politiewet 1993 en 141 Wetboek van
Strafvordering, eventueel in combinatie met de inzet van andere opsporingsbevoegdheden. Uiteraard is dat afhankelijk van het geval en moet niet
te gemakkelijk worden overgegaan tot zo’n complexe operatie. Wellicht zou ook
nog aangevoerd kunnen worden dat de verdachte m.b.t. het gebruik van de
criminele infrastructuur geen ‘reasonable expectation of privacy’ heeft, maar
het gebruik van die van oorsprong Amerikaanse constructie is controversieel.
Anders: zie de scriptie van Merel Koning over de Bredolab-actie.

Nieuwe opsporingsbevoegdheden noodzakelijk?

Tenslotte ga ik mijn artikel na in hoeverre bepaalde vormen van hacken noodzakelijk zijn
zodat politie en justitie goed hun werk kunnen blijven doen. Persoonlijk kom ik tot de conclusie dat de problemen van versleuteling en anonimiteit in een digitaal opsporingsonderzoek voldoende noodzaak geven voor het mogelijk maken van een online doorzoeking en het plaatsen van spyware. Uiteindelijk is het niet aan de rechter om nieuwe opsporingsbevoegdheden te legitimeren, maar aan de wetgever. De wetgever zal daarom moeten beslissen welke nieuwe opsporingsbevoegdheden noodzakelijk zijn en daarover in debat moeten gaan.

Het artikel is hier te vinden. De citeertitel is: J.J. Oerlemans, ‘Hacken als opsporingsbevoegdheid’, DD 2011, 62, pp. 888-908.

==Update==

Op 7 februari 2012 heeft Opstelten antwoord gegeven op Kamervragen over het gebruik
van afluistersoftware. Uit de antwoorden wordt nog steeds niet duidelijk of de software op afstand kan worden geplaatst d.m.v. een hack. Wel wordt nu duidelijk dat van de software sporadisch gebruik is gemaakt en dat het ziet op het aftappen van gegevens bij de bron (het opnemen van vertrouwelijke communicatie). Meer functionaliteiten voor de software, zoals het plegen van een heimelijke doorzoeking, valt volgens Opstelten niet binnen de wettelijke kaders.

 

Be Sociable, Share!

2 thoughts on “Hacken als opsporingsbevoegdheid

  1. Pingback: Eerste Cyber Security Beeld Nederland gepubliceerd | OerlemansBlog – Blog about cybercrime and privacy

  2. Pingback: De Belgische ‘online doorzoeking’ | OerlemansBlog – Blog about cybercrime and privacy

Leave a Reply

Your email address will not be published. Required fields are marked *