Lessen uit het buitenland voor gebruik hackmiddelen in Nederland
Uit eerder onderzoek bleek dat er knelpunten zijn rondom de uitvoering van de hackbevoegdheid in Nederland, onder andere bij het keuren van door de politie gebruikte hackmiddelen. Deze keuring is een belangrijke waarborg voor de kwaliteit van de gegevens die met hackmiddelen worden verzameld. Dit nieuwe WODC-onderzoek heeft geleid tot een aantal scenario’s die handvatten bieden om deze knelpunten het hoofd te bieden. In het rechtsvergelijkend onderzoek zijn verschillende landen met elkaar vergeleken. De scenario’s bieden Nederland lessen uit het buitenland, zowel over de keuring als over het houden van toezicht op de inzet van de hackbevoegdheid.
Sinds 1 maart 2019 beschikt de Nederlandse politie over een hackbevoegdheid. In beginsel mag de politie alleen een hackmiddel (‘technisch hulpmiddel’) inzetten als deze voorafgaand aan het gebruik ervan wordt gekeurd en goed bevonden door een onafhankelijke keuringsdienst. Het doel hiervan is de kwaliteit (betrouwbaarheid, herleidbaarheid en integriteit) van de met het hackmiddel verzamelde gegevens te waarborgen. Zowel de Inspectie Justitie & Veiligheid als het WODC concludeerden in eerdere onderzoeken dat de inzet van middelen en de keuring nog niet verlopen zoals volgens het wettelijk kader bedoeld.
Keuring commerciële producten
Eén van de obstakels in het Nederlandse keuringsproces is dat de Keuringsdienst bij commerciële producten die de Nederlandse politie gebruikt voor het hacken, geen volledig inzicht krijgt in de werking van het product (broncode). Ook kan niet worden gegarandeerd dat een leverancier van zo’n product zich op geen enkel moment toegang verschaft tot de verzamelde gegevens. Uit het onderzoek van het WODC komt naar voren dat in Zwitserland geregeld is dat inzicht moet worden verschaft in de broncode. Ook kan een leverancier geen toegang hebben tot de verzamelde gegevens. Gedurende het onderzoek is niet duidelijk geworden in hoeverre de Zwitserse autoriteiten daadwerkelijk beide vereisten hebben kunnen realiseren. Mocht Zwitserland een werkbare oplossing hebben gevonden, dan is het voor de politie, het Openbaar Ministerie en beleidsmakers in Nederland waardevol om te verkennen hoe dit op soortgelijke manier in Nederland gerealiseerd kan worden.
Aandacht voor risicoanalyses
In verschillende landen in Europa controleert men de kwaliteit van de gegevens op een andere manier dan Nederland dat doet. Er is bijvoorbeeld veel minder gedetailleerd beschreven aan welke eisen een hackmiddel moet voldoen. Tegelijkertijd heeft de buitenlandse manier van werken tot nu toe, voor zover bekend, nog niet tot wezenlijke discussies in de rechtbank geleid. Dit biedt mogelijk ruimte voor meer maatwerk ten aanzien van de keuringseisen. Bijvoorbeeld meer aandacht voor risicoanalyses tijdens de keuring naar Duits voorbeeld. In Nederland zou het volgens de opsporingspraktijk nog te veel gaan om een goedkeuring van (alle) keuringseisen in plaats van de vraag wat het risico is als aan een bepaalde eis niet wordt voldaan.
Toezicht inzet hackbevoegdheid
Naast een keuring is ook toezicht belangrijk in het kader van de kwaliteit van de gegevens. Het toezicht op de hackbevoegdheid is sinds de ontwikkeling van de wet een discussiepunt. In België en Frankrijk houdt een onderzoeksrechter toezicht op de uitvoering van de hackbevoegdheid. De werkwijze in België en Frankrijk ondervangt het probleem in Nederland dat een deel van de zaken niet door de zittingsrechter wordt behandeld. De Zweedse toezichthouder SIN houdt zowel toezicht op de activiteiten van de politie als van het Openbaar Ministerie. Hiermee onderscheidt SIN zich van de taken van de Inspectie Justitie & Veiligheid in Nederland, die alleen toezicht houdt op de politie. Een toezichthouder als SIN ondervangt het probleem dat niet alle zaken voor een zittingsrechter komen en dat een rechter mogelijk niet altijd voldoende in staat zou zijn al het bewijs goed te beoordelen.
Onderstaande geografische kaart geeft weer welke landen een hackbevoegdheid kennen en welke niet.