De bewindsman wil politie en justitie op afstand onderzoek laten doen in computers van criminelen en - indien nodig - gegevens overnemen of ontoegankelijk maken. Het betreft het zogeheten ‘onderzoek in een geautomatiseerd werk’ dat opsporingsambtenaren ruimte geeft onder strikte voorwaarden verschillende onderzoekshandelingen toe te passen bij opsporing van ernstige delicten.
Daarbij gaat het niet alleen om het ontoegankelijk maken of het overnemen van gegevens, zoals kinderpornografie of opgeslagen e-mailberichten met informatie over misdrijven, maar ook om het aftappen van communicatie of observatie. Er gelden strikte waarborgen voor de toepassing van de nieuwe bevoegdheid, zoals een voorafgaande rechterlijke toetsing, certificering van de software die wordt gebruikt en de logging van gegevens.
Dwingen tot actie
Een eerdere brief aan de Tweede Kamer meldt dat de ontwikkelingen op het gebied van de cybercrime tot actie dwingen. Als criminelen bijvoorbeeld bezig zijn met behulp van botnets vitale onderdelen van de samenleving plat te leggen, moet daar beter tegen opgetreden kunnen worden, aldus Opstelten. Botnets zijn grootschalige netwerken van semi-autonoom werkende softwarerobots op ‘zombiecomputers’, die op afstand kunnen worden bediend om illegale acties uit te voeren, zoals het versturen van spam, het verzamelen van (bedrijfs)geheimen, creditcardgegevens en wachtwoorden. DDos-aanvallen en het verspreiden van malware behoren ook tot de mogelijkheden. Om een botnet onschadelijk te maken, is het noodzakelijk toegang te krijgen tot de servers die daar onderdeel van zijn. Het optreden in cyberspace kan met zich meebrengen dat gegevens ontoegankelijk worden gemaakt, ook als deze zich op een server in het buitenland bevinden. Dit kan het geval zijn als de feitelijke locatie van de gegevens redelijkerwijs niet is te achterhalen, zoals bij gegevens in de Cloud.
Aftappen in plaats van verbinden
Bij het aftappen van communicatie hebben politie en justitie steeds meer last van versleuteling van elektronische gegevens. Op internet worden speciale programma’s aangeboden om gegevensbestanden te versleutelen. Informatiesystemen en software zijn dikwijls standaard ingesteld op versleutelde vormen van communicatie, bijvoorbeeld Gmail en Twitter. Internetgebruikers kunnen zelfs via bepaalde diensten gegevens anoniem transporteren. Dit speelt criminelen in de kaart. Weliswaar is de aanbieder verplicht mee te werken aan het ongedaan maken van versleutelde communicatie, maar daar is hij soms zelf niet toe in staat of de aanbieder is gevestigd in het buitenland. Daarom wil Opstelten dat politie en justitie bij ernstige strafbare feiten onder strikte voorwaarden kunnen aftappen op het apparaat in plaats van op de verbinding. Het onderzoek in een geautomatiseerd werk maakt dat mogelijk.
Decryptiebevel
Het wetsvoorstel voorziet tevens in de mogelijkheid om verdachten van het bezit en de handel in kinderpornografie of van terroristische activiteiten te verplichten mee te werken aan het openen van versleutelde bestanden op hun computer. De officier van justitie geeft dan een zogeheten decryptiebevel aan de verdachte. Politie en justitie krijgen dan toegang tot afgeschermde gegevens en kunnen de vervaardiging, de verspreiding en het bezit van kinderpornografie effectiever bestrijden en hulp bieden aan de slachtoffers. Ook hiervoor gelden strikte waarborgen, waaronder een voorafgaande rechterlijke toetsing. Op het negeren van een decryptiebevel van de officier van justitie staat een gevangenisstraf van maximaal drie jaar.
Verder regelt Opstelten dat heling van computergegevens strafbaar wordt. Daarmee wil hij voorkomen dat bijvoorbeeld na een inbraak in een computer derden de gestolen informatie in handen krijgen en vervolgens op websites plaatsen. Voor een veroordeling is het van belang dat de verdachte wist of kon vermoeden dat de bewuste informatie van misdrijf afkomstig is. In de praktijk worden regelmatig computergegevens gebruikt die door misdrijf verkregen zijn, bijvoorbeeld door hacken van een computer of door het listig afhandig maken van wachtwoorden en toegangscodes van gebruikers. Er komt een gevangenisstraf van maximaal een jaar op te staan.