De politie kan commerciële hacksoftware bedoeld voor het binnendringen van systemen van verdachten straks voor meerdere zaken hergebruiken. Daarnaast wordt het toezicht op de hackbevoegdheid aangepast en komt het uitgangspunt om goedgekeurde hacksoftware te gebruiken te vervallen. Dat heeft demissionair minister Yesilgoz van Justitie en Veiligheid aan de Tweede Kamer laten weten. De politie heeft de hackbevoegdheid van 2019 tot en met 2022 in totaal 71 keer ingezet. In 51 gevallen werd er gebruikgemaakt van 'commerciële binnendringsoftware'.

De Wet Computercriminaliteit III geeft politie de bevoegdheid om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen. Hiervoor kan er gebruik worden gemaakt van software die door externe partijen is ontwikkeld. De Inspectie Justitie en Veiligheid stelde afgelopen augustus dat politie zich onvoldoende aan de regels houdt voor de inzet van de hackbevoegdheid. Vorig jaar meldde het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie en Veiligheid dat politie niet goedgekeurde commerciële hacksoftware bij operaties gebruikt. Het kabinet is nu met een beleidsreactie op de rapporten van het WODC en Inspectie gekomen en de knelpunten die werden vastgesteld.

Hergebruik commerciële hacksoftware

Op dit moment schaft de politie commerciële hacksoftware of de benodigde licentie alleen aan voor een specifieke zaak. Daarna moet de software worden verwijderd of is de licentie verbruikt. Het idee hierachter is dat de Nederlandse overheid zo niet de markt voor zerodaylekken stimuleert waar commerciële hacksoftware gebruik van maakt. Een bekend voorbeeld van dergelijke software is de Pegasus-spyware van de NSO Group. De zerodaylekken die het bedrijf gebruikt worden bijvoorbeeld niet bij Apple gerapporteerd, waardoor er ook geen updates voor de betreffende kwetsbaarheden verschijnen.

Nu maakt deze aanpak de aanschaf van commerciële hacksoftware waarschijnlijk duurder en is het ook de vraag of de Nederlandse houding invloed op markt voor zerodaylekken heeft, aldus de rapporten. Daarom gaat het kabinet de regels aanpassen en wordt het mogelijk voor politie om binnendringsoftware aan te schaffen en te hergebruiken in andere zaken. "Indien een andere methode met succes kan worden ingezet, dan wordt daarvoor gekozen. Minder ingrijpende methoden zoals social engineering, handmatig binnendringen of gebruik van rechtmatig verkregen inloggegevens worden eerst overwogen", voegt Yesilgoz toe.

Toezicht

Een ander punt dat gaat veranderen is het toezicht op de hackbevoegdheid. Op dit moment wordt dit per inzet gecontroleerd, bijvoorbeeld op basis van de verschillende typen logging die worden bijgehouden. Volgens de minister is het toezicht op de hackbevoegdheid relatief zwaar en intensief vergeleken met andere bijzondere opsporingsmiddelen. Om dat te veranderen wil de bewindsvrouw toewerken naar systeemtoezicht op de hackbevoegdheid. Hierbij maakt de inspectie straks gebruik van 'politie-interne borgingssystemen' in plaats van zelf tijdens en na elke inzet te controleren.

Keuring

Gegevens die de politie met behulp van de hackbevoegdheid verzamelt moeten betrouwbaar, herleidbaar en integer zijn. Een belangrijke waarborg om hiervoor te zorgen is een keuring van de gebruikte hacksoftware. Volgens het WODC blijkt dat het de politie de afgelopen jaren nauwelijks is gelukt om bij de inzet van de hackbevoegdheid een vooraf goedgekeurd technisch hulpmiddel in te zetten. Dat komt voornamelijk omdat de politie gebruikmaakt van één commerciële hacktool, waarvan de leverancier zich tegen een keuring verzet.

Opsporingsdiensten ervaren dit als een grote belemmering in de uitvoering van de hackbevoegdheid. Daarom is er besloten om het uitgangspunt dat alleen goedgekeurde hacksoftware wordt ingezet te wijzigen. In plaats daarvan worden politie en het Openbaar Ministerie gevraagd om uit te werken dat alle technische hulpmiddelen die gegevens automatisch detecteren, registreren en transporteren ter keuring worden aangeboden bij een keuringsdienst.

Afsluitend laat de minister weten dat op sommige onderdelen meer onderzoek nodig is, omdat het vaak om complexe vraagstukken gaat. "Uiteindelijk is het doel dat de binnendringbevoegdheid een effectiever instrument wordt. Dat is van belang in de strijd tegen ernstige en georganiseerde criminaliteit, maar ook in opsporingsonderzoeken naar moord, cybercrime, terrorisme en seksueel kindermisbruik."