Kamervraag 2022Z10593

Het gebruik van hacksoftware, zoals Pegasus, in Nederland

Ingediend 30 mei 2022
Beantwoord 23 juni 2022 (na 24 dagen)
Indieners Jasper van Dijk , Pieter Omtzigt (Omtzigt)
Beantwoord door Hanke Bruins Slot (minister binnenlandse zaken en koninkrijksrelaties) (CDA), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Franc Weerwind (minister zonder portefeuille justitie en veiligheid) (D66), Kajsa Ollongren (minister defensie) (D66), Mark Rutte (minister-president , minister algemene zaken) (VVD)
Onderwerpen openbare orde en veiligheid organisatie en beleid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2022Z10593.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20212022-3252.html
  • Vraag 1
    Herinnert u zich dat in het regeerakkoord van 2017 is afgesproken: «Voor de uitvoering van de Wet Computercriminaliteit III komt 10 miljoen euro extra beschikbaar. Daarbij zal slechts in een specifieke zaak hacksoftware worden ingekocht door opsporingsdiensten. Leveranciers van dergelijke software worden gescreend door de AIVD en verkopen niet aan dubieuze regimes. Statistieken over het gebruik van hacksoftware worden jaarlijks openbaar gemaakt. Bij de evaluatie van de wet na twee jaar wordt bezien in hoeverre deze regeling de effectiviteit van de wet ernstig aantast. In dat geval wordt alsnog de aanschaf van hacksoftware voor algemeen gebruik overwogen.»?

    Ja.

  • Vraag 2
    Heeft Nederland in de afgelopen jaren hacksoftware, zoals Pegasus, aangeschaft? Zo ja, wanneer is welke software aangeschaft?

    In het algemeen geldt dat het Nederlandse organisaties niet is toegestaan binnen te dringen in geautomatiseerde werken. Uitzonderingen zijn gemaakt voor justitie en politiediensten ter opsporing van strafbare feiten in het kader van de Wet
    Computercriminaliteit III (de Wet CCIII), en voor inlichtingen- en veiligheidsdiensten ter bescherming van de nationale veiligheid in het kader van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017).
    De Wet CCIII vormt de grondslag voor het aanschaffen en inzetten van soft- en hardware door de opsporingsdiensten om binnen te dringen in geautomatiseerde werken. Dit doen de opsporingsdiensten ten behoeve van het uitvoeren van de bijzondere opsporingsbevoegdheid zoals vastgelegd in artikelen 126nba, 126uba en 126zpa. De uitvoering van deze bevoegdheid is centraal belegd bij een technisch team dat is ondergebracht bij de Landelijke Eenheid van de politie. De Wet CCIII is op 1 maart 2019 in werking getreden. Vanaf dat jaar is commerciële binnendringsoftware aangeschaft bij een externe ontwikkelaar.
    De politie gebruikt extern ontwikkelde binnendringsoftware voor het uitvoeren van de bijzondere opsporingsbevoegdheid van artikel 126nba Sv. Binnendringen gebeurt met verschillende onderzoeksdoeleinden, te weten: (a) het identificeren van het geautomatiseerd werk of gebruiker en (b) de vastlegging van gegevens. Bestaande doelen zijn (c) tap, opslaan vertrouwelijke informatie, afluisteren, (d) observatie en (e) ontoegankelijk maken. Binnendringsoftware is hierbij een zwaar maar noodzakelijk middel voor de uitvoering van de wettelijke bijzondere opsporingsbevoegdheid die is gebonden aan diverse waarborgen.
    Als de officier van justitie bepaalt dat gebruik van binnendringsoftware van een externe leverancier noodzakelijk is, wordt dit centraal bij het OM getoetst alvorens in een specifieke zaak wordt overgegaan tot aanschaf door de politie.
    Het verstrekken van informatie aan derden over welke specifieke software de politie beschikt en gebruikt bij de inzet van deze bijzondere opsporingsbevoegdheid, brengt onaanvaardbare risico’s met zich mee voor de inzetbaarheid van die middelen en daarmee het opsporingsbelang. De verwerving van binnendring soft- en hardware vindt bij de politie onder geheimhouding plaats. Het is voor de afscherming van middelen en methodieken niet mogelijk om openbaar inzicht te geven in welke software de politie gebruikt bij de uitvoering van deze bevoegdheid.
    De Wiv 2017 bevat de bijzondere bevoegdheid van het binnendringen van een geautomatiseerd werk ex artikel 45 Wiv 2017. Over de wijze waarop de inlichtingen- en veiligheidsdiensten gebruikmaken van hun wettelijke bevoegdheden kan in het openbaar geen mededeling worden gedaan.

  • Vraag 3
    Indien hacksoftware is aangeschaft, welke diensten (zoals politie, AIVD, MIVD en NCTV en anderen) hebben gebruik gemaakt van de hacksoftware of hebben er gebruik van kunnen maken?

    Ten aanzien van de politie is bekend, zoals onder andere weergegeven in de inspectieverslagen van de Inspectie Justitie & Veiligheid en het jaarverslag Politie dat uw Kamer ieder jaar ontvangt, dat commerciële binnendringsoftware aangeschaft bij een externe ontwikkelaar wordt gebruikt bij de inzet van de bevoegdheid van artikelen 126nba, 126uba en 126zpa.
    De AIVD en de MIVD mogen onder strikte wettelijke voorwaarden bijzondere bevoegdheden inzetten ter bescherming van de nationale veiligheid. Deze bevoegdheden zijn in Nederland aan voorwaarden verbonden, die zijn vastgelegd in de Wiv 2017. Voor wat betreft de inlichtingen- en veiligheidsdiensten houden zowel de Toetsingscommissie Inzet Bevoegdheden (TIB) als de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) toezicht op de juiste toepassing van die wet. In het openbaar kunnen de diensten geen uitspraken doen over de inzet van bijzondere bevoegdheden.
    De NCTV heeft nooit gebruik gemaakt van binnendringsoftware en zal dat ook in de toekomst niet doen.

  • Vraag 4
    Hoeveel geld is in elk van de afgelopen jaren uitgegeven voor de aanschaf van spionagesoftware?

    Het is, gezien de wettelijke zorgplicht van de AIVD en de MIVD voor afscherming van de modus operandi, niet mogelijk om openbaar inzicht te geven in uitgaven die verband houden met de inzet van bijzondere bevoegdheden. Hetzelfde geldt voor de politie. Het is voor de afscherming van middelen en methodieken niet mogelijk om openbaar inzicht te geven in de uitgaven voor dit soort software.

  • Vraag 5
    Kunt u aangeven waar de beloofde statistieken over hacksoftware gepubliceerd zijn en kunt u ze (nogmaals) naar de Kamer sturen, ook als het gebruik van hacksoftware nul is?

    In de jaarverslagen van het Ministerie van Justitie en Veiligheid staat opgenomen hoe vaak commerciële binnendringsoftware is ingezet. Tevens doet de Inspectie Justitie en Veiligheid hiervan sinds de afgelopen drie jaar verslag inzake het toezicht op de binnendringbevoegdheid van de politie.

  • Vraag 6
    Kunt u de jaarstatistieken over het gebruik uitsplitsen naar wie het gebruikt heeft?

    Zie antwoorden bij de vragen 2 en 3.

  • Vraag 7
    Kunt u de lijst van misdrijven geven waarvoor de hacksoftware is ingezet?

    In opsporingsonderzoeken waarin binnendringsoftware is ingezet, was hoofdzakelijk sprake van een verdenking van een combinatie aan strafbare feiten.
    Het betrof een combinatie van de volgende artikelen uit het wetboek van strafrecht, de Opiumwet (Ow), de Wet Wapens en munitie (Wwm), de wet op het financieel toezicht (Wft) en de Wet economische delicten (WED):

  • Vraag 8
    Is de hacksoftware alleen ingezet bij verdenking van zware misdrijven en/of terrorisme? Zo nee, wanneer is de hacksoftware nog meer inzet?

    De bevoegdheid om heimelijk en van afstand binnen te dringen in een geautomatiseerd werk en onderzoekshandelingen te verrichten mag alleen worden ingezet bij ernstige misdrijven waarvoor voorlopige hechtenis mogelijk is en die gezien de aard of samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert.
    De AIVD en de MIVD doen onderzoek in het kader van de nationale veiligheid waaronder dreigingen voor de democratische rechtsorde. Om de Nederlandse rechtsstaat en democratische rechtsorde te beschermen is het van groot belang om zicht te krijgen en zicht te houden op de dreigingen om ons heen. Om personen waarvan een dreiging uitgaat voor de nationale veiligheid de pas af te snijden of in de gaten te houden, kan de inzet van bijzondere inlichtingenmiddelen (zoals tappen en hacken) essentieel zijn en soms de enige manier waarop de diensten informatie kunnen vergaren over activiteiten, capaciteiten en intenties.
    Dat gebeurt altijd onder strikte wettelijke voorwaarden na bindende toetsing vooraf door de TIB en het onafhankelijke toezicht door de CTIVD.

  • Vraag 9
    Is hacksoftware ook ingezet tegen advocaten, protestgroepen zonder terroristisch oogmerk en/of politieke groepen? Zo ja, kunt u uw antwoord dan heel precies toelichten?

    De verantwoording van de inzet van bijzondere opsporingsbevoegdheden door opsporingsdiensten en het openbaar ministerie vindt plaats bij de behandeling van een strafzaak door de rechter. Om die reden kan geen inzage worden gegeven tegen welke specifieke verdachten in opsporingsonderzoeken de bevoegdheid ex art. 126nba Sv is ingezet.
    Over de werkwijze van de inlichtingen- en veiligheidsdiensten worden in het openbaar geen uitspraken gedaan. In zijn algemeenheid hebben journalisten en advocaten binnen de Wiv 2017 extra bescherming. Inzet van bijzondere bevoegdheden op advocaten en journalisten kan namelijk alleen als de rechtbank Den Haag daarvoor toestemming heeft verleend. De jaarverslagen van AIVD en MIVD geven inzicht in de aandachtsgebieden van de beide diensten.
    In het kader van opsporingsonderzoeken die door de politie worden uitgevoerd inzake een (mogelijke) strafrechtelijke vervolging door het openbaar ministerie kent de bijzondere opsporingsbevoegdheid van 126nba, 126uba en 126zpa geen uitzonderingen voor advocaten, protestgroepen zonder terroristisch oogmerk en/of politieke groepen. Het vereiste van een voorafgaande rechterlijke toetsing biedt de burger verdere bescherming tegen willekeurige inmenging door de overheid in de privésfeer. Daarnaast gelden voor de inzet van bijzondere opsporingsbevoegdheden ten aanzien van journalisten en advocaten aanvullende waarborgen1.
    Voordat wordt overgegaan tot inzet van de bevoegdheid ex artikel 126nba, 126uba, 126zpa vindt een uitgebreid toetsingstraject2 plaats. Dit toetsingstraject geldt voor alle typen zaken waarvoor het is toegestaan om deze bevoegdheid in te zetten.
    Wanneer een zaaksofficier voornemens is in een zaak de bevoegdheid ex artikel 126nba, 126uba, 126zpa Sv in te zetten wordt het voornemen voorgelegd aan de rechercheofficier van justitie en de hoofdofficier van justitie van het betrokken parket. Als beiden instemmen, wordt de voorgenomen toepassing ter goedkeuring voorgelegd aan het College van procureurs-generaal (het College). Dit gebeurt door tussenkomst van en na advisering door de Centrale Toetsingscommissie (CTC).
    De CTC beoordeelt het verzoek aan de hand van (onder meer) de verdenking, de wet- en regelgeving, proportionaliteit, subsidiariteit, de kans van slagen van de inzet van het middel en eventuele gevoeligheden/risico’s en stelt een advies op voor het College.
    Het College beslist, met inachtneming van het advies van de CTC, of de bevoegdheid ex art. 126nba, 126uba, of 126zpa mag worden ingezet. Als het College toestemming heeft verleend, dient de zaaksofficier van justitie een vordering tot machtiging voor het geven van een bevel ex art. 126nba, 126uba, of 126zpa aan de rechter-commissaris te doen. Na machtiging door de rechtercommissaris beveelt de zaaksofficier van justitie de inzet.

  • Vraag 10
    Kunt u een lijst geven van Nederlandse staatsburgers waarvan bij u bekend is dat hacksoftware is ingezet, maar deze software niet door de Nederlandse staat is ingezet? Deze lijst kan ofwel vertrouwelijk zijn, ofwel geanonimiseerd, zoals: advocaat, veroordeelde crimineel, militair, activist, journalist, etc.

    Het kabinet beschikt niet over een dergelijke lijst waarop gegevens zouden staan van personen die zijn gehackt met het middel.
    In november 2021 heeft Apple aangekondigd gebruikers die zijn geïnfecteerd met
    Pegasus via een bericht te informeren. In het kader van de weerbaarheid bevorderende taak van de AIVD is eind november 2021 een cyberadvies aan de rijksoverheid gestuurd. Daarin werd rijksambtenaren die een dergelijke melding ontvingen geadviseerd dit via hun beveiligingsambtenaar bij de AIVD te melden. Het kabinet zal via de geëigende kanalen inzicht geven in het aantal meldingen.

  • Vraag 11
    Kunt u – zo nodig vertrouwelijk – de screening van de leveranciers door de AIVD aan de Kamer doen toekomen?

    De procedure zoals genoemd in het regeerakkoord van 2017 – dat leveranciers van hacksoftware die wordt ingekocht door opsporingsdiensten worden gescreend door de AIVD – wordt door de AIVD uitgevoerd als een naslagverzoek conform de F-taak in de Wiv 2017 onder artikel 8 lid 2f. Dit artikel betekent dat de AIVD in de eigen systemen naar een specifieke persoon of instantie een naslag kan doen op verzoek van anderen, conform de Regeling naslag Wiv 2017. Gezien de wettelijke geheimhoudingsplicht in de Wiv 2017 kan over specifieke naslagverzoeken in het openbaar geen mededelingen worden gedaan. De Kamer wordt hierover via de geëigende kanalen nader geïnformeerd.

  • Vraag 12
    Wordt de in Nederland gebruikte hacksoftware ook verkocht aan dubieuze regimes? Hoe heeft de regering zich daarvan vergewist?

    In het Regeerakkoord 2017–2021 is vastgelegd dat leveranciers van hacksoftware die wordt ingekocht door opsporingsdiensten niet mogen leveren aan dubieuze regimes. Zoals aangegeven in de beantwoording van Kamervragen gaat het om landen die zich schuldig maken aan ernstige schendingen van mensenrechten of internationaal humanitair recht.3 Om deze reden voert de politie een toets uit voordat over wordt gegaan tot de aanschaf van binnendringsoftware. In deze toets wordt de leverancier gevraagd niet te hebben geleverd aan landen waartegen vanuit de EU of de VN restrictieve sancties bestaan en wordt gecontroleerd of in het land waar de leverancier is gevestigd een exportcontroleregime bestaat waar mensenrechten een onderdeel is in de beoordeling voor het verstrekken van een
    exportvergunning.4
    De politie past dit beleid toe en eist van leveranciers een bevestiging dat niet aan zulke dubieuze regimes wordt geleverd. Aanvullend hierop wordt door de politie deze toets periodiek herhaald.

  • Vraag 13
    Klopt het dat de wet computercriminaliteit III op 1 maart 2019 in werking getreden is en dat deze na 2 jaar geëvalueerd zou worden?

    De Wet CCIII is inwerking getreden op 1 maart 2019. In het parlementaire debat heeft de toenmalige Minister toegezegd dat een eerste evaluatie van de Wet CCIII al na twee jaar plaatsvindt (in plaats van de gebruikelijke vijf jaar). Bij deze eerste evaluatie wordt gekeken naar één onderdeel van de wet, namelijk de bevoegdheid tot het heimelijk en op afstand binnendringen en onderzoek doen in een geautomatiseerd werk. Het tweede deel van de evaluatie zal zich richten op de gehele wet, inclusief de bevoegdheid tot binnendringen. De in twee delen opgedeelde evaluatie heeft als voordeel dat sommige thema’s die gedurende de eerste evaluatietermijn nog onvoldoende diepgaand aan de orde kunnen komen, bijvoorbeeld omdat de looptijd van het onderzoek relatief kort is en als gevolg daarvan de hoeveelheid empirisch materiaal beperkt, nader kunnen worden onderzocht.

  • Vraag 14
    Op welk moment is het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) met de evaluatie begonnen en heeft u al een concept van het rapport ontvangen? Zo ja, wanneer?

    Het eerste deel van de evaluatie van de Wet CCIII is in 2020 aangevangen en zou eind 2021 zijn afgerond, maar heeft wegens de onvoorziene omstandigheden van de COVID-19 pandemie wat vertraging opgelopen.

  • Vraag 15
    Wanneer krijgt u de definitieve versie van het evaluatierapport?

    Naar verwachting zal het eerste deel van de evaluatie in de zomer 2022 worden afgerond en vlak na de zomer 2022 gepubliceerd.

  • Vraag 16
    Kunt u deze vragen een voor een en binnen drie weken beantwoorden?

    De vragen zijn zo snel mogelijk beantwoord.


Kamervraag document nummer: kv-tk-2022Z10593
Volledige titel: Het gebruik van hacksoftware, zoals Pegasus, in Nederland
Kamerantwoord document nummer: ah-tk-20212022-3252
Volledige titel: Antwoord op vragen van de leden Omtzigt en Jasper van Dijk over het gebruik van hacksoftware, zoals Pegasus, in Nederland