Column


IT-jurist Peter van Schelven over...

Op naar een Nederlandse PATCH Act?

Op 26 juni jongstleden ging de Eerste Kamer akkoord met het wetsvoorstel Computercriminaliteit III. Daarmee kwam een einde aan de parlementaire behandeling van dit wetsvoorstel, dat al in december 2015 door de regering naar de Tweede Kamer werd gestuurd. Het is nu wachten op de datum waarop de nieuwe wet definitief in werking treedt.

De Wet Computercriminaliteit III trekt om minstens twee redenen sterk de aandacht. Ten eerste is dat vanwege het nieuwe recht van justitie om bij het opsporen van ernstige misdrijven heimelijk computers en mobiele telefoons te hacken. Dat is een vergaande inmenging in de persoonlijke levenssfeer van burgers en het is om die reden niet onbegrijpelijk dat diverse kringen in de Nederlandse samenleving fors kritiek op de nieuwe hack-bevoegdheid hebben geuit. De wet zegt ook dat justitie bij het opsporen van bepaalde, zeer ernstige misdrijven gegevens in het gehackte systeem ontoegankelijk mag maken en mag kopiëren, aftappen of observeren.

0-days
Een tweede, niet minder belangrijk onderdeel van de nieuwe wet is de vraag hoe justitie moet omgaan met kwetsbaarheden in de door haar gehackte systemen en producten. Bij het hacken wordt immers gebruikgemaakt van bekende dan wel onbekende kwetsbaarheden. De vraag die in het bijzonder speelt is of de opsporingsautoriteiten de 0-days die zij bij de uitvoering van hun werk in systemen ontdekken onder de pet mogen houden of aan de IT-producent moeten melden. Voor een producent kan een onbekende kwetsbaarheid belangrijke informatie zijn. Op basis daarvan kunnen immers patches worden ontwikkeld. Voor justitie kan het niet melden echter profijtelijk zijn als daarmee de opsporing van criminaliteit makkelijk in het geniep kan worden voortgezet.

Hoe springen we om met die controverse? De wetgever heeft er voor gekozen dat justitie onbekende kwetsbaarheden in beginsel bij de producent moeten melden. Maar op die hoofdregel is een wezenlijke uitzondering gemaakt. Melding kan, aldus de wet, achterwege blijven als de officier van justitie daarvoor eerst toestemming van de rechter heeft gevraagd en gekregen. Als zo͛n rechterlijke toestemming is gegeven, dan is die overigens slechts van tijdelijke duur.

Nederland kiest er dus voor de beslissing om een 0-day niet aan de IT-producent te melden in handen van de rechter te leggen. Dat is niet zo͛n vanzelfsprekende keuze, zeker niet nu – naar kan worden vermoed – het overgrote deel van de rechters in ons land eenvoudigweg de kennis en inzichten missen om complexe afwegingen rondom 0-days en de belangen rondom IT-security te maken.

Amerikaanse ontwikkelingen
In de Verenigde Staten wordt momenteel gewerkt aan een andere insteek. De wetgever daar heeft de zogeheten PATCH Act in behandeling. Het Amerikaanse wetsvoorstel heet voluit de 'Protecting our Ability To Counter Hacking "PATCH" Act' . Het Amerikaanse wetsvoorstel voorziet in een formalisering van het zogeheten Vulnerabilities Equities Process (VEP). Daarmee geeft de Amerikaanse wetgever waarborgen over de vraag of, wanneer, hoe, aan wie en in welke mate informatie over een kwetsbaarheid in een technologie, product, systeem, dienst of toepassing die niet openbaar bekend is, door de federale overheid moet worden gedeeld of vrijgegeven aan een niet- federale entiteit.

De verantwoordelijkheden daarvoor worden wettelijk belegd bij een gespecialiseerde, breed samengestelde board met kennis van zaken. Het aardige van het Amerikaanse wetsvoorstel is dat de vraag of een 0-day bij een softwareproducent gemeld moet worden niet alleen betrekking heeft op de Amerikaanse justitie, maar op alle federale overheidsinstanties. Dat gaat dus aanzienlijk verder dan wat wij in Nederland regelen. Een ander mooi punt is dat de VEP aanzet tot een gedetailleerde publieke verantwoording van de federale Amerikaanse overheid hoe zij met 0-days omgaat. Die publieke verantwoording missen we in het Nederlandse wettelijke systeem.

Grapperhaus
De Nederlandse regering voelt er, blijkens uitlatingen van minister Grapperhaus van Justitie en Veiligheid in de Eerste Kamer, niets voor om in ons land een aanpak rondom 0-days in de stijgers te zetten op een wijze zoals men thans in de VS doet. Dat is een gemiste kans. Hoewel mijn vertrouwen in de Nederlandse rechterlijke macht ronduit groot is, waag ik te betwijfelen of we er verstandig aan doen de besluitvorming over de notificatie van 0-days bij de rechter te leggen. Zoiets kan, naar ik verwacht, alleen maar tot technisch en juridisch dilettantisme leiden. Daarmee bewijzen we IT-security geen dienst.

Het zou geen slechte zaak zijn als de Nederlandse overheid security meer en beter omarmt. Daarom mijn oproep om de ontwikkelingen rondom de komende Amerikaanse PATCH Act op de voet te blijven volgen. We kunnen daar nog veel van leren.

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over