Scriptie: ‘Hacken als opsporingsmethode’

Afbeelding: virii001 van .hj barraza | Licentie: CC BY-SA

De scriptie ‘Hacken als opsporingsmethode’ is een juridische analyse van het hacken door Justitie in relatie tot het privacyrecht naar aanleiding van de Bredolab ontmanteling.

De conclusie van de scriptie op bredolab.nl:

Reflecterend op deze Bredolab botnet studie kan worden geconstateerd dat het feitelijke kader minder spectaculair was dan aanvankelijk werd voorgesteld.Zo werd naar de media melding gemaakt van 143 command en control servers en bleek het uiteindelijk om 6 stuks te gaan. Ook werden dubieuze berekeningen gemaakt om tot een aantal van 30 miljoen botclients te komen, en bleek later dat het eigenlijke aantal onbekend is gebleven en waarschijnlijk lager lag. Er is niet veel fantasie voor nodig om te veronderstellen dat het feitenkader van deze zaak is opgepoetst om de noodzaak van door Justitie gewenste bevoegdheden te onderbouwen.

Aan de andere kant is daar het in mijn ogen wel vrij spectaculaire juridische kader.

Justitie besloot het botnet te ontmantelen in de hoop daarmee een klap uit te delen aan het internationale cybercriminele circuit. Zij maakte voor deze ontmanteling gebruik van de discutabele opsporingsmethode terug-hacken. Met gebruikmaking van valse signalen en valse sleutels werd binnengedrongen op de botnet servers om daar gedurende tien weken verdachte te monitoren en observeren. Daarnaast werd via het botnet toegang verworven tot alle aangesloten computers van de slachtoffers om daarop bestanden toe te voegen. Vanwege de belangrijke rol van ICT-systemen op het dagelijks leven en de toegang tot een potentieel uiterst groot en veelzeggend databestand, vormt terug-hacken een inmenging op het privacyrecht ex. art. 8 EVRM, ook wanneer de systemen zich buiten de directe fysieke omgeving van de gebruiker bevinden en zelfs voor verdachten.

Justitie creëerde de mogelijkheid tot terug-hacken naar de verdachte door gebruik te maken van de tap- en inbeslagnamebevoegdheid. Het te verwachten effect op de privacy van deze bevoegdheden: inzage in telecommunicatie en vroeger opgeslagen gegevens, wijkt significant af van het effect van de inmenging bij terug-hacken: het heimelijk monitoren en onderzoeken van handelingen. Daarnaast is het bij inbeslagname onduidelijk hoe de verhoudingen liggen tussen de eigenaar van een gegevensdrager, de eigenaar/gebruiker van de gegevens en de opsporingsdiensten.

Middels de algemene taakstelling van de politie en een schulduitsluitingsgrond meende Justitie bevoegd te zijn tot het terug-hacken van de slachtoffers. De taakstelling voorziet slechts in een bevoegdheid wanneer een niet meer dan geringe inbreuk op de privacy speelt. In een rechtsstaat komt echter het vaststellen van straffeloosheid toe aan de rechtsprekende macht en niet aan de uitvoerende macht. Daarnaast slaat de strafuitsluiting op het verspreiden of beschikbaar stellen van malware om schade te voorkomen, terwijl in casu via het botnet toegang is verworven en gegevens zijn toegevoegd. Deze handelingen zijn strafbaar gesteld in art. 138ab en 350a Sr en zonder bijzondere strafuitsluitingsgrond.

Door de afwezigheid van strenge, heldere en gedetailleerde wetgeving is het effect van de inmenging niet in te schatten, waardoor de voorzienbaarheid bij wet ontbreekt en terug-hacken een schending van het privacyrecht oplevert.

Daarnaast verkeerde Justitie in de kennelijke veronderstelling wereldwijd geroepen te zijn cybercriminaliteit te bestrijden, waardoor de less restrictive means voor de inmenging op het privacyrecht van de slachtoffers niet afdoende zijn overwogen. Uitspraken gedaan in de media leiden tot verwarring. Vreemde formuleringen en subjectieve waardetoekenning veroorzaken een rookgordijn voor de feitelijke handelingen en lijken de grenzen van bevoegdheden op te rekken.

Het onderzoek naar de vraag in hoeverre terug-hacken vanuit het privacyrecht bezien een gelegitimeerde opsporingsmethode is, leidt tot de volgende conclusie:

Terug-hacken onder huidig recht is geen gelegitimeerde opsporingsmethode. Justitie ontbeert de bevoegdheid om terug te hacken. Het technisch effect van terug-hacken op de privacy is de totaalsom van het doorzoeken, aftappen, heimelijk volgen, observeren en infiltreren. Hierdoor is het onmogelijk om terug-hacken onder een reeds bestaande bevoegdheid te schuiven. De inmenging op het privéleven is schrikbarend groot.

Mocht de wetgever een terug-hack bevoegdheid wenselijk achten, is het mijns inziens noodzakelijk strikte doelen te formuleren en voldoende waarborgen en toetsen in te bouwen. Daarnaast zal toepassing van een eventuele terug-hack bevoegdheid altijd de art. 8 EVRM toets moeten doorstaan.

De volledige scriptie is ook op de website bredolab.nl te vinden.