Brief regering : Reactie op het verslag van de Inspectie Justitie en Veiligheid (IJenV )op het heimelijk en op afstand binnendringen in een geautomatiseerd werk

Nr. 970
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 20 augustus 2020

In maart 2019 is de bevoegdheid tot het heimelijk en op afstand binnendringen in een
geautomatiseerd werk in werking getreden. De Inspectie wijst terecht op het nieuwe
karakter van deze bevoegdheid en de noodzaak om in het begin lerend vermogen te demonstreren.
Ik deel de opvatting van de Inspectie dat op een professionele wijze invulling is
gegeven aan de ontwikkeling van de organisatie en de daarvoor benodigde middelen door
de politie. Dit is geen sinecure. Ook onderstreep ik het belang van de verslagen van
de Inspectie die bijdragen aan dit lerend vermogen.

In de conclusie van haar verslag benoemt de Inspectie vier verbeterpunten1. Hieronder wordt beschreven welke stappen er naar aanleiding van het verslag van
de Inspectie worden genomen.

Logging

De Inspectie constateert dat de logging in alle acht zaken niet geheel in overeenstemming
met de wettelijke bepalingen is uitgevoerd. Bij een reconstructie van de inzetten
blijkt dat er geen aanwijzing is dat het technisch team tijdens de inzet van de bevoegdheid
tot het heimelijk en op afstand binnendringen heeft gehandeld buiten de reikwijdte
of periode van de door de officier van justitie afgegeven bevelen.

Logging vindt plaats zodat op basis hiervan kan worden vastgesteld of en zo ja wanneer
een onregelmatigheid heeft plaatsgevonden, die van invloed is op de betrouwbaarheid
en integriteit van de ter uitvoering van een bevel vergaarde gegevens, die kunnen
dienen als bewijs in een strafzaak. De politie heeft inmiddels zowel procesmatig als
technisch invulling gegeven aan de vereisten voor de vier soorten logging zoals bedoeld
in het Besluit.2

Daarbij wordt overeenkomstig het Besluit bij constatering van een onregelmatigheid
die van invloed is op de betrouwbaarheid en integriteit van de ter uitvoering van
het bevel vastgelegde gegevens op een technische infrastructuur, door een opsporingsambtenaar
van het technisch team van DIGIT daarvan proces-verbaal opgemaakt.

Keuren van een technisch hulpmiddel

De Inspectie stelt vast dat in geen van de zes zaken waarin een technisch hulpmiddel
is gebruikt sprake is van een vooraf goedgekeurd hulpmiddel en dat in 2019 in beperkte
mate technische hulpmiddelen achteraf zijn aanboden aan de keuringsdienst. Daarnaast
stelt de Inspectie vast dat geen vastlegging beschikbaar is van door het technisch
team getroffen waarborgen die aanvullend zijn op de standaard maatregelen die in (de
toelichting bij) het wettelijk kader zijn beschreven.

Het uitgangspunt is dat een technisch hulpmiddel voorafgaand aan een inzet wordt gekeurd.
Dit is in 2019 niet realistisch gebleken. Het feit dat ervaring moet worden opgedaan
met de bevoegdheid en het bouwen of inkopen van technische hulpmiddelen, de noodzaak
om maatwerk te leveren en het dringend opsporingsbelang stonden hieraan in de weg.

Ook op de korte termijn zal het uitgangspunt – dat in beginsel gebruik wordt gemaakt
van een vooraf goedgekeurd hulpmiddel – moeilijk te realiseren zijn. Hiervoor zijn
bijvoorbeeld te vaak aanpassingen nodig aan een specifiek technisch hulpmiddel om
dit geschikt te maken voor het specifieke geautomatiseerd werk waarop wordt binnengedrongen.
Deze aanpassingen vergen maatwerk in de concrete zaak waarin het technisch hulpmiddel
wordt ingezet. In de praktijk ontbreekt vanwege het operationele belang vaak de tijd
om deze aanpassingen voorafgaand aan de inzet ter keuring aan te bieden.

Tegelijkertijd moet bewijs op een betrouwbare, integere en herleidbare manier worden
vergaard. Daarom wordt ingezet op drie trajecten.

Allereerst moet het proces rond de aanvullende waarborgen die de betrouwbare, integere
en herleidbare bewijsvergaring mogelijk maken worden versterkt, door deze beter in
kaart te brengen. Daarbovenop wordt de inzet van deze maatregelen extra onder de aandacht
gebracht van de Centrale Toetsingscommissie van het Openbaar Ministerie. Om deze bevoegdheid
effectief te houden in deze fase van de ontwikkeling heb ik begrip voor het feit dat
vaker dan in het begin voorzien gebruik wordt gemaakt van de ruimte die het Besluit
biedt voor de keuring achteraf. Er is in dit geval wel meer aandacht nodig voor de
nodige aanvullende waarborgen voorafgaand aan de inzet. In het Besluit worden enkele
voorbeelden genoemd. Er kan gedacht worden aan een uitgebreide omschrijving van de
functionele specificaties van het op maat gemaakt technisch hulpmiddel, het voegen
van een digitale kopie van de software en de broncode bij het proces-verbaal, het
vooraf en achteraf maken van een forensische kopie of het audiovisueel vastleggen
van de uitvoering van de onderzoekshandelingen.3 Op dit moment zetten de politie en het OM een set aanvullende waarborgen op een rij
die de officier van justitie ter beschikking staan. Hierdoor is de officier van justitie
beter in staat om de waarborgen in de voorbereiding van de inzet te overwegen. Daarnaast
zal de Centrale Toetsingscommissie van het Openbaar Ministerie extra aandacht besteden
aan het treffen van waarborgen die de betrouwbare, integere en herleidbare bewijsvergaring
controleerbaar maken, indien een technisch hulpmiddel wordt ingezet zonder voorafgaande
keuring.

Als na afloop van de inzet een technisch hulpmiddel ter keuring wordt aangeboden,
dan vermeldt de officier van justitie de uitkomst van de keuring in de processtukken.4 Als door de officier van justitie wordt geoordeeld dat de aard van het middel zich
tegen keuring verzet, wordt in het procesdossier vermeld welke aanvullende waarborgen
zijn getroffen.5 Op deze manier wordt ter terechtzitting verantwoording afgelegd over de inzet van
het middel en is de betrouwbare, integere en herleidbare bewijsvergaring controleerbaar
voor de rechter.

Ten tweede moet meer ervaring worden opgedaan met het keuringsproces. De officier
is zelfstandig in zijn beslissing om een technisch hulpmiddel voorafgaand aan de inzet
ter keuring aan te bieden, na de inzet of geheel van de keuring af te zien omdat het
technisch hulpmiddel naar zijn aard niet te keuren is. Echter, ik benadruk wel dat
het voorgaande niet weg neemt dat het uitgangspunt blijft dat in beginsel gebruik
moet worden gemaakt van vooraf goed gekeurde technische hulpmiddelen bij een inzet.
Het is de verwachting dat uit de evaluatie blijkt hoe realistisch dit uitgangspunt
is voor de langere termijn.

Ik wijs er ook op dat in het Besluit is bepaald dat de keuringsdienst vervangende
waarborgen kan opnemen in een keuringsrapport als een technisch hulpmiddel niet op
alle punten voldoet, maar met die vervangende waarborgen erbij wel voldoet.6Bij het ter keuring aanbieden van een technisch hulpmiddel kan ook door DIGIT worden
aangegeven welke technische eisen zij eventueel willen ondervangen met vervangende
waarborgen. Dit kan bijdragen aan een positief keuringsrapport.

Indien een technisch hulpmiddel niet voorafgaand aan de inzet wordt gekeurd, wordt
het in beginsel achteraf alsnog ter keuring aangeboden.

De beslissing om een technisch hulpmiddel niet ter keuring aan te bieden geldt in
uitzonderingsgevallen en wordt niet lichtzinnig genomen, omdat de betrouwbaarheid,
integriteit en herleidbaarheid van gegevens cruciaal zijn voor het gebruik van de
verkregen gegevens voor het bewijs in een strafzaak. Wanneer ondanks diepzinnige overwegingen
het niet ter keuring aanbieden van technische hulpmiddelen meer regel dan uitzondering
wordt, is dit niet in lijn met het Besluit.7

Ten derde wordt het keuringsproces meer nauwgezet gemonitord. Inmiddels is een aantal
technische hulpmiddelen achteraf ter keuring aangeboden. Voor de overige wordt door
de officier van justitie beoordeeld of deze naar hun aard te keuren zijn. Ik zal in
oktober en december van dit jaar politie en het Openbaar Ministerie vragen mij te
informeren over het aantal verschillende technische hulpmiddelen dat is ingezet, hoeveel
vooraf ter keuring zijn aangeboden, achteraf ter keuring zijn aangeboden, of geheel
van keuring is afgezien. In het jaarverslag van mijn ministerie over het jaar 2020
zal ik hier verslag van doen.

Inzake commerciële technische hulpmiddelen stelt de Inspectie dat de keuring verder
kan worden bemoeilijkt doordat leveranciers geen (volledige) inzage geven in de werking
van deze software. Voor commerciële technische hulpmiddelen geldt geen apart wettelijk
kader. Indien de medewerking van de leverancier dermate onvoldoende is dat keuring
(achteraf) niet mogelijk is, dan kan dit hulpmiddel in principe niet meer worden ingezet.

Gegeven de complexiteit van dit vraagstuk zeg ik toe dat ik onderzoek zal laten doen
naar hoe landen met wie wij intensief samenwerken, zoals Duitsland, het gebruik van
technische hulpmiddelen hebben ingericht. Dit kan waardevolle informatie opleveren
ten behoeve van de evaluatie.

Testen van uit te voeren handelingen

De Inspectie stelt vast dat bij de toepassing van de bevoegdheid de uitgevoerde handelingen
niet vooraf volledig getest zijn. In de opvatting van de Inspectie hebben er vermijdbare
technische problemen voorgedaan. Deze problemen hadden geen gevolgen voor het onderzochte
apparaat of systeem van derden.

In het Besluit staat dat het plan van aanpak wordt getest in een proefopstelling.8 In de procedure voorafgaand aan de inzet dienen de risico’s voldoende te worden afgewogen.
Dat gaat noodzakelijkerwijs met enige onzekerheid gepaard nu het automatisch werk
niet voorhands onder politieel beheer en controle is. Ik heb begrip voor het feit
dat een officier van justitie op een gegeven moment de overtuiging heeft dat hij of
zij de risico’s voldoende heeft afgewogen en er geen onacceptabele risico’s zijn.
Hierbij is de expertise van het technisch team van groot belang. 9Over deze afwegingen vindt verslaglegging plaats in de vorm van een journaal.

Met de constatering dat de opgetreden technische problemen geen negatieve gevolgen
hebben gehad voor het onderzochte apparaat of systemen van derden stel ik vast dat
voldoende invulling is gegeven aan de toets vooraf.

Technische infrastructuur en informatiebeveiliging

In haar verslag benoemt de Inspectie ook de beveiliging van de technische infrastructuur
en de procesmatige inrichting van de informatiebeveiliging van DIGIT. De Inspectie
stelt geen tekortkomingen vast in de daadwerkelijke beveiliging van de technische
infrastructuur en informatiebeveiliging, maar in de mogelijkheden om deze beveiliging
actueel te houden en risicoanalyses uit te voeren.

Er wordt binnen de kaders van het cybersecuritybeleid van de politie een intern kwaliteitssysteem
ontwikkeld in de informatiebeveiliging om beveiligingsrisico’s te beheersen en er
zal periodiek een integrale toets worden uitgevoerd op de effectiviteit van de getroffen
maatregelen. Binnen DIGIT is reeds een security officier aangesteld om deze onderwerpen
te bewaken en hierop waar nodig aanvullend beleid te ontwikkelen. Door het beschrijven
en normeren van processen, uitvoeren van risicoanalyses en het evalueren van inzetten
wordt de noodzakelijke kennis opgedaan om te komen tot een passend kwaliteitssysteem.

Daarnaast constateert de Inspectie dat bij gebruik van commerciële binnendringsoftware
gebruik wordt gemaakt van servers van de leverancier. Ik wil benadrukken dat de servers
waarop de onderzoeksgegevens worden opgeslagen in eigendom zijn en in beheer van de
politie, niet van de leverancier. Deze bevinden zich op een locatie van de politie
binnen Nederland. De onderzoeksgegevens mogen niet functioneel worden beheerd door
de leverancier. Toegang wordt uitsluitend verleend voor technisch beheer door een
medewerker van de leverancier. De regelgeving van CCIII staat hier niet aan in de
weg.10 Aanvullend hecht ik eraan te benadrukken dat het technisch team geen ingekochte informatie
over onbekende kwetsbaarheden heeft ingezet. Hierbij benadruk ik dat hiervan geen
sprake is omdat het niet is toegestaan om onbekende kwetsbaarheden in te kopen.

In afsluiting complimenteer ik de politie met de manier waarop zij de bevoegdheid
om heimelijk en op afstand binnen te dringen in een geautomatiseerd werk implementeren.
Toch zijn er nog enkele noodzakelijke stappen te nemen. Dit is begrijpelijk in de
ontwikkeling van een nieuwe bevoegdheid.

De Minister van Justitie en Veiligheid,
F.B.J. Grapperhaus