Aan de hackbevoegdheid van de politie blijven risico’s kleven. Dat zegt het Inspectie Justitie en Veiligheid in het ‘Verslag wettelijke hackbevoegdheid 2021’. Wel legde de politie vorig jaar bij het hacken van apparaten van verdachten hun activiteiten beter vast dan in voorgaande jaren.
Groot minpunt is volgens het ministerie dat de politie in de meeste zaken opnieuw commerciële software inzette waarbij de leverancier toegang kan krijgen tot de gegevens. Dat is niet wat de wetgever beoogt,” aldus de Inspectie in een commentaar.
Een speciaal politieteam mag binnen bepaalde regels apparaten (zoals telefoons, laptops) van verdachten hacken om bewijsmateriaal over zware criminele activiteiten te vergaren. Vorig jaar deed dit team dat in 28 zaken. Daarbij moet het team de handelingen die het verricht bij het hacken vastleggen. Dat moet doorlopend en automatisch via apparatuur zoals video-opnames van de beeldschermen. Dat is de logging.
Wat niet door direct door een apparaat wordt vastgelegd, moet het team handmatig in een journaal (soort dagboek) vastleggen. De logging was begin vorig jaar niet compleet. Verbeteringen in de techniek zorgden er later voor dat de logging accurater en vollediger werd. Het team heeft vorig jaar ook het journaal verbeterd, ten opzichte van 2020.
Commerciële software
De politie zette in 23 van de 28 zaken commerciële software in. Deze software is voor de politie en de Inspectie JenV een ‘black box’; zij weten niet hoe die precies werkt. Hierbij concludeert de Inspectie JenV opnieuw dat de leverancier toegang kan krijgen tot alle hiermee binnengehaalde informatie.
Hoewel met de leverancier is afgesproken dat deze uitsluitend mag inloggen na toestemming van de politie, kan de politie dit niet technisch controleren of beperken. De Inspectie JenV constateert dat hierdoor spanning ontstaat met het rechtskader wat voorschrijft dat alleen specifiek aangewezen politiemensen bij die gegevens mogen komen.
Beveiliging
Voor het goed professioneel functioneren van het hackteam is het volgens de inspectie noodzakelijk dat de beveiliging van de gegevens en kwaliteit van het werk gewaarborgd zijn. Het hackteam kan niet aantonen dat ze voldoen aan zijn eigen eisen voor informatiebeveiliging van de door hacken verkregen gegevens.
De politie had vorig jaar weliswaar verbeteringen in de pen maar realiseerde die niet. De Inspectie JenV zag in haar onderzoek tekortkomingen. De belangrijkste daarvan is het autorisatiebeheer. Er waren daarbij echter geen grote technische beveiligingsrisico’s.
Het team heeft geen overkoepelende voorziening om de kwaliteit van de inzet van de hackbevoegdheid te waarborgen. Zo’n voorziening is van belang voor het rechtmatig hacken. De politie kan dan zelf voorkomen of achteraf signaleren dat iets niet volgens de regels is gebeurd.
In 2021 voerde de politie wel een aanal verbeteringen in. Een daarvan is het bewaken en controleren van de volledigheid van de beeldschermopnames. Een kwaliteitsvoorziening voor het gehele hackproces is echter nog niet ingericht, hoewel het hackteam inmiddels ruim drie jaar actief is.
Lees ook:
- Veel algoritmes Rijk voldoen niet aan basisvereisten
- Vergroot het succes van mobiele apps met veilige authenticatie