Kamer kiest voor wet vol achterdeuren
Het hackvoorstel is door de Tweede Kamer aangenomen (Zie ons berichtje "Geen sleepnet" van 14 december 2016 j.l.) Wij vinden het heel verontrustend dat de Tweede Kamer akkoord is gegaan met een wet vol achterdeuren. Op papier ziet de wet er goed uit, maar nu al is te zien dat het in de praktijk heel anders uit zal pakken. Het grootste pijnpunt: de meerderheid van het Nederlandse parlement vindt het prima dat er geld wordt verdiend aan onze digitale onveiligheid, door het laten kopen van onbekende kwetsbaarheden. Daarmee wordt een markt gesteund die volgens een meerderheid van de Kamer schimmig is en niet gesteund moet worden – en toch gaat dat gebeuren.
Want de directe aankoop van onbekende kwetsbaarheden wordt uitgesloten, maar indirecte aankoop niet. Via de aankoop van hacksoftware, die gebruik kan maken van onbekende kwetsbaarheden staat de deur alsnog wagenwijd open staat voor het gebruik van onbekende kwetsbaarheden. In de praktijk zal juist zulke software gebruikt worden – we weten dat de politie al zaken doet met bedrijven die deze software levert. Daarom is de toezegging dat onbekende kwetsbaarheden niet worden aangekocht een wassen neus.
Verder moeten onbekende kwetsbaarheden na gebruik door de politie bij de maker van de software gemeld worden. Op papier lijkt dat helder, in de praktijk opnieuw niet. De politie zal, als ze hacksoftware gebruikt, niet weten of niet goed weten welke onbekende kwetsbaarheden worde gebruikt. En als je het niet weet, dan hoef je niet te melden. Maar wat nu als je het wel weet? Dan ontstaat er een situatie waarin de Nederlandse overheid sowieso de wet gaat overtreden of contractbreuk pleegt: De politie moet onbekende kwetsbaarheden melden van de Nederlandse wet, maar ze mogen volgens de Non Disclosure Agreement (NDA) van de leverancier van de hacksoftware waarschijnlijk niet melden. En wat er dan zal gebeuren blijft onduidelijk.
De wet laat ook op veel andere punten de deur open. Zo is het aantal apparaten dat gehackt kan worden schier eindeloos – en zijn er geen beperkingen opgelegd. En dat brengt risico’s met zich mee, als er door het hacken foutjes ontstaan. Denk bijvoorbeeld aan wat er mis kan gaan als er een auto wordt gehackt. Dat had moet worden afgedekt.
Ook is er nog steeds geen goed toezicht op de inzet van de bevoegdheid. Er is wel beter toezicht aangekondigd, maar we moeten nog zien hoe dat in de praktijk uit gaat pakken – onze vrees is dat de kunde en expertise ontbreekt om daadwerkelijk effectief toezicht te houden op de inzet van de bevoegdheid.
Is er nog iets vrolijks vandaag?
Ja. Het is niet zo dat er niets is veranderd. De wet is op heel veel punten totaal anders dan het eerste voorstel uit 2013. Toen waren er nog helemaal geen regels over het gebruik van kwetsbaarheden. Toen was er nog geen (beter) toezicht aangekondigd. Toen waren er nog geen regels over het hacken in het buitenland. Er is dus veel ten goede veranderd. Ook al is het voor ons dan niet genoeg, het is wel een stuk beter dan het had kunnen zijn. En dat is zeker te danken aan iedereen die ons de afgelopen jaren geholpen heeft met campagnes, met het uiten van zorgen of kritiek over dit voorstel, met benaderen van Kamerleden. Wij zijn jullie ontzettend dankbaar voor jullie hulp.
Wat gaan we nu doen?
We zijn er natuurlijk nog niet klaar mee. Want er zijn zeker nog kansen om al deze zorgen in de Eerste Kamer voor te leggen. De partijen die nu voor hebben gestemd, hebben namelijk in de Eerste Kamer de kleinst mogelijke meerderheid: 38 zetels. Dus daar liggen kansen! (zie bron)