Een nieuwe initiatiefwet moet reguleren hoe overheidshackers zogeheten 'zero-days' in software mogen inzetten.

Daarvoor pleit D66-Kamerlid Kees Verhoeven donderdag in de Tweede Kamer, meldt de NOS.

Een zero-day is een bug in software die nog niet bekend is bij de maker. Hierdoor kan een hacker er misbruik van maken bij een cyberaanval. De originele maker kan namelijk geen software-update uitbrengen om het beveiligingsgat te dichten.

Verhoeven wil dat een onafhankelijke commissie gaat meekijken wanneer zo'n zero-day ingezet kan worden. Deze commissie zou uit bijvoorbeeld het ministerie, het Nationaal Cyber Security Centrum en de Autoriteit Persoonsgegevens moeten bestaan.

Momenteel bepalen de politie, geheime diensten en het leger zelf wanneer een zero-day gebruikt wordt. De AIVD heeft hier bijvoorbeeld een interne commissie voor.

Meldplicht voor zero-days bij bedrijven

De wet moet instanties ook verplichten om zero-days op termijn bij softwaremakers te melden, zodat de lekken gedicht kunnen worden. Anders zouden Nederlanders volgens Verhoeven vatbaar zijn voor cyberaanvallen uit andere landen.

De wet Computercriminaliteit III, die eerder werd aangenomen, verplicht de politie al om zero-days in veel gevallen te delen met softwaremakers, maar hier zijn tot op heden geen overkoepelende regels over voor bijvoorbeeld de AIVD en MIVD.

Wordt de wet aangenomen, dan zou Nederland het eerste land zijn dat op deze manier het gebruik van zero-days reguleert.