Hackbevoegdheid politie: betere verslaglegging, toegang door leverancier blijft risico

De politie heeft vorig jaar bij het hacken van apparaten van verdachten beter vastgelegd wat ze heeft gedaan dan in voorgaande jaren. In de meeste zaken heeft ze opnieuw commerciële software ingezet waarbij de leverancier toegang kan krijgen tot de hiermee verkregen gegevens. Dat is niet wat de wetgever heeft beoogd, aldus de Inspectie Justitie en Veiligheid in haar Verslag wettelijke hackbevoegdheid 2021.

Een speciaal politieteam mag binnen bepaalde regels apparaten (zoals telefoons, laptops) van verdachten hacken om bewijsmateriaal over zware criminele activiteiten te vergaren. Vorig jaar heeft dit team dat in 28 zaken gedaan. 

Het team dient de handelingen die het verricht bij het hacken vast te leggen. Dat moet doorlopend en automatisch via apparatuur zoals video-opnames van de beeldschermen. Dat is de logging. Wat niet door direct door een apparaat wordt vastgelegd, moet het team handmatig in een journaal (soort dagboek) vastleggen. De logging was begin vorig jaar niet compleet. Verbeteringen in de techniek zorgden er later voor dat de logging accurater en vollediger werd. Het team heeft vorig jaar ook het journaal verbeterd, ten opzichte van 2020. 

De politie zette in 23 van de 28 zaken commerciële software in. Deze software is voor de politie en de Inspectie JenV een ‘black box’; zij weten niet hoe die precies werkt. Hierbij concludeert de Inspectie JenV opnieuw dat de leverancier toegang kan krijgen tot alle hiermee binnengehaalde informatie. Hoewel met de leverancier is afgesproken dat deze uitsluitend mag inloggen na toestemming van de politie, kan de politie dit niet technisch controleren of beperken. De Inspectie JenV constateert dat hierdoor spanning ontstaat met het rechtskader wat voorschrijft dat alleen specifiek aangewezen politiemensen bij die gegevens mogen komen.

Kwaliteitszorg en beveiliging

Voor een professionele taakuitvoering door het hackteam is het noodzakelijk dat de beveiliging van de gegevens en kwaliteit van het werk gewaarborgd zijn.
Het hackteam kan niet aantonen dat wordt voldaan aan zijn eigen eisen voor informatiebeveiliging van de door hacken verkregen gegevens. De politie heeft in 2021 op dit punt niet de voorgenomen verbeteringen gerealiseerd. De Inspectie JenV zag in haar onderzoek naar deze beveiliging enkele tekortkomingen, zoals in het autorisatiebeheer. Ze zag echter geen grote technische beveiligingsrisico’s.

Het team heeft geen overkoepelende voorziening om de kwaliteit van de inzet van de hackbevoegdheid te waarborgen. Zo’n voorziening is van belang voor het rechtmatig hacken. De politie kan dan zelf voorkomen of achteraf signaleren dat iets niet volgens de regels is gebeurd. In 2021 heeft de politie diverse verbeteringen doorgevoerd, bijvoorbeeld in het bewaken en controleren van de volledigheid van de beeldschermopnames. Een kwaliteitsvoorziening voor het gehele hack-proces is echter nog niet ingericht, hoewel het hackteam inmiddels ruim drie jaar actief is.
 

Handen met ringen en rode nagellak boven een toetsenbord van een laptop. Op het scherm is onscherp html-code waarneembaar.
Beeld: ©Inspectie JenV