Verslag van de vergadering van 19 juni 2018 (2017/2018 nr. 34)
Status: gecorrigeerd
Aanvang: 14.06 uur
Mevrouw Sent i (PvdA):
Voorzitter. Vandaag bespreken we een wetsvoorstel dat beoogt het juridisch instrumentarium voor de opsporing en vervolging van computercriminaliteit te versterken. Justitie constateerde enkele jaren geleden al dat computercriminaliteit steeds vaker voorkomt. Tegelijkertijd is er nog een hele wereld te winnen bij het aanpakken van cybercrime. Volgens het Centraal Bureau voor de Statistiek wordt maar 8% van de gevallen van computercriminaliteit gemeld. Het Openbaar Ministerie kan doelgerichte computercriminaliteit niet effectief aanpakken, schrijft het parket in zijn jaaroverzicht van 2017.
Het voorliggende wetsvoorstel voegt enerzijds een aantal feiten toe die strafbaar worden gesteld in het Wetboek van Strafrecht en voegt anderzijds bevoegdheden toe om onderzoek in computers te verrichten in het Wetboek van Stafvordering. Daarmee bevat het wetsvoorstel dus zowel een stuk strafbaarstelling als opsporing.
De verschijningsvormen van online criminaliteit veranderen continu en het voorliggende wetsvoorstel omvat dan ook een reeks voorstellen om de kwetsbaarheden op het terrein van cybersecurity het hoofd te bieden. Die variëren van het strafbaar stellen van online handelsfraude tot het creëren van een nieuwe hackbevoegdheid en van het inzetten van lokpubers tot het aanpakken van heling van computergegevens. De meeste voorstellen kunnen op onze steun rekenen. Onze zorgen richten zich met name op één onderdeel uit het voorliggende wetsvoorstel, te weten de nieuwe hackbevoegdheid. Graag wijs ik de minister op de in deze Kamer in november 2015 met steun van de PvdA aangenomen motie-Hoekstra, waarin de regering wordt verzocht zich in het vervolg te onthouden van een koppeling van separate wetsvoorstellen waardoor de Eerste Kamer de mogelijkheid wordt ontnomen om een separaat politiek eindoordeel te vellen over die eigenstandige wetsvoorstellen. Hoe beoordeelt de minister het voorliggende wetsvoorstel in het kader van deze motie?
Voorzitter. De ongewenste potentiële neveneffecten van het voorliggende wetsvoorstel verdienen bijzondere aandacht. Die hangen samen met de afweging tussen het achterhouden van een kwetsbaarheid vanuit individueel opsporingsbelang en het algemeen belang dat is gediend bij het zo snel mogelijk melden van kwetsbaarheden. Als de politie of het Openbaar Ministerie kennis verwerft van onbekende kwetsbaarheden in hard- of software waarmee heimelijk en op afstand een geautomatiseerd werk kan worden binnengedrongen, dan worden deze in beginsel gemeld aan de fabrikant van de desbetreffende hard- of software. In uitzonderlijke gevallen kunnen er redenen zijn die het melden tijdelijk in de weg staan. In een dergelijk geval kan de officier van justitie, op grond van een zwaarwegend opsporingsbelang, bevelen dat het bekendmaken aan de producent van een onbekende kwetsbaarheid voor het binnendringen in een geautomatiseerd werk wordt uitgesteld. Het amendement van Recourt en Tellegen regelt dat de officier van justitie het bevel om een onbekende kwetsbaarheid niet te melden, pas kan geven na een machtiging van de rechter-commissaris. Graag vraag ik de minister naar zijn mening over de redelijke termijn voor een dergelijk uitstel.
Vanuit verschillende hoeken is tijdens de deskundigenbijeenkomst in deze Kamer de zorg geuit dat deze werkwijze de zoektocht naar kwetsbaarheden door bedrijven juist stimuleert en de vercommercialisering van de digitale kwetsbaarheid bevordert. Want hoewel de politie geen informatie over onbekende kwetsbaarheden zal inkopen, zal zij wel software inkopen die gebruikmaakt van deze kwetsbaarheden. Bedrijven die dergelijke software ontwikkelen, zullen op zoek blijven gaan naar die onbekende kwetsbaarheden om hun software te kunnen blijven vernieuwen en verkopen. Daarmee wordt een markt in stand gehouden die constant op zoek is naar zwaktes en daar gebruik van maakt, maar die ook levert aan landen die het niet zo nauw nemen met de grondrechten van de burgers. Acht de minister dit wenselijk? Zo nee, hoe meent hij dit te kunnen voorkomen?
Het gebruik van softwarepakketten roept associaties op met het digitaliseringsproject Kwaliteit en Innovatie. Heeft de overheid wel voldoende expertise om als opdrachtgever op te treden? En hoe beoordeelt de minister de meldingsplicht in het licht van het gebruik van softwarepakketten die het hacken sterk vergemakkelijken? Immers, de gebruiker weet veelal niet via welke achterdeur deze software in het geautomatiseerde werk van verdachte terechtkomt. "Wat men niet weet, kan men niet melden", en daarmee wordt de meldingsplicht ontweken.
Ook de Raad van State heeft geadviseerd op dit punt omdat hij bang was dat de bevoegdheid tot heimelijk binnendringen ervoor zou zorgen dat er nieuwe openingen ontstaan in systemen die ook door anderen dan de opsporingsambtenaren gebruikt kunnen worden. De regering heeft hierop laten weten dat er geen sprake zal zijn van nieuw gemaakte openingen waardoor het door de opsporingsambtenaar "gehackte" systeem niet zwakker zal worden dan vóór het "heimelijk binnendringen". Waarop baseert de minister deze stelling? Ook hier is sprake van ondoorzichtigheid vanwege het gebruik van softwarepakketten.
Diverse partijen bij de deskundigenbijeenkomst vroegen zich af of de bevoegdheid tot uitstel van de melding niet ingaat tegen de wens om mensen zo goed mogelijk te beschermen. Uitstel van een melding over een zwakte aan diegene die het kan oplossen — de ontwikkelaar van de software waar de zwakte in zit — zal immers kunnen leiden tot het langer uitblijven van een oplossing voor de zwakte, die ook door anderen dan opsporingsambtenaren gebruikt zou kunnen worden. Hoe verhoudt dit zich tot de verantwoordelijkheid van de overheid om haar burgers ook in een online omgeving te beschermen, zo vraag ik de minister. Stimuleert hij met het voorliggende wetsvoorstel niet een cultuur van onveiligheid, zo vraagt de PvdA zich af.
In de schriftelijke behandeling die aan dit plenaire debat voorafging, is reeds veel gewisseld over de rechtvaardiging van de inbreuk op het recht op eerbiediging van het privé-, familie- en gezinsleven. Dit recht is, naast in artikel 10 van de Grondwet, neergelegd in artikel 8 van het Europees Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM). Het artikel bevat een beperkingsclausule waaruit blijkt dat beperkingen op het recht zijn toegestaan wanneer deze zijn voorzien bij wet, ten behoeve zijn van de in het artikel genoemde belangen en noodzakelijk zijn in een democratische samenleving.
Met name de laatste eis, noodzakelijkheid in een democratische samenleving, vormt een punt van discussie voor mijn fractie. In de rechtspraak van het EVRM komt naar voren dat deze noodzaak mede wordt bepaald aan de hand van de beginselen van proportionaliteit en subsidiariteit. Volgens diverse partijen in de discussie voldoet het voorliggende wetsvoorstel niet aan de eis van proportionaliteit. Echter, na aanpassing stelt de wet zwaardere voorwaarden aan de toepassing van een bevoegdheid naarmate de bevoegdheid een zwaardere inbreuk maakt op de persoonlijke levenssfeer in de zin van artikel 8 EVRM en lijkt deze zich beter te verhouden met de proportionaliteitseis.
Goede controle op de naleving van deze differentiatie is daarbij noodzakelijk. Eenmaal binnen in een geautomatiseerd werk valt die toegang immers lastig te beperken tot hetgeen beoogd werd met het bevel. Het is belangrijk goed te waarborgen dat geen gegevens worden meegenomen die buiten het gegeven bevel vallen, zodat de aantasting van de grondrechten van de verdachte niet verder gaat dan noodzakelijk. Is de minister dit met mij eens? Zo ja, hoe zal dit gewaarborgd worden?
Bij de inzet van opsporingsbevoegdheden waarbij gegevens worden verwerkt, zoals het opnemen van communicatie, wordt op de gegevensverwerking toezicht gehouden door de Autoriteit Persoonsgegevens. Daarmee wordt evenwel in veel gevallen nog geen toezicht gehouden op de rechtmatigheid en proportionaliteit van aanwending van de opsporingsbevoegdheid als zodanig, aldus de Raad van State. Daarom is hij, samen met het Autoriteit Persoonsgegevens, van oordeel dat systeemtoezicht wenselijk is waarbij structureel wordt toegezien op de rechtmatige uitoefening van opsporingsbevoegdheden en waarbij door middel van informatie- en communicatietechnologie naar gegevens wordt gezocht en/of gegevens worden verkregen. Dat toezicht zal zich in het bijzonder kunnen richten op de noodzakelijkheid, proportionaliteit en subsidiariteit van de toepassing van de betreffende bevoegdheden.
De controle vindt vooral plaats via de rechter-commissaris vooraf en eventueel achteraf in de rechtszaal. Maar niet alle doorzoekingen leiden tot een rechtszaak, waardoor ook de controle op de grondrechteninbreuk achteraf niet plaatsvindt. Daarnaast beziet de rechter-commissaris de voorgelegde zaken niet in samenhang met andere zaken. Het gevolg is dat er geen sprake is van systeemcontrole. Graag vraag ik de minister toe te lichten hoe het voorgestelde toezicht zich verhoudt tot het advies van de Raad van State op dit punt.
Door de notificatieplicht zal de burger op wie een verdenking rustte, zodra het onderzoek het toelaat op de hoogte worden gebracht van de inbreuk op zijn grondrechten, mits dat redelijkerwijs mogelijk is. Hiermee wordt inhoud gegeven aan het recht van de burger zich over de toepassing van de bevoegdheid bij een rechterlijke instantie te beklagen. Echter, niet elke rechter is een computerexpert en kan goed oordelen over bijvoorbeeld de ingezette software. Datzelfde geldt voor de verdediging. Burgers kunnen met klachten terecht bij de Nationale ombudsman, maar deze kan geen bindende uitspraken doen. En meent de minister dat de bevoegdheden van de Nationale ombudsman volstaan? Volgens prof. Koops van de Universiteit van Tilburg is er een lacune in onafhankelijk toezicht op de vele opsporingsonderzoeken die uiteindelijk niet leiden tot een rechtszaak. Onderschrijft de minister deze analyse? Zo ja, welke voorstellen mogen wij van hem verwachten voor een dekkend stelsel van rechtsbescherming?
Kortom, systeemcontrole lijkt wenselijk zowel voor de rechtsbescherming van burgers als voor het identificeren van knelpunten bij de uitoefening van de bevoegdheden. De Raad voor de rechtspraak pleit voor een nieuw toezichtsorgaan dat de inzet van de hackbevoegdheid naast individueel ook integraal toetst. Amnesty International acht effectief toezicht door een onafhankelijke, juridische instantie op het handelen van opsporingsdiensten een cruciaal onderdeel van een democratische rechtsstaat om misbruik, willekeur en onnodige inbreuken te voorkomen.
Het Rathenau Instituut trok bij de deskundigenbijeenkomst een parallel met het toezicht door de CTIVD op het functioneren van de inlichtingen- en veiligheidsdiensten en uitte de zorg dat de Inspectie Veiligheid en Justitie ... Voorzitter, het is toch "Justitie en Veiligheid"?
De voorzitter:
Het is Justitie en Veiligheid.
Mevrouw Sent (PvdA):
Ik laat dat de voorzitter met genoegen nog een keer herhalen. Ik begin de zin nog een keertje.
Het Rathenau Instituut trok bij de deskundigenbijeenkomst een parallel met het toezicht door de CTIVD op het functioneren van de inlichtingen- en veiligheidsdiensten en uitte de zorg dat de Inspectie Justitie en Veiligheid minder onafhankelijk is in haar opereren en over minder bevoegdheden beschikt. Is de minister het met de PvdA eens dat kritisch en onafhankelijk toezicht op het gebruik dat de opsporingsdiensten maken van hun ruimere bevoegdheden, met waarborgen voor de rechtspositie van de burger, wenselijk is? Zo ja, hoe is hij voornemens systeemcontrole op adequate wijze vorm te geven?
Voorzitter, ten slotte. Gegeven de nieuwe bevoegdheden voortvloeiend uit het voorliggende wetsvoorstel en de snelle technologische ontwikkelingen op het gebied van computercriminaliteit vraagt mijn fractie de minister toe te zeggen de voorziene evaluatietermijn van vijf jaar te bekorten tot twee à drie jaar. Is de minister daartoe bereid? Kan hij daarbij expliciet aandacht schenken aan systeemcontrole?
Daarmee kom ik tot een afronding. Op een aantal punten verwacht mijn fractie een inhoudelijke en gewetensvolle behandeling. Die punten betreffen ongewenste potentiële neveneffecten, noodzakelijkheid en proportionaliteit van het wetsvoorstel, alsmede kritisch en onafhankelijk toezicht. Mijn fractie is er nog niet van overtuigd dat lekken in software niet zo snel mogelijk gedicht moeten worden voordat hackers er lucht van krijgen. Wij beseffen het belang van een uitgebreid instrumentarium voor de opsporing en vervolging van computercriminaliteit, maar zijn er nog niet van overtuigd dat dit opweegt tegen de digitale veiligheid van de wereldwijde samenleving. Het OM schrijft grote stappen te moeten zetten om digitale misdaad adequaat te kunnen bestrijden. "Het komt erop neer dat we meer capaciteit, kennis en expertise nodig hebben", aldus een woordvoerder. Maar daarover gaat het wetsvoorstel nu juist niet.
De voorzitter:
Dank u wel, mevrouw Sent. Ik geef het woord aan mevrouw Strik.