Hacken zonder wettelijke basis

In mei dit jaar maakte het Openbaar Ministerie bekend dat de politie had meegedaan aan een wereldwijde actie tegen ‘Blackshades’ malware. Met Blackshades kunnen mensen een computer op afstand overnemen en informatie kopiëren (naast nog andere functionaliteiten). In het persbericht op de website van het OM staat:

“Het Team High Tech Crime van de Nederlandse politie zag dinsdagavond kans een server van Blackshades binnen te gaan en een groot deel van de aanwezige informatie veilig te stellen. Het is onbekend gebleven waar deze server zich bevindt.”

Deze verklaring impliceert dat de opsporingsinstanties op afstand een server zijn binnen getreden en data hebben gekopieerd. Met andere woorden, de autoriteiten hebben een server gehackt om informatie veilig te stellen zonder dat ze de locatie van de server wisten. En inderdaad, recente antwoorden op vragen van parlementsleden bevestigen dat de computer op afstand is binnengetreden (gehacked) door opsporingsdiensten tijdens de wereldwijde Blackshades-operatie in mei 2014. Bovendien verklaarde de minister van Veiligheid en Justitie in zijn brief aan de Tweede Kamer dat artikel 125i van het Nederlandse Wetboek van Strafvordering (hierna: Sv) ruimte biedt om op afstand een computer binnen te treden (ook door middel van hacken) teneinde opgeslagen informatie op deze computers kopiëren. De opsporingsmethode is slechts in een paar zaken toegepast met een machtiging van een rechter-commissaris, zo laat de bewindsman weten.

Het probleem met deze brief is dat er voor hacken geen wettelijke basis bestaat in het Nederlandse Wetboek van Strafvordering. De verklaring van de minister is naar mijn mening zorgelijk, omdat een bijzondere opsporingsbevoegdheid heel ruim wordt geïnterpreteerd om aan de behoeften van opsporingsinstanties te voldoen. Dit ondermijnt een fundamenteel beginsel van ons rechtssysteem.

Artikel 125i Sv biedt geen wettelijke basis voor hacken

Artikel 125i Sv voorziet in een slecht begrepen opsporingsbevoegdheid die het mogelijk maakt een ​​plaats te doorzoeken teneinde informatie veilig te stellen dat is opgeslagen in computers. Het artikel verwijst dan ook expliciet naar bestaande opsporingsbevoegdheden voor het doen van een doorzoeking en inbeslagname van ‘voorwerpen’ op een bepaalde plaats door opsporingsautoriteiten. Daarom moet art. 125i Sv altijd worden gelezen in samenhang met de bevoegdheid een bepaalde plek te doorzoeken, daar een computer in beslag te nemen en vervolgens te zoeken naar de relevante gegevens op een computer. In de brief lijkt de minister deze expliciete verwijzing naar de bestaande doorzoekingbevoegdheden gewoonweg te negeren.

Een officier van justitie kan bijvoorbeeld beslagleggen op een computer bij een hostingprovider en vervolgens de gegevens de opgeslagen gegeven op een computer doorzoeken, teneinde de gezochte gegevens veilig te stellen op basis de juridische grondslag van art. 125i Sv en art. 96c Sv. Deze opsporingsbevoegdbevoegdheden van een doorzoeking op een bepaalde plaats en inbeslagname zijn als onderzoeksmethode simpelweg verschillend van hacken als opsporingsmethode. Het meest opvallende verschil tussen hacken en een huiszoeking of inbeslagname van computers, is dat hacken in het geheim en op afstand plaatsvindt, terwijl een doorzoeking en inbeslagname van een computer plaats vindt op een bepaalde plaats in het bijzijn van getuigen.

Wellicht is het Nederlands wettelijk kader om gegevens op computers te analyseren verouderd. Ook  zijn er goede redenen waarom opsporingsinstanties de behoefte voelen om op afstand toegang te krijgen tot computers om informatie te verkrijgen binnen een opsporingsonderzoek. Maar een belangrijk principe en essentieel voor de rechtsstaat is dat (ook) opsporingsinstanties zijn gebonden aan de wet. In mijn ogen, zoals ik in 2011 en 2013 uitgebreid heb betoogd, voorziet het Nederlandse Wetboek van Strafvordering niet in een ‘hack-bevoegdheid’ voor politie en justitie.

Strafvorderlijk legaliteitsbeginsel

Opsporingsmethoden die een meer dan geringe inbreuk maken op de persoonlijke levenssfeer van mensen of de integriteit van een strafrechtelijk onderzoek in gevaar brengen, vereisen een gedetailleerde regeling in het Wetboek van Strafvordering. Dit ‘strafvorderlijk legaliteitsbeginsel’ zorgt ervoor dat ingrijpende bevoegdheden van de overheid worden geregeld door de wet en willekeurige inbreuken van de overheid in het privéleven van burgers wordt voorkomen. Het principe zorgt er ook voor dat opsporingsbevoegdheden van de overheid voorzienbaar zijn voor de burger. In wezen beteugelt dit legaliteitsbeginsel overheidsmacht, hetgeen essentieel is voor de rechtsstaat.

Daarom vind ik het merkwaardig onze minister van Veiligheid en Justitie een zeer brede en discutabele interpretatie van de wet onderschrijft, om zo de opsporingsinstanties in staat stellen computers te hacken. De uitspraak is ook bijzonder te noemen gezien het feit dat er een nieuw wetsvoorstel onderweg is, dat juist tot doel heeft ‘hacken als opsporingsbevoegdheid’ voor politie en justitie te reguleren. Deze ‘Wet Computercriminaliteit III’ zal begin 2015 door de minister aan de Tweede Kamer worden aangeboden.

Het is noodzakelijk dat een democratisch wetgevingsproces vooraf gaat aan het geven van ingrijpende en controversiële nieuwe bevoegdheden voor Nederlandse opsporingsinstanties. Onze volksvertegenwoordigers hebben de macht om te bepalen onder welke voorwaarden hacken door politie en justitie eventueel wordt toegestaan. Maar voordat die bevoegdheid er is, is het belangrijk dat een belangrijk fundamenteel principe als het strafvorderlijk legaliteitsbeginsel niet wordt genegeerd.


Dit artikel verscheen 30 oktober 2014 op de Leiden Law Blog (in het Engels) en is met toestemming van de auteur op ISP Today gepubliceerd.