Terughackende politie: de duivel uitdrijven met Beëlzebub

Het wetsvoorstel om de politie te laten hacken is in de kern – om maar eens een oud spreekwoord te gebruiken – niets anders dan de duivel uitdrijven met Beëlzebub. Met de bevoegdheden kan namelijk zoveel schade worden aangericht dat je je moet afvragen of het middel niet erger is dan de kwaal.

De gedachte lijkt heel simpel: als er ergens op internet iets gebeurt dat vanuit strafrechtelijk oogpunt twijfelachtig is, breek je in en vernietigt de data, haalt bewijs op of verstoort het proces. Daarmee maak je een voortijdig einde aan de criminele praktijk, verzamel je een stortvloed aan bewijs en hou je vinger aan de pols bij de crimineel.

Problemen
Tot zover de theorie. De praktijk is weerbarstiger. Zo is het bijna onvermijdelijk dat er wordt ingebroken bij onschuldige personen bij wie kwaadaardige software is geïnstalleerd  Uit het recente verleden in Duitsland weten we dat dit soort programmatuur wemelt van fouten, waardoor niet is uit te sluiten dat er grove fouten door opsporingsinstanties worden gemaakt, dat bewijs wordt verminkt of de crimineel zelfs in staat is de politie terug te hacken. Dat laatste heeft natuurlijk ook wel humor.

Maar daar houden de problemen niet op, want de techno-optimisten gaan wel heel gemakkelijk aan voorbij dat er bij het hacken ook wel wat mis kan gaan. Neem het risico dat in binnen- of buitenland een bedrijfsproces ernstig wordt verstoord. We zien nog wel eens gevoelige systemen op internet staan en door een hack kan een chemisch proces ontsporen, een brug of sluis verkeerd ingesteld raken of kan bij sommige vervoersbedrijven wissels verkeerd worden gezet.

Illegaal?
Daarnaast is het ook juridisch twijfelachtig wat er hier gebeurt. Zo is het maar de vraag of de Nederlandse politie bevoegdheid heeft om in te breken in computers in Rusland, Duitsland, Australië of Koeweit. Een deel van de bevoegdheden is zelfs niet toegestaan op basis van internationale verdragen. Daar laveert Ivo Opstelten handig omheen door het alleen dan te doen als men niet weet waar men inbreekt.

Als je niet weet waar je inbreekt dan is het lastig vast te stellen dat de inbraak rechtmatig is. Want wat illegaal is in Nederland hoeft dat nog niet in andere landen te zijn. In de Verenigde Staten mag je dingen zeggen, die in Nederland verboden zijn. Het beledigen van het Nederlands koningshuis is in veel landen niet illegaal. Hoe je zorgvuldig kunt zijn met bijzondere actiegroepen en journalisten die soms net iets meer mogen, is ook niet helemaal duidelijk.

Ineffectief
Maar los van al deze bezwaren spelen er grote risico’s voor het strafrechtelijk onderzoek zelf. Jurist Walter van Holst vroeg zich al af wat een bedrijf doet als zij een inbraak merken. Binnenkort is er een meldplicht en worden mensen geïnformeerd. Een goed lopend onderzoek kan daarmee opeens publiek worden en mogelijk meteen verprutst.

Over de effectiviteit kun je ook veel vragen stellen. Bij de DDoS-aanvallen op Nederland (ING, Rabobank, ASN, SNS, NS, OV-chipkaart.nl, KPN, DigiD, enzovoort) is niet duidelijk wie je moet hacken. Ook bij de Diginotar-zaak is het onderzoek inmiddels onverricht gesloten. Daar helpt hacken dus niets bij. Om te kunnen hacken moet je lekken hebben en gaat onze overheid – net als bij cyberoorlog – ons onveiliger laten zijn om de politie maar te kunnen laten hacken?

Beëlzebub
Mijn goede vriend Jan, een intellectueel jurist die nog altijd schrijft met een vulpen en voorzichtig aan een tablet is begonnen, vroeg me dit weekend of Opstelten de duivel niet aan het uitdrijven is met Beëlzebub. Tja Jan… daar lijkt het verdacht veel op.

Maar troost je, want een andere vriend in de VS – federaal agent – ziet het wel positief:

It’s nice, in a perverted way, to know that the US Congress isn’t the only crazy national legislature.