De Nederlandse politie voerde vorig jaar 28 hacks uit op apparaten van verdachten. In 23 gevallen kon de leverancier van de gebruikte software meekijken met de gegevens van verdachten. Dat blijkt uit een onderzoek van de Inspectie Justitie en Veiligheid.
In 2019 kreeg de politie nieuwe bevoegdheden voor het hacken van devices. De wet Computercriminaliteit III maakt het mogelijk om legaal te hacken bij verdenking van een ernstig strafbaar feit. Een specialistisch team voert de hacks uit. De voorwaarde is dat het volledige proces wordt geregistreerd. Bijvoorbeeld door het beeldscherm van een apparaat op te nemen tijdens de hack.
De Inspectie Justitie en Veiligheid controleert regelmatig of de politie zich aan de regels houdt. Begin 2021 bleek de administratie incompleet. De politie kreeg de opdracht om hacks beter vast te leggen. Daaruit blijkt dat de persoonsgegevens van gehackte verdachten toegankelijk zijn voor commerciële softwareleveranciers.
Meekijkers
In 23 van de 28 gevallen uit 2021 gebruikte de politie commerciële software om apparaten van verdachten te hacken. De leveranciers van de software konden naderhand toegang krijgen tot de gehackte informatie. Officieel mag de leverancier alleen inloggen met goedkeuring van de politie. Het probleem is dat niemand weet of de regels worden nageleefd. Zowel de politie als de Inspectie Justitie Veiligheid weten niet precies hoe de software werkt. Dat wrijft met de wet, want alleen aangewezen ambtenaren horen toegang te hebben tot gehackte gegevens.
In het rapport benadrukt de Inspectie Justitie Veiligheid dat “het autorisatiebeheer tekortkomt”. Opvallend genoeg voegt de inspectie toe dat er “geen grote technische beveiligingsrisico’s zijn gezien”. In het bedrijfsleven wordt een gebrek aan autorisatiebeheer wel degelijk als beveiligingsrisico gezien. In sommige grootbedrijven is het ondenkbaar om softwareleveranciers toegang te geven tot de persoonsgegevens van klanten. Dat is namelijk precies hoe datalekken ontstaan.
Lang wachten
De Inspectie Justitie Veiligheid heeft een adviserende rol. De instantie kan geen maatregelen opleggen. Dilan Yeşilgöz-Zegerius, de huidige minister van Justitie en Veiligheid, kan dat wél. De kans is daarentegen klein dat we op korte termijn verbetering zien. De inspectie is sinds 2021 op de hoogte van het gebrek aan autorisatiebeheer. Het probleem is herhaaldelijk aangekaart, maar nog steeds niet opgelost. Word jouw apparaat gehackt op verdenking van een ernstig feit, dan heb je geen garantie dat de politie de enige is die meekijkt.
Tip: Rijksoverheid leert nog steeds niet van mislukte ICT-projecten