DEN HAAG – Minister Ivo Opstelten (VVD) van Justitie ziet een noodzaak voor nieuwe regelgeving rond cybercrime. Hij is echter afhankelijk van Europese ontwikkelingen. Ook is nog veel onduidelijk over de rechten van politie en justitie.

Dat bleek dinsdag tijdens een overleg met Tweede Kamer over cybercrime. In het debat werd gesproken over de nasleep van de hacks bij onder andere Diginotar en KPN.

Eerder had Opstelten in een brief aan de kamer gesteld dat het huidig juridisch kader tekort schiet. Wat er precies zal moeten veranderen moet nog blijken uit onderzoeken.

Europese regels

In 2015 komt er vanuit Europa een nieuwe set regels. Tot dat moment moet worden volstaan met de huidige regels. Dat hoeft geen probleem te vormen volgens Opstelten, die erop wijst dat nu ook al veel zaken tot een goed einde worden gebracht. Als voorbeeld noemt hij het oprollen van het Bredolab. In dat geval werd een botnet, een kwaadaardig netwerk, opgerold.

De suggestie dat de politie bij de opsporing niet uit de voeten kan met regels en deze overtreden werpt de bewindsman verre van zich. “Ze (de politie) zoeken de grenzen op, maar ze gaan er niet overheen. Tenminste daar ga ik vanuit. Uiteindelijk is het de rechter die de beslissing neemt. Dat moet in de jurisprudentie nog blijken.”

Samenwerken met hackers

Opstelten stelt verder dat er nu toch met hackers overleg plaatsvindt over het verantwoord melden van lekken. Hackers kunnen dat dan veilig doen zolang zij pas naar buiten treden op het moment dat de organisatie waar een probleem speelt de tijd heeft gehad om herstel te plegen.

Centrale rol is daarvoor toebedeeld voor het National Cyber Security Center (NCSC) dat moet fungeren als contactpunt. Naast het melden van lekken is het orgaan een ‘spin in het web’ voor het melden van problemen, adviseren van vitale bedrijven en overheid en het informeren van de burger. Dit centrum is in januari van start gegaan en wordt momenteel verder uitgebreid.

Niet veilig

Minister Liesbeth Spies (CDA) van Binnenlandse Zaken en Koninkrijksrelaties erkent dat er veel problemen zijn met beveiliging. Zij komt niet op tijd klaar met het laten testen van alle overheidswebsites.

Dit zou oorspronkelijk op 1 april gereed zijn, maar gaat zij niet redden. De oorzaak daarvoor is de grote vraag voor veiligheidstesten en een nijpend tekort aan deskundig personeel.

Spies wijst erop dat er hard wordt ingegrepen op het moment dat beveiliging niet in orde is. Zij wijst op de 40 gemeenten die in oktober 2011 werden afgesloten van DigiD, nadat beveiliging onvoldoende bleek. Nogal altijd is er volgens haar één gemeente afgesloten na deze actie.

Leveranciers van certificaten moeten er rekening mee houden dat de OPTA nu ook bedrijfsbezoeken gaat afleggen. “Bij die controles kan ook naar de technische staat van systemen worden gekeken”, kondigt Spies aan.

Geen extra geld

Fred Teeven (VVD), staatssecretaris van Veiligheid en Justitie, vertelt dat er weliswaar een wet voor het melden van datalekken aankomt, maar dat hij niet meer geld gaat geven.

De toezichthouder, het College Bescherming Persoonsgegevens, wil pas na het inwerkingtreden van de wet overleg over de kosten houden.