Liveblog hackvoorstel
- 13 december 2016
Vandaag wordt in de Tweede Kamer gedebatteerd over het hackvoorstel. Misschien heb je ook meegedaan aan de campagne StopHetHackvoorstel.nl om te helpen voorkomen dat onze digitale apparaten onveiliger worden doordat de politie achterdeurtjes wil gebruiken? Wij zijn bij het debat aanwezig en geven je op twitter en in het liveblog hieronder updates over hoe Kamerleden erover denken. En, natuurlijk, je kunt ook zelf meekijken!
23:47: It is a wrap.
Voorlopige conclusie:
– Vrijwel alle moties zijn ontraden
– Er is een ding duidelijk geworden: de Kamer is het niet eens over onbekende onbekende kwetsbaarheden.
– De wet blijft veel rafelrandjes hebben.
– Morgen komen we met meer!
De moties:
– Motie over 0-days: ontraden
– Motie over melden kwetsbaarheden stimuleren en andere methoden gebruiken: oordeel Kamer.
23:46 Verhoeven: Er is wel degelijk gezegd dat als hij tegen zou zijn, hij dan voor terrorisme en kinderporno was. Hij wilde juist het nadeel uitleggen.
23:45 Dijkhoff vindt het een rare discussie. De politie gaat geen kwetsbaarheden verzamelen of genereren. Die kwetsbaarheden zijn er normaal ook. We doen niks af aan dat probleem. Maar: er moet ook iets aan criminelen worden gedaan.
23:44 Verhoeven vindt dat hij het volste recht heeft om zijn zorgen te uiten. Iedereen beweert dat de wet goed is voor het aanpakken voor criminaliteit, terwijl het ook averechts kan werken.
23:42 Dijkhoff geeft aan dat er inderdaad onbekende kwetsbaarheden gekocht en gebruikt kunnen worden. Maar hij vindt niet dat het ervoor zorgt dat er meer kinderporno plaats gaat vinden.
23:41 Dijkhoff zegt: Dat doet de rechter-commissaris gedurende de rit.
23:39 Gesthuizen: dat doet geen recht aan de oproep van diverse partijen die ook gedurende de rit toezicht willen.
23:37 Dijkhoff geeft Helder gelijk dat er in sommige gevallen niet direct toezicht is. Maar er is wel systeemtoezicht.
Nu reactie Dijkhoff
23:37 Verhoeven vindt dat het Recourt siert dat hij stelling heeft genomen.
23:33 Nu Recourt: Er zit nog een graat in de keel. Dat gaat om onbekende onbekende kwetsbaarheden. Daarom dient Recourt een motie in: dat onbekende kwetsbaarheden alleen in uiterste gevallen wordt gebruikt.
23:29 Van Gesthuizen: de uitkomst stemt treurig. Ze had gehoopt dat ze kon zeggen dat de SP zou instellen. Maar dat gaat de SP niet doen, tenzij Dijkhoff nog meer toe kan lichten. Zo is de AMvB niet goed geregeld, is de vier weken voor de “onbekende onbekende” kwetsbaarheden nog niet goed geregeld. Ook vraagt ze of er gehoor gegeven kan worden aan het systeemtoezicht.
23:28 Verhoeven dient een motie in: geen hacksoftware waarvan de regering weet of niet zeker weet of er gebruik wordt gemaakt van kwetsbaarheden. Gesteund door Gesthuizen en Van Tongeren.
23:20 Verhoeven: ik ben geschrokken door de beantwoording en door de manier van de beantwoording. Ik vind echt dat deze wet nog aan alle kanten rammelt. Er zijn echt dingen die nog serieus overwogen moeten worden. Alsof je een wet moet goedkeuren op 80%. Ik vind dat de behandeling een aantal onbekende kwetsbaarheden in het debat hebben blootgelegd. De PVV zegt: ons gevoel is er niet beter op geworden. Dat geldt ook voor mij. Dijkhoff zegt: we gaan het veiliger maken. Maar ze gaan wel de zwarte markt op. En tegelijkertijd wordt het amendement van de PvdA en de VVD omzeild. Dijkhoff zegt ook dat apparaten niet gehackt zullen worden. Maar het staat nergens in de wet. En ik vind het heel jammer dat de VVD het debat niet aan wil gaan op het gebied van kwetsbaarheden. En laten we eerlijk zijn: die onbekende kwetsbaarheden zullen in aangekochte malware zitten. En er zit iets dubbels in: we stimuleren de markt om te melden en ook de markt om er veel geld aan te verdienen. We moeten die markt gewoon aanpakken. De politie gaat hacksoftware inkopen. De politie gaat niet op zoek naar kwetsbaarheden. Dat is een frame, maar niet de werkelijkheid. Deze wet gaat zorgen voor meer onveiligheid, voor meer hacks, voor meer kinderporno, voor meer dreiging.
23:14 Van Tongeren: Dit was een bijzonder onbevredigend debat. Ik was al niet zo enthousiast over deze wet, maar gaandeweg ben ik steeds minder enthousiast. Ik heb herhaaldelijk gevraagd hoeveel we dan gaan oplossen. Daar komt geen antwoord op. En ook een heel simpel amendement over een evaluatie na drie jaar kan niet eens. Moeten we dit nu op deze wijze met stoom en komend water door de Kamer te krijgen? Ik hoop dan maar dat de Eerste Kamer wat zorgvuldiger nadenkt. En is er bijvoorbeeld in Duitsland nu echt zo veel meer misdaad? En het handel in onbekende onbekende kwetsbaarheden – dat we dat aan de ene kant niet mogen en aan de andere kant wel. En op veel vragen heb ik geen antwoord. En ik wil een herevaluatie van mijn amendement.
23:10 Helder: We gingen positief het debat in, maar we krijgen nu veel minder terug. We wilden beter toezicht, we wilden een beperking, maar dat kan allemaal niet. Ik ben heel negatief en ik kan me voorstellen, want in deze Kamer zal dit voorstel het wel halen, dat dat in de Eerste Kamer anders zal zijn.
23:09 Tellegen: Kwetsbaarheden moeten worden gebruikt. Daarna moet het opnieuw aan de rechter-commisaris worden voorgelegd.
23:08 Verhoeven: Wat vindt ze van de discussie over het amendement dat ze heeft ingediend?
23:05 Tellegen is Dijkhoff dankbaar voor de heldere uiteenzetting. Er moet geen twijfel ontstaan over de rechtmatigheid van het inzetten van een middel. We willen geen kwetsbaarheden, we willen ze dichten. Maar soms moet die toch langer openblijven. De VVD vindt dat alleen moet met betere waarborgen. En daarna gaan we melden. Cybercrime groeit snel.
De tweede termijn!
23:01 Van Tongeren: het blijft aan alle kanten wringen. Dijkhoff ontkent dat. Hij vindt niks rammelen.
23:00 Dijkhoff: we weten niet hoe, maar wel welke kant. We willen dus niet zeggen: over 5 jaar zal de bevoegdheid verdwijnen.
22:59 Van Tongeren zegt: ontwikkelingen gaan heel snel. Laten we dan eerder evalueren, maar dat wordt ontraden. En een horizonbepaling wordt ook ontraden. Dat staat haaks op dat we heel veel dingen nog niet kunnen regelen.
22:58 We moeten kwetsbaarheden dichten op een andere manier regelen, zegt Dijkhoff.
22:57 Er is dus geen oplossing voor de derde categorie, vraagt Gesthuizen.
22:56 Dijkhoff: Die kwetsbaarheid is er al. Het gebruiken maakt het verhelpen niet minder goed of minder slecht.
22:55 Gesthuizen: ik wil hier toch op doorpakken. Er blijft gewoon een scenario staan wat dus niet is afgedekt. Dat kan dus niet verholpen worden.
22:53 Verhoeven: ik ben blij dat Dijkhoff toegeeft dat wat ik beweer niet gaat gebeuren. Maar ik moet dan wel constateren dat dit een nepamendement is.
22:52 Dijkhoff: Verhoeven maakt nu van dit scenario de standaard. Zo werkt het in de praktijk niet. Er zijn meerdere scenario’s, die werkelijkheden zijn er ook.
22:51 Verhoeven: we weten dat in dit soort malware 0days gaan zitten. Dan is het dus zeker dat die kwetsbaarheden gekocht gaan worden. En dan gaat dus dit amendement niet nageleefd worden.
22:50 Dijkhoff: We doen hier niet te makkelijk over – we hebben allemaal al met amendement(en) rekening gehouden.
22:49 Helder: ik vind dit te makkelijk. Dijkhoff gaat al in op het gebruik van het amendement, maar het is nog helemaal niet duidelijk. Ik voel me nu in het pak genaaid.
22:48 Dijkhoff vindt dat te makkelijk – zo gaat het in de praktijk niet werken. Het is wel uitvoerbaar voor heel veel gevallen. Het amendement maakt daar een strakkere procedure voor.
22:47 Verhoeven: Dus Recourt doet alsof het belangrijk is dat kwetsbaarheden snel gedicht worden, en Dijkhoff zegt dat hij het belangrijk vindt, maar allebei weten dat het in de praktijk zo niet gaat werken.
22:46 Dijkhoff: Nee, het zit anders. Dit gaat alleen over de onbekende onbekende kwetsbaarheden.
22:46: Verhoeven: Dus een amendement waarbij gemeld moet worden wordt aan oordeel van de Kamer gelaten, terwijl er al in het betoog is aangegeven dat het niet kan worden nageleefd?
22:43 Over de amendementen:
Amendement 10 -> evaluatietermijn: het kabinet is van mening dat vijf jaar prima is: ontraden
Amendement 12 -> Over een commissie van toezicht: ontraden
Amendement 13 -> Over het uitsluiten van kwetsbaarheden: ontraden
Amendement 14 -> Over het melden van Recourt / Tellegen: oordeel Kamer.
Amendement 15 -> Lokpuber: oordeel
Amendement 16 -> horizonbepaling: ontraden
Amendement 17 -> delicten naar 6 jaar: ontraden
Amendement 18 -> Decryptiebevel: ontraden
Amendement 19 -> Domeinnamen: laten we het op een andere manier regelen
Amendement 20 -> gevoelige apparaten: ontraden
Amendement 21 -> AMvB eruit: ontraden
22:41 Als antwoord op Van Tongeren zegt Dijkhoff: als de verdachte of iemand anders malware aantreft, dan kan die dat natuurlijk verwijderen of het probleem verhelpen. En als antwoord op Verhoeven zegt hij dat ze met de Raad voor de Rechtspraak in gesprek zijn over meer kennis en kunde bij rechters.
22:36 Dijkhoff: Ja, dat klopt. Zolang het functioneel is, dan moet het gemeld worden. Maar het kan ook dat er wordt gezegd: dit hoeft uiteindelijk helemaal niet gemeld te worden.
22:35 Verhoeven: Dijkhoff moet toch toegeven dat die vier weken steeds verlengd kan worden? Dan geldt dat toch ook voor de meldplicht?
22:34 Dijkhoff: het expertisecentrum zit in Den Haag.
22:33 Recourt: De expertise van de rechter-commissaris: dan wordt het dus de rechter-commisaris in Den Haag?
22:32 De rijksinspectie kunnen zelf informatie en deskundigheid verzamelen. Ze moeten zich nog op deze taak instellen. Dus daar zal in voorzien moeten worden.
22:29 Gesthuizen vroeg hoeveel werk het voor de rechter-commissaris zou zijn – Daar kan Dijkhoff nog geen antwoord op geven. Over het toezicht achteraf: het is systeemtoezicht. Dat kan de inspectie zelf vormgeven. De rol van het AP: dat zal niet veel extra toevoegen. Verder, zegt Dijkhoff, is het hacken een ultimum remedium.
22:28 Dijkhoff: het bevel geldt voor 4 weken, maar kan verlengd worden. Daar is een nieuwe machtiging voor nodig. De start kan aan logging te zien zijn en dan zal het maximaal vier weken zijn.
22:27 Dijkhoff zegt, in antwoord van een vraag op Gesthuizen, over de AMvB: We kijken naar dingen waarbij een geautomatiseerd instrumenteel is voor het delict, bijvoorbeeld. Het wordt geen verkapt censuurbeleid.
22:26 Dijkhoff zegt: als er geen rechtzaak is, dan zal er systeemtoezicht zijn – en toetsing vooraf.
22:26 We willen niet wachten op de wet bronbescherming, zegt Dijkhoff.
22:25 Dijkhoff: We hebben die waarborgen, of het nou in Nederland of in het buitenland is.
22:25 Verhoeven: Heel raar; aan de ene kant wil Dijkhoff het zo veilig mogelijk doen, maar aan de andere kant zegt hij dat het aan het eind van het verhaal ook maar gewoon moet gebeuren. Wat heb je dan aan de waarborgen?
22:23 Dijkhoff: ik kan de wet zodanig maken dat die antwoord geeft op de complexiteit van dit debat, maar niet op de wereldse complexiteit.
22:22 Verhoeven: In het vorige blokje werd gezegd: als we het niet weten, dan kunnen we het doen. Dat zegt Dijkhoff nu weer. Nu wordt er eigenlijk geschuild achter het ‘niet weten’.
22:21 Dijkhoff: die grondrechten zijn niet absoluut. We gaan niet zomaar bij een burger kijken. De regels schieten tekort.
22:21 Van Tongeren: De Toelichting op de toelichting staat echt haaks op de duidelijkheid die er wel zou zijn.
22:19 Dijkhoff: Ik doe hier niet luchtig over. Maar we houden ons aan duidelijke regels. En voor een groot deel zijn er geen regels. En dat gaat prima samen. En we willen niet dat er nooit regels komen, maar dat die gemaakt worden – maar zolang die er niet zijn dan zullen we het zo moeten.
22:18 Van Tongeren zegt dat Dijkhoff erg luchtig doet over de materie. Bovendien is wat Dijkhoff zegt haaks staat op wat de Memorie van Toelichting staat, volgens Van Tongeren.
22:17 Het gaat om vragen over clouddiensten en over het Duitse systeem. Dijkhoff zegt dat we onze eigen regels hebben en als het niet duidelijk is waar het is – dan kunnen we twee dingen doen: of wachten en niet optreden, of wel optreden. En we willen optreden, want we willen niemand buiten schot laten. Er zijn wel allerlei verdragen en daar moet wel het een en ander aangepast bij worden.
Dijkhoff schakelt over naar een volgend blokje. Wij ook.
22:15 Dijkhoff: de Kamer wordt niet gepiepeld. We mogen zoiets op deze manier doen.
22:14 Gesthuizen: nu worden we gepiepeld. Ik wens niet op zo’n manier te debatteren.
22:14 Dijkhoff: Ik wil geen formele procedure, want dat duurt heel erg lang.
22:13 Verhoeven: maar dan moet de Kamer dus het initatief nemen om het in te perken. Maar andersom is er wel een AMvB waar juist Dijkhoff het voortouw wil nemen en de Kamer niet wil vragen.
22:12 Dijkhoff: ik wil die lijst ook niet inperken.
22:11 Verhoeven: Ik kan Dijkhoff daarin wel volgen, maar de Kamer heeft nu helemaal geen inspraak.
22:10 Dijkhoff: ik wuif het niet weg. Ik heb geen blind vertrouwen. Maar ik wil het niet uitsluiten. We willen geen auto’s stoppen, want dat is geen bevoegdheid. Dus dat hoef ik niet uit te sluiten.
22:09 Van Tongeren: maar waarom wuiven we dit weg? De Raiv vraagt dit niet voor niets.
22:08 Dijkhoff: ik kan me niet snel voorstellen dat de politie dat wil hacken. Dat denk ik niet. Maar bovendien: er zit een veronderstelling in dat die apparaten dan onveiliger wordt en dat is een veronderstelling die ik niet deel.
22:07 De toekomst voorspellen is lastig. Maar werken als de stormvloedkering, dat soort apparaten. Moeten we dat niet absoluut willen uitsluiten? Vraagt Van Tongeren.
22:06 Over geautomatiseerde werken: Er zijn strenge waarborgen. De politie mag heel veel niet. Ik kan me geen voorbeeld voorstellen dat er een pacemaker wordt gehackt. Maar ik wil geen limitatief lijstje. We weten niet wat handig is over een paar jaar.
22:05 Dijkhoff: als we niet weten of we in Nederland zijn en dan kunnen hacken – nee: als andere landen in Nederland hacken, dan willen we dat ook weten zodra dat voor hen duidelijk is.
22:04 Dijkhoff: Er zit in deze wet op veel momenten toezicht. Dan is er een zittingsrechter en die kan dat nagaan. En dan is er het systeemstoezicht. Zij zijn onafhankelijk. Ik zie geen reden om daar iets anders te doen.
22:02 Dijkhoff: Ik wil de bevoegdheid niet verder beperken.
22:01 Dijkhoff op vraag van Helder over Besluit Technische Hulpmiddelen: we zullen die moeten herzien voor de wet in werking treedt. En: we willen veel Europees aanpakken, maar dat duurt lang. We zullen nu zelf iets moeten doen.
22:00 Dat zal in veel gevallen gebeuren, maar er worden ook producten ook geleverd die gewoon handig zijn, zegt Dijkhoff.
21:59 Waarom doet de overheid niet zelf onderzoek? Want dan kan je die markt overslaan, vraagt Recourt.
21:58 Dijkhoff: ik wil een directe stap: als iets wordt gevonden, dan moet het worden gemeld.
21:58 Recourt: Maar kunnen we het niet zelf doen? In Nederland, met de politie en bijvoorbeeld FOX-it?
21:55 Dijkhoff: dat zit in de brief, dat zit in het komende amendement. En, het is geen woordenspelletje. We sluiten een aantal kwetsbaarheden uit – en van een aantal weten we het niet. Dan kunnen we het ook niet melden.
21:55 Verhoeven: Over die vier weken waarin niet gemeld mag worden, die zie ik nergens in de wet. Bovendien: het probleem van Recourt blijft staan. Die onbekende kwetsbaarheden blijven bestaan. En de woorden van Dijkhoff zijn cosmetisch, op basis van taalhandigheid. De Nederlandse overheid gaat wel de markt van zeo days op.
21:55 Dijkhoff: Dat klopt.
21:54 Gesthuizen vraagt of het inderdaad zo is dat niet gevraagd wordt aan derden of kwetsbaarheden voorlopig nog even niet opengehouden zullen worden.
21:52 Dijkhoff: we moeten niet doen alsof de overheid een grote speler daar is. Of andere overheden. Dat zijn andere spelers. Wij moeten daar eigenlijk responsible disclosure voor hebben en dergelijke. We doen al heel veel. Maar, zolang die kwetsbaarheden nog niet dicht zijn, willen we ze wel gebruiken. Ik snap dat dat we betere sloten willen, maar we willen ook het slot forceren.
21:51 Van Tongeren: We moeten die handel toch helemaal niet willen? Die moeten we niet aanwakkeren. Kunnen we in Europees verband niet pushen voor het stoppen met die markten?
21:48 Die markt is zorgwekkend, die willen we bestrijden, zegt Dijkhoff. Maar die situatie is er al, of de wet er wel of niet is. En nu wordt het gelinkt aan de wet. En ik vind dat de nadelen zonder de wet al bestaan.
21:46 Verhoeven: Maar dat is heel ongemakkelijk, je zit dan in hele ongemakkelijke hoekjes. We willen het juist stimuleren dat kwetsbaarheden gemeld worden en niet dat die uit financieel gewin achterhouden.
21:45 Recourt: Maar de pijn zit hem dus in de onbekendheid van de kwetsbaarheid. Dat willen we als overheid niet. We willen die markt niet stimuleren.
21:44 Dijkhoff: om even semantisch te zijn: als we niet weten wat we kopen, dan weten we ook niet of het onbekend is.
21:43 Recourt: Maar als we software inkopen, dan kan het dus gaan om onbekende kwetsbaarheden.
21:35 Logs en dergelijke, zegt Dijkhoff, die zorgen ervoor dat het onderzoek goed te controleren is en dat de politie zich aan de regels van de rechter-commisaris houdt.
21:34 Dijkhoff: je hebt allerlei onbekende kwetsbaarheden. Een onbekende kwetsbaarheid kan niet worden ingekocht. Wel kan je een tool gebruiken die gebruik maakt van bekende of onbekende kwetsbaarheden. Dan weet je niet wat je gebruikt en dan kan je het dus ook niet melden. Dijkhoff kan zich ook voorstellen dat de politie onbekende kwetsbaarheden gaat melden die de AIVD of MIVD gebruikt. We blijven ook het belang bij encryptie en https houden. Juist omdat de meerderheid grote risico’s loopt als ze die beveiliging niet hebben.
21:34 Helder vraagt: gaat de politie zelf kwetsbaarheden maken? Dijkhoff: Nee, want de politie maakt zelf geen software. Wel kunnen er onbekende kwetsbaarheden kopen. En, in antwoord op Van Tongeren, KPN zal niet worden gevraagd om updates niet door te voeren.
21:30 Over de vraag van Tellegen zegt Dijkhoff: we gaan bedrijven niet vragen om sleutels in te bouwen of af te geven. De handel in kwetsbaarheden die is er. Die handel is niet verboden. Het gebruiken van die kwetsbaarheid wel – en die handel is erg duur. We kunnen ze daarom niet allemaal kopen en publiceren.
21:30 Dijkhoff: We gaan niet toegang krijgen tot alle systemen. Kwetsbaarheden moeten ook gemeld worden. En dat dubbele belang is er altijd: de politie wil nu ook deuren open kunnen maken, maar ook mensen adviseren hun deur zo goed mogelijk dicht te houden.
21:29 Maar moet Nederland zich nou mengen op de 0-day markt? Vraagt Van Tongeren.
21:28 Dijkhoff: Als we deze wet niet hebben, dan kunnen we die gaten ook niet vinden.
21:27 Van Tongeren: stel dat sloten stuk zijn, dan moeten die zo snel mogelijk gemaakt worden. Het is niet de schuld van de politie dat die sloten stuk zijn, maar die mensen moeten wel snel een boodschap krijgen dat de sleutels stuk zijn. En niet nog even die kennis achterhouden.
21:26 Dijkhoff: Ik schud nee, omdat het niet zo is dat er door dit wetsvoorstel kwetsbaarheden open blijven. Dat is niet zo. Er is een extra scenario: een kwetsbaarheid die nog niet gemeld is, wel gebruikt wordt door de politie en dan gemeld wordt.
21:25 Verhoeven vindt het gevaarlijk dat we moeten vaststellen dat de wetstekst heel veel open laat.
21:18 Dijkhoff zegt: We moeten blij zijn dat we zwakheden vinden – want dan wordt die tenminste gedicht. En er zijn niet alleen maar uitersten. De situatie dat de politie kwetsbaarheden in routers die door half Nederland gebruikt gaan worden lijkt me niet snel gebeuren.
21:17 Verhoeven zegt dat Dijkhoff het idee wil counteren dat kwetsbaarheden niet gedicht worden. Maar de wetstekst sluit dit niet uit.
21:16 We willen zo weinig mogelijk kwetsbaarheden. En we willen de kwetsbaarheden dichten. Het NCSC geeft dus geen lijst met kwetsbaarheden aan de politie. En als bedrijven dichten, dan blijft het dicht. Kwetsbaarheden die van geheime diensten komen moeten ook worden getoetst.
21:15 Dijkhoff begint met het antwoorden. Hij zegt dat de wet nodig is en dat we ook moeten kijken naar de dreigingen en de verantwoordelijkheid van de overheid. En er zitten inderdaad tegenstrijdigheden binnen de overheid. Niet zozeer in dit wetsvoorstel, maar wel dat er verschillende belangen zijn.
Pauze! om 21.13 gaan we weer verder
21:01 Recourt: ik vind het principieel niet verkeerd om kwetsbaarheden te gebruiken. Maar wel met voorwaarden.
21:00 Verhoeven: Hoe kan de PvdA dan terwijl de vragen nog niet beantwoord zijn, terwijl niet uit te sluiten is dat de politie zal handelen en de wet zal overtreden, toch al met de wet akkoord gaan?
20:59 Recourt: Ja, dat gevaar zie ik. Ik vind dat onwenselijk.
20:58 Verhoeven: Die kwetsbaarheden worden gekocht bij bedrijven die er belang bij hebben dat kwetsbaarheden niet gedicht worden. Ziet de PvdA dat gevaar?
20:58 Gesthuizen zegt: het is handel, ik snap heel goed dat je kritische vragen stelt aan het kabinet. Maar als je er een amendement in wil, dan moet je ook duidelijk zijn.
20:57 Recourt: de vraag is dus: hoe kom je aan die kwetsbaarheden. Ik wil dat die niet
20:57 Verhoeven: Maar het is niet uit te sluiten dat de politie de wet dus gaat overtreden bij de aankoop van onbekende kwetsbaarheden en dat ze gedicht worden. Dat gaat niet samen.
20:56 Recourt: we willen dat zero-days niet commercieel gekocht mogen worden.
20:55 Verhoeven: Wat nou als het gaat om onbekende kwetsbaarheden, bijvoorbeeld als de politie software koopt die gebruik maakt van onbekende kwetsbaarheden terwijl de politie niet weet welke dat zijn en ze ook niet kan melden?
20:54 Ja, dat vinden we, zegt Recourt.
20:54 Dus 0-days mogen gebruikt worden, vraagt Gesthuizen. Ze kan dat niet goed rijmen met het betoog.
20:53 Recourt: wij steunen het gebruik van kwetsbaarheden – en dan in eerste instantie bekende kwetsbaarheden. En ook onbekende kwetsbaarheden mogen uiteindelijk gebruikt worden.
20:53 Gesthuizen heeft een vraag over het amendement van Recourt en Tellegen. Gesthuizen mist principes: de vraag of de overheid kwetsbaarheden mag gebruiken komt bij de rechter-commissaris en niet bij de politiek.
20:50 Intussen zijn we weer verder gegaan. Recourt is aan het woord, hij heeft gesproken over de noodzaak van het hackvoorstel, over de reikwijdte van het begrip geautomatiseerd werk, het gebruik van kwetsbaarheden en dat het inzetten van onbekende kwetsbaarheid een ultimum remedium is. En: wat nou als zero-days commercieel worden gekocht?
Voor Recourt was Gesthuizen: Zij gaf aan zich zorgen te maken over de bevoegdheid en een voorstander te zijn van privacy, maar geen principieel tegenstander van het hackvoorstel. Ze noemde onder andere het ontbrekende toezicht en vroeg zich af of de Autoriteit Persoonsgegevens daarbij betrokken zou moeten zijn. En ze had vragen over het voorlopige karakter van het melden van kwetsbaarheden.
Pauze!
19.33 Verhoeven gaat afronden. Hij vindt het jammer dat het niet over security gaat. En hij wil juist ook de wet steunen en heeft daarom vijf amendementen ingediend. En ook andere voorstellen in andere contexten ingediend, zoals bijvoorbeeld over software-aansprakelijkheid. Verhoeven wil dat we onze samenleving weerbaarder maken voor cyberdreigingen.
19.25 Verhoeven stelt vragen over de kosten en procedures voor aankoop van overheidsmalware, over de risico’s van kwetsbaarheden, of ingekochte kwetsbaarheden ook door andere landen of diensten gebruikt mogen worden, waarom cijfers ontbreken, wat bijvoorbeeld de termijn voor het melden van zwakheden is. Ook over de noodzaak om auto’s in peilbakens te veranderen, of om gps of camera’s te activeren. Maar ook of antivirusbedrijven gevraagd kunnen worden om malware door te laten, of bedrijven gevraagd kan worden om updates niet door te voeren of kennis over zwakheden bij bedrijven te delen met de politie. Maar ook: hoe vaak er dit jaar gehackt kan worden – hoevaak er in de komende jaren gehackt mag worden en hoe voorkomen gaat worden dat dit middel als efficiencymiddel gaat worden ingezet.
19.18 Verhoeven heeft nog een heleboel vragen – en die gaat hij nu stellen.
19.15 Hoe gaan we ervoor zorgen dat er genoeg technische expertise bij de rechters is, vraagt Verhoeven.
19.14 Verhoeven wil onafhankelijk systeemtoezicht. Dat is in het belang in een zaak tegen een verdachte, zodat die niet klapt. Daarom heb ik een amendement ingediend. Als het toezicht toch voldoende en onafhankelijk blijkt te zijn, dan is het amendement niet nodig, maar ik heb mijn twijfels.
19.13 Nu over toezicht. Verhoeven legt uit dat er onvoldoende toetsing is bij de inzet van het middel.
19.05 Verhoeven wil dat er betere regels komen over soevereiniteitskwesties. Dat is nu niet goed genoeg geregeld. Hoe kunnen we ervoor zorgen dat bewijs toch gebruikt kan worden?
19.01 Verhoeven maakt zich zorgen over de software die wordt gebruikt en ingekocht. En ook over de soorten geautomatiseerde werken. Er kan bijvoorbeeld een pacemaker gehackt kan worden, maar ook auto’s. Sommige apparaten moeten categorisch worden uitgesloten.
19.00 Een kleine recap:
Er wordt veel gezegd, dus voor de leesbaarheid een samenvatting van wat er tot nu toe gezegd is:
Intussen zijn Van Toorenburg, Van Tongeren, Tellegen en Helder aan het woord geweest. Van Toorenburg maakte zich druk over mensen die de politie als de vijand zien en gaf aan dat de politie gebruik moet kunnen maken van kwetsbaarheden. Tellegen gaf aan dat de politie deze bevoegdheid ook hard nodig hebt, ook met gebruik van kwetsbaarheden. De huidige waarborgen zijn voor haar voldoende, maar heeft wel met Recourt een amendement ingediend om onbekende kwetsbaarheden te mogen gebruiken, maar pas nadat dit is getoetst door een rechter. Helder gaf aan de noodzaak voor de bevoegdheid te zien, maar was wel kritisch over welke misdrijven, over het toezicht en over onbekende kwetsbaarheden. Van Tongeren zag de noodzaak niet en maakte zich grote zorgen over de verstrekkendheid van de bevoegdheid. En: ook over het risico van kwetsbaarheden.
Hieronder kun je alles nog eens zelf nalezen:
18.54 Verhoeven: Politie moet kunnen hacken als ze bijvoorbeeld wachtwoorden vinden of als er lokpubers worden gebruikt. Maar nieuwe bevoegdheden lijken tegenwoordig een nieuw magisch adagium. Dat is soms nodig, maar ik ben ervan overtuigd dat dit nu onveiliger wordt. Preventie van cybercrime en gevolgen voor economie, veiligheid en privacy voor de burger valt volledig buiten de boot.
18.54 Verhoeven: Moeten we het geld niet uitgeven aan goede rechercheurs ipv aan miljoenenkostende discutabele hacksoftware?
18.50 Verhoeven: Het gaat erom dat de overheid een belang heeft bij het openhouden van kwetsbaarheden en niet bij het dichten. En die kwetsbaarheden worden ook gebruikt door criminelen, door Chinezen – door kinderpornobendes.
18.49 Recourt: Dit wetsvoorstel introduceert een meldplicht: als je een kwetsbaarheid gebruikt, dan moet je hem melden. Dan wordt het toch niet opengehouden?
18.48 Verhoeven: Deze wet maakt het mogelijk dat de overheid bestaande kwetsbaarheden gebruikt, maar ook onbekende kwetsbaarheden. Ook gebruikt de politie veel software die gebruik maken van onbekende kwetsbaarheden, die gaan niet door de politie worden opgemerkt, of in ieder geval niet gemeld.
18.47 Recourt: Er zijn kwetsbaarheden. Als de overheid niets doet, dan blijven kwetsbaarheden bestaan. Nu wil de politie die kwetsbaarheden gebruiken en melden en dan wordt die gedicht. Hoe verhoudt zich dat nou tot uw verhaal?
18.46 Verhoeven: Dit wetsvoorstel maakt de burger onveiliger. We worden niet veiliger van het gebruik van kwetsbaarheden. Dijkhoff en Van Toorenburg schudden “nee”, maar het staat toch echt in deze wet.
18.44 Verhoeven: Het gaat ons niet alleen om privacy, maar ook om effectiviteit.
18.43 Verhoeven: Met deze achtergrond is het geen wonder dat burgers vragen stellen bij meer bevoegdheden voor overheden. Zo ook bij hacken. Deze wet staat dus niet op zichzelf, maar staat in relatie met andere wetten, zoals de sleepnetwet en ANPR.
18.41 Verhoeven: We moeten dit wetsvoorstel zien in de context van steeds minder privacy voor burgers. Denk aan cookies, denk aan apps. Denk aan massasurveillance, aan programma’s als XKEYSCORE. Dan is het geen wonder dat mensen zich beter willen beschermen.
18.41 Verhoeven: Als je wil hacken, dan moet je accepteren dat anderen ook gebruik maken van kwetsbaarheden.
18.38 Intermezzo: Van Toorenburg en Tellegen gaan nu even gezellig overleggen.
18.37 Verhoeven geeft aan dat het hacken enorme risico’s kan hebben. Hacken gebruikt worden om terroristische activiteiten te faciliteren, het kan leiden tot kinderpornografie. Cybercrime heeft grote gevolgen, bijvoorbeeld voor onze kinderen. Het gaat ook om onze vitale infrastructuur.
18.37 Intermezzo: Buma is een kijkje komen nemen bij Van Toorenburg. Even bijpraten.
18.33 Verhoeven: We moeten hierbij niet alleen kijken naar privacy. Ook naar security. In 2011 zijn er Russische hackers er in geslaagd om een waterzuiveringssysteem te hacken. In 2015 werd een energiecentrale in Oekraine gehackt.
18.32 Verhoeven: “Cyber” krijgt steeds meer een analoge component. Die worden ingezet voor DDOS-aanvallen en spam. Kijk bijvoorbeeld naar koelkasten e.d.
18.31 Verhoeven: het zijn twee aparte aspecten. Wij vinden beiden belangrijk. Maar ik sta hier met een verhaal van 75 minuten omdat ik nu al weet wat ik met de wet wil. Ik heb vijf amendementen waarvan ik hoop dat ze gesteund worden. En daarna kijken we en zullen we een afweging maken.
18.30 Helder: Wij willen graag beperken qua misdrijven, maar niet op het gebied van geautomatiseerd werk. Zou beperken qua misdrijven niet voldoende zijn?
18.29 Verhoeven geeft aan dat innovatie continu losgetrokken wordt van hacken en dergelijke, terwijl het wel degelijk samenhangt. Dat hacken kan innovatie ook raken, dus dat moet je ook meenemen.
18.23 Verhoeven stelt een reeks aan vragen, bijvoorbeeld het AmvB (onderliggende regelgeving bij een wet), en waarom het nodig is om strafbare feiten via een AMvB in de wet op te nemen, in plaats van direct in de wet.
18.23 Nu Verhoeven. Verhoeven heeft een spreektijd van 75 minuten. Dus, sit back and enjoy! Dijkhoff geeft vast het goede voorbeeld.
18.17 Van Tongeren: rechterlijke toetsing schiet tekort. Komt er onafhankelijk toezicht? De PVV vroeg er ook al naar. Wij denken dat het nodig is.
18.16 Van Tongeren: Populaire clouddiensten zitten vaak in de VS. Moeten we dan niet gebruik maken van rechtshulpverzoeken? Ik snap dat ruchtbaarheid ongewenst is, maar is dit niet strijdig met de soevereiniteit? En hoe gaan we er andersom mee om? Stel dat de Russen bij ons binnenkomen en dan kwetsbaarheden niet bij ons melden omdat de Russen die kwetsbaarheden willen gebruiken om Russische criminelen willen pakken. Dat is toch niet goed?
18.15 Van Tongeren: Computercriminaliteit is grensoverschrijdend, dat roept jurisdictieproblematiek op. En wat nou als een bedrijf wordt gehackt door overheidsmalware, wat mag het bedrijf dan doen?
18.14 Van Tongeren: We maken ons zorgen over hoe breed geautomatiseerd werk is. Moeten we dat niet limitatief opsommen? Wat vindt Dijkhoff van de zorg van de Raiv?
18.13 Van Tongeren: Nee, ik heb gezegd dat de inzet van de bevoegdheid verder ingeperkt is door de Duitse Hoge Raad.
18.12 Recourt: In Duitsland mag je toch helemaal niet hacken? Vraagt Recourt.
18.11 Van Tongeren: Het gebruik van en de handel in onbekende kwetsbaarheden – zero days. Ik heb nog niet gehoord dat we vinden dat de overheid niet duidelijk het handelen in die kwetsbaarheden moet uitsluiten. En ik wil graag de juridische status van zero days weten. Als we dit doen, dan houden we die markt in stand. Dat gaat op een moment echt erg mis.
18.06 Het internet eindigt niet bij onze grenzen, zegt Van Tongeren. Dus als we in Nederland iets doen wat in Duitsland niet mag, in Duitsland, dan hebben we een probleem.
18.05 Nu Van Tongeren! Ze zegt dat effectieve opsporing belangrijk is, maar dat de manier waarop ook kritisch bekeken moet worden. Ze zegt dat de Staatssecretaris zegt bestaande bevoegdheden niet meer nuttig zijn – maar waarom eigenlijk? De argumentatie is schamel. Niet alleen van V&J, maar ook van VVD en CDA.
18.04 Helder: Vanwege de onafhankelijkheid.
18.03 Recourt: waarom meer toezicht?
18.01 Helder: Er moet meer onafhankelijk toezicht komen. Wij vinden het huidige toezicht niet voldoende.
18.01 Helder: als er in het buitenland wordt gehackt, gaan we dan eerst het land
18.00 Helder: het voelt tegenstrijdig dat het NCSC kwetsbaarheden wil vinden en de politie deze gaat gebruiken. En kan bijvoorbeeld aan KPN gevraagd worden over updates nog even niet doorgevoerd worden? Dat moeten we niet willen.
17:59 Helder: over kwetsbaarheden. De politie zal vaak gebruik maken van bekende kwetsbaarheden. Maar dat is akkoord. Over onbekende kwetsbaarheden. Dat onbekende kwetsbaarheden worden gebruikt maakt het internet niet per se veiliger, maar ook niet onveiliger. Maar er zijn ook uitzonderingen op het melden. Kunnen nieuwe kwetsbaarheden gemaakt worden? Aan welke nieuwe kwetsbaarheden wordt dan gedacht? Want dan wordt het internet onveiliger.
17:58 Helder: zou de bevoegdheid niet moeten worden beperkt? Te nauwe omschrijving kan problemen opleveren. We zijn niet doof voor de vrees van velen die de overheid niet vertrouwen. Maar criminelen hebben een voorsprong.
17:50 Helder: opsporing – met waarborgen – moet prevaleren, maar er moeten wel goede waarborgen zijn. Maar we hebben nog wel wat vragen. We willen dat het Besluit Technische Hulpmiddelen eerst wordt herzien voor dat er door de politie ‘gehackt’ kan worden.
17:49 Helder: We noemen dit het “hackvoorstel”. Zo erg is het niet. Dit is echter niet onbevoegd, dus het is geen hacken.
17:48 Helder: ik wil eerst Van Toorenburg feliciteren, ze is de eerste vrouw die namens de SGP heeft mogen spreken. Dan over de inhoud.
17:48 Van Toorenburg: Je mag dit richten aan de verdachte, maar je mag dit niet gebruiken om hem te veroordelen.
17:47 Recourt: is het nou, even onder juristen, wel of niet gericht aan een verdachte?
17:45 Van Toorenburg: De niet-jurist snapt het niet. Ik zal het uitleggen. Er zijn landen waar dit wel kan, bijvoorbeeld in Engeland. Wat ik wil is dat we niet de persoon pakken die de deur opent, maar iedereen die achter de deur zit.
17:45 Verhoeven: Bijna elke adviseur of deskundige heeft gezegd: dit moet je niet doen. Dit dwingt mensen om mee te werken aan hun eigen veroordeling. Dus CDA wil wel een decryptiebevel maar niet dat iemand gedwongen wordt aan zijn eigen veroordeling mee te werken?
17:44 Van Toorenburg: Het is klip en klaar.
17:43 Verhoeven: Ik ken het CDA als een hoeder van de rechtsstaat. Nu willen ze een bijl. Dat gaat toch wel erg ver.
17:43 : an Toorenburg We willen een amendement indienen om het decryptiebevel weer terug te krijgen. En ook een amendement om de bancaire sector beter te beschermen.
17:34 Van Toorenburg: Ik vind het amendement van de PvdA/VVD ook interessant. Maar ik vind dat kwetsbaarheden gebruikt moeten worden. Verder kan het hacken ook juist privacybeschermend werken.
17:34 Verhoeven: moeten de deurtjes niet zo snel gedicht worden?
17:33 Van Toorenburg: ik heb veel irritatie, inderdaad. Er zijn veel partijen die doen alsof de politie onze vijand is.
17:33 Verhoeven: Van Toorenburg lijkt geirriteerd te worden door de vragen. Het is precies andersom dan Van Toorenburg denkt. Ze gebruiken kwetsbaarheden, die vinden ze niet. Mijn vraag is: moeten die deurtjes niet gewoon dicht?
17:32 Van Toorenburg: Politie moet het systeem in. Ze gaan geen Nintendo spelen. Het gaat om zware criminaliteit.
17:31 Van Tongeren: Maar waar zit nou de afweging? Is het niet belangrijker om alle deuren zo snel dicht te krijgen, dan kan de politie er ook geen gebruik van maken?
17:30 Van Toorenburg: We leven in Nederland, niet in Duitsland. En ik wil dat de politie makkelijker op kan treden, dus ik wil van 8 naar 6 jaar.
17:29 Van Tongeren: Alles wat een keer kan gebeuren, zal gebeuren. We moeten de burgers beschermen. Waar blijft de grens, ook als we naar Duitsland gaan?
17:28 Van Toorenburg, nee, dat niet. Dat gaat tever. We moeten niet nu al een grens trekken. We moeten de politie vertrouwen.
17:27 Recourt: Het gaat erom dat we een grens trekken. Zullen we die vaststellen in dit debat?
17:26 Van Toorenburg: Denk je nu echt dat de politie pace-makers gaat stilzetten?
17:25 Recourt: die brief lijkt belachelijk. Maar we hebben ook de filefuik gehad. Deze wet maakt het wel mogelijk om in een auto in te breken. Stel dat die auto tot stilstand gebracht kan worden. Moeten we wel duidelijk hebben dat bijvoorbeeld auto’s of pacemakers niet gehackt moeten worden? Als het de veiligheid betreft, laten we daar dan iets over vaststellen.
17:24 Van Toorenburg: ik krijg brieven dat de politie straks auto’s stil gaat zetten. Dat zijn ridicule brieven. Hoe kan dit? Ik ga dezre brief straks aan de staatssecretaris geven, dan kan hij ook een halfuurtje lachen.
17:23 Van Toorenburg: Dit is wat er aan de hand is: er zijn kwetsbaarheden. De politie mag bijna niks. Die komen daar niet eens achter. De politie gaat binnendringen en komt dan achter kwetsbaarheden. En wat dan? Dan mogen ze er niks mee.
17:22 Verhoeven: het gaat over de opsporingsdiensten. Ik wil best meegaan dat het gaat om de intenties. Mijn punt is een ander punt. Het gaat erom dat als de politie goed omgaat met achterdeurtjes, dat dat niks zegt over hoe criminelen er mee omgaan. Daar zit mijn zorg.
17:21 Van Toorenburg: de spookgeluiden zijn dat de politie vrijelijk, in ieders computer achterdeurtjes in kan bouwen en open kan laten staan. Dat zijn spookbeelden. Dat klopt niet. Het lijkt wel alsof de grote vijand onze veiligheidsdiensten zijn.
17:21 Verhoeven: Van Toorenburg zegt dat het een fabeltje is dat achterdeurtjes of kwetsbaarheden open worden gehouden. Dat is precies de bedoeling van het voorstel.
17:20 Van Toorenburg zegt nu dat de burger bang is gemaakt. Door mensen. En er is nu een helder tegenantwoord voor nodig.
17:19 Van Toorenburg quote intussen zichzelf uit de schriftelijke inbreng.
17:18 Intermezzo: Dijkhoff Zit intussen voornamelijk een beetje rond te kjken. Hij zal straks alle vragen moeten beantwoorden, maar kan voorlopig
17:17 Van Toorenburg: Ik mag ook namens de SGP spreken. Politie en justitie lopen hopeloos achter. Communicatie loopt via internet en internet is grenzeloos. De handboeien zitten nu om de polsen van de agenten, die moeten eraf.
17:16 Tellegen: ik zie het probleem niet. Ik sta hier om 17 miljoen burgers te vertegenwoordigen en te beschermen. Als Nederland in Duitsland inbreekt, dan gaat dat volgens Nederlands recht. Ik zie niet waar dat wringt.
17:16 Van Tongeren: Het gaat niet om gelijk of ongelijk. Hoe gaan we ervoor zorgen dat de Nederlandse politie zich gaat houden aan de Duitse wet?
17:15 Tellegen: we gaan hier niet losjes om met grondrechten.
17:15 Van Tongeren: Het internet houdt zich niet alleen aan Nederland. In Duitsland zijn we heel streng. Dan heb ik twee vragen: 1) Waarom gaan we hier zo losjes mee om? 2. Hoe gaan we politieagenten leren om dan zich in Duitsland aan de regels te houden?
17:15 Tellegen: Goede vraag, het lijkt me het meest zuiver als we pas op de plaats maken. Dus niet gebruiken, totdat de RC een oordeel heeft gegeven.
17:15 Helder: Hoe zit het in de tussenliggende periode als een kwetsbaarheid aan de rechter-commisaris (RC) wordt voorgelegd? Mag die dan wel of niet gebruikt worden?
17:14 Tellegen: Dat kun je niet zo moreel bekijken. Ik heb liever dat we het wel doen dan op onze handen blijven zitten.
17:13 Recourt: We moeten toch wegbijven van die schimmige markt?
17:12 Tellegen: Ja, daarom ook mijn vraag aan Dijkhoff. Bedrijven weten niet wat ze moeten doen.
17:11 Recourt: maar hoe zit het nou? Net wilde de VVD wel die kwetsbaarheden gebruiken, maar nu noemt de VVD dat een criminele markt. Wij gaan toch niet op een criminele markt opereren?
17:10 Tellegen: Dat gaat parallel. Het een sluit het ander niet uit. We moeten alles op alles zetten om het huis zo veilig mogelijk te maken. Tegelijkertijd moeten er ook genoeg opsporingsmogelijkheden zijn voor de politie. Dit is weer de of-of vraag.
17:09 Van Tongeren: Wat “ja”? Dus we blijven ons eigen gang gaan?
17:08 Tellegen: Ja, we moeten initiatieven steunen om lekken te sluiten.
17:07 Van Tongeren: Dat lek kan openblijven. Dat lek is natuurlijk niet alleen in Nederland. Is dat niet onterecht naar alle gebruikers, ook in andere landen?
17:06 Tellegen: Als we de politie geen kwetsbaarheden mag gebruiken, dan mist de politie teveel slagkracht. Maar: Het bedrijf moet wel een melding krijgen. En als het niet gemeld wordt, dan moet er een nieuwe machtiging van een rechter-commissaris komen. Er is al veel handel in kwetsbaarheden. Bedrijven kopen die in. Doen bedrijven dat in Nederland ook al?
17:04 Tellegen zegt: de gijzeling in Parijs is door het hacken van camera’s tot een einde gebracht. Dat is een goede zaak. Maar het mag niet zomaar. En er zijn waarborgen. Ook zijn we voor encryptie. Het doet me denken aan het Apple voorbeeld. Apple had gelijk. Maar hadden ze Apple niet om gegevens kunnen vragen? Hoe gaan we daar in Nederland mee om?
17:03 Tellegen: Ik ga hierbij uit van de zorgvuldigheid van de politie. Die willen de burger geen slachtoffer laten worden. Het gebruik van een kwetsbaarheid is aan heel veel beperkingen onderhevig. Het is niet zo dat de politie carte blanche krijgt. En als ze dat al doet, dan doen ze dat om het slachtoffer beter te beschermen.
17:02 Verhoeven: Tellegen zegt: ik verwacht dat het met onbekende kwetsbaarheden wel mee zal vallen. Ik zie de mogelijkheid dat er bij sinistere bedrijven kwetsbaarheden gekocht kan worden, zoals HackingTeam. Wat gaat dat betekenen voor het aantal kwetsbaarheden?
17:00 Tellegen: ik wil een serieus debat. Ik zei dat ik bedoelde dat het de verwachting is.
17:00 Verhoeven: De reden dat dit nog weinig gebruikt wordt, komt omdat het nog niet mag.
17:00 Tellegen zegt nu dat de politie op dit moment weinig gebruik maakt van kwetsbaarheden, maar 10 %, maar vooral van andere manieren, zoals wachtwoorden.
16:59 Tellegen: Het een sluit het ander toch niet uit? Als de gegevens op straat liggen, dan zal het bedrijf zijn lekken gaan dichten. Als je de criminelen wil pakken, dan kun je gebruik maken van kwetsbaarheden.
16:58 Van Tongeren: Maar hoe help je door het openhouden van kwetsbaarheden?
16:57 Tellegen: mensen moeten hun eigen gegevens beschermen.
16:56 Van Tongeren: Mevertouw Tellegen heeft al twee keer gezegd dat ze mannen op datingsites wil beschermen. Hoe zit dat dan? Bij handel in kwetsbaarheden en het gebruik daarvan maak je die bescherming niet beter.
16:56 Tellegen: Ik denk daar anders over: als het noodzakelijk is, dan moet het kunnen.
16:55 Recourt: Dat is toch een beetje gek. We willen die kwetsbaarheden eigenlijk niet. Die bedrijven verdienen hun geld met het vinden en openhouden van die kwetsbaarheden. Dat staat toch haaks op elkaar?
16:54 Tellegen: waarom legaliseren we de handel in kwetsbaarheden niet? Dat vraag ik me af. Dus de politie moet ook die kwetsbaarheden
16:53 Recourt: mag de overheid gebruiken maken van de handel in kwetsbaarheden?
16:52 Tellegen: de VVD is voorstander van deze wet, inclusief de mogelijkheid om kwetsbaarheden te gebruiken. De realiteit is dat er al heel veel kwetsbaarheden zijn. Daar gaat dit niks aan veranderen.
16:51 Verhoeven: Het gaat erom, dat staat ook in de stukken van de regering, dat de overheid er een belang bij heeft dat kwetsbaarheden niet gemeld en dus niet gedicht worden. Criminelen en pedofielen kunnen daar ook gebruik van maken. Hier moeten we het over hebben; dat is een serieus probleem. Wat doet de VVD eraan?
16:51 Tellegen: Verhoeven en ik zijn het maar over een ding eens: denk je dat pedofielen en terroristen zich laten tegenhouden als de politie een paar kwetsbaarheden dicht? Het dichtmaken van een paar kwetsbaarheden lost helemaal niets op.
16:50 Verhoeven: extra kwetsbaarheden geven extra kansen om pedofielen webcams te laten hacken. Vindt de VVD dat ook een belangrijk punt?
16:48 De wet doet meer dan het hacken. Er zijn 750.000 mannen die dagelijks op zoek zijn naar seks met minderjarige kinderen. Die moeten we aanpakken. Daarom hebben we een amendement ingediend om “Sweetie” mogelijk te maken, zodat er fictieve lokpupers kunnen worden ingezet.
16:45 Tellegen: Ik maakte de vergelijking niet, dus hij loopt inderdaad mank. Maar er lopen criminelen en pedofielen rond, die moeten we aanpakken.
16:44 Van Tongeren: dus de kwetsbaarheid kan alleen gebruikt worden om de crimineel te pakken die de kwetsbaarheid gebruikt heeft? Het wordt ingezet om allerlei misdrijven op te sporen.
16:43 Tellegen zegt: we willen soms gebruik kunnen maken van kwetsbaarheden om criminelen die gebruik maken van die kwetsbaarheid te pakken.
16:42 Van Tongeren vraagt naar het openhouden van sloten. Dat doet de politie in de analoge wereld ook niet.
16:41 Tellegen: Die kwetsbaarheden zijn er. We hebben een amendement ingediend. D66 zegt: kwetsbaarheden moeten niet worden gebruikt. Wij zijn het daar niet mee eens. De politie moet er, onder strikte voorwaarden, gebruik van maken. Het amendement is er dan ook voor om een extra stok achter de deur plaats te laten vinden, dus dat er voorafgaand word gekeken of de kwetsbaarheid mag worden gebruikt.
16:40 Verhoeven vraagt door: Wat is de afweging? Vinden we het goed dat die kwetsbaarheden ook door anderen gebruikt kunnen worden?
16:39 Tellegen reageert door te zeggen dat kwetsbaarheden maar een klein aspect zijn van de manieren waarop gehackt kan worden. Verder zegt ze: “klopt”.
16:38 Verhoeven heeft een interruptie: we hebben het over privacy, maar laten we het over veiligheid hebben. Die kwetsbaarheden kunnen door overheden gebruikt worden, maar ook door criminelen, chinese hackers, etc. Hoe zit dat?
16:37 Tellegen is van mening dat er meer waarborgen zijn dan voor een gemiddelde huiszoeking.
16:35 Tellegen begint met een uiteenzetting van de ontwikkeling van het internet en waarom de bevoegdheid nodig is. Ze vraagt zich af waarom partijen het niet met de VVD eens zijn. Ze vindt dat cybercrime volledig straffeloos is.
16:34 We zijn begonnen! Ockje Tellegen trapt af.
15:48 Het debat staat gepland om om 16:30 uur te beginnen.