Een tijdje terug hebben we op deze site opgeroepen om in te spreken op de nieuwe terughackwet. En de tijd begint nu te dringen: aanstaande maandag moet het binnen zijn. Vul dus dat webformulier even in voor het goede doel.
Voor inspiratie kun je kijken op het forum waar verschillende mensen hun reactie gepost hebben. Verdere tips zijn natuurlijk welkom in de comments.
Ja, ik zou op een aantal punten willen reageren. Om te beginnen zou ik willen zeggen dat politie en justitie zich niet voor hun werk hoeft te schamen, en geheimhouding zou daarom niet de norm mogen zijn. Geheime politiediensten hebben het risico te ontsporen zoals de octopus- en IRT-affaire hebben aangetoond. Geheime rechtelijke uitspraken zijn ook gevaarlijk zoals "rubber-stamp-FISA" in Amerika zeer recentelijk heeft aangetoond. Mijn voornaamste kritiekpunten zijn dan ook over de stiekeme sfeer die het hele voorstel ademt.
Ik zal de volgorde van de toelichting aanhouden.
2. Onderzoek in een geautomatiseerd werk
Er zijn in de voorstellen voor het "terughacken" niet voldoende garanties dat deze bevoegdheid niet misbruikt zal worden. De verdachte zal, als de zaak nooit voor de rechter komt, niet te weten komen dat hij bespioneerd is, en heeft dus nooit de mogelijkheid om verhaal te halen over de rechtelijke toets. Een proces waar maar een van de partijen het woord kan doen is niet echt eerlijk. Er zijn argumenten waarom mensen niet op voorhand ingelicht worden van het onderzoek tegen hun persoon, maar op het moment dat iemand redelijkerwijs geen verdachte meer is vervallen die. Op dat moment moet de ex-verdachte op de hoogte gesteld worden omdat de rechtspraak in princiepe openbaar is.
Daarmee samenhangend: De gevonden gegevens zijn mogelijk ontlastend voor de verdachte, en zouden daarom in zijn geheel tot de beschikking moeten staan van de verdachte zodra deze op enig moment voor de rechter staat (In het kader van PRISM heeft al iemand die van een misdaad verdacht werd, zijn NSA-gegevens opgevraagd in Amerika, omdat die volgens hem aantonen dat hij onschuldig is).
Een derde reden dat de verdachte in ieder geval van de hack-activiteiten moet weten, is dat hij zijn private sleutels zal moeten vervangen. Deze zijn namelijk bekend geworden bij de onderzoekers, terwijl absolute geheimhouding de norm is.
3. De ontoegankelijkmaking van gegevens
Gezien de vaak bedrijfscritische processen die zich op het internet afspelen, zou er een duidelijke mogelijkheid tot verweer moeten zijn voordat er gegevens ontoegankelijk gemaakt worden. Dit zou zeer vlot moeten gebeuren. Ik zou dan ook zeggen dat de gegevens op verzoek van de verantwoordelijke binnen een paar uur weer on-line gezet zouden moeten kunnen worden. Een paar uur is voldoende om de directe schade in te perken, en het mogelijke legale gebruik van de gegevens kan meestal niet uitgesloten worden (zelfs de techniek van virussen en botnets is vaak erg interessant voor informatici).
4. Het decryptiebevel aan de verdachte
Zoals al eerder genoemd, is de veiligheid van computersystemen gebaat bij absolute geheimhouding van bijvoorbeeld prive-sleutels. Het decriptie-bevel zorgt dat het gebruik hiervan een straf van 3 jaar kan opleveren als je een wachtwoord kwijt bent. Voor de computer security in Nederland zou het gebruik van encryptie juist bevorderd moeten worden.
5. De heling van gegevens
Het lijkt mij onmogelijk om gegevens op hun herkomst te beoordelen. Strikt genomen, wordt volgens dit voorstel de originele producent strafbaar als zijn gegevens door een misdrijf gekopiëerd zijn, aangezien hij zelf ook over gegevens beschikt die door een misdrijf zijn verkregen (door de hacker).
Het argument dat "gestolen" informatie gedeeld mag worden in het algemeen belang is niet sluitend. Het algemeen belang kan in veel gevallen betwist worden, en als de informatie dan al in de krant staat zou plotseling iedereen crimineel zijn. Als de rechter zou beoordelen dat Edward Snowden niet in het algemeen belang gehandeld heeft, zou de halve wereldbevolking volgens deze wet vervolgd kunnen worden.
Maar naast deze logische exercities is er nog een principiëler bezwaar, namelijk dat deze wet het hebben van bepaalde gegevens strafbaar stelt, wat het begin vormt van censuur. Omdat niemand de gegevens mag hebben, kan ook niet meer beoordeeld worden, of het terecht is dat ze niet gedeeld mogen worden.
Hierbij mijn reactie, geordend op maatregelen:
Decryptiebevel:
Het verplicht meewerken aan je eigen veroordeling op een manier die ook mogelijk zou zijn zonder je medewerking, druist in tegen de aard van ons rechtssysteem. Decryptie is immers enkel tijdrovend en er kan dus niet dezelfde verplichting hebben als bijvoorbeeld een dna-test of blaastest. Deze testen kunnen niet worden afgelegd zonder medewerking van een verdachte en zijn dus terecht verplicht. Niet vergetend dat mocht een verdachte zijn wachtwoord kwijt raken, dit kan worden gezien als moedwillig bewijs achterhouden. Er ontstaat een situatie waarin heel Nederland al zijn wachtwoorden op alles wat hij ooit heeft versleuteld zal moeten onthouden, of het risico lopen dat dit gebrek aan kennis extra tijd bij zijn mogelijke veroordeling optelt.
Toevoeging: Er zijn op dit moment al mogelijkheden om encryptie toe te passen op zo’n manier dat het zonder het juiste wachtwoord onmogelijk is om überhaupt te bewijzen dat er een verborgen versleuteld bestand is. De data lijkt op willekeurige ruis overgebleven van bestanden en programma’s. Ook is het mogelijk om bestanden met twee wachtwoorden te versleutelen, één wachtwoord opent de verborgen informatie waar de politie naar op zoek is en de ander opent wat simpele bestanden, enkel om te bewijzen dat het juiste wachtwoord is gegeven. Hierin is het dus nog steeds onmogelijk om iemand te veroordelen, zelfs al is het strafbaar om je wachtwoord niet te geven. Er kan immers geen onderscheid gemaakt worden tussen het juiste wachtwoord en het ‘neppe’ wachtwoord. Deze technieken zijn al bekend onder criminelen en worden veelvuldig gebruikt. Als de beoogde doelen van een maatregel al zo zijn weerlegd door de realiteit van de dag dan vervalt ook het nut van de maatregel.
Terughacken:
Bij het terughacken zijn in mijn ogen meerdere complicaties.Ten eerste: uit de ruime omschrijving van het wetsvoorstel blijkt dat de politie het recht zou krijgen om ook niet persoonlijke systemen te hacken. Wanneer een verdachte een cloudopslagdienst gebruikt, is het dus wettelijk mogelijk om alle opgeslagen data van die cloudopslag te gebruiken in het onderzoek. Hiermee wordt echter een onnodig groot deel van de ‘internetbevolking’ getroffen.
Ten tweede zouden alle hackpogingen en daarmee verkregen informatie bekend moeten worden gemaakt aan de verdachte tijdens zijn proces of nadat zijn verdenking vervalt. Er is dan immers geen reden meer om de praktijken geheim te houden en in een strafzaak is het van belang dat de verdediging gebruik kan maken van alle beschikbare informatie, informatie die mogelijk juist vóór de verdachte pleit.
Ten derde: er zijn geen grenzen gesteld aan de bevoegdheid van het terughacken en dit zou dus wereldwijd kunnen gebeuren. Wanneer de Nederlandse politie inbreekt op bijvoorbeeld de servers van een ander land omdat er mogelijk één gebruiker is met criminele activiteiten op die servers, zal dit uiteindelijk leiden tot conflicten met de wetten in die landen en de voorgenomen soevereiniteit van ieder land. De mogelijke nadelen van deze maatregel worden onvoldoende belicht door de minister en zouden kunnen leiden tot een hoop problemen op zowel diplomatiek als economisch vlak.
Algemeen:
In deze wet wordt opnieuw gebruik gemaakt van de angsten van de Nederlandse bevolking. Bij de melding van terrorisme en kinderporno kan immers niemand bezwaar maken. Toch blijkt dat ondanks de bevoegdheden die de politie bij deze wet zou ontvangen, er toch succesvol kan worden opgetreden tegen deze vormen van criminaliteit. Bewijs hiervan is het gebrek aan terroristische aanslagen in Nederland en de recente aanhoudingen van pedofielen. Wat we in werkelijkheid zullen zien bij deze bevoegdheden is dat de situaties waarin ze gebruikt worden, steeds ruimer zijn. Immers valt een hoop misdaad te scharen onder terrorisme. Volgens Van Dale is terrorisme “het onder druk zetten van een regering of bevolking door daden van terreur”. Hieruit blijkt de mogelijkheid tot misbruik al, het kan immers worden bepleit dat iedere vorm van criminaliteit de regering of bevolking onder druk zet.
Afsluitend wil ik erop wijzen dat enige terughoudendheid van de overheid naar dit soort privacy- en rechten inperkende maatregelen gepast zou zijn. Sinds 2001 zijn de mogelijkheden van opsporingsdiensten al veelvuldig vergroot en de effectiviteit hiervan staat niet vast. In plaats van de effectiviteit van de bestaande maatregelen te toetsen tegen hun privacy vermindering wordt er simpelweg geroepen om meer mogelijkheden. Het is echter simpel om de politie extra rechten te geven maar moeilijk om ze weer af te nemen. Dit zou ook moeten blijken in het besluit proces door achterdochtig te staan tegenover elke vorm van uitbreiding van de middelen van de politie waarvan de voordelen twijfelachtig zijn en de impact op de bevolking en rechtsstaat groot.