Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer

De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.

Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?

We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde  het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.

En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?

46 artikelen

© ANP / Hollandse Hoogte / Joris van Gennip

De politie belazerde computercriminelen – begrijpelijk, maar mag dat wel?

2 Connecties

Personen

Rickey Gevers

Organisaties

Europol
47 Bijdragen

Met een slimme truc wist de politie meer dan 150 gegijzelde netwerkschijven te bevrijden uit handen van een ransomware-bende. Het tekent de manier waarop politiewerk onder invloed van computercriminaliteit verandert: van het opsporen van criminelen naar het verstoren van hun activiteiten. Experts noemen de ontwikkeling noodzakelijk, maar waarschuwen voor de risico’s voor de rechten van burgers en verdachten als er geen duidelijke spelregels komen.

0:00
Dit stuk in 1 minuut
  • In de strijd tegen gijzelsoftware en andere vormen van computercriminaliteit zijn de traditionele opsporingstechnieken van de politie vaak nutteloos. Verdachten zijn moeilijk te vinden en als dat al lukt, krijgt de politie ze bijna niet voor de rechter.
  • Daarom zet de politie in op alternatieve strategieën, die niet zozeer zijn gericht op arrestatie, maar vooral op het verzamelen van inlichtingen en het verstoren van de activiteiten van cybercriminelen. 
  • In oktober lukte het de politie via een slimme verstoringstruc meer dan 150 netwerkschijven te bevrijden uit de handen van ransomware-groep Deadbolt.
  • Deadbolt had het volledige gijzelproces geautomatiseerd, van besmetting tot de betaling van het losgeld, maar had geen rekening gehouden met de vertraging in de verwerking van bitcoin-betalingen. Dat stelde de politie in staat Deadbolt te foppen, door betalingen aan de groep te annuleren meteen nadat zij de sleutels had ontvangen waarmee de gegijzelde data konden worden bevrijd. 
  • De truc is illustratief voor de wijze waarop de politie cybercrime te lijf gaat, al worden verstoring en grootschalig verzamelen van inlichtingen inmiddels ook ingezet bij de bestrijding van andere vormen van criminaliteit, zoals georganiseerde misdaad.
  • Expert wijzen erop dat deze strategieën mogelijk verder gaan dan de wet toestaat. Vanwege het gebrek aan toezicht op en duidelijke regels waarschuwen zij voor een hellend vlak, waardoor rechten van burgers en verdachten onder druk kunnen komen te staan.
Lees verder

‘Ik kijk uit naar de dag dat deze persoon gearresteerd wordt, want ik wil supergraag weten wie hierachter zit,’ zegt Rickey Gevers. Ik denk dat het een zeer goede software-ontwikkelaar is. Iemand die een prima baan heeft, maar een gekke afslag heeft genomen.’

Gevers, die vijftien jaar geleden zelf van zijn bed werd gelicht wegens een computerinbraak bij een Amerikaanse universiteit, helpt nu met zijn bedrijf Responders mensen die slachtoffer van een hack zijn.

Het begon met een telefoontje van een fotograaf die niet meer bij zijn opgeslagen foto’s kon. ‘Foto’s van bruiloften, bevallingen, you name it.’ Hij bewaarde ze op een externe harde schijf van het Taiwanese QNAP. Het ging om een zogenaamde NAS (network attached storage): een harde schijf die je thuis in de meterkast zet. Zo’n NAS ‘hangt’ in het thuisnetwerk en vaak ook aan het internet, zodat je als je niet thuis bent, via een app bij je bestanden kunt. De fotograaf kon zijn werk zo bij klanten laten zien.

Maar nu zag hij een afpersingsbericht op zijn scherm: ‘All your files have been encrypted.’ Een ransomware-bende die opereerde onder de naam Deadbolt (‘nachtslot’), had alle bestanden versleuteld. Als hij 0,05 bitcoin betaalde – indertijd ongeveer 1000 euro – zou de sleutel in de transactiegegevens van de betaling verschijnen. Daarmee kon de fotograaf zijn bestanden weer ontsleutelen.

Gevers houdt zich gewoonlijk niet bezig met particuliere gevallen. Zijn klanten zijn meestal grotere bedrijven, maar hij had tijd om de fotograaf te helpen. Bovendien vond hij Deadbolt een interessante groep – of persoon. 

De gijzelsoftware van Deadbolt is namelijk anders dan alle andere. Deadbolt heeft het hele proces van besmetting tot losgeldbetaling geautomatiseerd.

Opmerkelijk is dat de gijzelsoftware gebruik maakt van een zero-day – een beveiligingslek dat tot dan toe onbekend was. Klaarblijkelijk had de afperser zelf een lek in de QNAP-schijven gevonden. Ook verwijdert Deadbolt na een aanval al zijn sporen, door de bestanden die na de aanval achterblijven niet te verwijderen, maar ze te overschrijven. Dat was een teken dat het om een kenner ging: iemand die weet hoe je forensisch specialisten te slim af kunt zijn. 

Tot slot was ongewoon dat geld niet het motief leek te zijn, zoals bij andere ransomware-bendes. ‘Voordat de bitcoin-koers instortte, was Deadbolts buit meer dan een miljoen euro,’ zegt Gevers. Maar het geld bleef staan waar het stond: er werd niets opgenomen. Deadbolts motief leek dus vooral: QNAP dwarszitten, over de rug van hun klanten.

In het bericht van Deadbolt stond:

‘This is not a personal attack. You have been targeted because of the inadequate security provided by your vendor (QNAP). After the decryption has finished successfully, this page will disappear and you can access the management interface again. However, it is **strongly advised** to migrate all your data to a more secure platform.’

Deadbolt had wel een behulpzame tip voor zijn slachtoffers: ‘If you struggle with this process, please contact an IT professional to help you.’ Iemand als Rickey Gevers dus. 

Gevers hielp de fotograaf met het betalen van de crypto, en testte daarbij of de ransomware rekening hield met de vertraging die in het bitcoin-systeem zit ingebakken. 

Wanneer je bij bitcoin een betalingsopdracht geeft, wordt die met andere opdrachten in de wacht gezet. Pas wanneer zo’n ‘blok’ aan de beurt is, wordt de betaling uitgevoerd. In de tussenliggende periode – en die kan soms uren duren – kan de betalende partij de opdracht intrekken en wordt die dus niet uitgevoerd. Na een analyse van hun bitcoin-transacties zag Gevers dat Deadbolt daar geen rekening mee hield: hun software interpreteerde de betalingsopdracht als betaling – waarna het de sleutel meteen vrijgaf.

‘Mensen die veel met crypto werken, kennen dat trucje,’ zegt Gevers. ‘Bij grote ransomeware-bendes passen we de truc niet toe, omdat dan het risico bestaat dat ze heel boos worden en de onderhandelingen stuklopen, met alle gevolgen van dien.’

Gevers maakte namens de fotograaf 0,05 bitcoin over, en trok die transactie meteen weer in. Dat werkte: hij kreeg de sleutel, en het geld bleef op zijn rekening staan. Snel maakte Gevers alsnog 0,05 bitcoin over, om geen argwaan te wekken. Als Deadbolt onraad rook, zou de software worden aangepast en kon hij niemand meer helpen.

Want Gevers had een plan. En dat moest nauwgezet voorbereid worden, omdat de maker van Deadbolt – ondanks deze ene denkfout – een slimme ontwikkelaar moest zijn.

Ruim 15 duizend slachtoffers

Voor zijn plan had Gevers veel geld nodig. Voor zover bekend heeft Deadbolt wereldwijd meer dan 15 duizend systemen geïnfecteerd, waarvan naar schatting ruim duizend in Nederland. 

Om al deze systemen met behulp van de truc vrij te spelen, was het in theorie mogelijk steeds dezelfde 0,05 bitcoin te gebruiken. Maar dat zou te lang duren. Bovendien was de kans levensgroot dat de gijzelnemer intussen zijn fout zou doorhebben en zou herstellen. Om zoveel mogelijk mensen te helpen, moest er daarom zoveel mogelijk betalingen tegelijk worden gedaan (en gecancelled). Maar aangezien het 15 duizend gebruikers betrof, ging het om miljoenen euro’s. 

Een internationale actie werd opgetuigd, waarin de Nederlandse politie, het Openbaar Ministerie en Europol samenwerkten

Gevers nam contact op met de politie. Binnen een paar weken werd een internationale actie opgetuigd, waarin onder meer de Nederlandse politie, het Openbaar Ministerie en Europol samenwerkten, zodat ook in andere landen zoveel mogelijk slachtoffers konden worden geholpen.

Het was een zenuwslopend proces. Er gingen weken overheen voordat iedereen was geïnformeerd, de juiste data waren gedeeld, en iedereen van het nut van de actie was overtuigd.

Hoeveel geld er uiteindelijk beschikbaar kwam, willen Gevers en Matthijs Jaspers, initiatiefnemer van de ransomware taskforce van de politie Oost-Brabant, niet zeggen. Er waren ten tijde van de actie wereldwijd 15.139 besmette systemen te benaderen, waarvan 1060 met een Nederlands IP-adres. Om alle slachtoffers te helpen, was bijna 15 miljoen euro nodig. Zoveel geld regelde Europol niet. ‘Maar het was een voor dit soort organisaties ongekend groot bedrag,’ zegt Gevers: genoeg om in één keer duizend slachtoffers te helpen.

Timing is alles

Om de kans op succes zo groot mogelijk te maken, besloten Gevers en de politie de truc op een vrijdagmiddag uit te voeren. Dan zijn er veel bitcoin-transacties, is er dus meer tijd om een betaling in te trekken en duurt het langer voordat de aanvaller argwaan krijgt. De eerste vrijdagmiddag waren er weinig transacties; de actie werd afgeblazen. De week erop was het opnieuw te rustig. 

En al die tijd bestond de mogelijkheid dat de aanvaller zijn fout zou ontdekken, en er helemaal niemand geholpen kon worden.

De derde vrijdagmiddag was het wel druk met bitcoin-transacties. De actie werd ingezet.

‘Voordat we begonnen, hebben we overlegd over de verwachtingen,’ zegt Gevers. Wat zou er aan de andere kant gebeuren? Hoe snel zou de afperser in de gaten hebben dat er iets vreemds gebeurde, en alles offline halen?’

Ricky Gevers, hacker

Je wilt niet dat er dingen fout gaan en de politie grote sommen geld aan criminelen overmaakt

Het lukte. ‘Eerst deden we een serie van honderd betalingen,’ vertelt Gevers. ‘Daar hebben we een video van. We zien de eerste sleutels binnenkomen, en dan zie je ons juichen. Want er stond veel druk op. Je wilt niet dat er dingen fout gaan en de politie grote sommen geld aan criminelen overmaakt. Daarna hebben we opgeschaald naar een serie van duizend, maar toen had de aanvaller het door en trok de stekker eruit.’

De mensen die aangifte hadden gedaan, kregen voorrang: hun sleutels werden als eerste opgehaald. In Nederland waren dat er 14, wereldwijd 155. ‘Die zijn allemaal geholpen. We hebben gelukkig niemand hoeven bellen en zeggen: bij jou is het niet gelukt,’ zegt Gevers.

Na de actie was het een paar dagen niet mogelijk om losgeld te betalen. Daarna was de code zo aangepast dat de wisseltruc niet meer werkte. Het succes van de actie bleef dus beperkt, een bekend probleem van verstorende acties als deze. De politie hamert er dan ook op dat meer mensen aangifte moeten doen van cyberaanvallen. Dan kan de politie makkelijker middelen inzetten om de daders op te sporen, zegt Jaspers. 

‘Dat er in Nederland maar veertien aangiften zijn gedaan op ruim duizend besmettingen laat zien hoe laag de aangiftebereidheid is,’ zegt hij. ‘Ook daarom was deze actie belangrijk: om te laten zien dat het zin heeft aangifte te doen van cyberaanvallen.’ Hij kon geen antwoord geven op de vraag of alle betalingen zijn teruggekomen.

Aanpak past in verschuiving van politiewerk

De actie tegen Deadbolt is illustratief voor de aanpak van de politie in het digitale domein. Verdachten identificeren is door encryptie en anonimiseringstechnieken lastig, en als het al lukt, blijken ze vaak in landen te zitten die hun burgers niet uitleveren. 

Daardoor lukt het niet of nauwelijks om verdachten voor de rechter te krijgen. Bij de bestrijding van cybercrime worden daarom andere strategieën ingezet, gericht op het verkrijgen van inlichtingen en het verstoren van de activiteiten van cybercriminelen. De truc met Deadbolt past naadloos in deze ‘brede bestrijding’, omdat er primair lijkt te zijn ingezet op verstoring van het verdienmodel van de groep en hulp aan slachtoffers, waarbij nauw wordt samengewerkt met private partijen.

Bart Schermer, hoogleraar privacy en cybercrime

Het juridische kader waarbinnen de politie haar werk moet doen, stamt uit de negentiende eeuw en is gericht op de fysieke wereld

Hoogleraar privacy en cybercrime Bart Schermer van de Universiteit Leiden vindt dat logisch: ‘Het juridische kader waarbinnen de politie haar werk moet doen, stamt uit de negentiende eeuw en is gericht op de fysieke wereld. Maar de principes die daar gelden, werken vaak niet in het digitale domein. Het werk van de politie moet mee veranderen als we iets tegen deze problemen willen doen. Deze actie is daar een mooi en creatief voorbeeld van. We lopen wat dat betreft echt voorop in de wereld.’

Tegelijkertijd rijst de vraag of de nieuwe strategieën van verstoren en inlichtingen verzamelen wel passen binnen de juridische kaders waaraan de politie zich dient te houden. 

Hoogleraar inlichtingen en recht Jan-Jaap Oerlemans zei daarover onlangs in een interview met Follow the Money dat de politie ‘verder gaat dan het Wetboek van strafvordering beoogt’ wanneer de focus te veel verschuift van opsporing naar bijvoorbeeld verstoren. 

Schermer sluit zich daarbij aan: ‘Het recht stelt beperkingen wanneer je als overheid ingrijpt in de persoonlijke levenssfeer van burgers of verdachten. Daarvan is bij deze actie geen sprake, dus vanuit een opsporings- of handhavingsperspectief zie ik hier geen problemen.’ Hij vervolgt: ‘Waar ik wel bang voor ben, is dat inlichtingen- of verstoringsacties van de politie worden geïnstitutionaliseerd, zonder dat daar regels voor zijn vastgesteld en zonder onafhankelijk toezicht. Dan kan er een hellend vlak ontstaan en dat is tricky.’

Goede regels ontbreken

De inzet van de nieuwe strategieën beperkt zich inmiddels niet tot het cyberdomein. Verstoring, verzameling van inlichtingen en datagedreven opsporing worden ook ingezet bij de bestrijding van andere vormen van criminaliteit, zoals georganiseerde misdaad

Hoe begrijpelijk ook, het zorgt voor risico’s. Vooral over verstorende acties maakt Schermer zich zorgen: ‘Naarmate je meer naar verstoren opschuift, wordt de kans kleiner dat een zaak ooit voor een rechter komt die de rechtmatigheid van het onderzoek toetst en het OM een tik op de vingers geeft als dat te ver is gegaan. Dat controlemechanisme gaat eruit als je alleen maar verstoort.’

‘Het OM heeft de leiding over het onderzoek en is dus niet onafhankelijk, in elk geval niet zo onafhankelijk als een rechter’

Veel van de bevoegdheden waarover de politie beschikt om te verstoren, zijn volgens Schermer bovendien ‘officiersbevoegdheden’. ‘Als de politie die wil inzetten, hoeven ze niet eerst langs een rechter-commissaris of een onafhankelijke rechter. Ze kunnen binnen de opsporing zelf beslissen of ze dat doen. Zodoende is er geen onafhankelijke controle vooraf.’ 

Bij de Deadbolt-actie ging het ook zo. Follow the Money vroeg Jaspers of er toezicht was op de inzet van de actie, en zo ja, door wie: ‘Wij handelen alleen met het OM en daar gaat het vervolgens in de lijn omhoog. Dat is het eigenlijk.’ 

‘Daar kun je je bedenkingen bij hebben,’ zegt Schermer. ‘Het OM heeft de leiding over het opsporingsonderzoek en is dus niet onafhankelijk, in elk geval niet zo onafhankelijk als een rechter. Dan ontstaat de neiging om bij de afweging van de belangen van verdachten en het opsporingsbelang dat laatste zwaarder te laten wegen.’ 

Volgens Schermer is het tijd voor een nieuw juridisch kader: ‘In feite dienen alle wetten die regels stellen aan opsporing, ordehandhaving en het verzamelen van inlichtingen ertoe om te zorgen dat de overheid niet zomaar kan ingrijpen in grondrechten van burgers. Opsporing kan daarbij de grootste inbreuk maken op de persoonlijke levenssfeer en op gespannen voet komen te staan met het recht op een eerlijk proces. Om die rechten te beschermen, wil je regels inbouwen die dat proces in goede banen leiden en controleren. In het digitale domein zijn die er nu onvoldoende.’

Nalatige producenten

Maar de politie kan daar niet op wachten: ransomware veroorzaakt al jaren grote problemen. Exacte cijfers zijn lastig te vinden, maar in de jaarverslagen van de inlichtingen- en veiligheidsdiensten wordt sinds 2021 expliciet gewaarschuwd voor de dreiging die van dit fenomeen uitgaat. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) noemde ransomware dat jaar een bedreiging voor de nationale veiligheid en ook de recente Nederlandse Cybersecuritystrategie besteedt er aandacht aan.

Jaspers: ‘Het is lastig de omvang te kwantificeren. Hoewel de groei dit jaar lijkt af te nemen, blijft het voor grote bedrijven en organisaties die ik spreek bedrijfsrisico nummer één. Ransomware ontwikkelt zich ook. Zo gaat het nu niet alleen om het versleutelen van data tegen losgeld, maar worden slachtoffers ook afgeperst met gestolen data. Het wordt bedreigender en meer op de persoon gericht.’

Van de softwarebouwers hoeft men niet veel te verwachten. 

Zo deed QNAP weinig om schade bij zijn klanten te voorkomen. Volgens een artikel op nieuwssite The Record kreeg het Taiwanese bedrijf in januari 2022 een bericht van Deadbolt, dat zei een zero-day te hebben gebruikt om in te breken op de systemen van hun klanten. De afpersers boden QNAP de mogelijkheid om 5 bitcoin te betalen, in ruil voor details over de zero-day, of 50 bitcoin voor een ‘loper’ waarmee alle versleutelde externe harddisks konden worden bevrijd. QNAP ging er niet op in.

Pas maanden later, op 19 mei 2022, bracht QNAP zijn klanten op de hoogte van de kwetsbaarheid en adviseerde hen de NAS-systemen onmiddellijk van internet te ontkoppelen en te updaten. Het Dutch Institute for Vulnerability Disclosure (DIVD) scande in diezelfde periode het internet en vond toen al duizenden gebruikers met kwetsbare NAS-systemen, die het prompt waarschuwde. Maar voor velen was het al te laat. Uiteindelijk resulteerde dit in ruim 15 duizend besmettingen. 

Opmerkelijk is dat QNAP de infecties in eerste instantie probeerde te bestrijden door de NAS-systemen wereldwijd geforceerd te updaten, zonder toestemming van de gebruikers. Dit leidde tot woedende reacties, omdat sommige gebruikers hun NAS aan kritische systemen hadden gekoppeld en QNAP klaarblijkelijk een ‘backdoor’ in hun systemen had verstopt. Andere gebruikers raakten door de update de ransom note kwijt, zegt Gevers. Die konden zodoende geen losgeld betalen om hun bestanden terug te krijgen, als ze dat zouden willen. Veel van hen konden naar hun bestanden fluiten. 

Voordat hij naar de politie stapte, had Gevers geprobeerd contact te leggen met QNAP met het voorstel om samen aan een oplossing te werken. ‘Ik heb alle belangrijke mensen proberen te bereiken,’ zegt hij. Maar QNAP reageerde pas twee weken later. Inmiddels had hij al contact met de politie. Gevers is gewend dat je van dit soort bedrijven weinig te verwachten hebt. ‘Mijn ervaringen zijn niet goed.’

Recht in eigen hand 

Als de politie in dit soort gevallen niet handelt, kan dat ertoe leiden dat mensen eigen rechter gaan spelen.

‘Mijn vader was in een scam getrapt,’ vertelt een hacker die anoniem wil blijven. Een oplichter deed zich voor als helpdeskmedewerker van Microsoft. ‘Hij zei dat hij een scan had uitgevoerd van mijn vaders computer en malware had gevonden. Maar geen paniek: voor een paar honderd euro kon hij de computer schoonmaken.’ Zijn vader trapte erin en maakte het geld over om zijn computer weer ‘in orde’ te maken.

Wat de cybercrimineel niet wist, is dat de zoon een van Nederlands beste hackers was. En hij wilde niet dat er meer slachtoffers vielen. Hij achterhaalde vanaf welke server de crimineel opereerde en nam contact op met iemand die hij kende bij het Team High Tech Crime, maar dat kon niks doen: de server stond in een ander land. De politie liet volgens de hacker wel doorschemeren dat ze een oogje zouden dichtknijpen, mocht hij zelf iets ondernemen. ‘Ik heb toen alle bestanden op zijn computer verwijderd,’ vertelt de hacker, die Follow the Money screenshots liet zien van zijn actie. 

‘Je mag deze anecdote gebruiken,’ zegt hij, ‘maar wel in de context dat dit soort zaken internationaal vaak heel lastig op te lossen zijn. Want helemaal verantwoord is het niet.’

Politie moet meer doen

Andere hackers die voor cybersecurity-bedrijven werken en met wie Follow the Money sprak, willen bijna unaniem dat de politie meer doet om ransomware te bestrijden. ‘De politie is vaak bang om te handelen, want stel dat het toch niet mag,’ zegt een van hen.

De politie heeft volgens Jaspers te maken met regels en procedures die snel optreden vaak bemoeilijken, terwijl dat in het digitale domein vaak doorslaggevend is. ‘Voor alles wat we doen, geldt dat er een strafvorderingsachtergrond moet zijn. We kunnen niet zeggen: dit is een interessante server, die gaan we eens even tappen om te kijken wat er allemaal voorbij komt. Zo werkt het niet, terwijl het wel zou kunnen helpen om als politie na te gaan waar we ons primair op moeten toeleggen.’

Matthijs Jaspers, taskforce ransomware

Deze casus is interessant omdat voor iedereen duidelijk is dat je mensen hier ongelooflijk mee helpt. Iedereen zegt: dit moet gebeuren

‘Daarom is deze casus interessant,’ zegt Jaspers, ‘omdat voor iedereen duidelijk is dat je mensen hier ongelooflijk mee helpt. Iedereen zegt: dit moet gebeuren.’

De politie, Schermer en het overgrote deel van de hackers die Follow the Money voor dit artikel sprak, zijn het erover eens dat de politie over meer mogelijkheden moet kunnen beschikken om cybercrime en ransomware aan te pakken. 

Op de vraag of dit ruimere opsporingsbevoegdheden vergt, is Jaspers terughoudend: ‘Ik denk dat er vooral behoefte is aan duidelijkheid over wat we wel en niet mogen met bevoegdheden die geschreven zijn voor traditionele criminaliteit’.

‘Je moet waarborgen inbouwen om het verlies van de controle door een rechter op te vangen, liefst door het instellen van een onafhankelijke autoriteit’

Schermer kan zich daarin vinden: ‘De politie kan nu best veel, maar het moet duidelijker worden gemaakt wat zij mag op het gebied van inlichtingenwerk en verstoring. Het is wel echt nodig dat de politie dat kan doen om cybercrime te bestrijden, mits je waarborgen inbouwt om het verlies van de controle door een rechter achteraf op te vangen. Bij voorkeur door het instellen van een onafhankelijke autoriteit, die toezicht houdt op de inzet van bepaalde bevoegdheden en het delen van informatie met derden, en die waar nodig kan ingrijpen om burgerrechten te beschermen.’

Met de onduidelijkheid die nu bestaat over de inzet van deze middelen kan het volgens Schermer immers twee kanten op: ‘Of de politie doet in een concreet geval niets omdat ze het niet aandurft, of ze gaat gewoon haar gang. Allebei die uitersten zijn niet goed.’ 

‘Ook niet voor de politie,’ vervolgt hij. ‘Er zijn allerlei regels die het handelen van de politie reguleren en de politie zal natuurlijk nooit een proces-verbaal vervalsen – totdat het een keer wel gebeurt. En dan heb je in dit geval geen rechter die dat controleert en het ontdekt. Dat tast het vertrouwen in de politie aan. Dus ook die heeft er belang bij dat er duidelijke regels komen, ook om te zorgen dat niemand over de schreef gaat.’