De politie heeft in 2020 voor het tweede jaar op rij niet volledig vastgelegd wat ze heeft gedaan bij het hacken van apparaten van verdachten. Evenals in 2019 gebruikte zij commerciële software, nu zelfs in het merendeel van de zaken. De leverancier hiervan heeft toegang tot deze software en de hiermee verkregen gegevens. Het uitblijven van verbeteringen is een risico voor de betrouwbaarheid van bewijs dat via het hacken is verkregen en voor de privacy van betrokkenen.
De Inspectie Justitie en Veiligheid meldt haar zorgen in het verslag over het toezicht op de wettelijke hackbevoegdheid van de politie 2020. Een speciaal politieteam mag op afstand informatie halen van bijvoorbeeld laptops of telefoons van mensen die verdacht worden van zware criminaliteit. De Inspectie JenV ziet erop toe of de politie dat volgens de regels doet. Het politieteam paste deze hackbevoegdheid vorig jaar toe in veertien zaken. Zoals de wet voorschrijft, gebeurde dat in alle gevallen op bevel van een officier van justitie.
Handmatige verantwoording
Ook moet de politie elke stap in het hackproces automatisch of met de hand vastleggen, van de eerste aanslag op het toetsenbord tot en met het bewijs dat is verkregen. Deze registratie is van groot belang om te kunnen controleren of de politie zich aan de regels houdt. Daarmee kan worden vastgesteld of het bewijs tegen verdachten niet is aangepast of is ingezien door onbevoegden. Die verplichte verslaglegging was ook in 2020 in alle zaken onvolledig. Zo werkte de apparatuur voor het maken van beeldschermopnames niet altijd. Ook de handmatige verantwoording in processen-verbaal was onvolledig. Het ontbreekt het hackteam aan een goed functionerend kwaliteits- en controlesysteem dat tekortkomingen in het toepassen van de hackbevoegdheid signaleert. Daardoor heeft de politie zelf niet alle fouten of hiaten in de verslaglegging opgemerkt. Door deze hiaten kan de Inspectie JenV niet uitsluiten dat onregelmatigheden hebben plaatsgevonden zonder dat deze zijn gesignaleerd. Op basis van wat wel is geregistreerd heeft de Inspectie JenV geen aanwijzing dat de politie met haar hackbevoegdheid iets gedaan heeft wat niet mocht.
Commerciële software
In tien van de veertien hackzaken is commerciële software ingezet om binnen te dringen op apparaten en onderzoek te doen. De politie weet niet precies hoe deze software technisch werkt. Deze software gebruikt systemen die de leverancier beheert. Deze heeft daardoor altijd controle over de software en toegang tot de onderzoeksgegevens. De politie kan zijn toegang niet beperken of controleren. De Inspectie JenV vindt dit een risico voor de integriteit en vertrouwelijkheid van gegevens die met deze software zijn verkregen, al is het gebruikelijk bij dit soort commerciële software. Er is volgens de politie geen goed alternatief waarbij de leverancier niet kan meekijken. Ondanks de juridisch en technisch complexe omgeving waarin de politie opereert, had de Inspectie JenV verwacht dat in 2020 al verbeteringen zouden zijn doorgevoerd. In 2019 constateerde de Inspectie JenV nagenoeg dezelfde tekortkomingen. Ze liet toen meewegen dat de hackbevoegdheid voor de politie een nieuw werkterrein was en dat het team zich nog in een opbouwfase bevond. De Inspectie JenV beveelt de politie nu opnieuw aan om verbeteringen door te voeren op alle geconstateerde afwijkingen
Voor meer informatie zie www.inspectie-jenv.nl
Lees ook
– Drie trends in cybersecurity: wendbaarheid is de nieuwe weerbaarheid
– Geheime informatie grote bedrijven belandt steeds vaker op straat
– Bescherm jezelf tegen ransomware: 7 tips
Volg Security Management op LinkedIn