De politie heeft de taak om ons te beschermen tegen kwaadwillenden. Een steeds groter deel van ons leven houdt verband met het internet. De politie heeft opsporingsmiddelen nodig om zijn werk te kunnen doen, zowel offline als online. Dit moet allemaal gebeuren binnen de kaders die binnen onze democratische rechtsstaat zijn vastgesteld. Het is belangrijk dat hier goed op wordt toegezien. Ook Bits of Freedom kijkt mee, vooral met alles dat betrekking heeft op het internet.
Wat speelt er?
De politie dringt steeds verder in je dagelijkse leven. In een digitaliserende samenleving wordt er steeds meer data over iedereen verzameld. De politie verzamelt zelf data en heeft toegang tot data die door andere partijen wordt verzameld. Deze data gebruikt zij bijvoorbeeld om te voorspellenPredictive policing: alleen dat het misgaat is te voorspellen waar de kans op bepaalde misdrijven het grootst is, of risico-inschattingen van burgers te maken op basis van profielen. Het is van groot belang dat burgers de controle over hun data behouden.
Technologie versterkt de schaal van bevoegdheden, zonder dat daar waarborgenWaarborgen zijn veel werk, dus schrappen we de waarborgen? tegenover staan. Zo kan met crawlers op een eenvoudige manier grote delen van het internet of social media worden doorzocht en geanalyseerd, waar grootschalige surveillance in de fysieke wereld veel kostbaarder is. Natuurlijke barrières vervallen, zonder dat hier waarborgen tegenover staan. Zo kan een politie-infiltrant in de fysieke wereld maar op één plek tegelijk zijn, maar online zich makkelijk als meerdere mensen tegelijk voordoen. Dit mag er niet voor zorgen dat er daarom meer wordt geïnfiltreerd.
De politie steekt, met de inzet van ongerichte bevoegdheden, online haar neus in de communicatie van burgers, zonder dat daar een concrete aanleiding voor is. Er wordt onvoldoende rekening gehouden met de maatschappelijke kosten die ongerichte surveillancebevoegdheden met zich meebrengen.
De politie loopt in de toepassing van bevoegdheden vooruit op wetgevingExperimenteren zonder visie is onverantwoord en gokken met onze toekomst, waardoor er bevoegdheden worden ingezet zonder vereiste wettelijke grondslag. Ook experimenteert de politie onder het mom van proeftuinExperimentele manipulatie: burger steeds vaker onwetend proefdier met de toepassing van technologie zonder dat daar eerst beleid voor wordt gemaakt of een voldoende grondslag voor is. Dit is problematisch omdat dit de parlementaire controle op de voorgestelde bevoegdheid ondermijnt.
Er is systeemtoezicht op de inzet van bevoegdheden nodig. Rechter-commissarissen maken een afweging voor het individuele geval, en niet alle zaken halen het tot aan de rechter. Er is een instantie nodig die toezicht houdt op de overkoepelende praktijk.
Wat doet Bits of Freedom?
Wij volgen bovenstaande ontwikkelingen nauwkeurig. Dat doen we in gesprek met experts, de politie zelf en hun critici. We zeggen, gevraagd en ongevraagd, wat wij van ontwikkelingen vinden in het licht van internetvrijheid en privacy.
We houden ons ook bezig met nieuwe ontwikkelingen rond opsporing en het internet. Bijvoorbeeld met ‘predictive policing’, politiewerk op basis van voorspellingen. Er wordt inmiddels geëxperimenteerd met manieren om overtredingen en misdaad te voorkomen op basis van ‘big data’ en algoritmes. Dat biedt echter niet alleen mogelijkheden, er kan ook heel veel mis gaan. Zo werken systemen vaak op basis van vooroordelen en verkeerde aannames, zien ze verbanden die er niet zijn en leren politiemensen onvoldoendeAls de politie écht wil leren, dan staat zij open voor kritiek om kritisch na te denken over de inzet van deze instrumenten.
Ook communiceren politiemensen steeds vaker online bijvoorbeeld als politievlogger, komen er steeds meer ‘digitale wijkagenten’, wordt social media gemonitord en infiltreren politiemensen onder valse identiteiten in Facebookgroepen en Whatsapp-groepen, terwijl daar amper wettelijke kaders voor zijn. Zodra deze issues ook onze privacy en communicatievrijheid raken, komt Bits of Freedom in actie. Dit kan zijn door met de politie zelf te praten, door de politiek aan te sporen om maatregelen te nemen, of door het publieke debat hierover aan te jagen. In dit dossier houden wij je op de hoogte.
Hackvoorstel
Een van de belangrijkste kwestie van de afgelopen jaren rond de politie en het internet, was de invoering van de hackbevoegdheid voor de politie. De politie wilde de mogelijkheid om telefoons van verdachten te hacken. Daarvoor wilde de politie (bij het publiek onbekende) kwetsbaarheden in software gebruiken. Die kwetsbaarheden zitten niet alleen in het telefoon van een verdachte, maar in alle vergelijkbare apparaten. Als de politie gebruik wil maken van zo’n onbekende kwetsbaarheid, houden ze dus stil dat deze kwetsbaarheid bestaat. Op die manier blijven ook alle andere telefoons onveilig. We weten namelijk dat criminelen net zo goed gebruik maken van deze kwetsbaarheden.
Omdat de politie in een heel klein percentage van de apparaten wil kunnen breken, houden ze voor een heel groot aantal apparaten een onveilige situatie in stand. Criminelen kunnen de apparaten hacken en er bijvoorbeeld ransomware op plaatsen. Van het verzamelen en gebruiken van onbekende kwetsbaarheden loopt de samenleving volgens ons een te groot risicoDat risico blijkt zich in de praktijk ook al voor te doen.
Hoe kwam het zover?
In 2012 stuurde minister Opstelten een briefLees hier ons blog met zijn brief naar de Tweede Kamer waarin hij aankondigde met een wetsvoorstel te komen dat de politie de mogelijkheid zou geven om te gaan hacken. Tot dat moment was het voor de politie niet toegestaan om op afstand apparaten te betreden.
Die brief leidde tot veel consternatie. En tot een oproep van een internationale coalitie van cybersecurityexpertsLees de oproep hier die de toenmalige minister Opstelten vroegen af te zien van zijn plannen. Dat leek helaas voor dovemansoren gesproken. In het voorjaar van 2013 vond een internetconsultatieHier staat de originele consultatietekst, net als alle reacties plaats, waarmee iedereen op het wetsvoorstel kon reageren. Wij stuurden een reactieLees hier onze reactie en riepen op om het wetsvoorstel in te trekken.
Daarna is er op het ministerie van Justitie en Veiligheid (toen nog Veiligheid en Justitie) lang nagedacht over de breedgedragen kritiek. Uiteindelijk werd op de valreep van 2015 het wetsvoorstel naar de Tweede Kamer gestuurdLees hier het uiteindelijke wetsvoorstel.
Wat deed Bits of Freedom?
Wij hebben ons al die jaren hard gemaakt voor een wet die niet als neveneffect zou hebben dat wij als samenleving juist onveiliger zouden worden. Dat hebben we gedaan in talloze gesprekken met Kamerleden, in de media, bij presentaties, in hoorzittingenZie hier de bijdrage in de Eerste Kamer en via campagnesCheck de campagne! waar we iedereen opriepen Kamerleden te vragen de slechte delen uit de wet te halen.
We hadden trouwens ook kritiek op andere onderdelen van het voorstel. We vonden bijvoorbeeld dat de keuring van de hackmiddelen en het toezicht op het hacken niet goed genoeg geregeld was.
Hebben we succes gehad?
Ja.
Tijdens de behandeling zijn heel veel van deze probleempunten aangepakt. Zo lijkt er beter toezicht te zijn, is de keuring verbeterd en het belangrijkste: er is uitgebreid gediscussieerd over het gebruik van onbekende kwetsbaarheden. Juni 2018 werd de wet uiteindelijk in de Eerste Kamer aangenomenLees hier hoe dat ging. De wet zal per januari 2019 in werking treden.
In de uiteindelijke wet is vastgelegd dat onbekende kwetsbaarheden in principe gemeld moeten worden. Bij uitzondering kan, als een rechter dat goedvindt, een melding uitgesteld worden. Dat klinkt goed, maar er is een grote loopholeLees hier meer over de loophole: de politie kan hacksoftware kopen en die gebruiken om te hacken. Die software kan gebruik maken van onbekende kwetsbaarheden. Die hoeven dan niet gemeld te worden. Wij maken ons zorgen dat juist deze software in de praktijk heel vaak zal worden ingezet. Daarmee kan het hele meldsysteem een wassen neus blijken.
En nu?
Wij gaan de komende jaren goed in de gaten houden of de wet in de praktijk net zo werkt als op papier. En we blijven natuurlijk scherp op het gebruik van onbekende kwetsbaarheden.