Legal Look: Victor de Pous over Encryptie

> Is encryptie juridisch belangrijk? Uiteenlopende wetgeving schrijft tegenwoordig netwerk- en informatiebeveiliging voor en tevens meldplichten bij allerlei ICT-gerelateerde incidenten, zoals een lek met betrekking tot persoonsgegevens. In de praktijk zien we veel partijen, zowel eindgebruikersorganisatie als leverancier, een eigen omschrijving ter zake gebruiken. Europa hanteert echter een uniforme definitie met straks een wettelijke status.

Onder netwerk- en informatiebeveiliging verstaat een cybersecuritywetsontwerp uit 2013, dat op korte termijn wordt vastgesteld: ‘Het vermogen van een netwerk- en informatiesysteem om met een bepaald niveau van betrouwbaarheid bestand te zijn tegen accidentele gebeurtenissen of opzettelijke handelingen die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen of verzonden gegevens of de daaraan gerelateerde diensten die via dat netwerk- en informatiesysteem worden aangeboden of toegankelijk zijn, in gevaar brengen’. Daar kan niemand om heen. Versleuteling van gegevens vormt hierbij een uiterst belangrijk middel. Sterker nog, je kunt argumenteren dat encryptie een indirect wettelijk voorschrift is.

> Wat zijn de ontwikkelingen in dit domein? Versleuteling is bovenal een prima middel voor de bescherming van de vertrouwelijkheid en integriteit van digitale communicatie en opgeslagen data. Weinig verrassend komt encryptie van digitaal verwerkte gegevens telkens ter tafel wanneer er zich een majeure aanval op de rechtstaat heeft voorgedaan. Dat begon met 9/11; recentelijk was dat het terrorisme in Parijs. Als het aan inlichtingen- en veiligheidsdiensten ligt, moeten ICT-bedrijven een digitale achterdeur inbouwen (een ‘technische ingang’) of anderszins meerwerken, zodat de overheid in voorkomende gevallen toegang tot de ge-encrypte data kan krijgen in het kader van voorkoming, opsporing en vervolging van ernstige criminaliteit en terrorisme. Daar is terecht veel weerstand tegen, mede omdat hierdoor de beveiliging van informatiesystemen en gegevensverwerking juist wordt verzwakt. Ook criminelen kunnen immers van de backdoors gebruik maken.

> Hoe ziet het Nederlandse rechtskader eruit? Het kabinet erkent volmondig dat cryptografie een ‘sleutelrol’ in de technische beveiliging in het digitale domein speelt. Bij Internetbankieren tot en met het webshoppen, bij de opslag va wachtwoorden tot de bescherming van mobiele telefoons en laptops tegen verlies of diefstal. Daar heeft de overheid overigens zelf veel baat bij, nu de blauwe envelop van de Belastingdienst in beginsel breed wordt afgeschaft. Veilig digitaal communiceren tussen overheidsdienst en burger en bedrijf via DigiD – dat wordt immers vanaf 2017 de norm – kan feitelijk niet zonder versleutelingstechnieken plaatsvinden. Anderzijds beseft ook ons kabinet de noodzaak tot het verkrijgen van toegang tot versleutelde data bij de bestrijding van ernstige criminaliteit en terrorisme. Encryptie schept dus niet alleen vertrouwen in de informatiemaatschappij, maar werkt tegelijkertijd belemmerend. Al eerder schrapte de regering het oorspronkelijke decryptiebevel aan verdachten in het wetsontwerp Computercriminaliteit III. Ons strafrecht kent namelijk een uiterst belangrijk rechtsbeginsel op grond waarvan een verdachte niet aan zijn eigen veroordeling hoeft mee te werken. Na afweging luidt de mening in de Den Haag dat het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland.

De juridische status quo: (i) het gebruik van encryptietechnieken wordt op grond van het Nederlandse recht niet verboden, (ii) de digitale sector krijgt geen verplichting om een technische toegang in beveiligde producten of diensten in te bouwen en (iii) verdachten hoeven wachtwoord of encryptiesleutel niet aan politie en justitie te verstrekken. So far, so good. En last but least, (iv) het inbreken in beveiligd informatiesysteem kan tot computervredebreuk leiden (Artikel 138a Wetboek van Strafrecht), terwijl (v) het omzeilen van een technische voorziening voor de beveiliging van een auteursrechtelijk werk eveneens strafbaar gesteld is (Artikel 29a lid 1 Auteurswet).

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *