Hackvoorstel: onvoldoende politieke tegenstand
Hacking proposal: insufficient political opposition
Dit jaar stond voor mij bij Bits of Freedom voor een groot deel in het teken van het hackvoorstel. De behandeling van dit voorstel, waarmee de politie de bevoegdheid zou krijgen om computers (en andere apparaten) te hacken en gegevens over te nemen of te verwijderen, te doorzoeken of het activeren van gps, camera en microfoon, vond dit jaar plaats.
Dat was hoog tijd. Sinds toenmalig minister van Veiligheid en Justitie Ivo Opstelten in 2012 het plan aankondigde dat de politie computers zou mogen gaan hacken, is Bits of Freedom volop met dit onderwerp bezig geweest. Dus toen eind december 2015 het wetsvoorstel eindelijk naar de Tweede Kamer werd gestuurd, waren we er klaar voor.
De behandeling door de Kamerleden was gehaast. Er was een korte periode van vier weken waarin Kamerleden hun vragen konden opstellen en insturen naar de minister en er werd een hoorzitting georganiseerd. We leverden input voor die vragen en waren bij de hoorzitting aanwezig. Onze mening: dit voorstel is te ruim, te vaag en maakt de burger niet veiliger. De Kamerleden stelden veel kritische vragen en eind februari was het Ministerie van Veiligheid en Justitie weer aan zet. Tijd voor ons om voor te bereiden op het verdere debat.
We hebben in die periode een campagne voorbereid –dankzij de onschatbare hulp van vrijwilligers– waarmee Kamerleden benaderd konden worden, op stophethackvoorstel.nl We maakten daarvoor onder meer een animatiefilmpje, teksten en een contactmodule.
Ook dachten we na over hoe de wet verbeterd zou kunnen worden. Het was politiek gezien helaas duidelijk dat er een meerderheid was voor het voorstel. Op zulke momenten kun je twee dingen doen: weigeren mee te denken, of juist kijken waar nog verbeteringen aan te brengen zijn. We vinden dat de Nederlandse burger niet veiliger wordt als de Nederlandse politie op zoek gaat naar onbekende kwetsbaarheden en die vervolgens gebruikt zonder dat te melden aan de makers van de software waar die kwetsbaarheden inzitten. De Nederlandse overheid zal immers niet de enige zijn die gebruik maakt van die kwetsbaarheden – ook criminelen kunnen die kwetsbaarheden gebruiken. Het gebruik van die kwetsbaarheden moest er dus uit.
For me, a significant part of this year revolved around the hacking proposal. The handling of this proposal, with which the police would gain the authority to hack computers (and other devices) and to retrieve or remove information, to activate or search GPS, camera and microphones, took place this year.
It was high time. Since the then Minister of Security and Justice, Ivo Opstelten announced in 2012 that the police should hack computers, Bits of Freedom has been working hard to tackle this issue. So when the draft legislation was finally sent to parliament at the end of December 2015, we were ready.
The handling by MPs was hurried. There was a short period of four weeks within which MPs could draft and submit their questions to the minister and a hearing was organised. We supplied input for the questions and were present at the hearing. Our opinion: this proposal is too broad, too vague and does not make the citizen any safer. MPs asked a lot of critical questions and at the end of February it was back to the Ministry of Security. Time for us to prepare for the further debate.
In that period we prepared a campaign – thanks to the invaluable help of volunteers – to facilitate approaching MPs, on stophethackvoorstel.nl. This included an animation, texts and a contact module.
We have also been discussing ideas on how the law could be improved. Politically, it was unfortunately apparent that a majority supported the proposal. At such moments, you can do oneof two things: refuse to join the talks, or actually help to see where improvements can still be made. We strongly believe the Dutch citizen will not be safer if the Dutch police actively go in search of unknown vulnerabilities and end up using them without reporting back to the makers of the software containing those vulnerabilities. The Dutch government will also not be the only people to make use of these vulnerabilities – criminals can also make use of them. Which is why this use of vulnerabilities had to be taken out.
Maar we vonden ook dat de wet op andere punten verbeterd moest worden. We keken daarbij, naast het gebruik van kwetsbaarheden, onder meer naar het begrip geautomatiseerd werk en het toezicht op de uitvoering van de bevoegdheid en wanneer de bevoegdheid zou mogen worden ingezet.
De Tweede Kamer kreeg intussen nog meer haast: meerdere keren werd –vooral door het CDA en de VVD– aangedrongen op een snelle behandeling van het wetsvoorstel. Het Ministerie van Veiligheid en Justitie nam echter de tijd: pas na acht maanden, op acht november kwamen de antwoorden van de minister. Daarbij werd de wet iets aangepast: er kwam wat meer toezicht op de inzet van de bevoegdheid. De reactie van de minister wierp meer vragen op dan er werden beantwoord en was op bepaalde punten zelfs tegenstrijdig met de oorspronkelijke toelichting bij de wet. Maar het CDA, de PvdA en de VVD wisten genoeg en het debat voor de wet werd ingepland.
Onze campagne liep intussen door. Bijna 6.000 keer hebben mensen via onze site hun zorgen over het wetsvoorstel laten blijken. We waren erg blij met zoveel steun! Verschillende politieke partijen, zoals de PvdA, D66, GroenLinks en de SP dienden in totaal 16 amendementen in die onze punten adresseerden. Dat is heel veel, zeker als je bedenkt dat die amendementen vrijwel allemaal betrekking hadden op slechts één bevoegdheid.
Het debat in de Kamer vond plaats op 13 december. Samen met Daphne ging ik naar Den Haag om live verslag te doen. Het blijft toch bijzonder om de Kamerleden op een paar meter afstand te zien debatteren over de onderwerpen die Bits of Freedom zo aan het hart gaan.
Het positieve was dat het debat voornamelijk ging over de onderwerpen die wij geproblematiseerd hebben, zoals: het gebruik maken van (onbekende) kwetsbaarheden, het begrip geautomatiseerd werk en het toezicht op de uitvoering van de hackbevoegdheid. Ook de media had ons frame over het risico's van achterdeuren en de behoefte aan andere beperkingen aan de wet overgenomen. De oppositie was fel en scherp – waarbij de 75 minuten durende voordracht van Kees Verhoeven van D66 en de felheid van de PVV extra opvielen.
But we also thought that the law needed to be improved in other areas. Among other things, we looked at the concept of automated work and supervision of the implementation of the power and when the power could be applied.
Meanwhile, parliament appeared to be in a hurry: on several occasions, particularly the CDA and the VVD urged swift handling of the bill. The Ministry of Security and Justice however took its time: only after eight months, on the 8 th of November, did the minister provide a response. Various amendments were made to the law: there was more supervision over the implementation of the power. The response from the minister raised more questions than were answered and on certain points it was even in contradiction with the original explanatory notes. But the CDA, the PvdA and the VVD knew enough and the debate for the legislation was scheduled.
Meanwhile, our campaign continued. People had expressed their concerns about the draft legislation via our site nearly 6,000 times. We were over the moon with their support! Various political parties, such as the PvdA, D66, GroenLinks and the SP submitted a total of sixteen amendments that addressed our criticisms. A lot, certainly considering that all of these amendments were focused on only one aspect of the bill.
The debate in parliament took place on 13 December. Positively, the debate was mostly about the topics that we had problematised, such as: making use of (unknown) vulnerabilities, the concept of automated work and the supervision of implementing the hack powers. The media also accepted our frame on the risks of backdoors and the need for other restrictions to the law. The opposition was fierce and focused – with the 75-minute-long speech by Kees Verhoeven of the D66 and the ferocity of the PVV being particularly noteworthy.
Disappointing was the position of the VVD and the CDA. They refused to enter into debate about the essential issues and sidestepped, where possible, any criticism. PvdA spokesperson Recourt was in a difficult position. On the one hand, he recognised the problems of the legislation, but likewise deemed the legislation to be necessary. Secretary of State Dijkhoff accommodated him a little by indicating that although the unknown vulnerabilities could be found and identified, they could not be made available for commercial purchase. This, however, didn’t solve the problem for Recourt, because unknown vulnerabilities can also be present in, for example, purchased malware.
Wat tegenviel was de houding van de VVD en het CDA. Zij weigerden echt in debat te gaan op de wezenlijke punten en ontweken waar mogelijk kritiek. PvdA-woordvoerder Recourt zat in een lastig parket. Hij zag aan de ene kant wel de problemen van de wet, maar vond de wet aan de andere kant ook noodzakelijk. Staatssecretaris Dijkhoff kwam hem iets tegemoet door aan te geven dat die onbekende kwetsbaarheden weliswaar gevonden, maar niet commercieel ingekocht moeten worden. Dat loste voor Recourt het probleem niet op, omdat onbekende kwetsbaarheden ook in bijvoorbeeld aangekochte malware kunnen zitten.
De week tussen het debat en de stemming hebben we nog geprobeerd om steun voor de juiste amendementen te vinden. Dat bleek bij de stemming ijdele hoop. Alle belangrijke amendementen werden afgewezen. De enige beperking werd aangebracht door een amendement van de PvdA en de VVD, waarmee onbekende kwetsbaarheden na gebruik wel zo snel mogelijk gemeld moeten worden.
Dinsdag 20 december was dus een treurige dag: de wet kwam er doorheen. Natuurlijk, de wet is op zoveel gebieden beter dan de conceptversie uit 2013. De houding van D66, de SP, de PVV, GroenLinks, Astrid Oosenbrug (die als enige PvdA'er tegen stemde), de Partij voor de Dieren en anderen is prijzenswaardig en laat zien dat privacy en de veiligheid van onze IT-infrastructuur ook in het parlement belangrijk gevonden wordt. Die zegeningen tellen we.
Maar het blijft zuur dat de PvdA de problemen wel ziet, maar er uiteindelijk (waarschijnlijk uit politieke opportuniteit) toch voor heeft gekozen om ze niet op te lossen. Dat is zonde en levert een wet op die gewoon niet goed genoeg is. Daarnaast lijkt een behandeling van vier jaar voor een wetsvoorstel in de Tweede Kamer erg zorgvuldig. Maar uiteindelijk steekt het wel dat de daadwerkelijke behandeling in de Kamer zo gefragmenteerd is geweest, zo gehaast vlak voor de verkiezingen en belangrijker: dat (daardoor) zoveel vragen en onduidelijkheden in het voorstel onbeantwoord en onopgehelderd blijven.
In the week between the debate and the vote we continued to try and win support for the appropriate amendments. Effort, that at the vote, proved to have been in vain. All the important amendments were dismissed. The only restriction made was by an amendment of the PvdA andthe VVD, whereby unknown vulnerabilities would have to be reported as soon as possible after use.
And so, Tuesday 20th December was a gloomy day: the legislation was passed. Of course in many areas, the law is much improved on the concept version of 2013. The stance of the opposing parties is commendable and shows that privacy and security of our IT infrastructure is also important in parliament. Something we are grateful for. But it remains a bitter pill to swallow that the majority of parliament see the problems, but ultimately (probably out of political opportunity), still took the decision not to solve them. This is a shame and produces a law in which many questions and ambiguities in the proposal remain unanswered and unexplained. Leaving a law that is simply not good enough.