Politie en justitie hoeven kwetsbaarheden in software die hen in staat stellen systemen binnen te dringen niet in alle gevallen kenbaar te maken aan ontwikkelaars van de software. Volgens het kabinet kunnen ze in 'uitzonderlijke gevallen' besluiten zero-days onder de pet te houden.

Het kabinet erkent dat het laten voortbestaan van onbekende kwetsbaarheden risico's met zich meebrengt en kan zorgen voor meer slachtoffers van criminaliteit. Desondanks zijn er gevallen waarbij het Openbaar Ministerie kan besluiten de melding niet te doen of uit te stellen. Het kabinet geeft als voorbeeld gevallen waarbij een melding ervoor zou zorgen dat een verdachte achter een opsporingsonderzoek zou komen. Ook als het een systeem betreft dat door de criminelen ontwikkeld is en er geen gevaar voor anderen is als de kwetsbaarheid blijft bestaan is volgens het kabinet een voorbeeld van een zero-day die politie en justitie niet hoeven te melden.

Bij de afweging over het al dan niet melden moet justitie letten op de kans dat criminelen de zero-day ook gebruiken en het mogelijk aantal slachtoffers als criminelen de kwetsbaarheid misbruiken. Lekken in Windows of Android gaan politie en justitie waarschijnlijk direct doorgeven. "Het uitstellen van het delen van informatie over aangetroffen onbekende kwetsbaarheden in wijdverbreide en regulier gebruikte hardware of software ligt niet in de rede", staat in de brief van Klaas Dijkhoff, de staatssecretaris van Veiligheid en Justitie, en de minister van Binnenlandse Zaken Ronald Plasterk.

Ze reageren hiermee op vragen van D66-Kamerlid Kees Verhoeven over het gebruik van onbekende kwetsbaarheden in hardware en software. Ook de politie kan die kwetsbaarheden gaan gebruiken op basis van het wetsvoorstel Computercriminaliteit III: de wijzigingen geven de politie de bevoegdheid systemen binnen te dringen voor bepaalde opsporingsdoeleinden. Het gaat hierbij om een beperkt aantal strafbare feiten en vooraf is toestemming van een rechter-commissaris vereist. Dat de inlichtingendiensten AIVD en MIVD voor hen relevante kwetsbaarheden in software niet altijd hoeven te melden was al duidelijk.

Verhoeven noemt het kabinet ongelofelijk naïef vanwege het standpunt: "Dit kabinet wil achterdeurtjes in de beveiliging van al onze computers en smartphones openzetten. Het zijn juist criminelen en terroristen die deze beveiligingsgaten zullen misbruiken om bankgegevens, foto’s van intieme momenten met je vriend of vriendin en andere privé-informatie te stelen." Volgens het Kamerlid kan de politie ook kijken op computers van criminelen zonder ieders veiligheid aan te tasten. Hij belooft een voorstel daartoe in te dienen bij de behandeling van Computercriminaliteit III in de Tweede Kamer.

Update, 12.40: Reactie Verhoeven toegevoegd.