De Tweede Kamer is zeer verdeeld over het gebruik van softwarelekken door de politie om verdachten te hacken.

Het kabinet wil er met een nieuwe wet voor zorgen dat de politie de computers en andere apparaten van verdachten in strafonderzoeken kan hacken.

De Tweede Kamer steunt dat plan, maar verschillende oppositiepartijen hebben wel moeite met het gebruik van softwarelekken om in te breken op computers. D66-Kamerlid Kees Verhoeven sprak zelfs meer dan een uur over zijn zorgen over de gevolgen hiervan voor de rest van het internet.

"Bij deze ontwikkeling gaat het niet zozeer om privacy of geld, het gaat om fysieke beveiliging", zei hij. Verhoeven vreest dat onbekende softwarelekken, die door de politie worden achtergehouden om een verdachte te hacken, ondertussen worden misbruikt door criminelen om bijvoorbeeld kritieke infrastructuur aan te vallen.

Zero-days

Samen met GroenLinks en SP diende Verhoeven een amendement in om het gebruik van softwarekwetsbaarheden uit te sluiten, maar daarvoor is geen Kamermeerderheid. Wel willen coalitiepartijen VVD en PvdA dat er een meldplicht voor softwarelekken komt, zodat de politie er na het gebruik ervan voor zorgt dat de fabrikant op de hoogte wordt gesteld.

In dat geval krijgt de politie vier weken de tijd om een kwetsbaarheid te gebruiken, waarna hij moet worden gemeld. Wel bestaat de mogelijkheid dat die termijn één of meerdere keren wordt verlengd, met toestemming van een rechter.

"Die kwetsbaarheden zijn hier, dat is de realiteit van het internet. En die gaan nooit meer weg", zei VVD-Kamerlid Ockje Tellegen. Daarom is het volgens haar beter om deze lekken als politie te gebruiken. Zij vroeg zich bovendien hardop af of de handel in onbekende softwarelekken (zogenoemde 'zero-days') niet moet worden gelegaliseerd.

Handel

Staatssecretaris Klaas Dijkhoff (Justitie) zei dat de overheid niet los softwarelekken gaat inkopen. Maar hij wil wel dat de politie hacksoftware kan gebruiken waarbij onduidelijk is wat voor bekende of onbekende softwarelekken er worden gebruikt. Dan is het ook onmogelijk om de betreffende lekken te melden bij de fabrikant van software of hardware.

Met name D66 was daar kritisch over. "Dan stimuleer je als overheid toch een zwarte markt en is het hele verhaal over een veilig internet flauwekul", zei Verhoeven. Ook PvdA-Kamerlid Jeroen Recourt stelde in eerste instantie vraagtekens bij de aanpak van Dijkhoff, omdat zero-days hierdoor minder snel openbaar worden. "Je weet dat er bedrijven achter zitten die daar juist belang bij hebben." Hij gaf uiteindelijk toch steun aan Dijkhoff.

Dijkhoff sloot wel uit dat de politie met het Nationaal Cybersecurity Centrum (NCSC) zal communiceren om te voorkomen dat bepaalde softwarelekken openbaar worden. Het NCSC mag melding maken van lekken die door de politie nog worden gebruikt, zei hij.

Misdrijven

Onder meer PVV en D66 stelden voor om te beperken bij welke misdaden de politie mag hacken. De PVV wil dat dit alleen kan bij onderzoeken naar de meest ernstige misdrijven, zoals lidmaatschap van een terroristische organisatie, moord en de verspreiding van kinderporno.

In het voorstel van het kabinet mag ook alleen worden gehackt bij ernstige misdrijven, maar het kabinet wil zelf een lijst kunnen opstellen van enkele andere misdaden waarbij de hackbevoegdheid kan worden ingezet. Het gaat dan met name om vormen van cybercrime. Dat vinden verschillende partijen te ver gaan, omdat de Kamer die lijst niet mag goedkeuren. "Nu wordt de Kamer echt gepiepeld", zei SP-Kamerlid Sharon Gesthuizen hierover.

Haar GroenLinks-collega Liesbeth van Tongeren vindt dat Nederland moet kijken naar Duitsland als voorbeeld. Daar mag de politie alleen hacken bij levensbedreigende situatie en als het voortbestaan van de staat in het geding is. "Waarom gaan we hier dan zo losjes om met de grondrechten?", vroeg zij.

Wachtwoorden

Wat het CDA betreft kan het wetsvoorstel niet snel genoeg worden goedgekeurd. Kamerlid Madeleine van Toorenburg toonde zich meermaals geïrriteerd na vragen van onder meer D66 en GroenLinks, "omdat een aantal partijen hier doet alsof de politie onze vijand is". 

Ze pleitte zelfs voor de invoering van een decryptieplicht die verdachten zou verplichten hun wachtwoorden af te staan. Zo'n voorstel werd eerder ingetrokken door het kabinet vanwege grondwettelijke bezwaren. Maar volgens Van Toorenburg kan een decryptieplicht wel legaal zijn als hiermee alleen bewijs wordt verzameld tegen mensen in het netwerk van een verdachte, en niet tegen de verdachte zelf.

Eerste Kamer

De PVV kwam tijdens het debat naar voren als partij die tussen de twee extremen in zit. De partij wil de hackbevoegdheid wel invoeren, maar met strengere waarborgen dan het kabinet voorstelt. PVV-Kamerlid Lilian Helder pleitte onder meer voor strenger onafhankelijk toezicht op de inzet van de hackbevoegdheid.

De coalitiepartijen VVD en PvdA kunnen het wetsvoorstel zelf door de Tweede Kamer loodsen, maar zullen in de Eerste Kamer ook de steun van het CDA en nog minstens één andere oppositiepartij, zoals de PVV, nodig hebben.

De Tweede Kamer stemt dinsdag over het wetsvoorstel.