Uitspraak
RECHTBANK DEN HAAG
rechter-commissaris in strafzaken
parketnummer : [parketnummer]
RC-nummer : [RC-nummer]
datum : [datum beslissing]
Beslissing op een vordering tot machtiging uitstel melding onbekende kwetsbaarheid
(artikel 126ffa Wetboek van Strafvordering)
Procedure
De officier van justitie van het Landelijk Parket heeft op [datum vordering] schriftelijk gevorderd dat de rechter-commissaris machtiging verleent tot het geven van een bevel als bedoeld in artikel 126ffa lid 1 Sv voor een periode van [aantal] maanden.
De officier van justitie heeft ter onderbouwing van de vordering overgelegd een ‘Proces-verbaal aanvraag bevel uitstel bekendmaking onbekende kwetsbaarheid’ van de politie Dienst Specialistische Operaties, Digital Intrusion Team, van [datum proces-verbaal] (hierna: het aanvraagproces-verbaal). Desgevraagd door de rechter-commissaris heeft de officier van justitie meer achtergrondinformatie verschaft in de vorm van het [proces-verbaal] (hierna: [het proces-verbaal]).
Beoordeling
Bevoegdheid
Over de bevoegdheid van de rechter-commissaris in de rechtbank Den Haag om van de vordering kennis te nemen overweegt de rechter-commissaris als volgt.
Uit de wetsgeschiedenis volgt dat een vordering als de onderhavige het individuele opsporingsonderzoek overstijgt. [1] Deze vordering is niet gedaan in het kader van de opsporing van strafbare feiten. Daarom is de Tweede Afdeling van het Wetboek van Strafvordering, over de relatieve bevoegdheid van de rechtbanken tot kennisneming van strafbare feiten, niet van toepassing. De wet bevat geen bepaling waarin het kennisnemen van een vordering ex artikel 126ffa Sv exclusief is opgedragen aan de rechter-commissaris in een specifieke rechtbank. Er is ook geen jurisprudentie op dit gebied, omdat dit kennelijk de eerste keer is dat de rechter-commissaris om een dergelijke machtiging wordt gevraagd.
De officier van justitie heeft in de vordering aangegeven dat bij het kabinet van de rechter-commissaris van de rechtbank [naam rechtbank] een opsporingsonderzoek aanhangig is […]. Voor de officier van justitie is dat een reden geweest om de vordering niet te richten aan [de rechter-commissaris van die rechtbank]. De officier van justitie heeft toegelicht dat hij de vordering bij de Haagse rechter-commissaris heeft ingediend, omdat de vordering specifieke kennis en expertise bij de rechter-commissaris vereist en dit bij het kabinet van de rechter-commissaris van de rechtbank Den Haag aanwezig is. Het gaat de officier van justitie dus om het waarborgen van een zuivere procedure en om voldoende specifieke kennis en expertise bij het beoordelen van de vordering. De daarin gemaakte afweging acht de rechter-commissaris niet onredelijk of onbegrijpelijk.
Gelet op het vorenstaande is de rechter-commissaris in de rechtbank Den Haag bevoegd om van de onderhavige vordering kennis te nemen.
Achtergrond
De vordering betreft het uitstel van het melden van [aantal] onbekende kwetsbaarheden. Wat een onbekende kwetsbaarheid is, staat omschreven in artikel 126ffa lid 4 Sv:
Onder onbekende kwetsbaarheid als bedoeld in het eerste lid wordt verstaan een kwetsbaarheid in een geautomatiseerd werk waarvan aannemelijk is dat die niet bekend is of kan worden verondersteld niet bekend te zijn bij de producent van het apparaat of van het programma op basis waarvan automatisch computergegevens worden verwerkt, en die kan worden gebruikt om dat geautomatiseerde werk binnen te dringen
Artikel 126ffa Sv is in de wet opgenomen als gevolg van een amendement van de Tweede Kamerleden Recourt en Tellegen d.d. 12 december 2016 in het kader van de parlementaire behandeling van de Wet Computercriminaliteit III [2] . In de toelichting op dit amendement worden de uitgangspunten met betrekking tot kwetsbaarheden benoemd en wordt een rechterlijke toets geïntroduceerd:
Dit amendement beoogt om de regel dat kwetsbaarheden in geautomatiseerde werken door de officier van justitie moeten worden gemeld sterker in de wet te verankeren. Het uitgangspunt zijn integere en veilige geautomatiseerde werken. De overheid dient dit te bevorderen. Vanwege de risico’s die kwetsbaarheden in een geautomatiseerd werk met zich mee brengen, is de regel dat bekende kwetsbaarheden worden gemeld om de eigenaar van dat werk in staat te stellen die kwetsbaarheid te verhelpen. Het voorliggend wetsvoorstel biedt echter de mogelijkheid om op grond van een zwaarwegend opsporingsbelang een kwetsbaarheid niet te melden. Dit amendement regelt dat de officier van justitie het bevel om een kwetsbaarheid niet te melden pas kan geven na een machtiging hiertoe door de rechter-commissaris. Hiermee wordt een onafhankelijke rechterlijke toets in de wet gebracht waarmee voorkomen kan worden dat de officier van justitie mogelijk te gemakkelijk het opsporingsbelang boven de veiligheid van een geautomatiseerd werk laat prevaleren.
In de nadere memorie van antwoord [3] wordt door de Minister van Justitie en Veiligheid de afweging van belangen benadrukt, waarbij tevens een aantal factoren wordt genoemd:
Er moet sprake zijn van een zwaarwegend opsporingsbelang, dit is het geval wanneer het opsporingsbelang zwaarder weegt dan het maatschappelijk belang om de producent de mogelijkheid te bieden de kwetsbaarheid te verhelpen. Factoren die hierbij een rol kunnen spelen zijn of het een systeem betreft dat door criminelen is vervaardigd en/of vrijwel alleen voor criminele doeleinden wordt gebruikt, hoe groot de kans is dat de kwetsbaarheid door kwaadwillenden wordt uitgebuit, hoe groot het aantal onschuldige personen en organisaties is dat kwetsbaar wordt door het achterwege blijven van de melding en in hoeverre de desbetreffende hardware of software wordt gebruikt bij de vitale infrastructuur of regulier en wijdverbreid in de maatschappij.
Wettelijke vereisten
De rechter-commissaris dient allereerst te toetsen of aan de wettelijke vereisten is voldaan. Deze toets valt in twee onderdelen uiteen.
Ten eerste moet sprake zijn van een of meer onbekende kwetsbaarheden.
De officier van justitie heeft in de vordering [aantal] onbekende kwetsbaarheden vermeld. In het aanvraagproces-verbaal zijn deze kwetsbaarheden nader beschreven. Gebleken is dat het gaat om kwetsbaarheden die kunnen worden gebruikt om een geautomatiseerd werk binnen te dringen, en het is aannemelijk of er kan worden verondersteld dat deze kwetsbaarheden niet bekend zijn bij de producent.
Ten tweede moet sprake zijn van een zwaarwegend opsporingsbelang.
De officier van justitie heeft dit in de vordering als volgt onderbouwd:
- Het betreft kwetsbaarheden in een systeem dat door criminelen is ontwikkeld en vrijwel alleen voor criminele doeleinden wordt gebruikt.
- Het is zeer aannemelijk dat de kennis over deze kwetsbaarheden zal worden misbruikt bij […] nieuwe malafide systemen […] voor criminele doeleinden en zodoende de opsporing […] ernstig wordt bemoeilijkt.
In het aanvraagproces-verbaal is dit uitgewerkt. […] Het onderzoeksbelang zit erin dat indien de betreffende kwetsbaarheden zouden worden gemeld bij de producent, deze kennis zal worden misbruikt voor […] een nieuw systeem dat […] criminele doeleinden (opnieuw) mogelijk maakt. […]
Naar het oordeel van de rechter-commissaris is hiermee aan de formele wettelijke vereisten met betrekking tot de onbekende kwetsbaarheden en het zwaarwegende opsporingsbelang voldaan.
Belangenafweging
Uit de wetsgeschiedenis volgt dat het (zwaarwegende) opsporingsbelang moet worden afgewogen tegen het maatschappelijk belang van integere en veilige geautomatiseerde werken. In deze belangenafweging spelen diverse factoren een rol:
- Het gewicht van het opsporingsbelang. Het opsporingsbelang is hier zeer zwaarwegend. Met het uitstel van de bekendmaking van de onbekende kwetsbaarheid worden de mogelijkheden vergroot dat ook in de toekomst […] in een opsporingsonderzoek kan worden gebruikt.
- De aard en gebruikers van de software. In [het proces-verbaal] wordt een nadere toelichting verschaft over de aard en de gebruikers van de software. […] Het betreft dus software die door criminelen is ontwikkeld dan wel vrijwel alleen voor criminele doeleinden wordt gebruikt. Er is, ook in vergelijkbare gevallen, niet concreet gebleken is dat goedwillende derden van deze software gebruik maken en kwetsbaar raken, laat staan dat deze software wordt gebruikt bij de vitale infrastructuur of regulier en wijdverbreid in de maatschappij is. Los hiervan geldt nog […].
- De kans op misbruik van de kwetsbaarheden door een derde. In het aanvraagproces-verbaal staat beschreven dat de kwetsbaarheden niet aanwezig zijn in een standaard configuratie
framework, dat […], en dat om gebruik te kunnen maken van deze kwetsbaarheden toepassing van andere bijzondere opsporingsbevoegdheden dan wel bevoegdheden van opsporingsambtenaren is vereist. Kortom, de kans op misbruik door een derde is zeer gering.
Uit het voorgaande volgt dat in dit geval het opsporingsbelang bij niet melden zeer groot is en het maatschappelijk belang bij wel melden zeer gering is. Er is naar het oordeel van de rechter-commissaris voldaan aan de eisen van proportionaliteit en subsidiariteit. De vordering is toewijsbaar.
Duur uitstel
Gelet op het overstijgende karakter van de vordering en het aanwezige zwaarwegende opsporingsbelang acht de rechter-commissaris een periode van [aantal] maanden passend.
Beslissing
De rechter-commissaris:
wijst de vordering toe;
machtigt de officier van justitie om – overeenkomstig de vordering – te bevelen dat het bekend maken aan [naam producent] van [aantal] kwetsbaarheden voor het binnendringen in een geautomatiseerd werk, bedoeld in de artikelen 126nba, 126uba en 126zpa, te weten:
[…];
wordt uitgesteld voor een periode van [aantal] maanden, te rekenen vanaf de datum van deze beslissing.
Deze beslissing is op [datum beslissing] genomen door mr. [naam], rechter-commissaris.