Verslag van de vergadering van 19 juni 2018 (2017/2018 nr. 34)
Status: gecorrigeerd
Aanvang: 13.53 uur
Mevrouw Bredenoord i (D66):
Voorzitter. De afgelopen jaren is onze maatschappij in rap tempo afhankelijk geworden van digitale middelen. De leden van de D66-fractie delen de zorg dat in dit digitale tijdperk een aanval op en uitval van digitale infrastructuur maatschappelijk ontwrichtend kan zijn. Het afgelopen vrijdag uitgebrachte Cybersecuritybeeld Nederland 2018 van de NCTV bevestigt een permanente digitale dreiging en aanhoudende cybercriminaliteit.
Mijn fractie erkent dat er door de technologische ontwikkelingen behoefte is aan aanvullende maatregelen om onze digitale infrastructuur veiliger te maken. Het onderhavige wetsvoorstel behelst uitbreiding van opsporingsbevoegdheden in het kader van strafrechtelijke onderzoeken door onder meer politie, justitie en bijzondere opsporingsdiensten of -ambtenaren. Het creëert onder andere de bevoegdheid tot het op afstand heimelijk binnendringen van een geautomatiseerd werk, met andere woorden: het creëert een hackbevoegdheid. Een dergelijke vergaande bevoegdheid behoeft krachtige legitimatie, waarborgen en toezicht.
De leden van mijn fractie hebben met instemming kennisgenomen dat het regeerakkoord 10 miljoen extra beschikbaar stelt voor de uitvoering van deze wet. Kan de minister aangeven hoe deze 10 miljoen specifiek ingezet zal worden?
In onze eerdere inbreng heeft mijn fractie zorgen geuit over het stimuleren van een zwarte markt in zero-daysoftware. Het hacken van apparaten met gebruik van onbekende kwetsbaarheden kan uiteindelijk tot een onveiliger in plaats van een veiliger internet leiden. Immers, de opsporingsinstanties kunnen een belang hebben bij het in stand houden van onbekende kwetsbaarheden, waardoor deze kwetsbaarheden ook niet gemeld worden bij fabrikanten van de software en de hardware, en het beveiligingsprobleem dus niet verholpen wordt. Door amendering in de Tweede Kamer, waarbij een verplichting wordt geïntroduceerd onbekende kwetsbaarheden te melden die bij de politie bekend zijn geworden bij toepassing van de hackbevoegdheid, met uitzondering van een zwaarwegend opsporingsbelang, en door de afspraak in het regeerakkoord om niet of slechts in uitzonderlijke omstandigheden hacksoftware in te kopen kan deze zorg wat worden verminderd.
De leden van mijn fractie nemen daarom met instemming kennis van het voornemen in het regeerakkoord dat slechts "in een specifieke zaak" en onder voorwaarden hacksoftware zal worden ingekocht door opsporingsdiensten. Wat er echter bedoeld wordt met die "specifieke zaak" is mij nog niet duidelijk. Kan de minister verhelderen en afbakenen wat precies bedoeld wordt met: in een specifieke zaak? Wat moeten we ons daarbij voorstellen? Wordt er case-by-case besloten? En zo ja, door wie en met welke criteria en voorwaarden? Door wie en met welke criteria wordt gezorgd dat deze subsidiariteit gewaarborgd is?
Mevrouw Strik i (GroenLinks):
Ik deel de zorg van mevrouw Bredenoord dat "een specifieke zaak" niet nader is gespecificeerd. Zij vraagt om nadere afbakening. Welke criteria zou mevrouw Bredenoord zelf gerechtvaardigd of voldoende vinden?
Mevrouw Bredenoord (D66):
Ik ben met name benieuwd naar de antwoorden van de minister op dit gebied. Die wil ik eerst afwachten. Wat mij betreft is het niet per zaakspecifiek, dus niet case-by-case, maar moet dat te maken hebben met uiteindelijke noodzakelijkheid. Er zit wel een bepaalde gelaagdheid in of het nodig zal zijn, want er zijn natuurlijk ook andere mogelijkheden om binnen te dringen en aan gegevens te komen. Ik zit aan die kant te denken, maar ik wil eerst even de antwoorden van de minister afwachten.
Mevrouw Strik (GroenLinks):
Dan komen we daar later nog op terug.
Mevrouw Bredenoord (D66):
Dat denk ik ook.
De heer Aardema i (PVV):
Ik was even benieuwd of de D66-fractie met mij zich afvraagt of als je dat in dat ene specifieke geval doet, het gerechtvaardigd is om daarna het hele programma weg te gooien. Ik kan mij voorstellen dat je de resultaten vervolgens gaat wissen of weggooien, maar je gaat toch niet dat hele programma dan ook weggooien?
Mevrouw Bredenoord (D66):
Ook hier wil ik eerst de antwoorden van de minister afwachten, want het hangt er wat mij betreft van af hoe relevant en mogelijk ontwrichtend die onbekende kwetsbaarheden zijn; om welke infrastructuur het potentieel gaat. Het maakt nog wel uit of dat gaat om alle besturingssystemen van Microsoft of om een wat kleinere kwetsbaarheid. Ik vind het moeilijk om daar een heel algemeen antwoord op te geven.
De heer Aardema (PVV):
Ik wil er toch nog graag even op doorgaan. Als je een brief wil schrijven, dan zou je het programma Word kunnen aanschaffen, maar als je die brief klaar hebt, dan ga je toch Word niet weggooien? Dat is toch zonde?
Mevrouw Bredenoord (D66):
Dat ben ik met u eens.
Voorzitter. Malware kan onze samenleving platleggen, zeker ook essentiële infrastructuur zoals ziekenhuizen, zoals we hebben kunnen ervaren tijdens het WannaCry-incident. Wat draagt het wetsvoorstel bij aan het tegengaan van malware? Welke risico's ziet de minister in het in stand houden van een markt van onbekende kwetsbaarheden?
Het WannaCry-incident was een voorbeeld van hoe het niet rapporteren van kwetsbaarheden heeft geleid tot een mondiale cyberaanval, zoals ook expliciet is besproken tijdens de deskundigenbijeenkomst.
Met name de uitbreiding van de bevoegdheden met betrekking tot het heimelijk binnendringen van een geautomatiseerd werk op afstand roept vragen op. Hoe verhoudt de voornoemde bevoegdheid zich tot artikel 8 EVRM en de jurisprudentie van het Europese Hof? Het gaat daarbij in het bijzonder om de proportionaliteit van de inbreuk op de persoonlijke levenssfeer. Het gaat immers om in potentie zeer grote hoeveelheden gegevens, zeker nu in het Internet of Things vele elektronische apparaten met elkaar verbonden zijn en gegevens in de cloud zijn opgeslagen.
De Afdeling advisering van de Raad van State heeft specifiek op dit punt kritiek geuit en differentiëring aangeraden naarmate van ingrijpendheid van de bevoegdheid. De regering gaf in haar reactie aan: "Voor het verrichten van deze onderzoekshandelingen is een misdrijf vereist dat een ernstige inbreuk op de rechtsorde oplevert en waarop naar de wettelijke omschrijving een gevangenisstraf van acht jaar of meer is gesteld, of een misdrijf dat bij algemene maatregel van bestuur is aangewezen." Kan de minister aangeven of er ook verder nog aan dit advies tot differentiëring tegemoet is gekomen?
Het aanwijzen van misdrijven waarvoor bevoegdheid tot binnendringen van een geautomatiseerd bestand nodig is, wordt geregeld in een AMvB. De leden van de D66-fractie zijn voorstanders van een lijst met een limitatieve opsomming van specifieke misdrijven waarvoor de hackbevoegdheid gebruikt mag worden, zoals ook voorgesteld is door de Nederlandse orde van advocaten. De voorgenomen AMvB kent geen voorhangprocedure. Kan de minister toezeggen dat de betreffende AMvB ter inzage wordt voorgelegd? Is de minister ook van mening dat dit van belang is in het beoordelen van de proportionaliteit van dit voorstel?
Mevrouw Strik (GroenLinks):
De GroenLinks-fractie heeft moeite met de AMvB. Een van de redenen hiervoor is dat de wettelijke waarborg van acht jaar strafbedreiging die wij hebben, zou kunnen worden ondermijnd door soepelere normen in een AMvB. Wij hebben vanuit staatsrechtelijk oogpunt moeite met het systeem dat een AMvB haaks zou kunnen staan tegenover of afwijkend is van die belangrijke norm in de wet. Hoe kijkt de D66-fractie daartegenaan.
Mevrouw Bredenoord (D66):
Ik denk dat dat precies de reden is dat wij graag die AMvB willen inzien en eventueel kunnen behandelen, want het is heel belangrijk wat daarin wordt aangewezen.
De voorzitter:
Tot slot, mevrouw Strik.
Mevrouw Strik (GroenLinks):
Dat begrijp ik, maar daarmee is de rol van de medewetgever nog niet gezekerd. We kunnen er een mening over hebben en daar een debat over voeren, maar dat is iets anders dan nu deelnemen aan het wetgevingsproces en al dan niet toestemming verlenen.
Mevrouw Bredenoord (D66):
Ook dat ben ik met u eens. Ik denk eerlijk gezegd dat als de minister nu toezegt dat die AMvB hier besproken wordt, we in ieder geval een stap vooruit zijn. Overigens wordt de wet na twee jaar geëvalueerd. Dat lijkt me ook een belangrijke waarborg.
De voorzitter:
Mevrouw Strik, een kleinigheidje nog.
Mevrouw Strik (GroenLinks):
Moet ik het zo begrijpen van de D66-fractie dat op het moment dat de AMvB hier wordt voorgehangen, dat voldoende waarborg voor de fractie is en dat de fractie er dan mee kan leven dat er wordt afgeweken van de wettelijke norm?
Mevrouw Bredenoord (D66):
Als u het goed vindt, wacht ik eerst de antwoorden van de minister af. Het hangt van heel veel meer af dan alleen van dit specifieke punt.
Mevrouw Gerkens i (SP):
Daarop aansluitend wil ik een stapje terugnemen, want ik hoor nu verschillende termen over tafel gaan. Wil D66 dat de AMvB daadwerkelijk wordt voorgehangen? Erover praten kunnen we altijd, ermee instemmen is een tweede. Wat beoogt D66 op dit punt?
Mevrouw Bredenoord (D66):
Waar het ons om gaat, is dat wij mee kunnen kijken en eventueel discussie kunnen voeren over wat er in die AMvB wordt geregeld. Dat is wat wij beogen. Wat er in de AMvB wordt geregeld, is een belangrijk onderdeel van de discussie over proportionaliteit van het wetsvoorstel.
Mevrouw Gerkens (SP):
Daar ben ik het helemaal mee eens. Ik zou dan willen zeggen: mee kunnen beslissen. Zijn dat woorden die u ook zou gebruiken of zegt u: nee, dat gaat ons te ver?
Mevrouw Bredenoord (D66):
In materiële zin sowieso, ja.
Voorzitter. Zoals de minister zelf al aangeeft in de memorie van antwoord vormt rechterlijke toetsing volgens het EHRM de beste waarborg voor onafhankelijkheid, onpartijdigheid en een degelijke procedure. Wordt elke gebruikmaking van de bevoegdheid tot het binnendringen in een geautomatiseerd werk voorafgegaan door rechterlijke toetsing? Kan de minister nog eens helder uitleggen welke vormen van toetsing aan deze bevoegdheid worden voorafgegaan, inclusief toetsing door de Centrale Toetsingscommissie?
Een specifiek punt van zorg is de toegang tot de camera- en microfoonfunctie op elektronische apparaten. Kan de minister aangeven welke specifieke waarborgen hiervoor gelden of anders toegezegd kunnen worden?
Een ander punt van zorg is hoe ermee moet worden omgesprongen dat gegevens van andere personen dan de verdachte eveneens worden overgenomen of doorzocht. Het kan namelijk voorkomen dat er sprake is van een geautomatiseerd werk waarvan, naast de verdachte, nog andere personen gebruikmaken. De privacy van deze onschuldige derden dient voldoende te worden gewaarborgd. Kan de minister toelichten hoe de verplichting tot notificatie van de betrokkene in de praktijk in zijn werk gaat en hoe voorkomen kan worden dat ook gegevens van deze derden worden opgeslagen?
Voorzitter. Voorts willen we vragen stellen over de zogenaamde take-downbevoegdheid, waarbij de politie bepaalde online informatie ontoegankelijk kan maken. De notice-and-take-downprocedure is een procedure waarbij een partij in kennis wordt gesteld van onrechtmatig of strafbaar materiaal op een online platform met het verzoek dit te verwijderen. Aanvullend op de notice-and-take-downgedragscode biedt de wet aan de politie de mogelijkheid materiaal te verwijderen, maar mogelijk ook tot blokkades van IP-adressen en hele servers.
In de deskundigenbijeenkomst in de Eerste Kamer uitten sommige deskundigen hun zorgen dat dit kan leiden tot een censurerende internetpolitie of zelfs een internetblokkade. Ook uitten deskundigen hun zorgen over het gebrek aan toetsing achteraf. De toetsing op de hackbevoegdheid geldt immers niet voor de take-downbevoegdheid. Wat vindt de minister van het voorstel om een onafhankelijke commissie toezicht te geven op de rechtmatigheid van de inzet van de take-downbevoegdheid? Graag een reactie van de minister.
Voorzitter. De nieuwe bevoegdheden zoals hacken en de take-downbevoegdheid zijn wellicht noodzakelijk om criminaliteit in het digitale tijdperk te bestrijden, maar mogen alleen onder strikte voorwaarden en toetsing worden toegepast. We zien uit naar de antwoorden van de minister.
De voorzitter:
Dank u wel, mevrouw Bredenoord. Ik geef het woord aan mevrouw Sent.