Onderzoek-2-Nieuwe-conceptwet-privacy-release-ver1.5

Gevolgen van veranderende privacywet


Door: Michael Janiec & Hajo Krijger

Een conceptwet die de politie het volledige recht geeft om iedereen te hacken: menig Nederlander krijgt hiervan de rillingen op het lijf – Zulke verstrekkende maatregelen hinten naar inbreuk in de privacy van iedere Nederlander. Het weerwoord is dat deze wet de weg naar cybercrime juist zou openen. De lekken binnen software, welke de politie gebruikt om data te verkrijgen, zouden evengoed ten prooi kunnen vallen aan criminelen.  Zijn zulke bevoegdheden gerechtvaardigd en in hoeverre is de politie capabel als zo’n conceptwet werkelijk doorgaat?

Een interessante kanttekening aan deze conceptwet; sinds 1 januari 2016 is een nieuwe privacywet  van kracht. Het College Bescherming Persoonsgegevens krijgt ruimere bevoegdheden in het uitdelen van boetes aan websites met slechte beveiliging. Deze bevoegdheid hadden zij al, echter kunnen de boetes nu oplopen tot €800.000. Een opmerkelijke toevoeging: alle bedrijven zijn voortaan verplicht om een datalek te melden. Dit geldt bij inzage door derden (hackers), maar ook indien werknemers bij gegevens kunnen waar zij eigenlijk niet bij mogen.

Juridisch perspectief

Het tijdschrift Justitiële Verkenningen, een samenwerking tussen Onderzoek- en Documentatiecentrum van het Ministerie van Veiligheid en Justitie (het WODC) en Boom Lemma uitgevers, schrijft dat het ‘hacken’ van verdachten tegenwoordig pas mag bij een misdrijf waar minstens acht jaar gevangenisstraf op staat. Daarnaast zou de opsporingsbranche regelmatig de grenzen opzoeken van bevoegdheden; iets dat inherent is aan het vak. Een plaatsing van een internettap, een methode waarbij er een fysieke machine geplaatst wordt bij een ISP (Internet Service Provider), is al iets waar de politie gebruik van maakt, evenals de vier Bijzondere Opsporingsdiensten, en de twee Nederlandse geheime diensten. Een methode waarbij gearchiveerd dataverkeer middels een vordering bij de provider wordt verkregen kost vaak extra tijd. In tegenstelling van een internettap of een telefoontap.  Ook zou strafrechtelijk onderzoek vaak niet verder gaan dan de Nederlandse grenzen terwijl cybercrime vaak op internationale schaal opereert. Er is onvoldoende dynamiek zijn tussen Nederlandse en Europese wetgeving waardoor het effectief aanpakken van criminele netwerken lastig wordt.

Professor B.J. Koops van Tilburg Universiteit, en schrijver van het bovengenoemde artikel, adviseert dat Europese landen een deel van hun soevereiniteit  opofferen in ruil voor een effectievere vorm van digitale misdaadbestrijding: “Het is de vraag of op langere termijn een strategie van geharmoniseerde minimumwetgeving en wederzijdse rechtshulp, waarin nog steeds veel ruimte is voor nationale invulling en eigen beleidsvorming, opgewassen is tegen georganiseerde cybercrime. Mijn verwachting is dat uiteindelijk meer internationale inspanning nodig zal zijn, waarbij lidstaten een deel van hun nationale soevereiniteit zullen moeten opgeven om internationale en nationale grensoverschrijdende acties (zoals een grensoverschrijdende netwerkzoeking en het ontmantelen van botnets – zelfstandige software) toe te staan, wil men cybercrime effectief tegenwicht kunnen blijven bieden.”

De potentiele noodzaak voor gewone burger

Jan stapt haastig uit de trein. Een paar minuten later beseft hij dat z’n telefoon kwijt is. Hij neemt snel contact op met zijn vriendin, zij probeert vervolgens z’n telefoon te bereiken. Bellen is tevergeefs; niemand neemt op. Zo te zien is de nieuwe eigenaar net online op whatsapp. Bij de politie aangifte doen blijkt weinig op te leveren – het plaatselijke politiebureau is overspoeld met gelijksoortige meldingen, maar heeft de rechten niet om efficiënt tewerk te gaan. Ter plekke de telefoon traceren is onmogelijk. Als Jan vooraf een traceer-applicatie geïnstalleerd had, dan was er nog een kans dat de politie iets concreets kon doen.

Vanuit een Russisch perspectief

Een Russische programmeur van spioneersoftware voor smartphones, die legaal voor de regering werkt, legt uit in hoeverre de politie in Rusland mag gaan: “Een rechter oordeelt of iemand afgeluisterd mag worden. Daarnaast heb je een hele goede reden nodig om iemand z’n huis te betreden. Iemand zomaar doodschieten op straat in Rusland? Dat levert veel problemen voor de agent en zijn corps. De U.S. is een autoritair land vol met camera’s en ook onder surveillance van satellieten, Europa verandert daar langzaamaan ook in. Ons land is niet zo slecht als dat de Europese media wil laten geloven.”

Vanuit een bedrijfsperspectief

Benjamin Wilgers, eigenaar van het adverteer-softwarebedrijf Adbloom, vindt de conceptwet een lastige discussie. Wilgers licht toe: “Personen kun je altijd herkennen door deze wet, maar op het internet weet je van goede hackers niet waar zij vandaan komen, door maskering van IP-adres, rerouting ervan etc. De vraag is welk middel het doel heiligt. Als je inbreekt laat je kwetsbaarheden achter.” Wilgers is van mening dat zulke wetgeving alleen op internationale schaal zou werken: “Het invoeren van deze privacywet kan meer kwaad, dan goed doen. Providers zullen dan verplicht zijn ALLE informatie die heen en weer gaat te versturen naar de politie.” De metafoor waarbij de politie toegang zou krijgen tot elk huishouden zonder huiszoekingsbevel, is niet juist. Volgens Wilgers komt het er wel op neer dat er overal microfoons worden geplaatst en videocamera’s.


Wat bedrijven al mogen en doen

Volgens Arnold Roosendaal, schrijver van het boek De informatiefuik, verstrekken veel mensen tegenwoordig persoonsgegevens aan dienstaanbieders op het internet. Roosendaal: “De wijze waarop bedrijven gegevens verzamelen gaat in strijd met privacy en vormt een bedreiging voor de individuele autonomie en de vrijheid om een eigen identiteit te ontwikkelen.” Er is tegenwoordig te weinig transparantie en de macht over deze gegevens is gecentraliseerd (denk aan Google of Facebook). De grote spelers op de markt orkestreren de gebruikerservaring en bepalen in grote lijnen de kaders. Daarmee oefenen zij een grote invloed uit op identiteitsvorming van de burger.

Vanuit een IT-perspectief

Een laatstejaars student informatica, die anoniem wil blijven vanwege zijn kennis van hacken, ziet de eventuele invoering van de conceptwet als risicovol: “ Vaak weten politiemensen niet veel van IT af, of ze hebben niet door niet wat er in de cyberwereld speelt en welke gevolgen dat heeft voor de privacy van onschuldige mensen. In de conceptwet zou heel duidelijk moeten staan welke hoe de politie te werk gaat: wie de gegevens, of deze vernietigd of bewaard  worden,  wordt de verdachte geïnformeerd… Als dat niet duidelijk is kan het zo zijn dat de politie zelf gevoelige informatie over een persoon naar buiten lekt. Dat wil je ook niet hebben.” Of criminelen echt goed aangepakt kunnen worden schijnt ook te betwijfelen:  “Criminelen weten wat beveiliging inhoudt. De ‘domme drugsdealer’ zou makkelijk gepakt kunnen worden. Iemand die meer georganiseerd te werk gaat en die gebruik maakt van encryptiesoftware zal de politie nooit kunnen pakken.”

De ‘betalende klant’

Roosendaal pleit voor meer transparantie van de gegevensverwerking. Websites verplichten om mede te delen dat zij trackingcookies op je computer installeren is een goede stap daar naartoe. Bedrijven hebben meer baat bij gebruikers die de service vertrouwen. Er is namelijk veel belang bij integere omgang met gebruikersgegevens; vertrouwen behouden van de gebruikers is essentieel.  Toch draaien bedrijven als eerste om winst. Een interessante quote, door Andrew Lewis, welke Roosendaal erbij haalt: “If you’re not paying for something, you’re not the customer, but you’re the product being sold.”


Jurisdictie politie

In 2013, heeft een man in een WhatsApp-bericht aan z’n vader het woord ‘bom’ laten vallen in combinatie met voetbalcompetitiewedstrijd Fortuna-MVV. Vier agenten in burger stonden vervolgens aan zijn deur. De link met het bomincident uit 2012, tijdens Fortuna-MVV, is voldoende aanleiding tot ingrijpen van opsporingsambtenaren. Tot hoeverre de politie gehandeld heeft in opdracht van de inlichtingsdiensten is nog de vraag. Desondanks blijft de vraag of zulke controle van burgers ook daadwerkelijk effectief is.

Men kan hieruit concluderen dat het invoeren van deze conceptwet waarschijnlijk tot meer problematiek dan baat leidt. De grote criminelen komen ongeschaadt weg, de politie weet zijn raad niet in de cyberwereld en zonder internationale samenwerking zet de wet geen zoden aan de dijk. Daarbovenop zal de politie een aantrekkelijker doelwit voor hackers worden aangezien zij een grote hoeveelheid aan persoonsgegevens zal bevatten. Kortom: de privacy zal aangetast worden.