Inbreng verslag Wet Compu­ter­cri­mi­na­liteit III

Inbreng verslag van de Partij voor de Dieren bij de Wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van computercriminaliteit (computercriminaliteit III).

De leden van de PvdD-fractie hebben met grote zorgen kennisgenomen van het Wetsvoorstel Computercriminaliteit III. De voorgestelde wet maakt buitenproportioneel veel inbreuk op de privacy van Nederlanders en tast de onlineveiligheid ernstig aan. Volgens hoogleraar informatierecht Nico van Eijk van de Universiteit van Amsterdam en het College Bescherming Persoonsgegevens (CBP) zou de wet bovendien een grondwettelijke toetsing niet doorstaan.

Veiligheid

De leden van de PvdD-fractie lichten graag eerst een en ander toe. Het voorliggende wetsvoorstel maakt het mogelijk dat de politie op grote schaal met internet verbonden apparaten mag hacken. Bij hacken worden apparaten via zwakheden in de software binnengedrongen. Hier zit gelijk het pijnpunt van het wetsvoorstel. In tegenstelling tot wat de wet beoogt, vergroot het de veiligheid van Nederlanders niet. Sterker nog, door zwakheden in de software ongemoeid te laten en zelfs uit te buiten, kunnen ook kwaadwillende hackers hier gebruik van maken. Persoonlijke gegevens kunnen op grote schaal worden gestolen en de besturing van apparaten kan op afstand worden overgenomen.

Dat dit een reëel gevaar is, is de laatste dagen wel weer gebleken. De zogenoemde Glibc-bug is veelvuldig in het nieuws geweest, omdat miljoenen apparaten overgenomen zouden kunnen worden door een kwetsbaarheid in een stukje code. Enkele jaren geleden was er grote paniek over de Heartbleed-bug, waardoor de persoonlijke gegevens van miljoenen gebruikers onbeschermd waren. Met het voorliggende wetsvoorstel zouden dit soort bugs niet gemeld en oplost worden, maar juist gebruikt worden door de opsporingsdiensten. Echter, als de politie een computer kan kraken, dan kan een kwaadwillende hacker dat ook. Vindt de regering het acceptabel dat de veiligheid van miljoenen apparaten aangetast wordt, alles in dienst van de hackbevoegdheid van de politie? Kan de regering uiteenzetten welke afweging is gemaakt tussen de het belang van de veiligheid van burgers tegenover de opsporingsbehoeften van de politie? Waar is de prioriteit gelegd? Graag een reactie.

Efficiency middel

De leden van de PvdD-fractie zijn geschrokken van de breedte van het in het wetsvoorstel gehanteerde begrip ‘geautomatiseerd werk’. Dit houdt in dat alle apparaten met een internetverbinding gehackt zouden mogen worden. In de toekomst van het ‘Internet of Things’ zullen daar over een paar jaar vrijwel alle apparaten onder vallen, tot pacemakers, koelkasten en auto’s aan toe. Het kan toch echter niet de bedoeling zijn dat de regering doelbewust zwakheden in pacemakers niet zal melden, waardoor deze ook door kwaadwillende hackers aangetast kunnen worden? Als de letter van de wet wordt gevolgd is dit namelijk de enige mogelijke conclusie. Als dit niet zo bedoeld is, is de regering bereid om de wet aan te passen en specifiek aan te geven welke apparaten wel en niet gehackt mogen worden? Graag een reactie.

Hoewel de wet wordt genoemd als een belangrijk middel om cybercriminelen aan te pakken, is de toepassing van de wet niet beperkt tot cybercriminaliteit. Het opent de deur naar een veel bredere toepassing van de wet, breder dan nu kan worden overzien. Dat dit snel uit de hand kan lopen hebben we in de jaren ’70 gezien, toen de telefoontap werd ingevoerd. Deze zou, zo werd bij de invoering gezegd, slechts enkele keren per jaar worden ingezet. Ondertussen weten wij wel beter. In het tijdperk van het Internet of Things, geeft de wet Computercriminaliteit III de politie feitelijk een oncontroleerbare hackbevoegdheid, om in alle met internet verbonden apparaten in te kunnen breken bij verdenking van een misdrijf. Bij welke misdrijven dit zou zijn toegestaan is onduidelijk, want de wet laat alle ruimte voor interpretatie. Is de regering bereid expliciet aan te geven welk misdrijf wel en niet in aanmerking zal komen onder de wet? En hier harde criteria voor op te stellen?

Het wetsvoorstel laat in principe de mogelijkheid open dat bij een simpele burenruzie ingebroken kan worden op bijvoorbeeld een telefoon, om vervolgens de gps aan te zetten en de persoon in kwestie digitaal te volgen. Wellicht buitenproportioneel maar juridisch gezien niet onmogelijk en dat baart de leden van de PvdD-fractie zorgen. Bovendien mag de politie ook camera’s en microfoons aanzetten. Op deze manier kan een verdachte op afstand afgeluisterd worden. Maar hoe zit het dan met de huisgenoten van de verdachte? Een computer, bijvoorbeeld, bevat niet alleen gegevens van de persoon zelf maar ook van vrienden, familie en netwerken. Welke waarborgen geeft de wet dat hun privacy niet aangetast wordt? Hoe voorkomt de regering dat deze wet leidt tot een dragnet, waar ook de omgeving van een verdachte in meegetrokken wordt?

De leden van de PvdD-fractie zetten vraagtekens bij de bredere inzet van de wet als efficiency middel. Wat is de implicatie van de financiële paragraaf, waarin staat dat er kosten kunnen worden bespaard met de inzet van de bevoegdheid, omdat die andere bevoegdheden zou kunnen vervangen? Is het uitgesloten dat de hackbevoegdheid ook in andere domeinen kan worden toegepast? Graag een reactie. Bent u het ermee eens dat efficiency nooit een drijfveer zou mogen zijn als het gaat om de veiligheid, grondrechten en privacy van burgers?

Toezicht

Het toezicht op de hackbevoegdheid van de politie is in het huidige wetsvoorstel ernstig ontoereikend. Zo ontbreken technische waarborgen. Bij een wetsvoorstel dat gaat over de inzet van een technisch middel, zijn juridische waarborgen niet genoeg. Op dit moment is het niet mogelijk de technische aanpassingen die worden gedaan op de computer van een verdachte achteraf te traceren. Zolang er geen toezicht mogelijk is op het technisch handelen van de politie, is er überhaupt geen volledig toezicht mogelijk. Is de regering bereid het Besluit technische hulpmiddelen te herzien voordat de Kamer zich over het wetsvoorstel uitspreekt? De leden van de PvdD-fractie zijn van mening dat er een onafhankelijke commissie voor toezicht op de opsporingsdiensten moet komen. Is de regering bereid hierover met een voorstel te komen, alvorens de Kamer over de wet zal stemmen?

Grondrechtelijke toetsing

Het wetsvoorstel tast de privacy en rechten van Nederlanders in een zodanig grote mate aan, zonder daar een sluitende legitimering voor te geven, dat het een grondrechtelijke toetsing waarschijnlijk niet zal doorstaan. Dit is de conclusie van hoogleraar Informatierecht Nico van Eijk. De afgelopen jaren zijn op Europees niveau verschillende rechterlijke uitspraken gedaan die gericht zijn op het vergroten van de privacy van Europese burgers. Denk hierbij aan de uitspraak in de Schrems-zaak en het opzeggen van het Safe Harbour verdrag, In tegenstelling tot de Europese trend, lijkt Nederland juist het recht op privacy ernstig aan te tasten. De wet Computercriminaliteit III mist een goede toelichting op nut en noodzaak, proportionaliteit en subsidiariteit. De leden van de PvdD-fractie willen weten in hoeverre de regering recente Europese jurisprudentie heeft meegenomen in dit wetsvoorstel? Hoe beoordeelt de regering de bewering dat deze wet de privacy van Nederlanders aantast, zeker gezien de recente Europese ontwikkelingen om het recht op privacy juist te beschermen?

Daar komt nog bij dat ook het CBP heeft geadviseerd het wetsvoorstel niet in te dienen. Het bereik van de wet sterkt zich volgens het advies uit tot een zeer grote hoeveelheid gegevens, met volledige toegang tot historische gegevens die op randapparatuur zijn opgeslagen. Ook de gegevens die worden opgeslagen en uitgewisseld via alle communicatiekanalen waarmee de apparatuur verbonden is zijn toegankelijk. Om deze reden stelt het CBP dat het van groot belang is dat het wetsvoorstel blijk geeft van een zorgvuldige afweging binnen de grondwettelijke kaders, zowel op Nederlands als Europees niveau. Op grond van het Europees verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM), zijn inbreuken of fundamentele rechten alleen rechtmatig als deze voldoen aan strikte voorwaarden, zoals noodzakelijkheid, proportionaliteit en subsidiariteit. Volgens het CBP wordt het ingrijpende karakter van de verstrekkende bevoegdheid en de uitgebreide kring van personen die getroffen kunnen worden, onvoldoende onderkend. De wet zou een grondwettelijke toetsing daarom ook niet doorstaan.

Is de regering bereid het wetsvoorstel in te trekken? Zo nee, waarom niet?

Tot slot

Privacy en bescherming van de persoonlijke levenssfeer is een groot goed en moet te allen tijde gewaarborgd worden. Hoewel cybercriminaliteit een bekend en groeiend probleem is, is dit geen vrijbrief om de grondrechten van miljoenen Nederlanders aan te tasten. Veiligheid moet voorop staan en een wet die het mogelijk maakt een pacemaker te hacken, mist elke vorm van proportionaliteit.