Reactie op het verslag van de Inspectie Justitie en Veiligheid (IJenV )op het heimelijk en op afstand binnendringen in een geautomatiseerd werk
Politie
Brief regering
Nummer: 2020D31985, datum: 2020-08-20, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-29628-970).
Gerelateerde personen:- Eerste ondertekenaar: F.B.J. Grapperhaus, minister van Justitie en Veiligheid
Onderdeel van kamerstukdossier 29628 -970 Politie.
Onderdeel van zaak 2020Z14883:
- Indiener: F.B.J. Grapperhaus, minister van Justitie en Veiligheid
- Voortouwcommissie: vaste commissie voor Justitie en Veiligheid
- 2020-09-02 13:45: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2020-09-09 15:30: Procedures en brieven (Procedurevergadering), vaste commissie voor Justitie en Veiligheid
- 2020-12-09 14:30: Cybersecurity (Algemeen overleg), vaste commissie voor Justitie en Veiligheid
- 2021-01-13 15:00: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2019-2020 |
29 628 Politie
Nr. 970 BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 20 augustus 2020
In maart 2019 is de bevoegdheid tot het heimelijk en op afstand binnendringen in een geautomatiseerd werk in werking getreden. De Inspectie wijst terecht op het nieuwe karakter van deze bevoegdheid en de noodzaak om in het begin lerend vermogen te demonstreren. Ik deel de opvatting van de Inspectie dat op een professionele wijze invulling is gegeven aan de ontwikkeling van de organisatie en de daarvoor benodigde middelen door de politie. Dit is geen sinecure. Ook onderstreep ik het belang van de verslagen van de Inspectie die bijdragen aan dit lerend vermogen.
In de conclusie van haar verslag benoemt de Inspectie vier verbeterpunten1. Hieronder wordt beschreven welke stappen er naar aanleiding van het verslag van de Inspectie worden genomen.
Logging
De Inspectie constateert dat de logging in alle acht zaken niet geheel in overeenstemming met de wettelijke bepalingen is uitgevoerd. Bij een reconstructie van de inzetten blijkt dat er geen aanwijzing is dat het technisch team tijdens de inzet van de bevoegdheid tot het heimelijk en op afstand binnendringen heeft gehandeld buiten de reikwijdte of periode van de door de officier van justitie afgegeven bevelen.
Logging vindt plaats zodat op basis hiervan kan worden vastgesteld of en zo ja wanneer een onregelmatigheid heeft plaatsgevonden, die van invloed is op de betrouwbaarheid en integriteit van de ter uitvoering van een bevel vergaarde gegevens, die kunnen dienen als bewijs in een strafzaak. De politie heeft inmiddels zowel procesmatig als technisch invulling gegeven aan de vereisten voor de vier soorten logging zoals bedoeld in het Besluit.2
Daarbij wordt overeenkomstig het Besluit bij constatering van een onregelmatigheid die van invloed is op de betrouwbaarheid en integriteit van de ter uitvoering van het bevel vastgelegde gegevens op een technische infrastructuur, door een opsporingsambtenaar van het technisch team van DIGIT daarvan proces-verbaal opgemaakt.
Keuren van een technisch hulpmiddel
De Inspectie stelt vast dat in geen van de zes zaken waarin een technisch hulpmiddel is gebruikt sprake is van een vooraf goedgekeurd hulpmiddel en dat in 2019 in beperkte mate technische hulpmiddelen achteraf zijn aanboden aan de keuringsdienst. Daarnaast stelt de Inspectie vast dat geen vastlegging beschikbaar is van door het technisch team getroffen waarborgen die aanvullend zijn op de standaard maatregelen die in (de toelichting bij) het wettelijk kader zijn beschreven.
Het uitgangspunt is dat een technisch hulpmiddel voorafgaand aan een inzet wordt gekeurd. Dit is in 2019 niet realistisch gebleken. Het feit dat ervaring moet worden opgedaan met de bevoegdheid en het bouwen of inkopen van technische hulpmiddelen, de noodzaak om maatwerk te leveren en het dringend opsporingsbelang stonden hieraan in de weg.
Ook op de korte termijn zal het uitgangspunt – dat in beginsel gebruik wordt gemaakt van een vooraf goedgekeurd hulpmiddel – moeilijk te realiseren zijn. Hiervoor zijn bijvoorbeeld te vaak aanpassingen nodig aan een specifiek technisch hulpmiddel om dit geschikt te maken voor het specifieke geautomatiseerd werk waarop wordt binnengedrongen. Deze aanpassingen vergen maatwerk in de concrete zaak waarin het technisch hulpmiddel wordt ingezet. In de praktijk ontbreekt vanwege het operationele belang vaak de tijd om deze aanpassingen voorafgaand aan de inzet ter keuring aan te bieden.
Tegelijkertijd moet bewijs op een betrouwbare, integere en herleidbare manier worden vergaard. Daarom wordt ingezet op drie trajecten.
Allereerst moet het proces rond de aanvullende waarborgen die de betrouwbare, integere en herleidbare bewijsvergaring mogelijk maken worden versterkt, door deze beter in kaart te brengen. Daarbovenop wordt de inzet van deze maatregelen extra onder de aandacht gebracht van de Centrale Toetsingscommissie van het Openbaar Ministerie. Om deze bevoegdheid effectief te houden in deze fase van de ontwikkeling heb ik begrip voor het feit dat vaker dan in het begin voorzien gebruik wordt gemaakt van de ruimte die het Besluit biedt voor de keuring achteraf. Er is in dit geval wel meer aandacht nodig voor de nodige aanvullende waarborgen voorafgaand aan de inzet. In het Besluit worden enkele voorbeelden genoemd. Er kan gedacht worden aan een uitgebreide omschrijving van de functionele specificaties van het op maat gemaakt technisch hulpmiddel, het voegen van een digitale kopie van de software en de broncode bij het proces-verbaal, het vooraf en achteraf maken van een forensische kopie of het audiovisueel vastleggen van de uitvoering van de onderzoekshandelingen.3 Op dit moment zetten de politie en het OM een set aanvullende waarborgen op een rij die de officier van justitie ter beschikking staan. Hierdoor is de officier van justitie beter in staat om de waarborgen in de voorbereiding van de inzet te overwegen. Daarnaast zal de Centrale Toetsingscommissie van het Openbaar Ministerie extra aandacht besteden aan het treffen van waarborgen die de betrouwbare, integere en herleidbare bewijsvergaring controleerbaar maken, indien een technisch hulpmiddel wordt ingezet zonder voorafgaande keuring.
Als na afloop van de inzet een technisch hulpmiddel ter keuring wordt aangeboden, dan vermeldt de officier van justitie de uitkomst van de keuring in de processtukken.4 Als door de officier van justitie wordt geoordeeld dat de aard van het middel zich tegen keuring verzet, wordt in het procesdossier vermeld welke aanvullende waarborgen zijn getroffen.5 Op deze manier wordt ter terechtzitting verantwoording afgelegd over de inzet van het middel en is de betrouwbare, integere en herleidbare bewijsvergaring controleerbaar voor de rechter.
Ten tweede moet meer ervaring worden opgedaan met het keuringsproces. De officier is zelfstandig in zijn beslissing om een technisch hulpmiddel voorafgaand aan de inzet ter keuring aan te bieden, na de inzet of geheel van de keuring af te zien omdat het technisch hulpmiddel naar zijn aard niet te keuren is. Echter, ik benadruk wel dat het voorgaande niet weg neemt dat het uitgangspunt blijft dat in beginsel gebruik moet worden gemaakt van vooraf goed gekeurde technische hulpmiddelen bij een inzet. Het is de verwachting dat uit de evaluatie blijkt hoe realistisch dit uitgangspunt is voor de langere termijn.
Ik wijs er ook op dat in het Besluit is bepaald dat de keuringsdienst vervangende waarborgen kan opnemen in een keuringsrapport als een technisch hulpmiddel niet op alle punten voldoet, maar met die vervangende waarborgen erbij wel voldoet.6Bij het ter keuring aanbieden van een technisch hulpmiddel kan ook door DIGIT worden aangegeven welke technische eisen zij eventueel willen ondervangen met vervangende waarborgen. Dit kan bijdragen aan een positief keuringsrapport.
Indien een technisch hulpmiddel niet voorafgaand aan de inzet wordt gekeurd, wordt het in beginsel achteraf alsnog ter keuring aangeboden.
De beslissing om een technisch hulpmiddel niet ter keuring aan te bieden geldt in uitzonderingsgevallen en wordt niet lichtzinnig genomen, omdat de betrouwbaarheid, integriteit en herleidbaarheid van gegevens cruciaal zijn voor het gebruik van de verkregen gegevens voor het bewijs in een strafzaak. Wanneer ondanks diepzinnige overwegingen het niet ter keuring aanbieden van technische hulpmiddelen meer regel dan uitzondering wordt, is dit niet in lijn met het Besluit.7
Ten derde wordt het keuringsproces meer nauwgezet gemonitord. Inmiddels is een aantal technische hulpmiddelen achteraf ter keuring aangeboden. Voor de overige wordt door de officier van justitie beoordeeld of deze naar hun aard te keuren zijn. Ik zal in oktober en december van dit jaar politie en het Openbaar Ministerie vragen mij te informeren over het aantal verschillende technische hulpmiddelen dat is ingezet, hoeveel vooraf ter keuring zijn aangeboden, achteraf ter keuring zijn aangeboden, of geheel van keuring is afgezien. In het jaarverslag van mijn ministerie over het jaar 2020 zal ik hier verslag van doen.
Inzake commerciële technische hulpmiddelen stelt de Inspectie dat de keuring verder kan worden bemoeilijkt doordat leveranciers geen (volledige) inzage geven in de werking van deze software. Voor commerciële technische hulpmiddelen geldt geen apart wettelijk kader. Indien de medewerking van de leverancier dermate onvoldoende is dat keuring (achteraf) niet mogelijk is, dan kan dit hulpmiddel in principe niet meer worden ingezet.
Gegeven de complexiteit van dit vraagstuk zeg ik toe dat ik onderzoek zal laten doen naar hoe landen met wie wij intensief samenwerken, zoals Duitsland, het gebruik van technische hulpmiddelen hebben ingericht. Dit kan waardevolle informatie opleveren ten behoeve van de evaluatie.
Testen van uit te voeren handelingen
De Inspectie stelt vast dat bij de toepassing van de bevoegdheid de uitgevoerde handelingen niet vooraf volledig getest zijn. In de opvatting van de Inspectie hebben er vermijdbare technische problemen voorgedaan. Deze problemen hadden geen gevolgen voor het onderzochte apparaat of systeem van derden.
In het Besluit staat dat het plan van aanpak wordt getest in een proefopstelling.8 In de procedure voorafgaand aan de inzet dienen de risico’s voldoende te worden afgewogen. Dat gaat noodzakelijkerwijs met enige onzekerheid gepaard nu het automatisch werk niet voorhands onder politieel beheer en controle is. Ik heb begrip voor het feit dat een officier van justitie op een gegeven moment de overtuiging heeft dat hij of zij de risico’s voldoende heeft afgewogen en er geen onacceptabele risico’s zijn. Hierbij is de expertise van het technisch team van groot belang. 9Over deze afwegingen vindt verslaglegging plaats in de vorm van een journaal.
Met de constatering dat de opgetreden technische problemen geen negatieve gevolgen hebben gehad voor het onderzochte apparaat of systemen van derden stel ik vast dat voldoende invulling is gegeven aan de toets vooraf.
Technische infrastructuur en informatiebeveiliging
In haar verslag benoemt de Inspectie ook de beveiliging van de technische infrastructuur en de procesmatige inrichting van de informatiebeveiliging van DIGIT. De Inspectie stelt geen tekortkomingen vast in de daadwerkelijke beveiliging van de technische infrastructuur en informatiebeveiliging, maar in de mogelijkheden om deze beveiliging actueel te houden en risicoanalyses uit te voeren.
Er wordt binnen de kaders van het cybersecuritybeleid van de politie een intern kwaliteitssysteem ontwikkeld in de informatiebeveiliging om beveiligingsrisico’s te beheersen en er zal periodiek een integrale toets worden uitgevoerd op de effectiviteit van de getroffen maatregelen. Binnen DIGIT is reeds een security officier aangesteld om deze onderwerpen te bewaken en hierop waar nodig aanvullend beleid te ontwikkelen. Door het beschrijven en normeren van processen, uitvoeren van risicoanalyses en het evalueren van inzetten wordt de noodzakelijke kennis opgedaan om te komen tot een passend kwaliteitssysteem.
Daarnaast constateert de Inspectie dat bij gebruik van commerciële binnendringsoftware gebruik wordt gemaakt van servers van de leverancier. Ik wil benadrukken dat de servers waarop de onderzoeksgegevens worden opgeslagen in eigendom zijn en in beheer van de politie, niet van de leverancier. Deze bevinden zich op een locatie van de politie binnen Nederland. De onderzoeksgegevens mogen niet functioneel worden beheerd door de leverancier. Toegang wordt uitsluitend verleend voor technisch beheer door een medewerker van de leverancier. De regelgeving van CCIII staat hier niet aan in de weg.10 Aanvullend hecht ik eraan te benadrukken dat het technisch team geen ingekochte informatie over onbekende kwetsbaarheden heeft ingezet. Hierbij benadruk ik dat hiervan geen sprake is omdat het niet is toegestaan om onbekende kwetsbaarheden in te kopen.
In afsluiting complimenteer ik de politie met de manier waarop zij de bevoegdheid om heimelijk en op afstand binnen te dringen in een geautomatiseerd werk implementeren. Toch zijn er nog enkele noodzakelijke stappen te nemen. Dit is begrijpelijk in de ontwikkeling van een nieuwe bevoegdheid.
De Minister van Justitie en Veiligheid,
F.B.J. Grapperhaus
Raadpleegbaar via www.tweedekamer.nl↩︎
Inzetlogging, bewijslogging, systeemlogging en authenticatie- en authorisatielogging.↩︎
Stb. 2018, nr. 340, p. 45↩︎
Stb. 2018, nr. 340, p. 45↩︎
Idem.↩︎
Art. 18(3)(e) BOGW; Stb. 2018, nr. 340, p. 43↩︎
Stb. 2018, nr. 340, p. 45↩︎
Stb. 2018, nr. 340, p. 16↩︎
Stb. 2018, nr. 340, p. 14,15; Kamerstuk 34 372, nr. 3, p. 31 – 33; Kamerstuk 34 372, G, p. 11, 12↩︎
Kamerstuk 34 372, nr. 29, p. 12↩︎