Tegengestelde belangen: privacy vs veiligheid

Encryptie, het versleutelen van elektronische data, is na de aanslagen in de VS meer in het nieuws dan ooit. Met de juiste coderingstechnieken is internet een nuttig communicatiemiddel voor terroristen gebleken. Opsporingsinstanties eisen vergaande bevoegdheden. Biedt de huidige wetgeving wel voldoende bescherming tegen cybercrime?

Midden jaren negentig werd in de VS een pittig debat gevoerd over het coderen van elektronische data. Kon de overheid toestaan dat een deel van het internetverkeer onzichtbaar bleef voor opsporingsdiensten? De regering Clinton was vastbesloten justitiële instanties meer bevoegdheden te geven, zelfs als dit ten koste ging van het recht op privacy. Zover is het nooit gekomen. Twee wetsvoorstellen met dit doel sneuvelden voortijdig. Privacy- en burgerrechtenorganisaties, die zich hevig hadden verzet tegen de nieuwe regelgeving, leken de slag te hebben gewonnen.

Na 11 september is het debat in alle hevigheid weer terug. De Senaat nam onlangs wetgeving aan die het de overheid mogelijk maakt internetverkeer van vermoedelijke criminelen "af te tappen". Het ziet er naar uit dat bescherming van privé-gegevens het in de VS aflegt tegen de noodzaak om terroristische activiteiten vroegtijdig op te sporen.

In Nederland zijn vergelijkbare geluiden te horen. Volgens Arie van Bellen, directeur van het Electronic Commerce Platform Nederland (ECP.nl) is deze actuele roep om strengere veiligheidsmaatregelen legitiem. Toch is er volgens hem niets nieuws onder de zon. "De vraag die nu is opgedoken is dezelfde gebleven: zijn de instrumenten die we op dit moment hebben afdoende, of moeten ze veranderd worden?"

Het antwoord op die vraag is niet eenvoudig. De wettelijke instrumenten die er nu liggen zijn al in verandering. Dit is het resultaat van een vijfjarige discussie tussen overheid, juristen en bedrijfsleven. De Nederlandse overheid stelde zich begin jaren negentig net als in de VS zeer bemoeizuchtig op. Als het om aftappen van internetverkeer van mogelijke criminelen ging, moesten commerciële belangen wijken. Het gebruik van encryptiesoftware diende gekoppeld te worden aan een vergunning. Een particulier die een vergunning wilde hebben, moest aannemelijk maken dat hij deze nodig had vanwege een gerechtvaardigd belang. Justitie zou de vergunningen uitgeven.

Een cruciale plaats in deze regeling was weggelegd voor de zogeheten "sleutels", de software waarmee gecodeeerde berichten weer leesbaar gemaakt kunnen worden. Afhankelijk van het gekozen encryptiesysteem (zie kader) staat een bedrijf voor de taak deze sleutels op een veilige plaats te bewaren. Verlies of diefstal zijn funest voor de vertrouwelijkheid van het dataverkeer en kunnen de continuiteit van een bedrijf in gevaar brengen. Justitie stelde voor de sleutels te deponeren bij een speciaal orgaan. Uiteraard moest de overheid te allen tijde toegang hebben tot de gegevens in het kader van staatsveiligheid. Het kwam er op neer dat Justitie het beheer in handen zou krijgen van alle encryptie-sleutels die in Nederland rondgingen.

De wetsvoorstellen stuitten op veel verzet. Uit het bedrijfsleven, maar ook uit juridische hoek. De Registratiekamer bracht een vernietigend oordeel uit aan de regering. De voorstellen verhinderden de ontwikkeling van goede privacymaatregelen, zoals die in de Wet Persoonsregistraties stonden vermeld. Encryptie moest commercieel toegankelijk blijven en niet in een vergunningensysteem worden ondergebracht. Volgens Marjolijn Durinck van het ECP waren de praktische bezwaren tegen een vergunningensysteem te groot. "Het is geen realisitisch systeem. Ten eerste draag je zorg voor al die sleutels en ten tweede is niet duidelijk hoe je de controle uitvoert."

Trusted Third Party

Latere pogingen om cryptografie aan wettelijke banden te leggen zijn vrijwel uitsluitend in Europees verband gedaan. Het probleem van het sleutelbeheer bleek een vast onderdeel van de discussie te zijn geworden. Het stokpaardje in het communautaire beleid werd "key escrow", het onderbrengen van cryptografische sleutels bij een Trusted Third Party (TTP). Niet justitie, maar een onafhankelijke derde partij moest toezicht houden op het commerciële cryptografische verkeer. Een TTP is simpel gezegd te vergelijken met een "digitale notaris". Twee partijen die afspreken gecodeerde berichten over en weer te sturen, kunnen het beheer van hun sleutels desgewenst vrijwillig onderbrengen bij een TTP. Deze is ook in te zetten voor het plaatsen en verifiëren van digitale handtekeningen. In 1998 namen de ministers voor Jusitie en Binnenlandse Zaken een resolutie aan om tot een dergelijk systeem te komen.

In Nederland leidde dit tot de instelling van twee taskforces: het nationaal TTP-project en het project Rechtmatige Toegang. Deskundigen van de overheid en het bedrijfsleven hielden zich de afgelopen drie jaar bezig met de haalbaarheid van een TTP-systeem. Het ziet er naar uit dat dit er ook gaat komen. De belangrijkste taak van TTP's wordt het toezicht op het gebruik van digitale handtekeningen, die straks wettelijk gelijk zullen staan aan geschreven handtekeningen. Het eindrapport TTP ligt momenteel bij de Tweede Kamer.

Arie van Bellen van het ECP was nauw betrokken bij de totstandkoming van het eindrapport TTP. Hij ziet het TTP-project als een mooi voorbeeld van co-regulering. De overheid creëert via bijvoorbeeld de Telecomwet en de Wet Computercriminaliteit een wettelijk kader rond cybercrime. Voor het bedrijfsleven is een rol weggelegd bij de uitvoering hiervan. Van Bellen: "Neem de digitale handtekening. De overheid komt straks met een kader in het Nederlands recht. Daarboven kan dan een regeling komen waar marktpartijen vrijwillig aan conformeren". Co-regulering is in het kort een middenweg, waarbij e-commerce ruim baan krijgt. "Ons standpunt is nog steeds dat je veiligheidsproblemen niet geheel bij de overheid kunt neerleggen, daarmee verstoor je de economische groei", legt Van Bellen uit.

Rechtmatige toegang

Overheid en bedrijfsleven lijken er wat betreft de invoering van de digitale handtekening via co-regulering samen uit te komen. Met de rechtmatige toegang tot sleutelbanken van TTP's is het wat minder gesteld. De balans lijkt door te slaan naar bestrijding van criminaliteit, ten koste van privacy. Het overleg is nog in volle gang, maar het ziet er naar uit dat Justitie vergaande toegang krijgt tot de databanken van TTP's. Zij moeten verplicht de boeken openen als er sprake is van een gegronde verdenking van crimineel handelen. Bedrijven die met cryptografie werken en de sleutels onderbrengen bij een externe TTP moeten er kortom van uitgaan dat de overheid mee kan kijken. Volgens Marjolijn Durinck is hiermee niets nieuws onder de zon. "In Nederland weet je dat een telefoon ook kan worden afgetapt", stelt zij. De recente ontwikkelingen in de VS kunnen volgens Durinck de besluitvorming in een stroomversnelling brengen. De BVD kwam onlangs met het Actieplan Terrorisme, waarin versnelde afronding van het project Rechtmatige Toegang werd bepleit.

Toch zijn er ook tegengeluiden te horen. Maurice Wessling, initiatiefnemer van Bits of Freedom, vecht al jaren tegen de oprukkende overheidsbemoeienis in het elektronische dataverkeer. De recente ontwikkelingen in de VS noopten hem en andere Europese burgerrechtenorganisaties een brandbrief aan de Europese Raad te sturen. "Ik maak me grote zorgen dat de discussie over encryptie in Nederland weer op gaat laaien", antwoort Wessling op de vraag waarom hij de brief heeft gestuurd. "Wat ik me kan voorstellen is dat de overheid via achterdeurtjes toch zelf digitale sleutels centraal wil gaan opslaan. Daarmee creëer je een soort digitale pakhuizen, waardoor de communicatieketen heel kwetsbaar wordt".

Een heikel punt in de discussie is volgens Wessling de druk die de overheid kan uitoefenen op toekomstige TTP's om de boeken te openen. De onafhankelijkheid van deze instanties komt hiermee in gevaar. Ook staat het bedrijfsleven volgens hem huiverig tegenover het verplichte gebruik van "key escrow". De centrale opslag van decoderingssleutels vormt immers een makkelijk doelwit voor criminelen. Hetzelfde geldt voor "key recovery", waarbij in het versleutelingssyteem zelf een toegang is ingebouwd om deze te ontgrendelen. De inlichtingendiensten en justitie sturen volgens Wessling aan op een wettelijke verplichting voor TTP's om gebruik te maken van key escrow of key recovery technieken. Consumenten zullen weinig vertrouwen hebben in een dergelijke encryptiedienst, meent Wessling. "De uitkomst van dit overheidsbeleid zou kunnen zijn dat er geen TTP's komen die vertrouwelijkheidsdiensten aanbieden".

Marjolijn Durinck geeft toe dat er dusver weinig belangstelling vanuit het bedrijfsleven is voor externe sleutelopslag. Als er zoveel wantrouwen tegen het TTP-project bestaat, is het project dan wel geslaagd te noemen? Zij vindt van wel. "De belangrijkste taak van TTP's wordt de registratie van digitale handtekeningen en de uitgifte van digitale certificaten".

Bert-Jaap Koops, encryptie-expert en verbonden aan de Katholieke Universiteit Brabant, betwijfelt of data-recovery, het reconstrueren van gecodeerde berichten, aan de overheid moet worden overgelaten. "De overheid moet het crypto-opsporingsprobleem loskoppelen van TTP-diensten", schreef hij in het blad Computerrecht. Een crypto-infrastructuur met ingebouwde overheidstoegang is kostbaar, enorm complex en in een internationale context moeilijk toepasbaar. Het belangrijkste bezwaar is volgens Koops dat zowel het bedrijfsleven als criminelen geen cryptosysteem zullen gebruiken, waarvan ze weten dat de overheid er toegang toe heeft.

Van Bellen kan weinig begrip opbrengen voor deze kritiek. "TTP's passen in het economische model. Ze verdienen er geld mee. De overheid moet zorgen dat er bij tijd en wijle inzage is", meent hij. De zorgen van Wessling en Koops kan hij relativeren. "Ik geloof echt dat we het over vijf jaar hier niet meer over hebben. Net als bij de invoering van de telefoon is het een kwestie van veel doen. In een restaurant betalen met je creditcard is ook heel eng".