De voorgestelde bevoegdheid tot 'terughacken': heiligt het doel het middel?

Op dit moment ligt het wetsvoorstel computercriminaliteit III bij de Tweede Kamer. Dit wetsvoorstel bevat een opmerkelijke strafprocesrechtelijke bepaling. Voorgesteld wordt om in gevallen van ernstige (computer)criminaliteit opsporingsambtenaren de bevoegdheid te geven om een geautomatiseerd werk dat in gebruik is bij een verdachte op afstand heimelijk binnen te dringen (het zogenaamde ‘terughacken'). Dit zou betekenen dat de politie stiekem in de computer (hiermee wordt bijvoorbeeld ook een smartphone of tablet bedoeld) die een verdachte gebruikt, mag inbreken. Inlichtingendiensten AIVD en MIVD mogen al terughacken. In enkele van onze  buurlanden hebben ook ‘gewone' opsporingsambtenaren deze bevoegdheid. Volgens de memorie van toelichting  bij het wetsvoorstel dient Nederland hun voorbeeld te volgen, vanwege drie redenen die samenhangen met technologische ontwikkelingen.

Ten eerste voorzien de bestaande opsporingsbevoegdheden niet in de mogelijkheid om encryptie (de versleuteling van computergegevens) het hoofd te bieden. Ontoelaatbare gegevens, zoals kinderpornografie, worden over het algemeen versleuteld uitgewisseld, waardoor de politie er geen toegang toe heeft. Om strafbare feiten zoals de verspreiding van kinderpornografie op te sporen, is er daarom dringend behoefte aan de mogelijkheid om gegevens te kunnen onderscheppen voordat de verzender deze heeft versleuteld of nadat de ontvanger deze heeft ontsleuteld. Dat kan alleen als de politie in de computer van de verdachte aanwezig is en daarin voorziet de voorgestelde bevoegdheid tot terughacken.

Ten tweede worden gegevens tegenwoordig niet altijd meer op de harde schijf van een computer in het eigen netwerk opgeslagen, maar wordt in toenemende mate gebruikgemaakt van cloudcomputingdiensten. Gegevens worden dan in gedeelten opgeslagen en over meerdere servers verspreid. Ook hier geldt dat deze gegevens alleen achterhaald kunnen worden indien de politie in de computer van de verdachte aanwezig is en ze kan onderscheppen voordat ze in de ‘cloud' worden opgeslagen of nadat ze daaruit zijn gedownload.

Ten derde is communicatie niet goed aftapbaar indien een verdachte gebruikmaakt van verschillende toegangspunten tot het internet. Op dit moment kan alleen een tapbevel worden afgegeven bij de internetaanbieder. Maar dat werkt niet als een verdachte steeds wisselt van internetaanbieder, door bijvoorbeeld eerst gebruik te maken van de eigen internetverbinding thuis, vervolgens van de wifi in de trein en daarna van de wifi in de MacDonalds. De voorgestelde bevoegdheid tot terughacken biedt een oplossing voor dit probleem door de politie in staat te stellen niet het toegangspunt tot internet, maar de (draagbare) computer, smartphone of tablet zelf in de gaten te houden.

Kort samengevat beoogt de voorgestelde bevoegdheid tot terughacken dus opsporingsbevoegdheden aan te passen aan de huidige stand van de technologie. Deze bevoegdheid zou opsporingsambtenaren in staat stellen om dingen te doen, zoals het achterhalen van gegevens en het aftappen van communicatie, die zij onder oude wetgeving ook al mochten, maar waarin zij gehinderd werden door technologische ontwikkelingen. Uiteindelijk heeft de voorgestelde bevoegdheid tot terughacken daarmee tot doel de opsporing van ernstige (computer)criminaliteit te verbeteren. Dat is een nobel doel. De vraag rijst echter of dit doel het middel van terughacken heiligt.

De voorgestelde bevoegdheid tot terughacken maakt mijns inziens meer inbreuk op de persoonlijke levenssfeer dan de bestaande opsporingsbevoegdheden die deze beoogt in evenwicht te brengen met technologische ontwikkelingen. De hoeveelheid persoonlijke gegevens waar opsporingsambtenaren toegang toe krijgen indien zij ‘realtime' een computer, smartphone of tablet binnendringen, is veel groter dan indien zij er achteraf gericht onderzoek in doen of een aantal telefoongesprekken tappen. Toen ik over de voorgestelde bevoegdheid tot terughacken las, kwam mij een beeld uit de beklemmende Duitse film Das Leben der Anderen (2006) voor ogen. De hoofdpersoon uit deze film, een Stasiofficier uit het DDR-tijdperk, luistert maandenlang naar de dagelijkse beslommeringen van een succesvol toneelschrijver en zijn vriendin. Die komen tot hem via enkele tientallen microfoons die stiekem in het appartement van het stel zijn opgehangen. Doordat je als kijker ook beelden ziet bij de conversaties die de Stasiofficier afluistert, is het alsof hij lijfelijk in de woning van het stel aanwezig is. Dat laatste zou in Nederland niet mogen; opsporingsambtenaren mogen in het kader van stelselmatige observatie geen woningen betreden (zie art. 126g (2) Sv en art. 126o (2) Sv). In de memorie van toelichting bij het wetsvoorstel computercriminaliteit III wordt daaruit de conclusie getrokken dat de voorgestelde bevoegdheid tot terughacken niet mag worden gebruikt om op afstand de camera van bijvoorbeeld een computer of smartphone aan te zetten om zo permanent waar te nemen wat zich in een woning afspeelt. Ik vraag mij echter af of het permanent waarnemen van wat zich in iemands computer, smartphone of tablet afspeelt niet even ingrijpend is in een tijd waarin liefdes opbloeien op datingsites, vriendschappen worden onderhouden via WhatsApp en huisartsen worden geconsulteerd via e-mail. Zou de voorgestelde bevoegdheid tot terughacken gezien kunnen worden als stelselmatige observatie in iemands digitale woning? In dat geval zou terughacken vanuit het oogpunt van het recht op eerbiediging van de persoonlijke levenssfeer niet moeten worden toegelaten.

dr. L. Strikwerda, verbonden als universitair docent Metajuridica aan de Open Universiteit

Heerlen, 21 november 2016