Minister Grapperhaus van Justitie en Veiligheid heeft het Wetsvoorstel computercriminaliteit III bij de Eerste Kamer ingediend. Het wetsvoorstel geeft politie en justitie de bevoegdheid om heimelijk de systemen van verdachten binnen te dringen, zoals bijvoorbeeld een smartphone of computer.

Vervolgens mag de politie op deze systemen gegevens ontoegankelijk maken of kopiëren, maar ook communicatie aftappen of observeren. Voordat de politie systemen mag hacken moet er eerst toestemming van de rechter-commissaris zijn op verzoek van de officier van justitie. Daarnaast zal de Centrale Toetsingscommissie van het Openbaar Ministerie de bevoegdheid toetsen. Voor het binnendringen van systemen kan er zowel van bekende als onbekende kwetsbaarheden gebruik worden gemaakt.

Daarover zegt Grapperhaus: "Uitgangspunt is dat onbekende kwetsbaarheden aan de leverancier of fabrikant worden gemeld. Dit geldt ook voor de politie en het openbaar ministerie als zij in het kader van een opsporingsonderzoek bekend worden met onbekende kwetsbaarheden in hard- of software; deze zullen zo snel mogelijk aan de desbetreffende producent worden gemeld. In uitzonderlijke gevallen kunnen er echter redenen zijn die het melden tijdelijk in de weg staan."

Het gaat dan bijvoorbeeld om meldingen die ervoor zorgen dat het "heimelijke karakter" van het opsporingsonderzoek teniet gedaan wordt. Ook kan het gaan om onbekende kwetsbaarheden in een systeem of programma dat door criminelen is gemaakt en/of alleen voor criminele doeleinden wordt gebruikt. "Het melden van een onbekende kwetsbaarheid in dergelijke gevallen zou het effect hebben criminaliteit te faciliteren", merkt de minister op.

Ook wordt niet uitgesloten dat de Nederlandse overheid zero-days gaat inkopen om zo toegang tot systemen te krijgen, al zal dit wel worden beperkt, aldus Grapperhaus. "De mogelijkheid om onbekende kwetsbaarheden te kunnen gebruiken is en blijft een uiterste maar onmisbare optie voor de bestrijding van ernstige vormen van criminaliteit. Conform de afspraken in het Regeerakkoord zal het inkopen van binnendringsoftware die mogelijk gebruik maakt van onbekende kwetsbaarheden worden beperkt door dit enkel in specifieke zaken mogelijk te maken. Hierdoor wordt het betreden van de markt van binnendringsoftware die mogelijk gebruik maakt van onbekende kwetsbaarheden tot een minimum beperkt."