Blijf op de hoogte!

Steun ons en help Nederland vooruit

woensdag 14 december 2016

Inbreng Kees Verhoeven tijdens debat Hackwet

Inbreng Kees Verhoeven tijdens debat Hackwet

Dinsdag behandelde de Tweede Kamer de Hackwet. Kamerlid Kees Verhoeven had een uur spreektijd aangevraagd om zo een meerderheid te overtuigen van het cruciale belang van een veilig internet. Lees hieronder zijn inbreng.

Voorzitter,

Ik heb afgelopen 6 jaar veel debatten gevoerd, maar zelden heb ik hier met zoveel bezorgdheid gestaan. En mijn zorg is dat we hier een gevaarlijke fout maken. Ik heb ook nog nooit een spreektijd van een uur aangevraagd. Ik ben sowieso niet breedsprakig. Maar ik zal die tijd nodig hebben om op een genuanceerde en doordachte manier mijn zorgen over te brengen. En om mijn voorstellen toe te lichten die deze wet voor D66 wel houdbaar maken.

Ik hoop dat ik u, de mensen thuis en mijn collega’s het komende uur, met inhoudelijke argumenten kan overtuigen om deze wet aan te passen. Argumenten op het gebied van veiligheid, democratie, economie, privacy en geopolitiek.

Want voorzitter, we spreken vandaag over de wet computercriminaliteit 3. Een grote wet, met een aantal verschillende onderdelen. De hackbevoegdheid, ontoegankelijk making van gegevens, grooming, online heling en handelsfraude. Een wet die de politie, de Kmar en het FIOD zeer zware bevoegdheden toekent. En een wet die grote negatieve gevolgen heeft voor onze veiligheid.

Voorzitter, voor ik begin aan het grootste onderdeel van wet, namelijk de hackbevoegdheid, heb ik over de andere onderdelen een paar vragen. Allereerst de ontoegankelijk making. We hebben in Nederland een zeer goede Notice And Takedown-gedragscode. Als men daar niet uit komt ligt altijd de gang naar rechter open. In praktijk zien we al dat politie en justitie die vaak proberen te omzeilen en druk te zetten op bedrijven.

Deze wetswijziging lijkt dat omzeilen nu te faciliteren en de Notice- and – Takedown gedragscode uit te hollen. Ook de Raad van State heeft gewezen op de spanning met de vrijheid van meningsuiting een censurerende internetpolitie is wel het laatste dat je van een VVD-kabinet mag verwachten.  Daarom is het goed, voorzitter, dat de rechter-commissaris is aangewezen om die weging zorgvuldig te maken tussen het belang van ontoegankelijk maken en de vrije meningsuiting. En dat de rechter –commissaris daarvoor ook eerst de aanbieder hoort voordat hij de beslissing neemt. Goed dat dat in handen van de rechter ligt voorzitter.

Maar ik wil wel de garantie van de staatssecretaris dat die ontoegankelijk making dus ook alleen gaat gelden voor echt ernstige misdrijven en niet sluipenderwijs voor bagatelzaken. Want dit wetsvoorstel bevat ook een AMvB  waarin de staatssecretaris allerlei misdrijven toevoegt waar veel lagere straffen op staan dan acht jaar en waarvoor de bevoegdheden ook gaan gelden. Dan dreigt deze bevoegdheid toch een soort carte blanche te worden voorzitter. En daar is D66 faliekant tegen. Dus graag een garantie van de staatssecretaris dat de categorie misdrijven ook echt ernstig is juist omdat het OM geen censurerende internetpolitie wil zijn Maar deze bevoegdheid wel gericht wil kunnen inzetten om criminelen te pakken. Graag een reactie van de staatssecretaris.

Voorzitter, met de andere onderdelen van de wet op het gebied van grooming en online heling en handelsfraude kan mijn fractie instemmen. En ik ben blij met het feit dat het kabinet het decryptiebevel eruit heeft gehaald. Je kan van mensen niet vragen om aan hun eigen veroordeling mee te werken, Dat zou de bijl aan de wortel van rechtstaat zetten.

Voorzitter, dan de hackbevoegdheid. De aanleiding voor dit wetsvoorstel ligt niet simpelweg in technologische verandering zoals de toename van het gebruik van encryptie, draadloze netwerken en clouddiensten door criminelen. Het is natuurlijk veel te simplistisch om te zeggen: criminelen gebruiken encryptie, dus moet de politie kunnen hacken. We kunnen de toename in het gebruik van encryptie, draadloze netwerken en clouddiensten namelijk niet los zien van de veel grotere ontwikkeling van digitalisering van de samenleving.

En we kunnen nieuwe bevoegdheden niet beoordelen op de gevolgen voor de opsporingsmogelijkheden alleen zonder de gevolgen te overzien voor onze veiligheid, onze economie, democratie, privacy en geopolitieke situatie.  Natuurlijk voorzitter, de afgelopen decennia is er veel veranderd in de manier waarop we met elkaar communiceren, in plaats van te bellen via de vaste telefoon gebruiken we steeds vaker chatapps. In de manier waarop we informatie opzoeken. In plaats van een tripje naar de bibliotheek googelen we alles wat we willen weten. In de manier waarop we bankieren. Van cashgeld in een enveloppe naar betalen met onze telefoon.

Vrijwel elk aspect van ons leven is volledig veranderd door digitalisering. Werk, vrije tijd, communicatie, de relatie met de overheid, geld, vervoer, alles. Er is bijna geen aspect van ons leven te bedenken waar digitalisering géén rol speelt. Daarmee is ook het belang van die digitale technologie enorm toegenomen.

En voorzitter, dat belang zal alleen nog verder toenemen. We sluiten immers steeds meer apparaten op het internet aan, horloges, thermostaten, koelkasten, speelgoedpoppen, medische apparaten, pacemakers, enzovoort. En in de nabije toekomst krijgen we te maken met zelfrijdende auto’s, fabrieken met alleen nog robots, algoritmes die voor en over ons beslissingen nemen, kunstmatige intelligentie en ga zo maar door.

Kortom, digitale technologie is niet meer weg te denken uit ons dagelijks leven en is van essentieel belang voor onze economie en onze samenleving. En dat belang zal in de toekomst alleen maar toenemen. Dat zal gevolgen hebben. Op economisch vlak. Voor onze vrijheid en veiligheid. En voor de samenhang in onze samenleving. Niet voor niets hebben wij het kabinet herhaaldelijk gevraagd om met een samenhangende visie hierop te komen.

Maar helaas voorzitter, we voeren hier in de Tweede Kamer te vaak deeldiscussies. Zonder de onderliggende verbanden te willen zien. Opsporingsaspecten worden los van economische ontwikkelingen besproken. Ontwikkelingen in Big Data los van privacy bezwaren. En veiligheidsaspecten los van gevolgen voor de samenleving als geheel.

En ook vandaag gaat het weer alleen over het feit dat criminelen digitale technologieën gebruiken zonder dat in de bredere context van een digitaliserende samenleving te zien. En zonder de bredere gevolgen van de voorliggende hackbevoegdheid te zien, voor onze veiligheid, onze democratie, onze economie, onze privacy en de geopolitieke situatie. Het kabinet is hier in de memorie van toelichting en in de nagestuurde brief over 0days, de onbekende kwetsbaarheden, nauwelijks op in gegaan.

En dat is zeer teleurstellend, want dat zorgt ervoor dat we hier wellicht een grote fout begaan. Dat we een wet aannemen zonder de gevolgen goed ingeschat en afgewogen te hebben. Want voorzitter, het feit dat criminelen nieuwe technologieën gebruiken om misdaden te plegen is niet nieuw. Dat is zo oud als de weg naar Rome. Sterker nog, criminelen zijn vaak ‘early adopters’ van nieuwe technologieën. Dat is met ICT niet anders.

Cybercrime is dan ook niks nieuws. Al in 1994 stal Vladimir Levin $10 miljoen dollar van Citibank bankrekeningen vanuit zijn appartement in St. Petersburg. En samenwerkend met handlangers over de hele wereld maakte hij het geld over naar bankrekeningen in Finland, de Verenigde Staten, Nederland, Duitsland en Israël.

Hetzelfde geldt voor virussen en malware. Een van de oudste virussen ooit, het zogeheten ‘Brain virus’, is dit jaar 30 geworden. En sindsdien zijn er ontelbaar veel verschillende virussen  gemaakt. Volgens het antivirusbedrijf Kaspersky Lab zelfs tot 200,000 nieuwe virussen per dag. Virussen die lastig tegen te houden zijn door antivirus software. Volgens onderzoekers zou 95% van alle malware niet tegengehouden worden door antivirus scanners. Een van de redenen die de onderzoekers daarvoor noemen is de toename in zogeheten 0-day aanvallen. Aanvallen die gebruik maken van kwetsbaarheden in software die onbekend zijn bij de maker van de software. Dit is een fundamenteel onderdeel van deze wet. En ik zal hier uitgebreid op ingaan.

Voorzitter, cybercrime heeft grote gevolgen voor onze samenleving. Allereerst kost het gewoon veel geld. Alleen al in Nederland kost cybercrime en spionage zo’n 10 miljard per jaar. En niet alleen individuen zijn doelwit. Juist onze bedrijven zijn een aantrekkelijk mikpunt. Er zijn steeds meer voorbeelden van economische spionage door middel van hacken. Daarmee heeft dit wetsvoorstel ook een geopolitiek aspect. De AIVD waarschuwt dat dergelijke cyberspionage ons concurrentievermogen kan ondermijnen.

China heeft een leger van 180.000 hackers. Bezig om strategische economische, militaire en politieke voordelen te behalen. Wij hebben al moeite om 150 cyberreservisten aan te trekken. Die strijd gaan wij dus nooit winnen van China. Vanuit economische en strategisch geopolitiek aspect heeft Nederland dus enorm veel baat bij een veilig internet. Het gebruiken en achterhouden van kwetsbaarheden door de overheid, waar we het vandaag over hebben, kan dat belang ernstig ondermijnen. We lezen hier helemaal niets over in de wet, de memorie van toelichting of de nota naar aanleiding van het verslag!

En voorzitter, de laatste jaren heeft cybercrime ook een fysiek component gekregen.  Voertuigen zoals gehackte auto’s, tram-systemen, zelfs vliegtuigen en drones. Medische apparaten zoals pacemakers, gehoorapparaten en apparatuur in het ziekenhuis. En kritieke infrastructuur zoals waterkeringen, energiecentrales en sluizen. Maar ook huishoudelijke apparaten zoals webcams, koelkasten en thermostaten die nu via het Mirai Botnet ingezet worden voor DDoS-aanvallen en het versturen van Spam.

Voorzitter, bij deze ontwikkeling gaat het niet alleen om privacy, geld of bedrijfsgeheimen. Maar ook om fysieke veiligheid. Ik zal een aantal voorbeelden noemen. In 1998 slaagde een tiener erin de communicatie tussen inkomende vliegtuigen en de verkeerstoren in Worcester, Massachusetts te verstoren en de baanlichten van de landingsbaan uit te zetten. In 2001 viel een hacker een rioolwaterzuiveringsinstallatie aan in Queensland Australië. Hij liet miljoenen liters rioolwater overstromen in lokale parken en rivieren. Met grote gevolgen voor de lokale biodiversiteit en gezondheidsrisico’s voor bewoners.

In januari 2008 crashte vier trams op elkaar in Lódz in Polen. Tientallen passagiers raakten gewond. Wonder boven wonder was er niemand overleden. Wat bleek? Een 14-jarige hacker had het tramsysteem voor de lol gehackt en de trams doen ontsporen. In 2011 slaagden waarschijnlijk Russische hackers erin om een waterzuiveringsinstallatie in Houston, Texas te vernielen. En ook onze energie-infrastructuur is kwetsbaar.

Op 23 december 2015 werd bijvoorbeeld een energiecentrale in Oekraïne gehackt en zaten 80,000 mensen zonder elektriciteit. Tussen 2005 en 2007 zijn er meerdere aanvallen geweest op het energienetwerk in Rio de Janeiro. Daar kwamen 3 miljoenen mensen zonder energie te zitten. Ik hoef hopelijk niet uit te leggen dat dit levensbedreigende situaties op kan leveren. Naast de enorme economische schade.

Voorzitter, de afgelopen jaren hebben onderzoekers ook gewezen op de mogelijkheden om auto’s te hacken. De moderne auto is een computer op wielen. Onderzoekers konden auto’s op afstand hacken en zo het gaspedaal bedienen of remmen onklaar maken om iemand te laten verongelukken. Hetzelfde geldt voor medische apparaten zoals pacemakers of apparaten die de hartslag of bloedsuikerspiegel moeten meten. Een hacker zou simpelweg de doorgifte van data kunnen manipuleren. En zo iemand in levensgevaar brengen.

Voorzitter, de enorme economische en maatschappelijke gevolgen van hacks op kwetsbare op internet aangesloten apparaten en op internet aangesloten infrastructuur mogen we niet onderschatten. Het gebruiken en achterhouden van kwetsbaarheden door de overheid, zoals het kabinet via deze wet voorstelt, kan er dus toe leiden dat dergelijke hacks makkelijker te verrichten zijn en vaker zullen voorkomen.

Dit geeft het kabinet ook toe in de 0days-brief. Ik citeer: “het laten voortbestaan van een kwetsbaarheid kan een risico inhouden op meer slachtoffers van criminaliteit” Dat staat letterlijk in een kabinetsbrief Dat is precies wat het kabinet nu voorstelt. Dat is dus uitermate inconsistent, inconsequent en vooral: onverstandig!

Maar voorzitter, ook meer traditionele hacks in computers en ICT-systemen kunnen zeer schadelijk zijn voor onze veiligheid. In 2013 werd bijvoorbeeld de Amerikaanse winkelketen Target gehackt. De daders maakten de creditcard gegevens buit van 40 miljoen mensen. Dit soort gehackte credit card gegevens worden ook gebruikt om terroristische activiteiten te financieren. Zowel de aanslag in 2004 in Madrid, als de aanslag in Londen in 2005 waren ten minste deel gefinancierd via gehackte credit cards. Ook dit is een argument dat je moet wegen bij het besluit om de overheid kwetsbaarheden te laten gebruiken en achterhouden.

Voorzitter, ten slotte zien we ook steeds vaker dat onveilige apparaten gebruikt worden voor kindermisbruik. Steeds vaker zien we dat pedofielen minderjarigen benaderen op chatrooms of op social media waarna zij proberen de webcam of telefoon van deze kinderen te hacken. Om vervolgens onopgemerkt naaktfoto’s te maken en de meisjes te chanteren om nog meer te doen. Dit zijn praktijken van pedofielen de we over de hele wereld zien. De beelden worden vervolgens verspreid op het darknet op websites die alleen met de TOR-browser te zien zijn.

Als je vervolgens de kwetsbaarheden in webcams, mobieltjes of tablets in stand houdt als overheid. Dan moet je er ook rekening mee houden dat je kwetsbaarheden in stand houdt die pedofielen juist gebruiken om minderjarigen te hacken. De webcam van iemand die verdacht wordt van valsheid in geschrifte of een milieudelict kan van hetzelfde type zijn als de webcam in de slaapkamer van een 12-jarig meisje. Die daardoor ook kwetsbaar is voor een hack door een pedofiel.

Voorzitter, cybercrime is niet nieuw. Cybercrime is steeds vaker een onderdeel van criminele handelingen en cybercrime is allang geen misdaad meer met alleen digitale gevolgen. Cybercrime heeft reële gevolgen voor onze fysieke veiligheid en de veiligheid van onze kinderen.

En voorzitter, ook voor onze democratie is een veilig internet belangrijk. Cruciaal zelfs. Kijk naar de ontwikkelingen in de Verenigde Staten. Clinton die er een makkelijk hackbare privé mailserver op na hield. De DNC die gehackt werd tijdens de campagne. En de CIA heeft nu zelfs gezegd dat Rusland inderdaad de verkiezingen heeft geprobeerd te beïnvloeden. Kortom: ook voor onze democratie is een veilig internet van groot belang. En dit belang gaat de komende tijd alleen maar toenemen.

Voorzitter, we moeten dit wetsvoorstel ook in de context zien van een tijd waarin de privacy van mensen steeds meer onder druk komt te staan. Dat begon jaren geleden al met het ongevraagd volgen van mensen via cookies en andere trackers. En ook nu nog hebben mensen te weinig mogelijkheden om niet gevolgd te worden.  Bijna elke app die we installeren op onze smartphones vraagt toestemming om jouw persoonlijke data te delen met bedrijven als Acxiom. Een bedrijf dat profielen bijhoudt van honderden miljoenen, misschien wel miljarden, mensen. Profielen met specificaties als naam, geslacht, ras, telefoonnummer, opleidingsniveau, inkomen, leeftijd, lengte, gezondheidsproblemen, politieke voorkeur, beroep, enzovoorts.

Mensen voelen zich daardoor online steeds minder vrij. Kan ik nog wel informatie opzoeken zonder dat anderen dat te weten komen? Bijvoorbeeld als een tiener homoseksuele gevoelens heeft. Of als een student informatie wil opzoeken over SOA’s. Al Gore noemde het ook al de “stalker economy”. En terecht, want al deze beschikbare informatie kan grote gevolgen hebben. Met al deze informatie kan bijvoorbeeld met grote zekerheid ingeschat worden of iemand homoseksueel is. Dat is in Nederland geen probleem, maar in 76 landen is homoseksualiteit nog steeds illegaal. En in landen als Sudan, Iran, Yemen, Nigeria en Saoedi Arabië staat er zelfs de doodstraf op. Voor mij als liberaal is dit soort inperking van de vrijheid van het individu onacceptabel.

En voorzitter, dan hebben we nog de onthullingen van Snowden. Die blootlegde dat Amerikaanse en Britse inlichtingendiensten ongegeneerd, enorme hoeveelheden informatie verzamelden over alles en iedereen. Waarschijnlijk ook over miljoenen onschuldige Nederlanders. Ook werd bekend dat deze inlichtingendiensten encryptie probeerden te ondermijnen. Dat ze vrijwel iedereen mochten en ook konden hacken. En dat al die informatie, vrijwel alles wat iemand online doet, via een zoekmachine genaamd XKeyscore doorzocht kan worden.

Voorzitter, met deze achtergrond is het geen wonder dat mensen zich online proberen te beschermen als de overheid het aflaat. Bijvoorbeeld door middel van encryptie, een VPN en Adblockers. Zo kunnen mensen de digitale man met de regenjas en gaten in de krant van zich afschudden. En met deze achtergrond is het geen wonder dat mensen grote vraagtekens zetten bij meer bevoegdheden voor overheden om te hacken en massasurveillance toe te passen.

Over het laatste zullen we bij de nieuwe Wet op de Inlichtingendiensten nog uitgebreid op terugkomen. Want deze wet computercriminaliteit 3 –die de politie hackbevoegdheid geeft- staat zoals ik al zei helaas niet op zichzelf, maar hij wordt omringd door andere wetten zoals de aftapbevoegdheid voor de AIVD en MIVD en de bewaarplicht voor Telecomaanbieders.

Wetten waarvan de noodzaak amper onderbouwd is. Wetten die elkaar overlappen en onze persoonlijke vrijheid beperken. Wetten waarvan de effectiviteit allesbehalve duidelijk is. Wetten die grote nadelen hebben: hacken via kwetsbaarheden maakt het internet onveilig. En sleepnetten leiden tot databergen die contraproductief zijn.

Voorzitter, ik heb u verschillende redenen gegeven op het gebied van veiligheid, economie, geopolitiek, democratie en privacy waarom we moeten streven naar een veilig internet. Vervolgens voorzitter, zal ik u vertellen waarom ik denk dat deze wet het internet onveiliger maakt. De wet die vandaag voor ligt heet de Wet “in verband met de verbetering en versterking van de opsporing en vervolging van computercriminaliteit”.

Maar dat is niet wat deze wet doet. Deze wet is geen oplossing voor de toename in computercriminaliteit zoals ik die net heb geschetst. Deze wet zal niet zorgen voor minder DDoS-aanvallen, zal niet zorgen voor minder gehackte bedrijfsgeheimen en zal niet zorgen voor minder gehackte webcams.

Want voorzitter, veel cybercrime gebeurt door middel van het misbruiken van kwetsbaarheden in software. Dit wetsvoorstel doet niks om die kwetsbaarheden te dichten.

Sterker nog, integendeel zelfs, dit wetsvoorstel zorgt ervoor dat dergelijke kwetsbaarheden open blijven. Daardoor blijven onze apparaten, smartphones, tablets  en laptops, onveilig. En eigenlijk maakt dit wetsvoorstel ze onveiliger omdat de overheid een prikkel krijgt om de kwetsbaarheden geheim te houden zodat ze open blijven voor gebruik. En doordat de staatssecretaris zelfs niet wil uitsluiten dat de politie hacksoftware koopt van bedrijven als Hacking team, wakkert dit wetsvoorstel zelfs de handel in kwetsbaarheden aan en maakt het internet onveiliger. Hackers zullen immers kwetsbaarheden aan dit soort schimmige bedrijven verkopen, in plaats van aan de maker van de software die de kwetsbaarheid kan dichten.

Dit maakt apparaten onveiliger, met meer hacks tot gevolg.  Hacks door buitenlandse inlichtingendiensten om bedrijfsgeheimen buit te maken. Hacks door criminelen om credit card gegevens te verzamelen. En hacks door pedofielen op webcams van minderjarigen.

Voorzitter, het is alsof we aan iedereen in Nederland vragen de achterdeur open te zetten voor het geval de politie ergens in Nederland een huis moet binnenvallen. En ondertussen is de eerste die bij jou binnen staat een crimineel. En die achterdeur geeft niet alleen toegang tot je eigen huis Maar ook tot alle andere huizen van hetzelfde bouwjaar! Want zo werkt software. Wie één iPhone binnen kan dringen, kan ze allemaal binnendringen.

Voorzitter, wat deze wet wél doet is de politie een vergaande bevoegdheid te geven om verdachten van traditionele misdaden op te sporen. Mensen die verdacht worden van moord of doodslag, maar ook van valsheid in geschrifte of een milieudelict. Liegen op je CV krijgt dus zware gevolgen.

Daarnaast mag de staatssecretaris zelf –zonder controle door de Tweede Kamer- een AMvB opstellen met een lijst van misdaden waarvoor de hackbevoegdheid ook van toepassing is. Een blanco cheque dus. De staatssecretaris kan nu nog zeggen dat het alleen voor zware misdaden bedoeld is, maar in de toekomst kan het voor elke verdenking gaan gelden. De reikwijdte van deze wet is dus groot want hij kan over steeds meer gaan. Over steeds meer mensen. En over steeds meer apparaten. Dit is niet scherp afgebakend en dat baart mijn fractie grote zorgen.

Voorzitter, speelt de politie dan helemaal geen rol in het bestrijden van cybercrime? Zeker wel! Maar die rol begint niet bij nieuwe bevoegdheden. Die rol begint bij goede kennis over cybercrime en goede online recherche. En juist op deze gebieden heeft het kabinet de afgelopen jaren veel bezuinigd.

Voorzitter, is de staatssecretaris het niet met mij eens dat we het beperkte geld dat we hebben beter kunnen uitgeven aan goede online rechercheurs dan aan miljoenen kostende hacksoftware waarvan de werking discutabel en risicovol is?

Voorzitter, zijn er dan helemaal geen nieuwe bevoegdheden nodig? Zeker wel. Ook ik vind het belachelijk dat de politie buitgemaakte login codes niet mag gebruiken, bijvoorbeeld om in te loggen op een clouddienst waar documenten op kunnen staan. Ook ik vind het prima als de politie een computer binnendringt, mits zonder het misbruiken van software kwetsbaarheden.  Ook ik vind het prima om een lokpuber te gebruiken om pedofielen te pakken.

Maar voorzitter, nieuwe bevoegdheden lijkt tegenwoordig het nieuwe adagium. Alsof je criminaliteit alleen kan bestrijden met nieuwe bevoegdheden. Nieuwe bevoegdheden zijn soms nodig. Maar ze moeten mensen wel veiliger maken, in plaats van onveiliger. En ik ben ervan overtuigd dat dit op de huidige manier niet het geval is. Er wordt met een tunnelvisie vanuit opsporing gekeken naar deze kwestie. Preventie van cybercrime is totaal buiten beeld gelaten, net als alle gevolgen voor de economie, geopolitiek, privacy en veiligheid van gewone burgers.

En ja voorzitter, natuurlijk is er een dilemma. Ik heb hier met dhr. Recourt bij de VenJ begroting ook al een kort debatje over gehad. Het is een dilemma waar we hopelijk allemaal mee worstelen.

Kan je meer boeven vangen door te hacken via kwetsbaarheden? Ja voorzitter, ik denk het wel, al is het niet zo zeker als het kabinet het wil doen lijken. Maar zorgt het gebruik en het openhouden van kwetsbaarheden ervoor dat mensen kwetsbaarder worden voor hacks door criminelen, pedofielen, buitenlandse inlichtingendiensten en andere kwaadwillenden? Het antwoord daarop is ook: ja.  En daar hoor ik tot nu toe niemand over.

Voorzitter, de gevolgen voor de veiligheid van het internet vormen een groot probleem. Ik verwijs naar alle voorbeelden die ik eerder in mijn tekst heb genoemd. Daarom wil ik kijken naar de manier waarop de politie hackt. Is het nodig om onbekende kwetsbaarheden te gebruiken? Of al bekende kwetsbaarheden? Of kan het ook via andere methodes? Zoals spearphishing, social engineering of andere methodes die geen gebruik maken van kwetsbaarheden? En hoe succesvol kan je zijn via die andere methodes? Graag een reactie van de staatssecretaris.

Als je kijkt naar cybercrime, dan komt volgens experts 80 tot 90% van de cybercrime door menselijk falen. Mensen die het standaardwachtwoord niet aanpassen, reageren op phishing mails en onbeveiligde verbindingen gebruiken.  Ik heb geen reden om aan te nemen, en ik heb hier ook geen analyse van het kabinet gezien dat criminelen niet net zo vaak in dergelijke trucs trappen. Dus dan is de fundamentele vraag of de schade die je aanricht door te hacken via kwetsbaarheden in relatie staat tot de zaken die wellicht door deze zware bevoegdheid opgelost kunnen worden.

Allereerst heeft het kabinet geen cijfermatige onderbouwing gegeven van de noodzaak van deze bevoegdheid. Ook geeft het kabinet geen voorbeelden van zaken waar deze bevoegdheid zou kunnen bijdragen. Graag hoor ik dat alsnog vandaag van de staatssecretaris. Mijn inschatting is dat het creëren van een bevoegdheid voor de politie om te hacken via phishing, social engineering of bruteforcen, de politie voldoende middelen zou geven om de problemen die genoemd worden als noodzaak voor dit wetsvoorstel het hoofd te bieden. Op die manier voorkomen we het kwaad dat je creëert met het hacken via kwetsbaarheden. Zeker als de politie daarvoor 0days gebruikt en die 0days niet direct meldt nadat ze zijn gebruikt.

En voorzitter, het melden van kwetsbaarheden zal de politie ook niet kunnen. Het is namelijk overduidelijk dat de politie op basis van deze wet hacksoftware gaat inkopen van bedrijven als Hacking Team, Cellebrite of Finfisher. We weten immers uit de hack op Hacking team dat de contacten al zijn gelegd en uit eerdere lekken dat zelfs al finfisher software is gekocht. De hacksoftware van deze bedrijven vertrouwt op 0days die bedrijven nooit zullen prijsgeven. Die 0days zijn het verdienmodel van deze bedrijven, die zullen ze nooit melden aan de maker van de software en zullen dus blijven bestaan.

Dat maakt de apparaten waar deze softwarekwetsbaarheden inzitten, of het nou een Iphone, een Android telefoon, een auto of een pacemaker is, kwetsbaar voor hacks door criminele, pedofiele en buitenlandse inlichtingendiensten.

  • Kan de staatssecretaris ingaan op het aankoopproces van deze software?
  • Gaat het kabinet de duistere markt op om daar onbekende kwetsbaarheden te kopen?
  • Gaat dat via een openbare aanbesteding?

En voorzitter, het argument dat de politie kwetsbaarheden gaat opsporen en dichten is al helemaal lachwekkend.

  • Als de staatssecretaris dat argument ook gaat maken, dan vraag ik hem daarover cijfers te verzamelen en jaarlijks met de kamer te delen.
  • Anders is het pure volksverlakkerij.

Voorzitter, het blijven bestaan van deze kwetsbaarheden zorgt dus voor meer cybercrime, meer ransomware aanvallen, meer DDoS aanvallen, meer massasurveillance door buitenlandse inlichtingendiensten en meer economische spionage. Dat is een groot maatschappelijk probleem en dat wil ik voorkomen.  Daarom wil de politie de bevoegdheid geven om te hacken, maar niet via kwetsbaarheden. Dat is voldoende om verdachten op te kunnen pakken en nodig om te voorkomen we dat we meer cybercrime creëren.  We hebben dit voorstel per amendement ingediend samen met GroenLinks en de SP.

Voorzitter, ook over reikwijdte van de wet heeft mijn fractie bedenkingen. Zowel wat betreft de reikwijdte van het begrip geautomatiseerd werk, als de soorten misdaden waar deze vergaande bevoegdheid voor ingezet kan worden. Momenteel brengt de wet geen beperkingen aan in de soorten geautomatiseerde werken die gehackt mogen worden. En in de antwoorden op onze vragen wil heb kabinet niet uitsluiten dat het apparaten als auto’s of pacemakers zou hacken. Dat vindt mijn fractie onwenselijk. Daarom heb ik een amendement ingediend om het begrip geautomatiseerd werk te beperken door medische apparaten, voertuigen en apparaten die onderdeel zijn van de vitale infrastructuur uit te sluiten.

En Voorzitter, dit wetsvoorstel biedt de minister nu de mogelijkheid om per AMvB een eigen lijst op te stellen met een lijst van misdaden waar deze hackbevoegdheid voor gebruikt kan worden. Dat is feitelijk een blanco cheque voor een toekomstig minister om deze hackbevoegdheid uit te breiden tot elke soort misdaad.

Voorzitter, we hebben het niet alleen over geautomatiseerde werken die zich in Nederland bevinden. De kans is zelfs heel groot dat zo’n werk zich niet in Nederland bevindt, maar elders op de wereld. Apparaten en gegevensdragers worden steeds kleiner en mobieler. Steeds meer mensen slaan gegevens op in de Cloud.  En de servers die die Cloud voorzien, kunnen overal ter wereld staan.  En als een crimineel slim is verhult hij de locatie van mogelijk belastbaar materiaal.

En wat doet justitie dan, als de locatie niet bekend is? Je kunt als Nederland niet zomaar onderzoek doen in een ander land. Daar is een rechtshulpverzoek voor nodig.  En dan val ik er toch over voorzitter, dat de staatssecretaris dan zegt: “tsja als de feitelijke locatie van het geautomatiseerde werk niet bekend is, dan ga ik niet tegen de opsporingsdiensten zeggen, breek maar niet in. Want dan wordt het internet een vrijplaats voor criminelen. De staatssecretaris wekt de indruk dat het  dus alles of niks is in de bestrijding van deze criminelen.

Voorzitter, dat vind ik een onhoudbaar argument om een vergaande bevoegdheid goed te keuren. Het kan toch niet zo zijn voorzitter, dat Nederland op afstand gaat inbreken op apparaten, waarvan we vermoeden of weten dat ze niet hier in Nederland staan.  Terwijl dat andere land dat niet weet. Een internationaalrechtelijk probleem rond jurisdictie. lijkt me dan wel opdoemen. Voor de rechtmatigheid van justitie-optreden is een juridische grondslag wel noodzakelijk lijkt me.

De rechter-commissaris is aangewezen om vooraf te toetsen of toestemming kan worden gegeven voor het inbreken. Dan moet de Rechter-commissaris dus ook weten waar het geautomatiseerde werk zich feitelijk bevindt, in Nederland of in het buitenland. Dat heeft de Staatssecretaris gelukkig ook zo begrepen en uiteindelijk wel overgenomen uit het advies van de Raad van State.

Maar wat de staatssecretaris nog wagenwijd open laat staan, is hoe de rechter-commissaris dat vervolgens dan moet afwegen of hij ja of nee zegt.  Hoe moet hij dat toetsen? Het Openbaar Ministerie zegt in z’n advies bij dit wetsvoorstel:  “als de locatie van een systeem niet kan worden vastgesteld, dan kan dus ook niet worden vastgesteld dat de computer in het buitenland staat.” Dus: als we de locatie niet weten, dan gaan we gewoon aan de slag.

Voorzitter, als dat de modus operandi wordt dan is de boodschap aan de rechter-commissaris straks dus eigenlijk: Niet zeuren over de locatie, knijp een oogje toe bij de  internationale afspraken over jurisdictie en soevereiniteit.  Ik wil daarom van de staatssecretaris weten: Hoe zien de toetsingscriteria eruit?  Op grond waarvan de rechter-commissaris kan bepalen of de diensten wel of niet in het buitenland mogen hacken? Ik lees in het wetsvoorstel over een OM-Aanwijzing of bij algemene maatregel van bestuur. Ligt dat al klaar? En zo ja, kan die Kamer die ontvangen voorafgaand aan de tweede termijn?

Het is namelijk niet niks wat de staatssecretaris hier voorstelt. Dit gaat over een fundamentele rechtsregel. De jurisdictie om cyber- opsporingshandelingen te verrichten in het buitenland. Daar moet de Kamer dus ook zorgvuldig een weging in kunnen maken. Ik weet heus wel dat sommige partijen denken dat Nederland het allemaal zelf wel kan regelen en geen rekening hoeft te houden met andere landen. Maar het tegendeel is hier het geval.

En Voorzitter, dat is nog niet alles.  Stel dat op enig moment wel duidelijk wordt wat de locatie is en dat dat in het buitenland is. Dan zou justitie dus achteraf alsnog toestemming moeten vragen bij het land waar de gegevens zich feitelijk bevinden. Dat lijkt een hoop administratief gedoe voor het openbaar Ministerie. Zeker als we lezen dat het wel negen maanden kan duren voordat gereageerd wordt op een rechtshulpverzoek. Dat vertraagd de hele zaak.En wat als dat andere land alsnog nee zegt?  Kan dat?

Hoe kunnen we erop vertrouwen dat justitie überhaupt nog die moeite neemt om gaande weg alsnog de locatie vast te stellen? Als je een hoop gedoe met een ander land wilt vermijden dan is dat niet direct in het belang van het onderzoek kan ik me zo voorstellen. Hoe houdt de rechter-commissaris daar toezicht op? Is dat überhaupt nog toetsbaar voor de rechter-commissaris of komt dat dan op het bord van de zittingsrechter? En wat betekent het dan op dat moment voor de toelaatbaarheid van bewijs als zonder toestemming van een ander land toegang is verschaft tot gegevens die worden ingebracht als bewijsmateriaal tegen een verdachte? Neemt justitie daarmee ook niet voor zichzelf een groot risico dat het bewijs ontoelaatbaar wordt verklaard en dus al het werk voor niks kan zijn?

De staatssecretaris constateert dat het territorialiteitsbeginsel in «cyberspace» onder druk staat en dat het beginsel niet kan worden toegepast als de exacte locatie van gegevens onduidelijk is. Des te meer aanleiding voor landen om hierover duidelijke afspraken met elkaar te gaan maken. De Raad van Europa  is op zoek naar oplossingen voor het vergaren van digitaal bewijs in de Cloud en voor het versterken van de procedures voor rechtshulp bij digitale onderzoeken, schrijft de staatssecretaris. Maar ondertussen neemt Nederland met dit wetsvoorstel dus wel alvast een sprong naar voren zonder de gevolgen echt goed te kunnen overzien en afspraken met andere landen ontbreken.

Het kabinet spreekt hier eufemistisch van “kiezen tussen twee minder ideale situaties,  namelijk:

  • Het afzien van het verrichten van opsporingshandelingen
    wanneer niet bekend is waar deze gegevens zich bevinden;
  • of in uitzonderlijke gevallen het onder voorwaarden
    zelfstandig uitoefenen van uitvoerende rechtsmacht.”

Het Kabinet kiest voor het laatste. Terwijl we weten dat met name op justitieel terrein, landen heel erg hechten aan hun soevereiniteit. Dat is de reden dat zelfs verplichte uitwisseling van informatie over terroristen al te veel gevraagd is. Hoe zullen andere landen reageren als ze er achter komen dat hun soevereiniteit door Nederland is geschonden?

En wat doen we als andere landen in gelijke munt gaan denken? Een trend die absoluut aan terrein aan het winnen is overigens. Wat doen we als buitenlandse diensten in Nederland computers gaan hacken en dus onze soevereiniteit schenden? Vinden we dat dan ook prima? Worden daarmee de soevereiniteit en jurisdictie principes die internationaalrechtelijk gelden, niet uitgehold? Dat kan toch niet de bedoeling zijn. Stel dat andere landen servers in Nederland hacken voor activiteiten die hier niet illegaal zijn. Graag een reactie van de staatssecretaris.

En die zorg is extra groot omdat Nederland nogal aantrekkelijk kan zijn voor buitenlandse diensten om te grasduinen. Wij hebben een internet knooppunt, we hebben een grote hosting sector, Google heeft in Groningen servers staan en komt waarschijnlijk met nog meer dataopslag in Nederland.  Dat is heel veel data van over de hele wereld die hier gestald staat.

Heeft de staatssecretaris over dat risico nagedacht? En hoe hij daar mee om wil gaan? De boodschap kan toch immers niet zijn: Nederland zet de deur wagenwijd open voor hacks op Nederlandse servers door buitenlandse veiligheids- en opsporingsdiensten? Wat heeft Nederland gedaan tijdens het EU-voorzitterschap Is tijdens een van de vele JBZ-Raden een concreet Nederlands voorstel hierover op tafel gelegd? Graag een reactie van de staatssecretaris!

Voorzitter, D66 heeft de staatssecretaris gevraagd waarom de rechter-commissaris niet aanwezig is tijdens het hacken. Terwijl dat bij huiszoekingen wel het geval is. De staatssecretaris zegt:  de aanwezigheid van de rechter-commissaris stuit op praktische uitvoeringsproblemen.

Want :

–          het tijdstip van uitvoering ligt niet duidelijk vast

–          en de duur van de uitoefening van de bevoegdheid verschilt.

Voorzitter, kan de staatssecretaris uitleggen hoe dan het precieze tijdstip van binnendringen wordt bepaald? En wat het minimale en maximale tijdsbestek is waarbinnen zo’n bevoegdheid uitgeoefend kan worden? Want ergens binnen die vier weken moet het gebeuren. Dus dat zal toch niet geheel ad hoc zijn? Is het nu wel of niet de bedoeling van de staatssecretaris dat de rechter-commissaris tijdens het hacken aanwezig is? En als hij niet aanwezig kan zijn, is dan ten minste een officier van justitie of hulpofficier van justitie aanwezig zoals ook gebeurt bij het doorzoeken van een woning?

Voor de rechtmatige en zorgvuldige uitoefening van deze bevoegdheden vindt D66 het belangrijk dat hier goed naar gekeken wordt. Het toezicht tijdens het uitvoeren van het hacken kan niet gemakshalve ter zijde worden geschoven. Ik verwacht van de staatssecretaris dan ook een extra inspanning om dit zorgvuldig te regelen. En hoor graag wat hij daarmee gaat doen.

Voorzitter, in de schriftelijke ronde heb ik gevraagd of het praktisch mogelijk is voor de opsporingsambtenaren om de automatische logging uit te zetten en door te gaan met hacken. De staatssecretaris antwoord dat het praktisch mogelijk is de logging uit te schakelen maar dat is wel zichtbaar vanwege een verschil in geregistreerde tijd”.

Voorzitter, die vraag heeft mijn fractie nadrukkelijk gesteld omdat de ervaring met het telefoontappen heeft laten zien dat systemen niet onfeilbaar zijn. Zo was er een paar jaar geleden een beruchte tap op een gesprek tussen Van Rey en oud-staatssecretaris Teeven. Een tap die had moeten plaatsvinden, maar waarvan ieder spoor ontbreekt in de systemen en de oorzaak niet te achterhalen lijkt. Ik wil van de staatssecretaris weten of daar lessen inzitten die hij ten aanzien van het logging kan gebruiken om dit soort ‘ongelukjes’ te voorkomen. En ook dat de data die wordt vastgelegd van justitie is en niet via een uitbestede dienst op afstand zoals we ook zagen bij die toch wat beruchte tap Van Rey-Teeven.

Voorzitter, een ander punt over het uitzetten van logging raakt aan advocaten. De keylogger kan op dit moment niet worden uitgeschakeld zodra een verdachte een bericht stuurt aan zijn advocaat. Daarvoor is het nodig dat het mailadres van de advocaat door de keylogger wordt herkend waarna de vastlegging van de gegevens kan worden afgebroken. Een mailadres lijkt me hetzelfde functioneren als een telefoonnummer en nummerherkenning. Is er overleg met de Orde van advocaten om te bezien hoe de e-mailadressen van advocaten beschikbaar komen zodat de keylogger die kan herkennen en vastlegging van gegevens op dat moment kan worden gestopt?

Het toezicht vooraf is geregeld via de rechter-commissaris. Hij toetst de rechtmatigheid, proportionaliteit en subsidiariteit van de bevoegdheden. De technische handelingen worden gelogd en opgenomen in het proces-verbaal. Maar daarmee is de integriteit van de gebruikte techniek en de informatie die is verzameld nog niet getoetst. Want stel dat techniek wordt ingezet om binnen te dringen in een geautomatiseerd werk. Er wordt informatie verzameld over een verdachte. Maar vervolgens komt de zaak niet voor de rechter. Wie toetst dan of het binnendringen wel volgens het boekje heeft plaatsgevonden?

Of wanneer de rechter het wel op zitting krijgt, constateert dat het allemaal niet volgens het boekje is verlopen. Wat kan er dan nog aan gedaan worden?

Voor de zorgvuldigheid is het wenselijk  dat ook toezicht op het systeem wordt gehouden. En dat dat systeemtoezicht ook onafhankelijk plaatsvindt en niet in een constructie waarbij de slager zijn eigen vlees keurt.  Sterk systeemtoezicht is ook in het belang van een zaak tegen een verdachte om te voorkomen dat ingezette middelen verloren gaan door onjuiste inzet door opsporingsdiensten. Daarom heb ik een amendement ingediend  dat systeemtoezicht voorstelt. Door een onafhankelijke, niet onder de politie of het Openbaar Ministerie ressorterende, commissie van toezicht op de opsporingsdiensten (CTOD). Deze onafhankelijke commissie kan bijvoorbeeld controleren:

–          Of het bevel van de rechter-commissaris niet wordt overschreden;

–          of daadwerkelijk sprake is van logging en dat dat ook wordt opgenomen in het proces-verbaal;

–          en of de soevereiniteit van andere landen niet wordt geschonden.

Ook kan deze commissie beoordelen of en zo ja welke kwetsbaarheden gebruikt mogen worden waarmee niet alleen criminelen, maar ook niet-verdachte burgers kwetsbaar worden voor hacks.

Nu heb ik natuurlijk ook in de nota’s gelezen dat de staatssecretaris zegt: Er komt systeemtoezicht en daarvoor het ik de inspectie Veiligheid en Justitie. Maar het is de vraag of de inspectie voldoende kan voorzien in dat systeemtoezicht. Als dat zo is dan is mijn amendement overbodig. Maar als daar gaten in zitten, dan zijn we hierover nog niet uitgepraat.

  • Want wat is bijvoorbeeld de capaciteit van deze inspectie? Het ziet op veel VenJ terreinen. Heeft de inspectie VenJ niet juist de handen vol aan  incidenten in het gevangeniswezen en tbs?
  • En de inspectie is onderdeel van het ministerie. In hoeverre kun je de inspectie dan bijvoorbeeld vergelijken met een onafhankelijke CTIVD?
  • In hoeverre valt de uitoefening van dit soort specialistische opsporingsbevoegdheden nu al onder de inspectie?
  • En in welke mate beschikt de inspectie over voldoende ICT kennis om de implicaties van de voorgestelde bevoegdheden goed te kunnen overzien?
  • Zou bij de inspectie dan niet minimaal een aparte commissie van Toezicht moeten worden ondergebracht dat ziet op ICT bevoegdheden van de opsporingsdiensten?

Graag een reactie van de staatssecretaris op deze vragen.

Voorzitter, ook kennis van rechter-commissarissen over ICT is van groot belang. De rechter-commissaris is degene die straks moet toetsen of de hackbevoegdheid rechtmatig gebeurt  en of sprake is van proportionaliteit en subsidiariteit. De Raad voor de rechtspraak constateert in zijn advies bij het wetsvoorstel dat dit een aanzienlijke inspanning zal vragen van de rechter-commissaris. En ook de Nederlandse verenging voor rechtspraak dat behoefte ontstaat aanmeer ICT-gespecialiseerde Rechter-commissarissen. Hoe wordt daarin voorzien, vraag ik de staatssecretaris? En hoe wordt vervolgens ook voorzien in rechtbanken met voldoende ICT kennis? Volstaat daarvoor het kenniscentrum cybercrime van de rechtspraak?  Of bestaat de kans dat rechters straks vastlopen in een gebrek aan ICT kennis om dit soort aanzienlijk technische ICT zaken voldoende op hun merites te kunnen beoordelen?

Voorzitter, een nogal cruciale vraag omdat zowel de rechter-commissaris als de zittingsrechter degenen zijn van wie straks gevraagd wordt om deze bevoegdheden op rechtmatigheid te beoordelen. En tegelijk ook ten gunste van de opsporingsdiensten te voorkomen dat bewijs wegvalt doordat bevoegdheden niet zorgvuldig zijn uitgeoefend.

Voorzitter, met de amendementen die ik heb genoemd wordt dit wetsvoorstel ook voor D66 een wenselijke aanpassing van de bevoegdheden van de politie. Althans, als ze worden aangenomen uiteraard.

Maar voorzitter, er is ook nog een hele hoop onbekend. De antwoorden in de nota naar aanleiding van verslag en de uitleg in de brief over het gebruik van 0days roepen nog veel vragen op. En helaas is een tweede schriftelijke ronde zoals D66 graag had gezien geblokkeerd. Daarom heb ik nog de volgende vragen aan de minister. En afhangend van de antwoorden van de minister zal ik wellicht nog enkele amendementen indienen.

Voorzitter, ik begin met de brief over het gebruik van 0days. De bewindspersonen zeggen een aantal zeer terechte zaken in de brief, namelijk: dat de samenleving digitaliseert en dat de afhankelijkheid en daarmee het belang van het internet groeit. dat het van belang is dat het aantal kwetsbaarheden in computersystemen daalt. En dat hier ook overheidsbeleid voor is opgesteld, zoals de oprichting van het NCSC en de responsible disclosure richtlijn. Tenslotte zeggen de bewindspersonen dat het van belang is dat daders van criminaliteit, terrorisme en spionage aangepakt worden. En dat het laten voortbestaan van onbekende kwetsbaarheden een risico kan inhouden op meer slachtoffers van criminaliteit.

Tot zo ver zijn we het eens.

Vervolgens gaan de bewindspersonen niet in op het dilemma welk belang zwaarder weegt. Het risico dat er meer slachtoffers kunnen vallen van cybercriminaliteit, spionage en grooming. Of het opsporingsbelang. Kan de staatssecretaris hierop ingaan? En als het antwoord van de bewindspersoon is dat de politie, het OM en de rechter dat per kwetsbaarheid moet bepalen dan hoor ik graag zijn oordeel over het voorbeeld van een onbekende kwetsbaarheid in veelgebruikte consumentensoftware, zoals Android, iOS of internetbrowsers.

  • Weegt het risico van meer cybercrime dan zwaarder of het opsporingsbelang?
  • En kan de staatssecretaris een voorbeeld geven van een situatie waarin het risico op meer cybercrime, volgens hem, zwaarder weegt dan het opsporingsbelang?
  • En is het niet zo dat in het geval van een kwetsbaarheid in veelgebruikte consumentensoftware het risico op meer cybercrime altijd zwaarder weegt dan het opsporingsbelang?

Ook vraag ik de staatssecretaris in te gaan op het feit dat de hackbevoegdheid het overheidsbeleid om het aantal kwetsbaarheden te laten dalen kan ondermijnen? Wat gebeurt er als een hacker een kwetsbaarheid meldt aan het NCSC: sluit de staatssecretaris uit dat die kwetsbaarheid achtergehouden kan worden om gebruikt te worden door AIVD/MIVD of politie?

Voorzitter,

  • Kan de staatssecretaris uitsluiten dat de politie onbekende kwetsbaarheden zal gebruiken die zij contractueel, technische of anderszins niet kan melden aan de fabrikant van de software?
  • Sluit de staatssecretaris uit dat de politie kwetsbaarheden zal inkopen?
  • Zo nee, hoe verloopt zo’n inkoopproces?
  • Kan de overheid dergelijke geheime aankopen zomaar doen?
  • Hoeveel miljoen zal de politie kwijt zijn aan het inkopen van hacksoftware?
  • Hoeveel wijkagenten kunnen daarvoor aangetrokken worden?
  • Kan de staatssecretaris uitsluiten dat kwetsbaarheden die aan Nederland verkocht worden ook verkocht en gebruikt worden aan andere landen en/of criminelen?
  • Wat gebeurt er als de Nederlandse overheid merkt dat een aangekochte of gekochte kwetsbaarheid ook door criminelen wordt ingezet?
  • Kunnen kwetsbaarheden tussen de AIVD en de Nederlandse politie gedeeld gaan worden?
  • Kan uitgesloten worden dat kwetsbaarheden in encryptiesoftware ingekocht worden?
  • Hoe lang duurt het voordat een kwetsbaarheid gemeld wordt? Wat is de maximale duur van het openlaten van een kwetsbaarheid?

Voorzitter, de bewindspersonen zeggen ook dat hacken via kwetsbaarheden slechts 1 van de methoden is. Kan de staatssecretaris zijn inschatting geven op het verschil in mogelijk succes tussen hacken met en hacken zonder kwetsheden? Kan de minister aangeven of hij verwacht dat hacken via kwetsbaarheden succesvoller is en waarop hij dat baseert?

Voorzitter, de bewindspersonen stellen dat kwetsbaarheden talloos en wijdverbreid zijn. Dat is deels waar. Maar tegelijkertijd is het aantal nieuwe 0day kwetsbaarheden dat jaarlijks ontdekt wordt in veelgebruikte consumentensoftware beperkt. Volgens beveiligingsbedrijf Symantec lag dat aantal in 2015 op 54. En dat was al een verdubbeling ten opzichte van het jaar ervoor. Als de Nederlandse overheid daarvan een aantal achterhoudt dan heeft dat al een significante invloed op de online veiligheid. Kan de staatssecretaris daarop ingaan? Waarom maken dit soort cijfers geen onderdeel uit van de memorie van toelichting?

Voorzitter, in de brief maakt het kabinet een aanzet tot een soort richtlijn voor het gebruik en het achterhouden van onbekende kwetsbaarheden voor de inlichtingen en opsporingsdiensten.  Zo moet er gekeken worden naar de maatschappelijke risico’s, het soort apparaat, of het risico op meer cybercrime niet te groot is, etc. De Verenigde Staten hebben ook een richtlijn voor 0days voor de inlichtingendiensten. Is de staatssecretaris bereid met zijn collega van binnenlandse zaken te kijken naar het opstellen van een officiële richtlijn voor het gebruikt van 0days en daarop toepasselijk toezicht in te richten?

Voorzitter, bij de keuze van een methode om een geautomatiseerd werk binnen te dringen speelt proportionaliteit een rol. Hoe wordt het verschil in maatschappelijke gevolgen van wel of niet hacken via kwetsbaarheden meegenomen in die beslissing?

Voorzitter, in de brief zeggen de bewindspersonen dat onbekende kwetsbaarheden “in beginsel direct of zo spoedig mogelijk gemeld worden aan de fabrikant.”

  • Wat betekent in beginsel in deze context?
  • En wat betekent zo spoedig mogelijk? Zit daar een maximale termijn aan?
  • Bij het Oekraïne referendum betekent zo spoedig mogelijk immers 9 maanden. Dat zou hier fataal kunnen uitpakken.

Voorzitter, dan heb ik nog een aantal vragen over de nota naar aanleiding van verslag.De staatssecretaris zegt dat er misdrijven onopgelost blijven door het ontbreken van bevoegdheden waarmee daders effectief kunnen worden opgespoord.

  • Kan de staatssecretaris dit cijfermatig onderbouwen?
  • Om hoeveel zaken gaat het?
  • Als je zoiets schrijft moeten er toch ook statistieken zijn?

Daarbij zegt de staatssecretaris dat geconcludeerd is dat de bestaande bevoegdheden te kort schieten.

  • Kan de staatsecretaris dit cijfermatig onderbouwen?
  • Bij hoeveel zaken is dit het geval?

En kan de staatssecretaris ingaan op de noodzaak van de verschillende onderzoekshandelingen?

  • Waaruit blijkt de noodzaak om GPS-functionaliteiten op afstand te activeren?
  • Waaruit blijkt de noodzaak om camera en microfoons op afstand te activeren?
  • Waaruit blijkt de noodzaak om auto’s in peilbakens te veranderen?

Voorzitter, de staatssecretaris noemt het gebruik van een botnet als voorbeeld van cybercrime dat hij met deze wet wil aanpakken. Ik kan me zo voorstellen dat hij ook de verspreiding van ransomware en andere cybercrime wil aanpakken. Nou is het zo dat dit soort van cybercrime grotendeels afhankelijk is van kwetsbaarheden in software. Waardoor de beste manier om dergelijke misdaad tegen te gaan het dichten van de kwetsbaarheden is.

  • Is de staatssecretaris dit met mij eens?
  • En is de staatssecretaris het met mij eens dat deze het de kans op meer DDoS-aanvallen en meer ransomware juist vergroot?
  • Zo ja, heeft de staatssecretaris berekent hoeveel maatschappelijke kosten dat met zich meebrengt?

Deloitte heeft onlangs berekend dat cybercrime nu zo’n 10 miljard per jaar kost. Voor hoeveel meer maatschappelijke kosten zorgt deze wet?

Voorzitter, op pagina 13 van de nota zegt de staatssecretaris dat als het MAC-adres, een identificatienummer van een apparaat binnen een netwerk, van een geautomatiseerd werk onbekend is dat dan het IP-adres dat de verbinding vormt tussen het internet en het geautomatiseerd werk gehackt kan worden. Aangezien steeds meer mensen een VPN gebruiken. Iets wat ik iedereen kan aanraden. Zal dat dus betekenen dat de politie vaak alleen een IP-adres heeft van een server van een VPN-dienst.

  • Betekent dat in de praktijk dat u vaak servers van VPN-bedrijven zult hacken?
  • Of kunt u dat uitsluiten?
  • En hoe gaat u om met eventuele schade aan de computersystemen van bedrijven die slachtoffer worden van deze bevoegdheid?

Voorzitter, de staatssecretaris zegt dat criminelen steeds gebruik maken van encryptie, waaronder https. Dit wordt door de staatssecretaris als probleem gezien, terwijl we aan de andere kant overheden en bedrijven juist aansporen om https te gebruiken om mensen te beschermen Hoe gaat de staatssecretaris ervoor zorgen dat het gebruik van https omhoog gaat? En zit dit wetsvoorstel dat streven niet in de weg?

Voorzitter, in antwoord op de vraag van D66 of antivirusbedrijven niet gevraagd zullen worden bepaalde aanvallen door te laten, antwoordt de staatssecretaris dat het niet bij voorbaat uitgesloten kan worden.

Ik heb daar nog de volgende vragen over:

  • Gaat de Nederlandse overheid bedrijven vragen om updates uit te stellen?
  • Gaat de Nederlandse overheid bedrijven vragen om kwetsbaarheden te delen met de politie voordat ze gedicht worden?
  • Gaat de Nederlandse overheid bedrijven vragen om malware met updates mee te sturen, of als malware vermomde updates te versturen?
  • Vindt de staatssecretaris het wenselijk als updates die mensen veilig moeten maken uitgesteld worden?

En voorzitter, hoe zit het nu met de verschoningsgerechtigde? Is de staatssecretaris bereid deze wet pas in te laten gaan nadat de wet bronbescherming inwerking is getreden?

Voorzitter, ten slotte nog enkele losse vragen:

  • Hoe vaak verwacht u dat de bevoegdheid in het eerste jaar gaat worden ingezet? En de jaren erna?
  • Hoe gaat u voorkomen dat de bevoegdheid als een efficiëntiemiddel gaat worden ingezet?
  • Kunt u uitsluiten dat deze bevoegdheid wordt ingezet op verzoek van buitenlandse overheden?
  • Is simpelweg het installeren en gebruiken van de TOR-browser voldoende aanleiding om gehackt te worden door de politie?
  • Is het mogelijk dat de politie elk apparaat dat gebruik maakt van een bepaalde wifi-hotspot zal hacken als het vermoeden bestaat dat een crimineel ervan gebruik maakt?

Voorzitter, ik rond af. Voor D66 ligt de prioriteit bij het voorkomen van cybercrime en het veiliger maken van het internet. De politie speelt daarin ook een belangrijke rol, en kan daarbij zeker nieuwe bevoegdheden gebruiken. Maar wel op een manier die de aanpak van het voorkomen van cybercrime en het veiliger maken van het internet niet ondermijnt. Helaas hebben we het vandaag alleen over de rol van de politie in het bestrijden van cybercrime. Terwijl juist in het voorkomen van cybercrime nog veel te winnen is.

Voorzitter, D66 heeft daarvoor ook tal van voorstellen gedaan. Digitale vaardigheden in het curriculum; meer onderzoek naar cyberveiligheid; een sterk, proactief en onafhankelijk NCSC; software aansprakelijkheid; minimum veiligheidseisen voor internetapparaten; een bedreigingsanalyseteam dat onze vitale infrastructuur veilig moet houden; Enzovoort. We zullen deze voorstellen ook bespreken bij de behandeling van onze initiatiefnota, en ik hoop ook op de steun te kunnen rekenen van de partijen die zich vandaag uitspreken als voorstander van deze wet.

Want voorzitter, de situatie is zeer urgent. Hoe meer we aansluiten op het internet hoe groter het belang van een veilig internet. Het is tijd voor een deltaplan voor onze cyberveiligheid. Dat zal niet lukken met dit kabinet, maar het volgende kabinet moet hier snel werk van maken. Zo maken we mensen echt veiliger online.

Voorzitter, we moeten onze samenleving en onze economie weerbaarder maken voor cyberaanvallen. Dat moet prioriteit nummer 1 zijn. In de begroting van BiZa zegt het kabinet terecht, en ik citeer: “Deze cyberdreiging kan de integriteit van politiek-bestuurlijke en democratische besluitvorming, het functioneren van de vitale infrastructuur en het verdienvermogen van de Nederlandse samenleving ernstig aantasten.” Laten we dan met z’n allen die cyberdreiging proberen te verminderen. Ik hoop dat u voor mijn amendementen zult stemmen om de scherpe kantjes van deze wet af te halen. En dat u mijn plan voor een deltaplan voor een veilig internet kunt steunen. Dan maken we mensen écht veiliger.

Dank u wel.