De Nederlandse autoriteiten zijn voor het gebruik van hacksoftware afhankelijk van de "onmisbare expertise" van commerciële leveranciers. Screening door de AIVD en bindende contractuele afspraken moeten risico's over het gebruik van dergelijke software door de politie wegnemen, zo heeft minister Yesilgöz van Justitie en Veiligheid laten weten tijdens een debat met de vaste commissie voor Justitie en Veiligheid over de politie.

In mei oordeelde de Inspectie Justitie en Veiligheid dat het gebruik van commerciële hacksoftware door de politie een risico blijft, aangezien de softwareleverancier toegang tot verkregen gegevens kan krijgen. Ook zijn er daardoor spanningen met het rechtskader. De Wet Computercriminaliteit III geeft politie de bevoegdheid om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen. De Inspectie Justitie en Veiligheid houdt toezicht op de inzet van deze hackbevoegdheid.

Volgens de Inspectie is de hacksoftware voor zowel de politie als Inspectie een 'black box' en is onbekend hoe die precies werkt. De softwareleverancier kan hierdoor toegang tot alle binnengehaalde informatie krijgen, wat een risico is. Een conclusie die de Inspectie eerder ook al in 2019 en 2020 stelde. De leverancier van de hacksoftware heeft de servers die de politie hiervoor gebruikt in technisch beheer en kan hier op afstand op inloggen om beheer- en supportwerkzaamheden uit te voeren.

Werkzaamheden die de leverancier uitvoert kunnen, mogelijk zelfs tijdens uitvoering van een bevel, gevolgen hebben voor de werking en functionaliteit van de software. Hoewel met de leverancier is afgesproken dat deze uitsluitend mag inloggen na toestemming van de politie, kan de politie dit niet technisch controleren of beperken. Tijdens het debat vroeg VVD-Kamerlid Michon-Derkzen hier opheldering over.

"Onmisbare expertise op dit terrein ligt bij commerciële partijen. Dat is wel wat het is. De Nederlandse overheid is in die zin vaker afhankelijk van goede samenwerking met commerciële partijen vanwege de onmisbare expertise. Daar heb ik het vaker over gehad in deze commissie. Het zal ook vaker gebeuren, maar dat is de realiteit waar we mee te dealen hebben", reageerde de minister.

Volgens Yesilgöz zijn er echter maatregelen genomen om de risico's te beperken. "Door screening door de AIVD van leveranciers van commerciële software en het maken van bindende contractuele afspraken met leveranciers wordt wel de integere uitvoering geborgd. Op die manier hebben we altijd de borging geregeld." Na de zomer verschijnt nog een evaluatie rapport over de Wet computercriminaliteit. De minister sluit niet uit dat er dan verder over het onderwerp wordt gesproken.