Die commissie zou moeten bestaan uit een aantal relevante organisaties, denkt Verhoeven. “Bijvoorbeeld het ministerie, maar ook het Nationaal Cyber Security Centrum en de Autoriteit Persoonsgegevens.”

Als bijvoorbeeld de politie een verdachte met een zero day-bug wil hacken, of als de AIVD een terrorist wil achtervolgen, dan zou die commissie zich daarover moeten buigen. “Die kan dan afwegen hoelang de kwetsbaarheid mag worden gebruikt om in te breken. Dat kan per keer verschillen”, zegt Verhoeven. “Je moet dit heel goed afwegen: het belang van opsporing tegen de economische schade en privacy van internetgebruikers.”

Altijd gemeld

Uiteindelijk zouden de diensten de bugs altijd moeten melden bij de maker van de software, meent Verhoeven. Gebeurt dat niet, dan blijven ook andere gebruikers immers kwetsbaar voor de bugs. Daar zouden andere hackers of inlichtingendiensten van andere landen gebruik van kunnen maken.

Verhoeven wil daarnaast dat de overheidsdiensten geen commerciële kant-en-klare hacktools waarvan de werking onbekend is meer mogen gebruiken. “Je weet niet wat voor trucs die bedrijven uithalen om te kunnen inbreken”, zegt hij. “Dat mag niet meer tot de mogelijkheden behoren.”

Interne screening

Er zijn op dit moment wel regels voor het gebruik van zero day-bugs: zo heeft de AIVD een interne commissie die afweegt hoe ermee moet worden omgegaan. “Maar er is geen wetgeving voor of een overkoepelende instantie”, zegt het Kamerlid.

In een reactie laat de AIVD weten altijd per situatie af te wegen “welke middelen worden ingezet”. Daarbij kan het zijn dat een computerbug niet wordt gemeld aan de maker, omdat dat de nationale veiligheid in gevaar kan brengen. Het ministerie van Defensie, dat hackoperaties mag uitvoeren via de MIVD en offensieve hack-operaties, laat weten het voorstel te zullen bestuderen.

Volgens Verhoeven zou Nederland het eerste land ter wereld zijn dat een wet invoert om gebruik van zero day-bugs te reguleren. “In de Verenigde Staten zijn wel regels, maar dat is geen wetgeving”, zegt Verhoeven.

https://nos.nl/l/2264338